MODUL 8 SECURITY ASSESSMENT
Prepared by Syahmuddin Alfaritsi
CONTENTS
Introduction
Regulation & Standardization
Hacking & Cracking
VA & PT
Security Assessment Project
Penetration Testing Testing Project
02
Introduction
03
Introduction Latar Belakang
Ancaman selalu datang tidak terduga, berakibat pada resiko yang lebih besar jika resiko tidak dikelola (Risk Management).
Kerentanan (Vulnerability) pada sistem informasi selalu ada dan cenderung meningkat.
Peningkatan penggunaan exploit secara terbuka dan mudah digunakan.
Perlunya pengendalian terhadap Ancaman dan Vulnerability untuk menekan resiko kepada tingkat yang wajar melalui “Vulnerability Assessment” 04
Regulation & Regulation Standardization
03
Regulation & Standardization Regulation
UU ITE - Pasal 15 Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya.
Penjelasan : “Andal” artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya. “Aman” artinya Sistem Elektronik terlindungi secara fisik dan nonfisik. 04
Regulation & Standardization Regulation
Peraturan Bank Indonesia no. 9/15/PBI/2007 “Penerapan Manajemen Risiko dalam tentang Penggunaan Teknologi Informasi oleh Bank Umum” “Pengujian Penetrasi (Penetration Testing) terhadap jaringan internal dan eksternal secara berkala sekurangkurangnya 1 tahun sekali”
04
Hacking & Cracking
03
Hacking & Cracking
Beberapa tidak memiliki pola yang jelas
Tujuan Cracking dan Target Cracking : “ Tidak jelas” Eksis, Narsis , ABG
Target : Site yang lemah, atau media apa saja yang dapat di exploitasi
Mengandalkan Tools dan jam terbang
Mencari Target , Mencari Vulnerability
Mencari Vulnerability
Mencari exploit Action
Kegiatan : Black Box
Dapat Target
04
Hacking & Cracking
Memiliki karakter sendiri.
Setiap hacker memiliki latar belakang dan pengetahuan yang berbeda.
Web Defacement
Wireless Hacking, sniffing
System Hacking & Networking .
Carding
Lock Picking
Social Engineering
Phreaking.
Langsung ke sasaran, dengan target site yang lemah 04
VA & PT
03
VA & PT Vulnerability Assessment (VA)
Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan.
Evaluasi dan analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi.
Memberikan laporan dan rekomendasi atas temuan yang didapat dari kegiatan VA.
Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack).
04
VA & PT Penetration Testing (PT)
Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan.
Eksploitasi terhadap temuan vulnerability (PoC).
Evaluasi terhadap sistem keamanan yang sudah dibuat , dengan cara melakukan simulasi serangan yang menggunakan metoda yang biasa digunakan oleh Hacker.
Analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi.
Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack).
04
Security Assessment
03
Security Assessment Penetration Testing (PT)
Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan.
Eksploitasi terhadap temuan vulnerability (PoC).
Evaluasi terhadap sistem keamanan yang sudah dibuat , dengan cara melakukan simulasi serangan yang menggunakan metoda yang biasa digunakan oleh Hacker.
Analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi.
Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack).
04
Security Assessment
Profesional dan Metodologis
Pola :
Standard
Metodologi
Script Pentest
Tujuan Hacking : Pemenuhan Regulasi dan Standar
Target Hacking :
Perusahaan / Lembaga yang terkena Regulasi.
Pemenuhan Standar, misalnya ISO 27001.
Proses Development : Development Pentest
UAT
SAT
04
Security Assessment
Mengandalkan Tools, Seni dan jam terbang
Metodologi
Script Pentest
Tools / Manual / Check List
Action
Report
Patch
Regulasi & Standar Terpenuhi
Kegiatan : Black Box, White Box & Grey Box
04
Security Assessment Technique
Passive research / Information Gathering Mengumpulkan Informasi tentang organisasi (Apapun informasi yang bisa didapat), misalnya tentang konfigurasi sistem, kebocoran data, web defacement, email phising, dll)
Network mapping and OS fingerprinting Pengujian pada konfigurasi jaringan
Network sniffing Pengujian terhadap traffic data yang melintasi jaringan
04
Security Assessment Technique
Trojan Attacks Mengirimkan trojan / backdoor melalui email, file sharing, chat rooms, dan ”Instant Message”.
Cracking Password Melakukan serangan cracking password dengan menggunakan berbagai metoda cracking yang umum digunakan.
Vulnerability Scanning Pengujian Vulnerability pada jaringan dan aplikasi.
04
Security Assessment Process Menentukan Scope Kegiatan Apa saja, dari mana, dan oleh siapa akan dilakukan pengujian. Apa saja yang boleh diketahui / diberikan kepada Tim Security Assessment (SA) Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA.
Hal ini semua harus tertuang dalam NDA.
04
Security Assessment Process Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA.
A non-destructive test Scanning Findings and map the Vulnerabilities PoC Tidak boleh melakukan DoS.
Destructive test Scanning Findings and Vulnerabilities DoS dan Buffer Overflow Attacks
04
Security Assessment Process Kegiatan Security Assessment Mencari dan menemukan informasi vulnerability Pada umunya mencakup konfigurasi jaringan, topologi, hardware dan software
Pelaporan Hal yang penting dan menjadi penentu akhir dari hasil kegiatan SA. Berisi daftar vilnerability yang telah diklasifikasikan sesuai dengan tingkat Risikonya : High, Medium Low. Rekomendasi untuk melakukan mitigasi pada setiap temuan vulnerability.
04
Methodology Source
EC-Council LPT http://www.eccouncil.org
OWASP (Open Web http://www.owasp.org
OSSTMM (Open Source Security Testing Methodology Manual) http://www.isecom.org/osstmm
ISSAF (Information System Security Framework) http://www.oissg.org/issaf
CISSP (Certified Information System Security Professional) https://www.isc2.org/
Application
Security
Project)
Assessment
04
Technical Approach
Black Box
Zero knowledge Assessment
Internal / External Attack
White Box
Full knowledge Assessment Internal Attack
Grey Box
Partial knowledge Assessment Internal Attack
04
Technical Scope
Lingkungan Produksi
Sistem Operasi,
Aplikasi e-banking,
Database,
Peralatan jaringan
Perimeter keamanan (Internal dan eksternal)
Lingkungan Pengembangan dan Publik
Aplikasi e-Banking
Website
04
Security Assessment Project
03
Project Organization Structure
04
Penetration Testing Team
Team Ethical Hacker Pendekatan Proses Bisnis (UAT) Pendekatan Hacker (HAT) Pendekatan Tools dan Analisis report tools (VA)
Toolbox Network Vulnerability Scanner Nessus, GFI LanGuard, Retina, Core Impact Web Vulnerability Scanner Acunetix, Nikto, WebScarab, Black Widow, Manual
04
Security Assessment Roadmap
04
Security Assessment Roadmap
04
Security Assessment Strategic
External Penetration Testing
Internal Penetration Testing
Application Security Assessment
Network Security Assessment
Wireless /Remote Access Assessment
Telephony Security Assessment
Social Engineering
04
External Penetration Testing
Merupakan pendekatan tradisional (sering digunakan) Pengujian difokuskan pada Server publik (web server, dan email server) dan infrastruktur (seluruh eksternal network, Router dan Firewall). Menggunakan pendekatan Black box dan White box.
04
Internal Penetration Testing Pengujian dilakukan dari sejumlah titik akses jaringan, yang mewakili setiap segmen fisik dan logic. misalnya, beberapa titik segmen jaringan internal, DMZ dan termasuk koneksi ke seluruh mitra organisasi. Menggunakan pendekatan Black box dan White box.
04
Internal Penetration Testing
04
Internal Penetration Testing
04
Application Security Assessment
Aplikasi yang lemah walaupun berada dalam infrastruktur yang aman, tetap dapat diekspos.
Pengujian aplikasi ini sangat penting, karena bisa merupakan produk inti dari organisasi.
Pengujian ini dimaksudkan agar pengguna (jahat) aplikasi tidak dapat mengakses, memodifikasi atau merusak data dan layanan dalam sistem
04
Application Security Assessment Type Source code review
Melakukan analisa terhadap kode aplikasi, bahwa tidak mengandung kode sensitif / curang atau backdoor, atau kode yang memungkinkan kelemahan aplikasi yang dapat dieksploitasi.
Authorization testing
Menguji aplikasi dari kemungkinan akses yang tidak diijinkan (mis. SQL Injection) dan penggunaan session.
Pengujian Guessing & Cracking password
04
Application Security Assessment Type Functionality testing •
•
Pengujian fungsi aplikasi berdasarkan hak akses user, kesesuaian dengan proses bisnis, tidak melanggar policy/prosedur. Pengujian kemungkinan user dapat menaikkan hak akses (escalating privilege)
Web penetration testing •
Pengujian dapat menggunakan berbagai cara untuk mengidentifikasi vulnerability : SQL Injection, XSS, otentikasi lemah, atau sourcode terbuka. 04
Application Security Assessment - Sample
04
Application Security Assessment - Sample
04
Application Security Assessment - Sample
04
Application Security Assessment - Sample
04
Application Security Assessment - Sample
04
Application Security Assessment - Sample
04
Network Security Assessment
Melakukan scanning vulnerability pada lingkungan jaringan untuk mengetahui vulnerability dan meningkatkan kebijakan keamanan.
Untuk mengungkapkan kesalahan keamanan jaringan yang dapat menyebabkan data atau peralatan terkena trojan / backdoor, atau layanan tidak dapat bekerja dan jenis intrusi lainnya.
04
Wireless/Remote Access Assessment •
Titik kerentanan jaringan internal terkadang muncul dari koneksi wireless dan Remote access, karena titik ini sangat mudah dibuat dan sulit dibatasi aksesnya (wireless).
• Wireless networks: • 802.11a,b and g • Bluetooth • Wireless radio transmissions • Radio communication channels
04
Penetration Testing Project
03
Penetration Testing
04
Information Gathering
Google Hacking
Netcraft
Domain / Subdomain Scanner
Whois
04
Google Hacking
Operator Site : site:go.id site:bandung.go.id
Teknik Traversal intitle:index.of
inurl:"/admin/"
Error | warning, login | Logon,
username | userid, password | passcode
Admin | administrator
04
Scanning
Network Scanning
Port Scanning
Vulnerability Scanning Network Web
Vulnerability Scanning
Vulnerability Scanning
04
Outside Analysis
Informasi Sub Domain, bersifat terbuka Tools : dig dan sub-domain scanner
Mencari Website domain tertentu Tools : Google
Informasi Sistem Website domain tertentu Tools : netcraft
Scanning Infrstruktur Jaringan Tools : Look@lan, nmap
04
Port Scanning
04
Port Scanning
04
Traffic Route
04
Topology Design
04
Vulnerability Scanning
04
