Vertical Privilege Escalation

advertisement
Pengamanan Jaringan
Slide 9
Agung Brastama Putra
 Sistem keamanan sangat penting dalam
lingkungan apapun. Setelah semua,
 Sistem adalah komponen utama dari
lingkungan.
 Ancaman dan gangguan kepada sistem akan
mengikuti ketika anda membuat dan
menerapkan sistem.
 Apa yang anda lakukan ketika anda mencoba
aplikasi baru?
Privilage Escalation



a.
b.
Adalah tindakan mengeksploitasi bug pada
sistem.
Hal itu bisa terjadi pada software maupun
hardware.
Privilage Escalation dibagi dua, yaitu :
Horizontal Privilege Escalation
Vertical Privilege Escalation
Horizontal Privilege Escalation
 Ketika user memperoleh akses hak-hak
pengguna lain yang memiliki tingkat akses
yang sama.
 Contohnya :
 Let’s say Robin and Liz both have accounts with
the same financial institution.
 They have the same account types and account
profiles. Robin may attempt to gain access to
what Liz has access to, meaning Liz’s account.
 So, although they both have the same access
levels, what Robin can benefit from having access
to Liz’s account ?
Answer
 Robin can then transfer or withdraw money
out of Liz’s account.
 Robin can see all the profile Liz’s account.
Vertical Privilege Escalation
 Umumnya, ketika hacker berhasil meng-hack sebuah
sistem, maka hacker tadi berhasil mendapatkan
informasi-informasi penting atau pencurian
informasi dan dapat merusak sistem.
 Vertical Privilege Escalation adalah ketika penyerang
menggunakan kelemahan sistem untuk mendapatkan
akses untuk mendapatkan informasi.
 Bagaimana Cara melindungi nya?
 Privilage Escalation umumnya dapat terjadi
karena Cross-site scripting, penanganan cookies,
password yang lemah.
 Cross-site scripting dan masalah cookies dapat
ditangani dengan pemrograman.
 XSS atau Cross Site Scripting adalah teknik yang
digunakan untuk menambahkan script pada
sebuah website yang akan dieksekusi oleh user
lain pada browser user lain tersebut.
 Contoh : <script>alert(‘percobaan');</script>
 Untuk password setiap end user dari aplikasi
harus diberi penjelasan, pembelajaran dan
pengertian supaya password-nya jangan terlalu
simple.
 Anda menetapkan persyaratan untuk
kompleksitas password dan usia dari password.
Hardware and Peripheral Devices
 Peripheral adalah hardware tambahan yang
disambungkan ke komputer, biasanya dengan
bantuan kabel.
 KEYBOARD
 MOUSE
 LIGHTPEN
 TRACKBALL
 MONITOR, dll
Keamanan Sistem Informasi
 Berbagai teknik yang digunakan untuk melakukan hacking :
 Denial of Service
Teknik ini dilaksanakan dengan cara membuat permintaan yang
sangat banyak terhadap suatu situs sehingga sistem menjadi
macet dan kemudian dengan mencari kelemahan pada sistem si
pelaku melakukan serangan terhadap sistem.
 Sniffer
Teknik ini diimplementasikan dengan membuat program yang
dapat melacak paket data seseorang ketika paket tersebut
melintasi Internet, menangkap password atau menangkap isinya.
 Spoofing
Melakukan pemalsuan alamat e-mail atau Web dengan tujuan
untuk menjebak pemakai agar memasukkan informasi yang
penting seperti password atau nomor kartu kredit
14
Keamanan Sistem Informasi

Penggunaan Kode yang Jahat:
1.
2.
3.
4.
15
Virus
Cacing (worm)
Bom waktu
Kuda Trojan
Pengendalian Sistem Informasi


16
Untuk menjaga keamanan sistem informasi diperlukan pengendalian
terhadap sistem informasi
Kontrol mencakup:
1. Kontrol administratif
2. Kontrol pengembangan dan pemeliharaan sistem
3. Kontrol operasi
4. Proteksi terhadap pusat data secara fisik
5. Kontrol perangkat keras
6. Kontrol terhadap akses komputer
7. Kontrol terhadap akses informasi
8. Kontrol terhadap perlindungan terakhir
9. Kontrol aplikasi
The human factor of security
Deceit
Neglect
Configuration
The human factor: configuration
Weak passwords
With Tsow,Yang, Wetzel: “Warkitting: the Drive-by Subversion of Wireless
Home Routers”
(Journal of Digital Forensic Practice, Volume 1,
Special Issue 3, November 2006)
wardriving
rootkitting
Shows that more than
50% of APs are vulnerable
The human factor: neglect
The human factor: deceit
(Threaten/disguise - image credit to Ben Edelman)
How does the typical Internet user
identify phishing?
Spear Phishing and Data Mining
Current attack style:
Approx 3% of adult Americans report to have been victimized.
Spear Phishing and Data Mining
More sophisticated attack style:
“context aware attack”
How can information be derived?
Jose Garcia
Jane Smith
Jane Garcia, Jose Garcia
… and little Jimmy Garcia
Let’s start from the end!
“Little” Jimmy
his parents
and Jimmy’s mother’s maiden name: Smith
More reading: Griffith and Jakobsson, "Messin' with Texas:
Deriving Mother's Maiden Names Using Public Records."
their marriage
license
Actually links to
PayPal (2)
http://212.45.13.185/
.paypal/index.php
Citibank (Nov 1)
Links to
http://200.189.70.90/citi/
eBay
http://signin-ebay.com-cgibin.tk/eBaydll.php
APWG (antiphishing.org)
 Anti-Phishing Working Group
TUGAS
 Buatlah contoh tentang teknik Phising melalui sms, email dan
popup windows
 Apa yang dimasuksud web defacement berikut ini :
DOS/Ddos, Botnet dan cross-site scripting.
 Berikan contohnya dari web defacement diatas.
 Keterangan Tugas :
1. Tugas bersifat kelompok, 1 Kelompok 3 Orang.
2. Dikumpulkan hari ini melalui email, dengan subjek dan
Nama file=KSI_B_Tgs4_NPMPerwakilan,
3. Format File *.pdf
4. Almt email : [email protected]
5. Pengumpulan Tanggal 03-11-2016 pukul 20.00 WIB
Download