PENGAMANAN
E-MAIL DAN WEB
A. PENGAMANAN E-MAIL
Konsep Dasar Keamanan E mail
Saat ini email
menjadi sarana komunikasi yang semakin banyak digunakan. Di negara maju, email
bahkan sudah menjadi komunikasi utama di kantor atau antara pelanggan dan
nasabahnya. Pemberitahuan rapat dan segala hal yang menyangkut urusan kantor
menjadi sangat praktis dengan menggunakan email. Bahkan ada bannk yang
menggunakan email sebagai komunikasi utama untuk menyampaikan tagihan kartu kredit
atau komunikasi penting lainnya.
Dengan
fungsinya yang sangat penting tersebut, maka sebagai pengguna harus benar-benar
memperhatikan faktor keamanan emailnya. Tulisan ini membahas faktor keamanan
email dari sisi pengguna email. Beberapa tahun terakhir ini kasus pembajakan
email sangat marak terjadi. Banyak korban yang dirugikan bahkan secara
finansial, karena email yang dibajak dipergunakan untuk menipu orang lain
dengan berbagai modus. Banyak kerugian lainnya yang diderita akibat pembajakan
eccount email seseorang.
Untuk
dapat mengantisipasi pembajakan email maka kita harus mengetahui modus yang
digunakan seseorang untuk mendapatkan username dan password kita. Umumnya
account email disalahgunakan oleh orang lain karena kelalaian dari pemilik
account tersebut.
Beberapa
aspek keamanan yang perlu menjadi perhatian dalam pengiriman e-mail antara
lain:
o
Confidentiality,
yaitu menjamin kerahasiaan pesan sehingga hanya orang yang berhak yang dapat
membacanya.
o
Message
Integrity, yaitu menjamin integritas pesan bahwa pesan tidak akan
mengalami perubahan selama proses pengiriman.
o
Non
repudiation, yaitu memberikan bukti dan jaminan bahwa
pesan tersebut memang benar berasal dari si pengirim pesan sehingga tidak bisa
disangkal lagi bahwa ia pernah mengirim pesan tersebut.
o
Authentication,
yaitu menjamin keautentikan pesan bahwa pesan tersebut memang benar dari si
pengirim pesan dan penerima pesan juga memang benar penerima yang dimaksud oleh
si pengirim bukan orang lain.
Serangan pada e-mail
Beberapa
jenis serangan yang bisa terjadi pada e-mail antara lain:
a. Disadap
Potensi
penyadapan ini dapat terjadi karena pengiriman email menggunakan protokol SMTP
(Simple Mail Transport Protocol) yang tidak menggunakan enkripsi. Jika kita
berada pada satu jaringan yang sama denganorang yang mengirim email, atau yang
dilaluioleh email, maka kita bisa menyadap email dengan memantau port 25,yaitu
port yang digunakan oleh SMTP.
Agar
email aman dari penyadapan maka ada bebrapa hal yang perlu diperhatikan yaitu :
ü Penggunaan
enkripsi untuk mengacak isi dari email. Header dari email tetap tidak dapat
dienkripsi karena nanti akan membingungkan MTA.
ü Menggunakan
program (tools) yang dapat mempermudah atau mengotomasi ini semua. Contoh:
Pretty Good Privacy (PGP), GnuPG, dan PEM.
b. Dipalsukan
Pada
prinsipnya koneksi email awalnya memudahkan membuat email palsu
dengan
membuat header sesuka kita, sehingga perlu adanya pengecekan header email untuk
mengetahui asal email dan bisa juga menggunakan teknologi digital
signature.
Cara
untuk melindungi kita dari email palsu adalah dengan melihat header dari email.
Perhatikan tempat-tempat yang dilalui oleh email tersebut
c. Disusupi
virus
Sebuah
virus e-mail berupa kode komputer dikirimkan sebagai lampiran catatan e-mail
yang, jika diaktifkan, akan menyebabkan beberapa efek yang tidak dikehendaki
dan biasanya berbahaya, seperti menghancurkan file tertentu pada hard disk dan
menyebabkan
lampiran yang akan remailed untuk semua orang dalam buku alamat.
Solusi
untuk mengurangi dampak terhadap penyusupan virus adalah :
ü menggunakan
anti-virus dengan data (signature) yang terbaru. Program anti-virus ini harus diperbaharui
secara berkala.
ü Pengamanan
lain adalah dengan melakukan pemeriksaan terhadap virus pada level mail server.
d. Spamming
Spam
adalah email yang tidak diminta oleh pengguna (unsolicitied email) yang di
kirim ke banyak orang. Contoh email yang berisi spam adalah : iklan, undian,
informasi palsu, phishing, penipuan, dan lain sebagainya.
Berikut
adalah beberapa pencegahan yang dapat Anda lakukan untuk mengurangi spam :
ü Pergunakan
Software anti-spam, Spam Assassin. Namun, software tersebut tidak dapat
menjamin email box anda terbebas dari email spam secara keseluruhan.
ü Customer
disarankan menggunakan SMTP dari ISP tempat anda melakukan koneksi ke Internet.
Karena dengan menggunakan SMTP ISP maka email akan lebih cepat terkirim
dibandingkan dengan menggunakan SMTP server IndoSite, karena routingnya lebih
pendek.
http://www.indosite.com/tutorials/pengertian-e-mail-spam-dan-pencegahannya/
e. Mail
bomb
Email
Bomb merupakan istilah untuk email yang dipergunakan untuk melumpuhkan komputer
yang terhubung ke Internet, bahkan seluruh jaringan komputer perusahaan dapat
dilumpuhkan dengan Email Bomb ini. Metode paling sederhana dari email bomb ini
adalah dengan mengirimkan sejumlah besar email berukuran besar ke alamat email
korban.
Proteksi
terhadap mailbomb adalah :
ü Pembatasan quota email dari pengguna, misalnya dibatasi
20 MBytes, sehingga jika dia kena mailbomb tidak mengganggu pengguna lainnya.
ü Menjalankan
program yang mendeteksi mailbomb. Program ini menganalisa isi email (dengan
menggunakan checksum) dan membandingkan dengan email-email sebelumnya. Jika email
sama persis dengan email sebelumnya maka email ini dapat dihilangkan. Namun
kinerja program khusus ini masih dipertanyakan, khususnya untuk server mail
yang banyak menerima email.
f. Mail
relay
Mail
relay Adalah fasilitas untuk mengirimkan email dengan menumpangkan kepada
server yang di sebut relay. Server
tersebutlah
yang nantinya mengirimkan email ke alamat tujuan. Fasilitas ini digunakan untuk
mengurangi beban dari workstation atau PC untuk mengirimkan email dengan melakukan
sentralisasi pengiriman email. Akan tetapi sayangnya fasilitas ini sering
diabuse untuk mengirimkan junk mail, yang disebut spamming, dengan menumpang
mail server milik orang lain. Akibat dari tumpangan ini, mail server tersebut
menjadi terbebani dan dijadikan tempat untuk meluncurkan spamming. Agar sistem
anda tidak ditumpangi oleh orang-orang yang tidak berhak menggunakan mail
server anda, maka anda harus mengkonfigurasi mail server sehingga tidak boleh
dijadikan relay oleh orang lain (kecuali oleh user).
Paket
pengamanan e-mail
a. PGP
(Pretty Good Privacy)
PGP
merupakan program komputer yang sering dipakai dalam proses kriptografi dan
autentikasi pengiriman data komputer. PGP pertama diperkenalkan pada tahun 1991
oleh Philip Zimmermann untuk menyandikan data dalam pengiriman surat
elektronik. Dalam proses penyandian data ini, PGP mengikuti standar RFC 4880.
Dalam
bidang kriptografi, selain PGP, terdapat metode penyandian enkripsi dan
dekripsi yang lain seperti: DES, AES, RSA, dan lain lainnya.
Enkripsi
PGP menggunakan kombinasi seri dari hash, kompresi data, kriptografi
kunci-simetris, dan kriptografi kunci-umum; setiap langkah menggunakan sebuah
algoritma. Setiap kunci umum terikat dengan nama pengguna atau alamat surat
elektronik.
b. Privacy
Enhanced E-mail (PEM)
PEM adalah adalah standar Internet yang menyediakan
untuk pertukaran informasi yang aman dari surat elektronik. PEM mempekerjakan
berbagai teknik kriptografi untuk memungkinkan kerahasiaan, otentikasi pengirim,
dan integritas pesan. Aspek integritas pesan memungkinkan pengguna untuk
memastikan bahwa pesan belum diubah selama transportasi dari pengirim.
Otentikasi pengirim memungkinkan pengguna untuk memverifikasi bahwa pesan PEM
bahwa mereka telah menerima benar-benar dari orang yang mengaku telah mengirim
itu. Fitur kerahasiaan memungkinkan pesan yang akan dirahasiakan dari
orang-orang kepada siapa pesan itu tidak dibahas.
B. KEAMANAN WEB
Konsep
dasar kemanan web
Keamanan web, sangat erat kaitannya dengan jaringan, karena untuk
mengakses sebuah website pasti dibutuhkan koneksi jaringan. Saat ini sangat
pesat sekali perkembangan teknologi website, jaringan dan bermacam ancaman
keamanan yang dihadapi, seperti ancaman terhadap kerahasiaan yang sering
dihadapi adalah hacker, Masquerader,virus virus dari internet maupun dari media
transfer data seperti flasdisk, hardisk eksternal, melalui jaringan LAN,
download file tanpa proteksi, Trojan horse, Aktifitas user yang tidak
terotorisasi dan masih banyak lagi ancaman keamanan yang kadang tidak kita
sadari.
Keamanan suatu website atau web security systems merupakan salah satu
prioritas yang sangat utama bagi seorang webmaster.
Tetapi kebanyakan
para webmaster hanya mengutamakan design dan topik apa yang harus disediakan
supaya menarik pengunjung sebanyak-banyaknya.
Padahal jika seorang
webmaster mengabaikan keamanan suatu website, maka yang dirugikan adalah
webmaster itu sendiri karena seorang hacker dapat mengambil data-data penting
pada suatu website dan bahkan pula dapat mengacak-acak tampilan website(deface)
tersebut.
Serangan terhadap web
Berikut adalah beberapa metode yang biasa sering digunakan
para hacker untuk menyerang suatu website:
a.
Remote File Inklusi (RFI)
Metode yang
memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan
RFI seorang attacker dapat menginclude kan file yang berada di luar server yang
bersangkutan.
Salah satu tehnik
paling aman bagi seorang administrator adalah selalu memperhatikan usaha-usaha
infiltrasi dan usaha eksploitasi lokal. Gunakan firewall guna mencegah
penyusupan orang-orang yang tidak bertanggung jawab dan memperhatikan port-port
server yang sedang terbuka.
b.
Local File Inclusion (LFI)
Metode yang
memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan LFI seorang
attacker dapat menginclude kan file yang berada di dalam server yang
bersangkutan.
c.
SQL injection
SQL Injection adalah
kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada
lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak
benar baik disaring untuk menghindari karakter string literal tertanam dalam
pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak
terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari
kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau
script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal
sebagai serangan penyisipan SQL.
d.
Cross Site Scripting (XSS)
Cross-site scripting
(XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di aplikasi
web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien ke
dalam halaman web dilihat oleh pengguna lain.
lubang Cross-site
scripting adalah kelemahan aplikasi web yang memungkinkan penyerang untuk
mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada konten web
oleh browser modern. Dengan mencari cara suntik script jahat ke dalam halaman
web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman sensitif,
cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas
nama pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus injeksi
kode.
XSS data diatasi
dengan menggunakan Open Source Libraries mengenai pencegahan XSS attack seperti
PHP AntiXSS, HTML Purifier , xssprotect
, XSS HTML Filter
Paket keamanan web
a. SSL
(Secure Sockets Layer)
Sebuah protokol yang dikembangkan oleh Netscape untuk
komunikasi dokumen yang membutuhkan privasi melalui Internet. SSL menggunakan
suatu sistem enkripsi yang menggunakan dua kunci untuk melakukan enkripsi data.
SSL terdiri dari 4 jenis, yaitu:
· SSL
web server certificate with EV
SSL jenis
ini digunakan bila pengunjung harus input data sensitif seperti credit cards,
PIN number, dst yang membutuhkan keamanan ekstra. Bila menggunakan SSL jenis
ini, address bar pada browser akan berwarna hijau dan menunjukan nama
ogranisasi bersangkutang yang telah diverifikasi.
· SSL
web server certificates
SSL jenis
ini digunakan bila pengunjung harus log in atau sign in. SSL jenis ini
menggunakan enkripsi sekuat SSL web server certificate with EV namun tidak
adanya warna hijau pada address bar browser.
·
SGC SuperCerts
SSL ini
digunakan untuk kompatibilitas browser lama. Jika pengunjung menggunakan
browser lama, atau cara lain untuk mengunjungi suatu website, maka SSL jenis
ini cocok untuk diterapkan di browser tersebut, karena SSL jenis ini
memungkinkan kompatibilitas browser lama untuk enkripsi 128 atau 256 bit.
·
SSL 123 Certificate
SSL ini
digunakan untuk komunikasi internal dan intranet private. SSL ini melakukan
enkripsi unutk pegawai dan user di dalamnya. Hanya nama domain yg diverifikasi.
b. IDS
(Intrusion Detection System)
Intrusion Detection System digunakan untuk mendeteksi
aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Intrusion adalah
aktivitas tidak sah atau tidak diinginkan yang mengganggu konfidensialitas,
integritas dan atau ketersediaan dari informasi yang terdapat di sebuah sistem.
IDS akan memonitor lalu lintas data pada sebuah jaringan atau mengambil data
dari berkas log. IDS akan menganalisa dan dengan algoritma tertentu akan
memutuskan untuk memberi peringatan kepada seorang administrator jaringan atau
tidak
c. IPS
(Intrusion Prevention System)
Intrusion Prevention System (IPS) adalah sebuah
aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas
yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian
yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana
mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya.
Produk IPS sendiri dapat berupa perangkat keras
(hardware) atau perangkat lunak (software).Secara umum, ada dua jenis IPS,
yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion
Prevention System (NIPS).
Sumber :
http://blog.skerta.com/?p=504
http://www.ethic.ninja/2014/10/bagaimana-mengatasi-serangan-xss.html
http://lecturer.eepis-its.edu/~isbat/materikuliah/Modul%20Praktikum/Prak%20Keamanan%20Jaringan/revisi%202013/mail%20security.pdf
http://galasus.com/2013/10/masalah-yang-berhubungan-dengan-email.html
http://hacker-comunity.page.tl/Email-Bomb.htm
http://www.unpas.ac.id/keamanan-web/
http://www.sentranet.co.id/component/content/article/45-tips-a-trik/123-poin-poin-penting-dalam-keamanan-web.html
http://www.pasarhosting.com/informasi/knowledge-base/detail/page/1/back_to/kb-trial/content/secure-socket-layer-ssl/
http://id.wikipedia.org/wiki/PGP
http://www.csee.umbc.edu/~woodcock/cmsc482/proj1/pem.html
http://ecgalery.blogspot.com/2010/06/ids-intrusion-detection-system.html
http://rahedy.wordpress.com/2010/06/24/apakah-itrusion-prevention-system-ips/
+ komentar + 1 komentar
Gmn cara mengamankan email kita dr para hacker dan perentas IT mohon infonya