Pertemuan 11 ( ETHICAL HACKING )

 ETHICAL HACKING

A.   Pengertian Hacking

Hacking merupakan tindakan yang dapat dilakukan untuk mencuri dan mendistribusikan kembali kekayaan intelektual yang menyebabkan kerugian bisnis. 

B.    Pengertian Hacker

Seorang ahli di bidang komputer yang menggunakan pengetahuan dan keterampilan teknis mereka untuk mengatasi masalah. 

C.    Kelas-kelas Hacker

1.         Black hats

2.         White hats

3.         Gray hats

4.         Script kiddies

5.         Cyber terrorist

6.         State sponsored hackers

D.    Pengertian Ethical Hacking

Ethical hacking melibatkan penggunaan alat hacking, trik, dan teknik untuk mengidentifikasi kerentanan untuk memastikan keamanan system. Ethical hacking melakukan penilaian keamanan organisasi mereka dengan izin dari otoritas terkait.

E.    Tahapan Ethical Hacking

Di dalam ethical hacking terdapat tahap yang perlu diketahui, diantaranya yaitu:

•  Tahap 1: Pengaintaian Pasif dan Aktif

Ø  Pengintaian Pasif melibatkan pengumpulan informasi mengenai target potensial tanpa pengetahuan individua tau perusahaan yang ditargetkan.

Ø  Pengintaian aktif melibatkan penyelidik jaringan untuk menemukan host individu, alamat IP, dan layanan di jaringan.

• Tahap 2: Scanning

Scanning melibatkan pengambilan informasi yang dotemukan selama pengintaian dan menggunakannya untuk memeriksa jaringan. Alat yang mungkin digunakan oleh peretas selama tahap scanning yaitu dialer, port scanner, network mapper, sweepers, dan vulnerability scanner

• Tahap 3: Mendapatkan Akses

Tahap ini merupakan tahap dimana hacking sebenarnya terjadi. Kerentanan yang ditemukan selama tahap pengintaian dan scanning sekarang dimanfaatkan untuk mendapatkan akses.

• Tahap 4: Mempertahankan Akses

Setelah seorang hacker mendapatkan akses, mereka ingin menyimpan akses tersebut untuk eksploitasi dan serangan di masa depan. Terkadang, hacker membajak system dari hacker lain atau petugas keamanan dengan mengamankan akses eksklusif mereka dengan mengamankan akses eksklusif mereka dengan backdoor, rookit, dan trojan.

• Tahap 5: Menutupi Jejak

Begitu hacker berhasil mendapatkan dan mempertahankan akses, mereka menutup jejak mereka untuk menghindari deteksi oleh petugas keamanan, untuk terus menggunakan system yang dimiliki untuk menghapus bukti hacking, atau untuk menghindari tindakan hukum.

Pertemuan 10 ( MALWARE )

MALWARE

A.    Pengertian

    Malware berasal dari singkatan malicious software yang berarti perangkat lunak yang berbahaya. Perangkat lunak atau software ini dibuat dengan tujuan merusak sistem atau sekadar memasuki sistem komputer atau laptop, jaringan, hingga server secara sembunyi-sembunyi. Malware masuk melalui jaringan internet saat pengguna laptop atau komputer sedang online.

    Tidak hanya dapat merusak sebuah perangkat, malware juga dapat menjadi backdoor untuk masuk ke website. Jika kita  memiliki website, maka berpotensi diretas oleh hacker menggunakan malware dan jika malware tersebut muncul, maka data dalam website dapat dicuri dan dijual ke pihak lain.

    Maka dari itu, penting bagi kita sebagai mahasiswa bidang IT untuk melindungi perangkat atau website dari malware dengan melakukan install antivirus dan memperketat sistem keamanan pada perangkat atau website.

 

B.    Jenis-jenis Malware

Ada banyak jenis malware yang tersebar di dunia diantaranya :

    Trojan. Jika  memiliki antivirus dan sering melakukan scanning, maka akan familiar dengan nama Trojan yang merupakan malware paling umum. Trojan biasanya menyamar sebagai aplikasi sehingga kamu tidak akan tahu jika sudah terjangkit malware ini. Untuk menghindari Trojan, hindari membuka situs berbahaya dan jangan asal klik link. Biasanya, link yang berisi ajakan untuk melakukan install aplikasi tertentu sebenarnya berisi Trojan. Jika kamu melakukan hal itu, maka Trojan bisa masuk ke laptop atau komputer kamu.

    Virus dan worms juga perlu kita waspadai. Malware jenis ini dapat mereplikasi diri dan menghapus file hingga mengosongkan drive. Meski tidak terlalu berbahaya, jika dibiarkan maka kamu dapat kehilangan file penting.

    Malware yang berbahaya adalah ransomware. Jenis ini menjadi salah satu kejahatan siber yang berbahaya karena dilakukan untuk meminta tebusan dari korbannya. Biasanya, ransomware menginfeksi laptop atau komputer dengan cara membuat data tidak dapat diakses. Selanjutnya, pelaku ransomware akan meminta korban untuk mengirimkan sejumlah uang agar data tersebut dapat diakses kembali. Sayangnya, data korban tetap biasanya tidak akan kembali meski korban sudah membayarkan sejumlah uang yang tidak sedikit.

 

C.    Cara kerja Malware pada perangkat

Pada dasarnya, malware dapat masuk ke perangkat kamu melalui kode program yang ada pada aplikasi atau perangkat lunak. Misalnya saja Trojan, malware ini dapat masuk melalui aplikasi yang kamu unduh dari link berbahaya. Aplikasi ini sudah disusupi Trojan sehingga, ketika berhasil ter-install, akan langsung menginfeksi perangkat kamu jika kamu tidak memiliki antivirus.

Pada kasus ransomware, malware ini dapat masuk ke perangkat dengan cara yang sama seperti kamu mendapatkan Trojan. Ya, jika kamu  melakukan install aplikasi dari situs berbahaya atau situs tidak resmi, ini dapat menjadi jalan masuk para hacker untuk melakukan aksi mereka dan menginfeksi file kamu. Dengan begitu, para hacker dapat mengakses file hingga sistem komputer kamu dari jarak jauh.

 

D.    Cara mengatasi Malware

Berikut cara mengatasi malware dengan tiga tahap:

·         Pertama, hindari membuka situs berbahaya atau situs yang mencurigakan. Misalnya saja situs untuk download film bajakan atau situs aplikasi bajakan.

·         Selanjutnya, install antivirus di perangkat. Antivirus dapat membantu melindungi perangkat dari serangan virus dan malware. Namun, kita juga dapat memanfaatkan Windows Defender yang merupakan software antivirus bawaan dari Windows.

·         Aktifkan Safe Mode. Mode ini dapat diaktifkan dengan cara restart lalu tekan tombol F8 pada keyboard. Selanjutnya, akan muncul opsi Safe Mode yang tidak terhubung dengan internet, terhubung ke internet, maupun Command Prompt. Pilih salah satu opsi maka Safe Mode akan berjalan otomatis untuk memeriksa perangkat yang mengalami kerusakan dan memperbaikinya, salah satunya ketika terjadi serangan malware.

Pertemuan 9 ( VIGENERE CIPHER )

 

Pengertian vigenere cipher

Algoritma vigenere cipher adalah algoritma klasik yang merupakan pengembangan dari metode Caesar Cipher. Proses Enkripsi dilakukan dengan cara menggeser atau menambahkan plaintext sebanyak kunci ke-i. Sedangkan dekripsi adalah proses menggeser ciphertext ke arah berlawanan atau mengurangkan ciphertext sebanyak kunci ke-i.

 

Algoritma Vigenere cipher

• Vigenere cipher menggunakan Bujursangkar Vigenere untuk melakukan enkripsi
• Setiap baris di dalam bujursangkarnya menyatakan huruf-huruf cipherteks yang diperoleh dengan Caesar Cipher
• Kunci: K = k1 k2  . . . Km
• Ki untuk 1

ki untuk 1 >  i  > m menyatakan jumlah pergeseran pada huruf ke-i.

Enkripsi : ci(p) = (p + ki) mod 26, atau

Pi = ( Ci – Ki ) + 26, kalau hasil pengurangan Ci dengan Ki minus

Dekripsi: pi(c) = (Ci-Ki) mod 26,  atau

Pi = ( Ci – Ki ) + 26, kalau hasil pengurangan Ci dengan Ki minus

 

Gambar Bujursangkar vigenere : 

Jika panjang kunci lebih pendek dari pada panjang plainteks, maka kunci diulang secara    periodik. Misalkan panjang kunci = 20, maka 20 karakter pertama dienkripsi dengan persamaan, setiap karakter ke-i menggunakan kunci  ki. Untuk 20 karakter berikutnya, kembali menggunakan pola enkripsi yang sama

Huruf yang sama tidak selalu dienkripsi menjadi huruf cipheteks yang sama pula.

Contoh: huruf plainteks T dapat dienkripsi menjadi L atau H, dan huruf cipherteks V dapat merepresentasikan huruf plainteks H, I, dan X

Hal di atas merupakan karakteristik dari cipher polyalphabetic: setiap huruf cipherteks dapat memiliki kemungkinan banyak huruf plainteks

Pada cipher substitusi sederhana, setiap huruf cipherteks selalu menggantikan huruf plainteks tertentu

Vigènere Cipher dapat mencegah frekuensi huruf-huruf di dalam cipherteks yang mempunyai pola tertentu yang sama seperti pada cipher abjad-tunggal (monoalpabetic)

 

Pertemuan 8 ( KRIPTOGRAFI : PART 2 )

KRIPTOGRAFI

A. Kriptografi Kunci-Simetri

Merupakan algoritma yang biasa disebut dengan algoritma klasik karena memakai kunci yang sama untuk kegiatan enkripsi dan deskripsi.

 Kriptosistem Konvensional (Kunci Simetrik) : 

B. Kriptografi Kunci-Asimetris

Merupakan algoritma yang disebut dengan algoritma kunci public. Kunci public orang dapat mengenkripsi pesan tetapi tidak dapat mendeskripsinya. Hanya orang yang memiliki kunci rahasia yang dapat mengenkripsi pesan tersebut.

 Kriptografi Public Key (Asimetrik)

C.    Fungsi Hash

Merupakan suatu fungsi matematika yang mengambil masukan Panjang variable dan mengubahnya ke dalam urutan biner dengan Panjang yang tetap. Fungsi hash biasa disebut hash satu arah, massage, digest, fingerprint, fungsi kompresi, messege authentication code (MAC).

 

D.    Kriptografi Berdasarkan Algoritma

Ø  Algoritma Kriptografi Klasik

 

a.     Teknik Substitusi Kode Kaisar

1.     Blok : Metode dengan membagi jumlah teks asli menjadi blok-blok yang ditentukan.

2.     Karakter : Metode menggunakan pendistribusian per karakter.

 

b.     Kriptografi Transposisi

Metode penyandian transposisi adalah metode penyandian dengan cara mengubah letak dari teks pesan yang akan disandikan.Untuk proses Dekripsi, cukup dengan mengembalikan letak dari pesan tersebut berdasarkan kunci dan algoritma pergeseran huruf yang telah disepakati. Adapun jenis penyandian transposisi adalah :

1.     Penyandian transposisi rail fence

Bentuk penyandian transposisi dengan cara menuliskan huruf-huruf teks asli secara turun naik dalam sebuah pagar imajiner. Teks sandi dibaca secara baris per baris.

 

2.     Penyandian transposisi route

Penyandian dilakukan dengan cara menuliskan teks asli secara kolom dari atas kebawah dalam sebuah kisi-kisi imajiner dengan ukuran yang telah disepakati. Kunci berupa cara baca, pembacaan sandi dengan arah (route) sesuai dengan kunci yang ditentukan.

 

3.     Penyandian transposisi kolom

Salah satu jenis transposition cipher yang sangat mudah dilakukan dan juga dipecahkan. Penyandian Transposisi Kolom dituliskan secara baris (biasa) dengan panjang yang telah ditentukan sebagai kunci-nya. Teks sandi-nya dibaca secara kolom demi kolom dengan pengacakan melalui permutasian angka kuncinya.

 

4.     Penyandian transposisi ganda

Metode penyandian transposisi kolom yang dilakukan dua kali. Proses penyandian yang kedua ini bisa menggunakan kunci yang sama atau dua kunci yang berbeda

 

5.     Penyandian transposisi Myszkowski

Merupakan variasi dari metode penyandian transposisi kolom, yang dibedakan dalam pendefinisian dan permutasian kata kunci-nya. Teks sandinya dibaca secara urutan nomor kolom, bila nomor urut kolomnya sama dibaca secara bersamaan dimulai dari sebelah kiri.

Pertemuan 7 ( KRIPTOGRAFI : PART 1 )

 

KRIPTOGRAFI

A.    Apa itu kriptografi?

Kriptografi adalah sebuah metode yang digunakan untuk melindungi informasi dan saluran komunikasi melalui penggunaan kode. Kode-kode ini nantinya ditujukan agar informasi tertentu hanya dapat dibaca serta diproses oleh mereka yang memiliki akses khusus. 

Bila kita membedah kata ‘cryptography’, prefix ‘crypt’ memiliki arti ‘tersembunyi’, sedangkan suffix ‘graphy’ maknanya adalah tulisan. Hal tersebut relevan dengan fungsi kriptografi sendiri. Dalam dunia IT, kode yang sering digunakan para programmer sering dianggap sebagai tulisan, dan kali ini, tulisan tersebut berfungsi untuk menyembunyikan data penting.

Kriptografi mengacu pada informasi dan teknik komunikasi yang berasal dari konsep matematika dan seperangkat perhitungan berbasis aturan yang disebut algoritma. Algoritma dan konsep perhitungan matematika ini nantinya akan digunakan untuk mengubah sebuah pesan dengan cara yang sulit diuraikan. Contoh algoritma seperti ini sering digunakan untuk pembuatan kunci kriptografi, penandatanganan digital, verifikasi untuk melindungi privasi data, penjelajahan situs web di internet, dan komunikasi pribadi seperti transaksi kartu kredit dan email.

 

B.    Jenis-jenis Metode Kriptografi

1.     Symmetric key cryptography

Jenis metode kriptografi yang pertama adalah symmetric key cryptography atau disebut juga sebagai kriptografi kunci rahasia. Beberapa jenis kriptografi kunci rahasia lainnya adalah seperti berikut ini:

Ø  blok

Ø  blokir sandi

Ø  DES (Data Encryption System) 

Ø  RC2

Ø  IDEA

Ø  Blowfish

Ø  Stream cipher

 

2.     Public key cryptography 

Public key cryptography adalah konsep perlindungan data yang paling revolusioner dalam kurun waktu 300 hingga 400 tahun terakhir. Lebih dikenal dengan kriptografi kunci publik, metode kriptografi ini memanfaatkan dua kunci yang saling berkaitan, yaitu kunci publik dan privat.

Jenis kriptografi yang sering digunakan dalam metode ini adalah RSA. Terlepas dari itu, ada beberapa jenis lainnya yang sering digunakan. Contohnya adalah seperti di bawah ini: 

Ø  DSA

Ø  PKC

Ø  Teknik kurva elips/elliptic curve techniques

 

3.     Hash function

Jenis kriptografi ini mengandalkan persamaan matematika, di mana algoritma akan mengambil nilai numerik sebagai input dan menghasilkan pesan yang akan diringkas oleh hash.Metode ini tidak memerlukan kunci apa pun karena fungsinya telah disesuaikan untuk skenario pengiriman data satu arah.

 

C.    Teknik dan Tujuan Kriptografi 

Dengan adanya perubahan prioritas teknik yang digunakan untuk melindungi data, istilah kriptografi bergeser menjadi modern cryptography. Modern cryptography memiliki beberapa tujuan yang menjadi pedoman untuk para kriptografer. Berikut adalah penjelasannya:

Ø  Confidentiality: Informasi yang dilindungi tidak akan bisa diakses oleh siapa pun yang tak memiliki wewenang.

Ø  Integrity: Data yang akan diterima dan dikirim tidak dapat diubah tanpa sepengetahuan kedua belah pihak.

Ø  Non-repudiation: Pihak penerima atau pengirim tidak akan bisa menyangkal tujuannya menciptakan atau mengubah data 

Ø  Authentication: Pihak penerima dan pengirim dapat mengetahui identitas masing-masing serta sumber data yang sedang mereka gunakan.

Prosedur dan protokol yang memenuhi semua kriteria cryptography di atas adalah sistem kriptografi. Sistem kriptografi sering dianggap sebagai sebuah program yang hanya mengacu pada prosedur perhitungan matematika dan computer programming. Namun, kenyataannya tidak seperti demikian. Pegiat kriptografi kini juga memasukkan pengaturan yang telah disesuaikan dengan perilaku manusia.

Contohnya adalah seperti memilih kata sandi yang sulit ditebak, log off otomatis bila sistem sedang tidak digunakan, dan larangan diskusi prosedur sensitif dengan pihak luar yang tak memiliki wewenang.

Pertemuan 6 ( ACCESS CONTROL )

ACCESS CONTROL

 

A.   Access Control

Access control merupakan kumpulan dari metode dan komponen yang dipergunakan untuk asset informasi. Access control memberikan kemampuan untuk mendikte mana informasi yang bisa dilihat atau dimodifikasi oleh user. Adapun yang dipersiapkan dalam perencanaan access control yaitu:

Bagaimana caranya membedakan mana informasi yang rahasia atau tidak?

Metode apakah yang harus kita ambil untuk mengidentifikasi user yang meminta akses ke informasi yang rahasia?

Apa cara terbaik untuk memastikan bahwa memang user yang berhak yang akan mengakses informasi yang rahasia?

B.  Least privilege

Least privilege membantu menghindari authorization creep, yaitu sebuah kondisi dimana sebuah subyek memiliki hak akses lebih dari apa sebenarnya dibutuhkan.

 

C.Subjek dan objek

Subyek merupakan entitas yang aktif karena menginisiasi sebuah permintaan akses, sedangkan objek dari akses merupakan bagian yang pasif dari akses.

D.Mendatory acces control (MAC)

Control akses didasarkan pada system pelabelan keamanan. Pengguna subyek memiliki izin keamanan dan obyek memiliki label keamanan yang berisi klarifikasi data. Model ini dugunakan dalam lingkungan di mana klasifikasi informasi dan kerahasiaan sangat penting.

 

E.  Goal of MAC

1. Menjaga kerahasiaan dan integritas informasi
2. Mencegah beberapa jenis serangan trojan
3. Mencegah bahwa pengguna dapat mengubah atribut keamanan

F. Directional access control

Control mempergunakan identitas dari subyek untuk menentukan apakah permintaan akses tersebut akan dipenuhi atau ditolak. Setiap obyek memiliki permission, yang menentukan user atau group yang bisa melakukan akses terhadap obyek.

 

G. Identity-based access control

Merupakan keputusan untuk akses terhadap obyek berdasarkan user id atau keanggotaan group dari user yang bersangkutan. Pemilik dari obyek yang menentukan user atau group yang mana yang bisa melakukan akses terhadap obyek.

 

H. Access control list (ACL)

Untuk memudahkan administrasi access control list(ACLs) mengijinkan groups dari, atau groups dari subyek untuk dikontrol bersama-sama. Acces control lists dapat memberikan hak akses terhadap group dari subyek atau memberikan hak kepada akses group dari subyek kepada obyek tertentu.

 

I.Non-discreationary access control

Non-discreationary access control disebut juga roled-based acces control atau task base access control. Dapat dipakai pada kasus high turnover atau reassignment.

 

J. Access control administration

Merupakan langkah setelah desain akses control dan dapat diimplementasikan secara centralized atau decentralized tergantung kebutuhan dari organisasi dan sentivities informasi.

 

K. Centralized access control

Pendekatan yang sangat mudah karena obyek hanya dipelihara pada lokasi yang tunggal. Contohnya : radius dan chap

 

L.Decentralized access control

Control yang meletakan tanggung jawab dari lebih dekat terhadap obyek, sehingga lebih stabil. Diimplementasikan memakai security domain. Security domain sendiri merupakan bagian sebuah kepercayaan, atau koleksi dari obyek dan subyek, yang mendefinisikan access rule dan permisions.

 

M.  Accountability 

Accountability berkaitan erat dengan instrument untuk kegiatan control terutama dalam hal pencapaian hasil dengan membuat log dari aktivitas pengontrolan atau system audit membantu administrasi. Log aktif ini memudahkan administrasi system untuk memonitor siapa saja yang memakai system dan apa yang dilakukannya.

 

N.   Access control models

Access control model memungkinakan untuk memilih kebijakan keamanan yang kompleks menjadi langkah kemanan yang lebih sederhana dan terkontrol.

 

O.  Autentikasi

Merupakan metode untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Teknik autentikasi adalah prosedur yang digunakan untuk membuktikan keaslian pesan (message integrity), Keaslian identitas pengirim (user authentication), dan pengirim tidak dapat menyangkal isi pesan (non- repudation.

 

P.    Elemen Autentikasi

Yang di autentikasi = person/group/code/system

Tingkat perbedaan entitas yang di-autentikasi = Distinguishing characteristic : KArakteristik yang membedakan penipuan computer adalah bahwa pelaku mengakses atau menggunakan computer dengan maksud untuk menjalankan skema penipuan.\

Penanggung jawab system = Operator/ system owner/ administrator

Authrentication mechanism : hak akses = Access control mechanism

Q.  Faktor-Faktor Autentikasi

• Something you know      : Password, PIN ATM, nomor kunci
• Something you have       : Peralatan fisik : kartu ATM, KTM, Smart card, kunci kamar
• Something you are          : Biometric : mata, tangan, sidik jari, suara
• Something you do           : Lokasi : GPS