Setiap harinya server-server yang terkoneksi 24 jam ke Internet selalu menghadapi ancaman dari para hacker atau Internet freaks lainnya dengan „niatan‰ kriminal tertentu atau juga untuk memberi masukan akan adanya celah keamanan di berbagai server sekaligus beserta sistem operasinya. Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi, sayang sekali masalah keamanan ini seringkali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan untuk diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam pengembangan serta algoritma- algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Jaringan komputer seperti LAN dan Internet memungkinkan tersedianya informasi secara cepat. Ini salah satu alasan perusahaan atau organisasi mulai berbondong-bondong membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet. Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Berkembangnya WWW dan Internet menyebabkan pergerakan sistem informasi untuk menggunakannya sebagai basis. Banyak sistem yang tidak terhubung ke Internet tetapi tetap menggunakan web sebagai basis sistem informasinya yang dipasang di jaringan Intranet. Untuk itu, keamanan sistem informasi yang berbasis web dan teknologi Internet bergantung kepada keamanan sistem web tersebut.
Arsitektur sistem web terdiri dari dua sisi yaitu server dan client. Keduanya dihubungkan dengan jaringan komputer (komputer network). Selain menyajikan data-data dalam bentuk statis, sistem web dapat menyajikan data dalam bentuk dinamis dengan menjalankan program. Program ini dapat dijalankan di server (misal dengan CGI atau servlet) dan di client (applet, atau Javascript). Sistem server dan client memiliki permasalahan yang berbeda. Keduanya akan dibahas secara terpisah. Ada asumsi yang salah dari sistem web yang dilihat dari sisi pengguna:
- Banyak sekali yang beranggapan bahwa banyak orang yang baik hati dan jujur di Internet. Dengan santainya kita menginstal software gratis yang disediakan di Internet tanpa kita sadari mungkin saja software tersebut telah dimodifikasi atau disisipi Trojan. Asumsi yang digunakan: saya sudah menggunakan firewall, saya sudah mengimplementasi IDS, saya sudah meng-update antivirusnya. Perlu ditegaskan bahwa hal tersebut hanya bisa memperlambat proses terjadinya serangan, bukan menghentikan serangan.
- Kita menginstal suatu sistem operasi yang terus-menerus dikoneksikan ke Internet untuk memberikan layanan web server. Domain yang kita beli tidak aman dari ganguan, misalnya penyalahgunaan domain oleh pihak lain yang telah atau akan membeli domain kita.
- Merasa aman saat kita melakukan browsing Internet padahal saat ini telah banyak situs yang mencatat semua kegiatan kita, mulai dari IP address, lama, pola, dan intensitas surfing. Semuanya akan dicatat oleh server tersebut. Jika informasi itu hanya dijadikan sebagai alat ukur sih tidak menjadi masalah, tapi jika informasi tersebut dijual ke pihak lain untuk menawarkan produk-produk mereka, hal ini menjadi salah satu sebab kita sering dikirimi email-email sampah.
- Berasumsi bahwa software yang gratis tidak mempunyai script lain.Spyware saat ini banyak ditemui pada software-software gratis. Spyware akan memata-matai kegiatan kita selama terkoneksi ke Internet. Setelah informasi terkumpul maka secara periodik ia akan menghubungi servernya.
Asumsi dari penyedia jasa (webmaster atau service provider) antara lain:
- Merasa user adalah orang-orang yang baik yang tidak ingin mencoba-coba merusak sistem.
- Pengguna tidak berniat untuk merusak server atau mengubah isinya (tanpa izin).
- Pengguna hanya mengakses dokumen-dokumen atau informasi yang diizinkan untuk diakses. Seorang pengguna tidak mencoba untuk masuk ke direktori yang tidak diperkenankan.
- Merasa cukup dengan metode user dan password yang absah, padalah ada banyak cara untuk mendapatkan password dengan mudah.
1. Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang administrator. Dengan memasang server WWW di sistem Anda, Anda membuka akses (meskipun secara terbatas) pada orang luar. Apabila server Anda terhubung ke Internet dan memang server WWW Anda disiapkan untuk publik, Anda harus lebih berhati-hati sebab Anda membuka pintu akses ke seluruh dunia. Server WWW menyediakan fasilitas agar client dari tempat lain dapat mengambil informasi dalam bentuk berkas (file) atau mengeksekusi perintah (menjalankan program) di server. Fasilitas pengambilan berkas dilakukan dengan perintah GET, sementara mekanisme untuk mengeksekusi perintah di server dapat dilakukan dengan CGI (Common Gateway Interface), Server-side Include (SSI), Active Server Page (ASP), PHP, atau dengan menggunakan servlet (seperti penggunaan Java Servlet). Kedua jenis servis di atas (mengambil berkas biasa maupun menjalankan program di server) memiliki potensi lubang keamanan yang berbeda. Adanya lubang keamanan di sistem WWW dapat dieksploitasi dalam bentuk yang beragam, antara lain:
- Informasi yang ditampilkan di server diubah sehingga dapat mempermalukan perusahaan atau organisasi Anda (dikenal dengan istilah deface).
- Informasi yang semestinya dikonsumsi untuk kalangan terbatas (misalnya laporan keuangan, strategi perusahaan Anda, atau database client Anda) ternyata berhasil disadap oleh saingan Anda (ini mungkin disebabkan salah setup server, salah setup router/firewall, atau salah setup autentikasi).
- Informasi dapat disadap (seperti misalnya pengiriman nomor kartu kredit untuk membeli melalui WWW atau orang yang memonitor kemana saja Anda melakukan web surfing).
- Server Anda diserang (misalnya dengan memberikan request secara bertubi-tubi) sehingga tidak bisa memberikan layanan ketika dibutuhkan (Denial of Service Attack).
- Untuk server web yang berada di belakang firewall, lubang keamanan di server web yang dieksploitasi dapat melemahkan atau bahkan menghilangkan fungsi firewall (dengan mekanisme tunneling).
2. Web Server dan Database Server
Web Server dan database server bagaikan jantung dan otak dari organisme Internet. Dua komponen ini menjadi komponen pokok dari sebuah aplikasi Internet yang tangguh dan tepatlah keduanya menjadi target hacker. Dalam beberapa kasus kita harus dapat menentukan titik-titik lemah dalam aplikasi tersebut yang bisa menjadi sasaran penyerang. Ada beberapa server yang sering digunakan dalam dunia web Internet, yaitu Apache dari Apache Software Foundations dan IIS dari Microsoft. Web server berfungsi untuk mendengarkan setiap request pada jaringan dan menjawabnya kepada si pengirim permintaan dengan membawa data tertentu.
2.1 Apache
Apache telah menjadi web server terpopuler saat ini. Server Apache telah bekerja pada semua platform seperti NetBSD, UNIX, AIX, OS/2, Windows, HPUX, Novell Netware, Macintosh, BeOS, FreeBSD, IRIX, dan Solaris. Ada banyak versi Apache sampai saat ini, setiap versi berisi fitur-fitur seperti:
1. Host Virtual.Memungkinkan sebuah komputer untuk berhubungan dengan sejumlah besar web server pada saat yang bersamaan sehingga satu buah komputer yang menjalankan satu web server dapat melayani banyak halaman dari beragam situs web.
2. Server-side Includes. Perintah-perintah yang ada dalam halaman Web HTML yang menyediakan fungsi server-side. SSI serupa dengan CGI yang secara khusus digunakan untuk membuat sebuah halaman web yang dinamis. Situs web sering mengaktifkan fitur ini untuk mengerjakan file berekstensi .shtml dan mengendalikan SSH.
3. Halaman Web Dinamis dari CGI. Suatu mekanisme orisinil yang dikembangkan untuk mengirimkan isi data yang dinamis ke web.
4. Handler, Pengendali untuk mengendalikan beragam request pada web berdasarkan nama file. File-file tertentu seperti .asp dan seterusnya. Handler bersifat built-in dan megendalikan isi data statis seperti HTML.
5. Variabel Lingkungan.
6. Pemetaan URL ke sistem file.
2.2 Internet Information Service (IIS)
Produk dari Microsoft dalam jajaran web servernya, namun saat ini IIS tergeser dominasinya dengan Apache yang lebih berdaya guna. Sudah menjadi rahasia umum bahwa sistem keamanan di sisi IIS sangat rentan, ini bisa dilihat dari sisi aplikasi-aplikasi Internet Server Applications Programming Interface (ISAPI). ISAPI membuka kesempatan pengembang untuk memperluas keguanaan server IIS dengan membuat program mereka sendiri untuk mengolah dan mengendalikan data dan request yang dikirim. Hal ini berarti meningkatkan kontrol atas request.
Secara default IIS menginstal ISAPI yang digunakan untuk mendobrak IIS. Dengan menambah fitur yang dimiliki ISAPI berarti menambah kekhawatiran rentannya keamanan seperti filter .ldq dan .ida yang ternyata bertanggung jawab atas masuknya worm Nimda dan CodeRed. Worm tersebut menyebabkan kondisi buffer overflow pada ekstensi *.ida. Worm ini mengekplotasi kelemahan server indeks .ida sehingga membuka kesempatan bagi penyerang untuk mengirimkan request ke web server dan menyebabkan overflow DLL yang mengendalikan request. Penyelesaian masalah filter ini adalah tetap mengikuti semua security patch dari Microsoft dan menerapkan yang cocok.
Tulisan ini dikutip dari sebuah buku yang berjudul Sistem Keamanan Komputer karangan Deris Setiawan.
Tidak ada komentar:
Posting Komentar