Rabu, 04 Juli 2012

KEAMANAN DATABASE



 Keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh pemakai yang tidak punya kewenangan.

Penyalahgunaan Database :
  1. Tidak disengaja, jenisnya :
    1. kerusakan selama proses transaksi
    2. anomali yang disebabkan oleh akses database yang konkuren
    3. anomali yang disebabkan oleh pendistribuasian data pada beberapa komputer
    4. logika error yang mengancam kemampuan transaksi untuk mempertahankan konsistensi database.
  2. Disengaja, jenisnya :
    1. Pengambilan data / pembacaan data oleh pihak yang tidak berwenang.
    2. Pengubahan data oleh pihak yang tidak berwenang.
    3. Penghapusan data oleh pihak yang tidak berwenang.

Tingkatan Pada Keamanan Database :
  1. Fisikal à lokasi-lokasi dimana terdapat sistem komputer haruslah aman secara fisik terhadap serangan perusak.
  2. Manusia à wewenang pemakai harus dilakukan dengan berhati-hati untuk mengurangi kemungkinan adanya manipulasi oleh pemakai yang berwenang
  3. Sistem Operasi à Kelemahan pada SO ini memungkinkan pengaksesan data oleh pihak tak berwenang, karena hampir seluruh jaringan sistem database menggunakan akses jarak jauh.
  4. Sistem Database à Pengaturan hak pemakai yang  baik.



Keamanan Data :

1. Otorisasi :
  • Pemberian Wewenang atau hak istimewa (priviledge) untuk mengakses sistem atau obyek database
  • Kendali otorisasi (=kontrol akses) dapat dibangun pada perangkat lunak dengan 2 fungsi :
  • Mengendalikan sistem atau obyek yang dapat diakses
  • Mengendalikan bagaimana pengguna menggunakannya
  • Sistem administrasi yang bertanggungjawab untuk memberikan hak akses dengan membuat account pengguna.

2. Tabel View :
  • Merupakan metode pembatasan bagi pengguna untuk mendapatkan model database yang sesuai dengan kebutuhan perorangan. Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh pengguna.
  • Contoh pada Database relasional, untuk pengamanan dilakukan beberapa level :
1.      Relasi (pengguna diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi)
2.      View (pengguna diperbolehkan atau tidak diperbolehkan mengakses data yang terapat pada view)
3.      Read Authorization
 pengguna diperbolehkan membaca data, tetapi tidak dapat memodifikasi.
4.      Insert Authorization(pengguna diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada).
5.      Update Authorization ( pengguna diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data).
6.      Delete Authorization (pengguna diperbolehkan menghapus data).

  • Untuk Modifikasi data terdapat otorisasi tambahan :
1.      Index Authorization (pengguna diperbolehkan membuat dan menghapus index data).
2.      Resource Authorization (pengguna diperbolehkan membuat relasi-relasi baru).
3.      Alteration Authorization (pengguna diperbolehkan menambah/menghapus atribut suatu relasi).
4.      Drop Authorization (pengguna diperbolehkan menghapus relasi yang sudah ada).

  • Contoh perintah menggunakan SQL :

GRANT : memberikan wewenang kepada pemakai
Syntax : GRANT <priviledge list> ON <nama relasi/view> TO <pemakai>
Contoh :
GRANT SELECT ON S TO BUDI
GRANT SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI
REVOKE : mencabut  wewenang yang dimiliki oleh pemakai
Syntax : REVOKE <priviledge list> ON <nama relasi/view> FROM <pemakai>
Contoh :
REVOKE SELECT ON S TO BUDI
REVOKE SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI

Priviledge list : READ, INSERT, DROP, DELETE, INEX, ALTERATION, RESOURCE


3. Backup data dan recovery :

Backup : proses secara periodik untuk mebuat duplikat ari database dan melakukan logging file (atau program) ke media penyimpanan eksternal.

Jurnaling : proses menyimpan dan mengatur log file dari semua perubahan yang dibuat di database untuk proses recovery yang efektif jika terjadi kesalahan.

Isi Jurnal :
  • Record transaksi
1.      Identifikasi dari record
2.      Tipe record jurnal (transaksi start, insert, update, delete, abort, commit)
3.      Item data sebelum perubahan (operasi update dan delete)
4.      Item data setelah perubahan (operasi insert dan update)
5.      Informasi manajemen jurnal (misal : pointer sebelum dan record jurnal selanjutnya untuk semua transaksi
  • Record checkpoint : suatu informasi pada jurnal untuk memulihkan database dari kegagalan, kalau sekedar redo, akan sulit penyimpanan sejauh mana jurnal untuk mencarinya kembali, maka untuk membatasi pencarian menggunakan teknik ini.

Recovery : merupakan upaya uantuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan.

3 Jenis Pemulihan :
  1. Pemulihan terhadap kegagalan transaksi : Kesatuan prosedur alam program yang dapat mengubah / memperbarui data pada sejumlah tabel.
  2. Pemulihan terhadap kegagalan media : Pemulihan karena kegagalan media dengan cara mengambil atau memuat kembali salinan basis data (backup)
  3. Pemulihan terhadap kegagalan sistem : Karena gangguan sistem, hang, listrik terputus alirannya.

Fasilitas pemulihan pada DBMS :
  1. Mekanisme backup secara periodik
  2. fasilitas logging dengan membuat track pada tempatnya saat transaksi berlangsung dan pada saat database berubah.
  3. fasilitas checkpoint, melakukan update database yang terbaru.
  4. manager pemulihan, memperbolehkan sistem untuk menyimpan ulang database menjadi lebih konsisten setelah terjadinya kesalahan.

Teknik Pemulihan :
  1. defered upate / perubahan yang ditunda : perubahan pada DB tidak akan berlangsung sampai transaksi ada pada poin disetujui (COMMIT). Jika terjadi kegagalan maka tidak akan terjadi perubahan, tetapi diperlukan operasi redo untuk mencegah akibat dari kegagalan tersebut.
  2. Immediate Upadate / perubahan langsung : perubahan pada DB akan segera tanpa harus menunggu sebuah transaksi tersebut disetujui. Jika terjadi kegagalan diperlukan operasi UNDO untuk melihat apakah ada transaksi yang telah disetujui sebelum terjadi kegagalan.
  3. Shadow Paging : menggunakan page bayangan imana paa prosesnya terdiri dari 2 tabel yang sama, yang satu menjadi tabel transaksi dan yang lain digunakan sebagai cadangan. Ketika transaksi mulai berlangsung kedua tabel ini sama dan selama berlangsung tabel transaksi yang menyimpan semua perubahan ke database, tabel bayangan akan digunakan jika terjadi kesalahan. Keuntungannya adalah tidak membutuhkan REDO atau UNDO, kelemahannya membuat terjadinya fragmentasi.


4. Kesatuan data dan Enkripsi :

  • Enkripsi : keamanan data
  • Integritas :metode pemeriksaan dan validasi data (metode integrity constrain), yaitu berisi aturan-aturan atau batasan-batasan untuk tujuan terlaksananya integritas data.
  • Konkuren : mekanisme untuk menjamin bahwa transaksi yang konkuren pada database multi user tidak saling menganggu operasinya masing-masing. Adanya penjadwalan proses yang akurat (time stamping).


Diposting oleh di Tidak ada komentar:
Label: ,

Cara Mengamankan Website Anda Dari Serangan Hacker



Yang perlu diingat adalah agar jangan pernah menganggap bahwa website kita selamanya aman dari serangan hacker. Tidak hanya website besar yang memiliki ramai pengunjung, bahkan terkadang website kecil-kecilan yang dibuat dengan bentuk sederhana yang mungkin kita sendiri mengganggapnya tak memiliki harga sekalipun kerap menjadi santapan para hacker. Percayalah bahwa hal tersebut akan terjadi pada siapa saja tanpa terduga.
Umumnya para hacker mengambil alih website melalui beberapa cara seperti: Deface, SQL Injection, Malware, XSS, RFI, CRLF, CSRF, Base64 dsb. Berikut ini adalah beberapa trik pencegahan yang dapat anda upayakan untuk mengamankan website anda sebelum website kita menjadi korban hacker:

Password
Pastikan agar anda menggunakan password yang kuat dengan kombinasi a-z, A-Z, 1-0, dan kode simbol seperti !@#$%^&*(). Selain itu ada baiknya agar anda mengubah password anda secara berkala untuk memaksimalkan keamanan website anda.

Versi WordPress
Pastikan agar anda selalu meng-update versi wordpress anda ke versi terbaru. Karena wordpress menyempurnakan fitur dan celah keamanan dari versi ke versi selain itu juga dapat meminimalisir informasi kepada hacker mengenai versi wordpress yang anda gunakan. Anda dapat melakukan ini melalui dasbuard wordpress anda.
Pada umumnya, pada theme standar anda dapat menyembunyikan versi wordpress anda melalui Appeareance > Editor. Lalu editlah pada bagian function.php dan hapus berikut <?php remove_action(‘wp_head’, ‘wp_generator’); ?> Umumnya tidak semua theme menyediakan informasi mengenai versi wordpress, namun beberapa theme tetap meninggalkan informasi ini.


File Permission

File Permission adalah fitur yang disediakan pada halaman CPanel bagian File Manager pada server hosting anda yang digunakan untuk merubah parameter standar pada sebuah file satuan ataupun kumpulan untuk memungkinkan file tersebut diakses, dibaca ataupun dirubah oleh pengguna. Umumnya hacker yang dapat dikatakan berhasil apabila telah melakukan inject dan berhasil  mereset password admin anda. Untuk itu anda dapat membatasi hal tersebut dengan mengunci file permission pada cpanel tersebut. Cara merubah file permission adalah dengan klik kanan pada file yang bersangkutan lalu akan terdapat 3 baris kotak yang dapat dicentang atau dihilangkan centangnya. Anda tidak perlu mengubah semua file permision pada file website anda namun ada baiknya anda mengubah permission pada file-file berikut dan nilai yang direkomendasikan:
.htaccess  – ubah menjadi 444 atau 404
wp-config.php – ubah menjadi 444 atau 400
index.php – 444 atau 400
wp-blog-header.php – 400 atau 444
wp-admin – 755 atau 705
wp-includes – 755 atau 705
wp-content – 755 atau 705
wp-content/bps-backup – 755

Sembunyikan Plugin Anda

Usahakan agar anda menyembunyikan semua plugin yang anda gunakan. Hal ini untuk menutup kemungkinan dan memberi ide kepada hacker untuk menemukan mana-mana saja plugin yang dapat dijadikan celah untuk melakukan hack. Untuk menyembunyikan plugin yang terinstal pada wordpress anda, dapat meng-upload file index kosong ke dalam folder /wp-content/plugins/

White list pada .htaccess

Untuk mencegah hacker mengotak-atik folder admin anda ada baiknya anda memasukkan daftar IP Whitelist yang diperbolehkan untuk mengakses folder-folder penting pada website anda sehingga tidak akan ada orang yang dapat melihat folder admin kecuali anda dan daftar IP yang diberikan izin akses. Untuk melakukan hal ini anda dapat menambahkan beberapa baris script kode pada file .htaccess anda yang terletak pada file Manager didalam Cpanel. (munculkan bila tersembunyi). Secara default, letak file .htaccess adalah didalam /wp-admin/
Berikutnya tambahkan kode dibawah ini untuk melindungi halaman wp-login.php dan wp-config.php anda sehingga hanya IP tertentu yang dapat mengakses halaman tersebut:
<Files wp-login.php> Order deny,allow
Deny from All Allow from xxx.xxx.xxx.xxx </Files>
<files wp-config.php> order allow,deny from all</files>

ganti xxx. dengan alamat IP anda. Trik diatas juga dapat melindungi wp-config anda agar tidak dapat dilihat isinya karena informasi yang tersimpan didalam wp-config sangat vital karena terdapat username dan password website anda.
Anda dapat mengedit file .htaccess ini langsung melalui cpanel atau melalui komputer anda namun sebaiknya file ini anda backup terlebih dahulu.

Plugins Security

Beberapa plugins dibawah ini dapat berfungsi maksimal untuk melindungi file-file penting yang rentan menjadi sasaran utama para hacker untuk diserang. Anda dapat menginstal plugin-plugin berikut:
(untuk melindungi file .htaccess dan fitur-fitur security lainnya.

Login LockDown(untuk melindungi halaman anda dari ‘brute force attact’, mencatat IP yang berusaha untuk login ke website anda juga memblog IP yang mencurigakan.)

wordPress Firewall(dapat memblokir script-script dan parameter yang mencurigakan)

Timthumb Vulnerability Scanner(untuk mendeteksi script-script mencutigakan yang ditanam oleh hecker yang memanfaatkan situs anda).

Themes
Upayakan agar anda tidak mendownload theme yang tidak jelas sumbernya ataupun versi yang Nulled. Karena memungkinkan bagi hacker untuk menambahkan script-script yang dapat dimanfaatkan untuk menyusup kedalam website anda.

Plugin Update

Banyak hacker memanfaatkan celah pada beberapa plugin yang menurut mereka dapat diserang. Oleh karena itulah para pembuat plugin terus menyempurnakan plugin-plugin mereka selain untuk memperkaya fitur juga meningkatkan keamanan yang sebelumnya dapat dimanfaatkan oleh hacker.

Backup Database

Untuk mencegah kemungkinan terburuk sangat disarankan agar anda melakukan update database pada wordpress anda dengan bantuan wp-db-backup atau wp-time-machine. wp-time-machine mempunyai fitur melakukan full backup situs wordpress anda, mulai dari image, comment, postingan, theme hingga semua plugin anda.

Demikianlah informasi mengenai cara mengamankan website anda dari serangan hacker. Apabila anda adalah seorang awam dimana website anda sudah terlajur terkena hack, anda mempunyai 3 opsi untuk memperbaikinya:
  1. Anda dapat melakukan restore data backup yang anda simpan dikomputer anda. Setelah itu segeralah mengganti password anda.
  2. Mintalah bantuan kepada pihak hosting untuk memperbaiki website anda. Umumnya pihak hosting mempunyai tenaga ahli untuk menangani hal ini.
  3. Cara terakhir, anda dapat mengkontak sang hacker tersebut serta membicarakannya dengan baik-baik. Umumnya para hacker meninggalkan alamat email yang dapat dihubungi meskipun beberapa lainnya tidak meninggalkan jejak apa-apa. Namun biasanya bagi hacker yang meninggalkan jejak email masih memungkinkan untuk dimintai bantuan agar mengembalikan website anda. Namun pada umumnya komunitas hacker di Indonesia banyak diantaranya yang melakukan hack dengan tujuan untuk mengingatkan pengguna agar dapat meningkatkan sekuriti pada website korban agar dapat melakukan perbaikan selanjutnya. Ya, terkadang hacker golongan ini memberi masukan berharga kepada kita semua. ^_^
Diposting oleh di Tidak ada komentar:
Label: ,

Selasa, 03 Juli 2012

KEAMANAN SISTEM WORD WIDE WEB




World Wide Web (WWW ) merupakan salah satu ‘killer Applications ’ yang menyebabkan populernya Internet. WWW dikembangkan oleh Tim Berners-Lee ketika bekerja di CERN (Swiss).Kehebatan Web adalah kemudahannya untuk mengakses informasi, yang dihubungkan satu dengan lainnya melalui konsep hypertext.
Pembaca atau peraga sistem WWW yang lebih dikenal dengan istilah browser dapat diperoleh dengan mudah, murah atau gratis. Contoh browser adalah Netscape, Internet Explorer, Opera, kfm (KDE file manager di sistem Linux), dan masih banyak lainnya. Kemudahan penggunaan program browser inilah yang memicu populernya WWW.

Berkembangnya WWW dan Internet menyebabkan pergerakan system informasi untuk menggunakannya sebagai basis. Banyak sistem yang tidak terhubung ke Internet tetapi tetap menggunakan basis Web sebagai basis untuk sistem informasinya yang dipasang di jaringan Intranet. Untuk itu, keamanan sistem informasi yang berbasis Web dan teknologi Internet bergantung kepada keamanan sistem Web tersebut.

Arsitektur sistem Web terdiri dari dua sisi: server dan client. Keduanya dihubungkan dengan jaringan komputer (computer network). Selain menyajikan data-data dalam bentuk statis, sistem Web dapat menyajikan data dalam bentuk dinamis dengan menjalankan program. Program ini dapat dijalankan di server (misal dengan CGI, servlet) dan di client (applet, Javascript). Sistem server dan client memiliki permasalahan yang berbeda. Keduanya akan dibahas secara terpisah.

Ada asumsi dari sistem Web ini. Dilihat dari sisi pengguna:

·         Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut. Maksudnya, jika sebuah server memiliki domain www.bni.co.id dan tulisan di layar menunjukkan bahwa situs itu merupakan milik Bank BNI maka kita percaya bahwa server tersebut memang benar milik Bank BNI.

·         Dokumen yang ditampilkan bebas dari virus, trojan horse, atau itikad jahat lainnya. Bisa saja seorang yang nakal memasang virus di web nya. Akan tetapi ini merupakan anomali.
·         Server tidak mendistribusikan informasi mengenai pengunjung (user yang melakukan browsing) kepada pihak lain. Hal ini disebabkan ketika kita mengunjungi sebuah web site, data-data tentang kita (nomor IP, operating system, browser yang digunakan, dll.) dapat dicatat. Pelanggaran terhadap asumsi ini sebetulnya melanggar privacy. Jika hal ini dilakukan maka pengunjung tidak akan kembali ke situs ini.


Asumsi dari penyedia jasa (webmaster) antara lain:
·         Pengguna tidak beritikad untuk merusak server atau mengubah isinya (tanpa ijin).
·         Pengguna hanya mengakses dokumen-dokumen atau informasi yang diijinkan diakses. Seorang pengguna tidak mencoba-coba masuk ke direktori yang tidak diperkenankan (istilah yang umum digunakan adalah “directory traversal”).
·         Identitas pengguna benar. Banyak situs web yang membatasi akses kepada user-user tertentu. Dalam hal ini, jika seorang pengguna “login” ke web, maka dia adalah pengguna yang benar.

Asumsi kedua belah pihak:
·         Jaringan komputer (network) dan komputer bebas dari penyadapan pihak ketiga.
·         Informasi yang disampaikan dari server ke pengguna (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak.


Asumsi-asumsi di atas bisa dilanggar sehingga mengakibatkan adanya
masalah keamanan.
Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang administrator. Dengan memasang server WWW di sistem anda, maka anda membuka akses (meskipun secara terbatas) kepada orang luar. Apabila server anda terhubung ke Internet dan memang server WWW anda disiapkan untuk publik, maka anda harus lebih berhati-hati sebab anda membuka pintu akses ke seluruh dunia!

Server WWW menyediakan fasilitas agar client dari tempat lain dapat mengambil informasi dalam bentuk berkas (file), atau mengeksekusi perintah (menjalankan program) di server. Fasilitas pengambilan berkas
dilakukan dengan perintah “GET”, sementara mekanisme untuk mengeksekusi perintah di server dapat dilakukan dengan “CGI” (Common Gateway Interface), Server Side Include (SSI), Active Server Page (ASP).

Adanya lubang keamanan di sistem WWW dapat dieksploitasi dalam bentuk yang beragam, antara lain:

·         informasi yang ditampilkan di server diubah sehingga dapat mempermalukan perusahaan atau organisasi anda .
·         informasi yang semestinya dikonsumsi untuk kalangan terbatas (misalnya laporan keuangan, strategi perusahaan anda, atau database client anda) ternyata berhasil disadap oleh saingan anda (ini mungkin disebabkan salah setup server, salah setup router / firewall, atau salah setup authentication);
·         informasi dapat disadap (seperti misalnya pengiriman nomor kartu kredit untuk membeli melalui WWW, atau orang yang memonitor kemana saja anda melakukan web surfing);
·         server anda diserang (misalnya dengan memberikan request secara bertubi-tubi) sehingga tidak bisa memberikan layanan ketika dibutuhkan (denial of service attack);
·         untuk server web yang berada di belakang firewall, lubang keamanan di server web yang dieksploitasi dapat melemahkan atau bahkan menghilangkan fungsi dari firewall (dengan mekanisme tunneling).


Membatasi akses melalui Kontrol Akses

Sebagai penyedia informasi (dalam bentuk berkas-berkas), sering diinginkan pembatasan akses. Misalnya, diinginkan agar hanya orang-orang tertentu yang dapat mengakses berkas (informasi) tertentu. Pada prinsipnya ini adalah masalah kontrol akses. Pembatasan akses dapat dilakukan
dengan:
membatasi domain atau nomor IP yang dapat mengakses;
menggunakan pasangan userid & password;
mengenkripsi data sehingga hanya dapat dibuka (dekripsi) oleh orang
yang memiliki kunci pembuka.


Secure Socket Layer
Salah satu cara untuk meningkatkan keamanan server WWW adalah dengan menggunakan enkripsi pada komunikasi pada tingkat socket. Dengan menggunakan enkripsi, orang tidak bisa menyadap data-data (transaksi)
yang dikirimkan dari/ke server WWW. Salah satu mekanisme yang cukup populer adalah dengan menggunakan Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape.Selain server WWW dari Netscape, beberapa server lain juga memilikifasilitas SSL juga.

Mengetahui Jenis Server
Informasi tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan. Seorang penyerang akan mencari tahu software dan versinya yang digunakan sebagai web server, kemudian mencari informasi di Internet tentang kelemahan web server tersebut. Informasi tentang program server yang digunakan sangat mudah diperoleh.

Cara yang paling mudah adalah dengan menggunakan program “telnet” dengan melakukan telnet ke port 80 dari server web tersebut, kemudian menekan tombol return dua kali. Web server akan mengirimkan respon dengan didahuli oleh informasi tentang server yang digunakan. Program Ogre (yang berjalan di sistem Windows) dapat mengetahui program server web yang digunakan. Sementara itu, untuk sistem UNIX, program lynx dapat digunakan untuk melihat jenis server dengan menekan kunci “sama
dengan” (=).

Keamanan Program CGI

Common Gateway Interface (CGI) digunakan untuk menghubungkan sistem WWW dengan software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara user dan server web.
CGI seringkali digunakan sebagai mekanisme untuk mendapatkan informasi dari user melalui “fill out form”, mengakses database, atau menghasilkan halaman yang dinamis.

 Potensi lubang keamanan yang dapat terjadi dengan CGI antara lain:

·         Seorang pemakai yang nakal dapat memasang skrip CGI sehingga dapat mengirimkan berkas password kepada pengunjung yang mengeksekusi CGI tersebut.
·         Program CGI dipanggil berkali-kali sehingga server menjadi terbebani karena harus menjalankan beberapa program CGI yang menghabiskan memori dan CPU cycle dari web server.
·         Program CGI yang salah konfigurasi sehingga memiliki otoritas seperti sistem administrator sehingga ketika dijalankan dapat melakukan perintah apa saja. Untuk sistem UNIX, ada saja administrator yang salah seting sehingga server web (httpd) dijalankan oleh root.
·         CGI guestbook yang secara otomatis menambahkan informasi ke dalam halaman web seringkali disalahgunakan oleh orang yang nakal dengan mengisikan link ke halaman pornografi atau diisi dengan sampah (junk text) sehingga memenuhi disk pemilik web.
·         Teks (informasi) yang dikirimkan ke CGI diisi dengan karakter tertentu dengan tujuan untuk merusak sistem. Sebagai contoh, banyak search engine yang tidak melakukan proses “sanitasi” terhadap karakter yang dituliskan oleh user.






Keamanan client WWW

Keamanan di sisi client biasanya berhubungan dengan masalah privacy dan penyisipan virus atau trojan horse.

Pelanggaran Privacy

Ketika kita mengunjungi sebuah situs web, browser kita dapat dititipi sebuah “cookie” yang fungsinya adalah untuk menandai kita. Ketika kita berkunjung ke server itu kembali, maka server dapat mengetahui bahwa kita kembali dan server dapat memberikan setup sesuai dengan keinginan (preference) kita. Ini merupakan servis yang baik. Namun data-data yang sama juga dapat digunakan untuk melakukan tracking kemana saja kita pergi.

Ada juga situs web yang mengirimkan script (misal Javascript) yang melakukan interogasi terhadap server kita (melalui browser) dan mengirimkan informasi ini ke server. Bayangkan jika di dalam computer kita terdapat data-data yang bersifat rahasia dan informasi ini dikirimkan ke server milik orang lain.

Penyisipan Trojan Horse

Cara penyerangan terhadap client yang lain adalah dengan menyisipkan virus atau trojan horse. Bayangkan apabila yang anda download adalah virus atau trojan horse yang dapat menghapus isi harddisk anda. Salah satu contoh yang sudah terjadi adalah adanya web yang menyisipkan Trojan horse Back Orifice (BO) atau Netbus sehingga komputer anda dapat dikendalikan dari jarak jauh.
Diposting oleh di Tidak ada komentar:
Label: ,

Sabtu, 23 Juni 2012

KEAMANAN PADA TWITTER

Twitter  adalah sebuah situs web yang dimiliki dan dioperasikan oleh Twitter Inc, yang menawarkan jejaring social berupa mikroblog sehingga memungkinkan penggunanya untuk mengirim dan membaca pesan yang disebut  tweet(kicauan). Tweet adalah sebuah teks tulisan hingga 140 karakter yang ditampilkan pada halaman profil pengguna. Tweet dapat dilihat secara luar, namun pengirim dapat membatasi pengiriman pesan ke daftar teman- teman mereka saja, dan pengguna dapat melihat tweet penulis lain yang  dikenal dengan sebutan follower (pengikut).  Twitter memiliki logo berupa seekor burung bewarna biru yang bernama  Larry the Bird , dinamai setelah nama seorang mantan pemain basket NBA, Larry Bird.
Mungkin zaman sekarang Twitter  tidak asing lagi baki kalangan anak muda  sekarang. Karena Twitter sangat mudah dalam pengiriman pesan seperti SMS karena pengiriman pesan langsung di antara pengguna tanpa ada pengguna lain yang bias melihat pesan tersebut kecuali pengguna yang dikirimi pesan.

Kerahasiaan pribadi dan keamanan Twitter

Menanggapi pelanggaran keamana Twitter, Federal Trade Commission membawa tuduhan tehadap layanan yang telah diselesaikan  pada tanggal 24 juni 2010. Ini adalah pertama kalinya FTC telah mengambil tindakan melawan jaringan social untuk  penyimpangan keamanan.
Terkadang sebuah heacker  akan mengirimkan sebuah worm XSS yang aktif di Twitter, cara penyerangannya yaitu ketika sebuah akun pengguna mengirim tweet, maka worm computer dalam script secara otomatis akan membuka tautan dan mengirim tampilan dengan sendirinya, yang lebih parah kemudian digunakan untuk mengirim sebuah iklan dan tautan situs porno.

Tips Keamanan Twitter

Bagi Anda, Twitter  mungkin tampak tidak terlalu baerbahaya bagi keamanan kehidupan pribadi Anda. Tidak seperti Facebook yang memiliki resiko tinggi mengungkap segala hal tentang diri Anda, sementara Twitter tidak demikian.
Namun kenyataannya, Twitter bias mencuri identitas Anda  maka dari itu saya akan memberikan tips untuk keamanan Twitter yaitu sebagai berikut:

1.       Informasi Personal
Hindari postingan yang kerap mengumbr informs personal tentang diri Anda apabila memang tidak ingin diketahui oleh orang lain.

2.       Mengatur Profil
Cara paling sederhana untuk melindungi identitas diri salah satunya melalui profil yang bias dilihat semua orang. Tulis informasi seadanya yang tidak terlalu penting demi keaamanan identitas Anda.

3.       Privasi Twitter
Atur profil Twitter Anda menjadi tertutup untuk orang-orang yang tidak terdaftar pada follower Anda. Dengan demikian Anda hanya akan tahu dan kenal dengan jelas orang-orang tertentu saja yang bisa membuka dan membaca postingan Twitter Anda. 

4.       Aplikasi
Pencurian identitas melalui Twitter juga biasanya disebabkan karena aplikasi yang Anda gunakan saat mengakses Twitter. Klik menu Pengaturan, kemudian Aplikasi untuk mengetahui berbagai aplikasi Twitter yang selama ini telah Anda manfaatkan.

5.       Pengaturan pencarian
Mengatur modus pencarian menjadi HTTPS saja juga membuat koneksi Anda selama masuk ke Twitter tetap aman dan menghindari spam.

6.       Tautan mencurigakan
Hati-hati dengan tautan atau link yang mencurigakan dan jangan selalu meng-klik alamat tersebut, meskipun itu berasal dari teman Anda di Twitter.

7.       Informasi lokasi
Jangan pernah mengaktifkan informasi lokasi pada Twitter Anda, sebab bisa saja para pencuri sudah siap merampok rumah Anda ketika mengetahui status Twitter Anda menunjukkan Anda sedang tidak di rumah.

8.       Informasi spesifik
Mungkin Anda bukan artis terkenal yang harus selalu menjaga kerahasiaan lokasi, meskipun demikian Anda sebaiknya menjaga diri dengan menjaga segala bentuk informasi spesifik yang Anda tuliskan di Twitter.

9.      Pesan                                                                                                                                                        Jangan membiasakan diri saling mengirim pesan di Twitter dengan orang asing yang tidak Anda ketahui identitas aslinya.

10.   Permainan pertanyaan
Meskipun jarang, namun permainan pertanyaan yang Anda anggap lucu namun ternyata bisa menjadi kombinasi kunci bagi para hacker untuk membongkar dan mencuri identitas Anda.

Itulah tips-tips yang saya  sarankan mudah-mudahan dapat berguna bagi para pengguna Twitter agar lebih berhati-hati pada keamanan Twitter dari ancaman para pihak yang tidak bertanggung jawab.
Diposting oleh di Tidak ada komentar:
Label: ,

Selasa, 19 Juni 2012

Keamanan Facebook Dari Para Heacker



Bagaimana account Facebook Anda tetap aman dan aman terhadap ancaman. Facebook account akan mengasosiasikan dengan alamat email, yang berarti bahwa Anda harus memiliki alamat email account dan kemudian memberikan sebagai username di Facebook dan Anda memiliki password. Ini semua yang Anda butuhkan untuk dapat login ke Facebook, tetapi banyak hal buruk yang di buat untuk membuat sekenario d facebook Anda yaitu :

1) Teman Anda memberitahu Anda bahwa saya menerima pesan aneh dari Facebook atau sesuatu yang aneh telah posting di dinding Facebook Anda seperti: Anda akan melihat link untuk beberapa website yang berisi Malware (Virus, Worm, Trojan).
2) Beberapa teman-teman baru ditambahkan atau beberapa teman Anda telah dihapus.Anda tidak menambahkan atau menghapusnya, tetapi mereka telah dihapus tanpa sepengetahuan Anda.
3) Anda mengetikkan username dan password yang benar (Caps Lock anda yang membuat modal alphabet nonaktif) tetapi Anda tidak bisa akses ke account Anda.
4) Teman-teman Anda bertanya tentang pesan yang Anda tidak pernah mengirim mereka. Ketika scenario ini dilakukan maka account Anda mungkin sudah di hack, bila account Anda telah di heck maka ada kemungkinan email yang digunakan untuk masuk ke Facebook sudah di hack juga.

Beberapa metode dan cara melindungi Facebook Anda:

Pertama, ketika account Anda telah hack masalah sebagian besar datang dari Facebook Anda bukan Facebook server, karena hacking pengguna Facebook jauh lebih mudah dari pada hack server Facebook. Dalam banyak kasus, hacker akan mencari Facebook ID dan Anda kemudian akan mencoba untuk menemukan IP Address yang mengasosiasikan
 dengan Facebook ID dan akan mengirimkan sebuah paket berisi Remote Access Trojan (RAT) ke PC Anda. bila jenis Trojan yang ketika datang di PC Anda memberikan akses jarak jauh yang tidak sah atau penyerang (Hacker) dan hacker bisa mengambil alih kendali PC dan melakukan apa yang dia inginkan seperti apa yang dapat Anda lakukan dengan PC (mengambil kendali atas layar, Mouse,Keyboard dan segala sesuatu). 

Beberapa software hacking desain hanya untuk account Facebook dan setelah RAT berjalan di kemudian akan memindai Password yang telah menyelamatkan di dalam PC dan mencoba untuk merekam atau dekripsi (membuka atau crack password) dan ketika mendapatkan akses  kemudian memberikan kemampuan untuk hacker untuk mengendalikan Facebook, seperti pengguna normal. Hacker dapat melakukan apa saja yang akan dilakukan pengguna di account Facebook termasuk menambah / menghapus posting teman di dinding atau mengirim email. Bayangkan saja Anda memberikan password dan username dengan beberapa lain. Setelah username dan password akan cukup untuk mengakses Facebook. Kadang-kadang perangkat lunak yang dirancang untuk secara otomatis memindai pengguna dan hack mereka dan menaruh pesan secara otomatis. Ini biasanya disebut Botnets.

Berikut contoh cara kerja para heacker:
1. Scant for facebook ID
2. mencoba untuk menemukan IP pengguna
3. kirim Trojan paket ke IP
4. jalankan Trojan dan memindai untuk semua teman-teman di Facebook
5. kirim link kesemua yang berisi link download untuk Trojan dan Taman anda akan mendownload sebuah Trojan.

Win32/koobface adalah malware yang tersebar di jaringan yang mempengaruhi Facebook, kebanyaka orang jika memerima kiriman ini pasti akan takut dan akan shutdown account Facebook mereka. Tetapi jangan khawatir, pertama-tama anda harus menjalankan window dan anti virus dan memperbarui dan terus menjalankannnya. Karena untuk membantu anda dalam menemukan virus Trojan tersebut.

Ada tiga hal yang akan membantu worm ini dating ke PC Anda:
1.      Pirate software atau non-asli
2.      Kedaluarsa windows atau anti-virus/anti –spyware yang tidah diperbarui
3.      Tidak ada atau tidak aktif anti-virusnya.


Jika Anda memiliki internet Explorer 8 dan Smartscreen Filter aktif. Maka anda link ke situs malware maka akan memblokirnya, seperti yang dikatakan tadi ancaman yang mengirimkan link atas nama pengguna. Dengan menggunakan Smartsreen filter akan membantu anda menyelesaikan masalah tersebut.
1.      Jika Anda menggunakan perangkat yang non-asli , solusi keamanannya hanya dapat membantu Anda untuk beberapa bulan tidak selamanya.

2.      Memindai PC untuk malwre dan menghapusnya, yaitu untuk windows XP, Vista dan windows 7
3.      Ubah password dan Email Facebook Anda.
4.      Jika Anda tidak memiliki anti-malware, maka anda dapat menggunakan Microsoft anti-malware
5.      Jika Anda tidak dapat meresert account Facebook Anda maka gunakan situs beriut ini untuk meminta reset www.facebook.com.
Diposting oleh di Tidak ada komentar:
Label: ,
Langganan: Postingan (Atom)