Tugas 2 - MakalahSDLThreatModeling Dinisfu Ali Rully Kurli Nasir

Tugas II

Keamanan Sistem dan Jaringan Komputer

Analisis Ancaman dengan Metode STRIDE

pada Sistem Email POP3 dan SMTP

Kelas XA

Dosen Hadi Syahrial M Kom

Disusun oleh

0911601490 Dinisfu Syarsquoban

1111600779 Kurli Hariawan

1111600795 Ali Mukromin

1111601520 Mohamad Natsir

1111601587 Rully Djumarli

Program Pasca Sarjana Magister Komputer

Universitas Budi Luhur

2012

1 | P a g e

Daftar Isi

Daftar Isi 1

Pendahuluan 3

Pembahasan 9

Penutup 24

Daftar Pustaka 25

2 | P a g e

I Pendahuluan

a Latar belakang

Perkembangan teknologi telah menciptakan suatu sistem pengiriman data sebagai alat

untuk pertukaran informasi Teknologi ini telah mempopulerkan berkirim surat dengan

sarana electronic mail atau disingkat email Bahkan kini berkirim surat melalui email

sudah mulai menggantikan surat melalui pos Dengan banyaknya kebutuhan dan efisiensi

waktu yang diperlukan untuk memperoleh informasi maka email merupakan salah satu

cara yang dapat membantu sehingga dapat mempermudah dan mempercepat

penyampaian informasi

Saat ini banyak perusahaan telah memiliki domain mail server sendiri yang berguna

untuk mempermudah dalam pertukaran informasi mengenai data di internal maupun

untuk external perusahaan yang dapat mendukung penyampaian informasi antar

karyawan dan penyampaian informasi ke pihak lain maupun informasi ke klien yang

dimiliki oleh perusahaan Sehingga keamanan suatu sistem email dibutuhkan pada proses

pembangunannya

Untuk membangun sebuah domain mail server tidaklah terlalu sulit namun dalam

pembangunannya dibutuhkan pertimbangan dan analisis yang tepat agar pertukaran

informasi melalui email dapat berlangsung dengan efektif efisien dan aman

b Permasalahan

Untuk membangun sistem email pada sebuah perusahaan dibutuhkan analisis dari

berbagai aspek Salah satu analisis yang perlu dilakukan adalah analisis keamanan sistem

dari ancaman yang mungkin dapat menyerang sistem email yang dibuat

c Metode

Untuk melakukan analisis keamanan sistem email kali ini akan menggunakan metode

analisis STRIDE (Spoofing Tampering Repudiation Information Disclosure Denial of

Service and Elevation of Prvilege) Untuk mempermudah pemodelan sistem akan

digunakan ldquoSDL Threat Modeling Toolsrdquo

3 | P a g e

1 Analisis STRIDE

Analisis STRIDE merupakan suatu metode analisis keamanan dengan cara

mengidentifikasi jenis-jenis ancaman terhadap suatu sistem Ancaman tersebut dapat

berdampak pada aspek keamanan suatu sistem Hubungan antara STRIDE dengan

aspek keamanan adalah sebagai berikut

Tabel 11 Hubungan Ancaman dan Aspek Keamanan

Ancaman Aspek Keamanan

Spoofing Authentication

Tampering Integrity

Repudiation Non-Repudiation

Information disclosure Confidentiality

Denial of Service Availability

Elevation of Privilege Authorization

a) Penjelasan Jenis Ancaman

i) Spoofing

Spoofing adalah teknik yang digunakan untuk memperoleh akses yang

tidak sah ke suatu komputer atau informasi dimana penyerang berhubungan

dengan pengguna dengan berpura-pura memalsukan bahwa mereka adalah

host yang dapat dipercaya ldquohal ini biasanya dilakukan oleh seorang hackerrdquo

Macam-macam Spoofing pada sebuah jaringan dapat dilakukan dengan teknik sebagai berikut1) IP-Spoofing adalah serangan teknis yang rumit yaitu terdiri dari beberapa

komponen Ini adalah eksploitasi keamanan yang bekerja dengan menipu

komputer dalam hubungan kepercayaan bahwa anda adalah orang lain

Terdapat banyak makalah ditulis oleh daemon9 route dan infinity di

Volume Seven Issue Fourty-Eight majalah Phrack

2) DNS spoofing adalah mengambil nama DNS dari sistem lain dengan

membahayakan domain name server suatu domain yang sah

3) Identify Spoofing adalah suatu tindakan penyusupan dengan

menggunakan identitas resmi secara ilegal Dengan menggunakan

4 | P a g e

identitas tersebut penyusup akan dapat mengakses segala sesuatu dalam

jaringan

Contoh Web Spoofing Web Spoofing melibatkan sebuah server web yang dimiliki penyerang

yang diletakkan pada internet antara pengguna dengan WWW sehingga akses

ke web yang dituju pengguna akan melalui server penyerang Cara seperti ini

dikenal dengan sebutan ldquoman in the middle attackrdquo [25] Hal ini dapat terjadi

dengan beberapa jalan tapi yang paling mungkin adalah

1) Akses ke situs web diarahkan melalui sebuah proxy server ini disebut

(HTTP) application proxy Hal ini memberikan pengelolaan jaringan yang

lebih baik untuk akses ke server Ini merupakan teknik yang cukup baik

yang digunakan pada banyak situs-situs di internet akan tetapi teknik ini

tidak mencegah Web Spoofing

2) Seseorang menaruh link yang palsu (yang sudah di-hack) pada halaman

web yang populer

3) Penggunaan search engine (mesin pencari seperti Yahoo Alta Vista

Goggle) untuk mendapatkan link dari topik yang ingin dicari Tanpa

diketahui beberapa dari link ini telah diletakkan oleh hacker yang

berpura-pura menjadi orang lain Seperti pencarian untuk situs bank

memberikan salah satu hasil httpwwwkilkbcacom namun mungkin

tidak mengetahui bahwa URL sebenarnya dari Bank BCA adalah

httpwwwklikbcacom

Pada sebuah browser yang mengakses sebuah Web semua yang ada pada

NET (baik Internet maupun Intranet) direferensikan dengan Universal

Resource Locator (URL) Pertama-tama penyerang harus menulis-ulang URL

dari halaman web yang dituju sehingga mereka mengacu ke server yang

dimiliki penyerang daripada ke server web yang sebenarnya Misalnya server

penyerang terletak di wwwattackercom maka penyerang akan menulis-ulang

URL dengan menambahkan httpwwwattackercom didepan URL yang asli

5 | P a g e

ii) Tampering

Data tampering adalah merubah data sebelum selama proses atau sesudah

proses dari sistem informasi Data diubah sebelum diproses yaitu pada waktu

data ditangkap di dokumen dasar atau pada saat diverifikasi sebelum

dimasukkan ke sistem informasi Data diubah pada saat proses sistem

informasi biasanya dilakukan pada saat dimasukkan ke dalam sistem

informasi Data diubah setelah proses sistem informasi yaitu dengan

mengganti nilai keluarannya Data diubah dapat diganti dihapus atau

ditambah Kegiatan data tampering ini biasanya banyak dilakukan oleh orang

dalam perusahaan itu sendiri

iii)Repudiation

Membuat sebuah sistem atau database yang salah dengan sengaja atau

sengaja menyisipkan bugs atau menyertakan virus tertentu didalam aplikasi

untuk mengakses sitem pada suatu saat Sehingga seorang yang mengakses

sistem tersebut dapat mengelak untuk disalahkan apabila terjadi kerusakan

pada suatu sistem

iv) Information disclosure

Membuka atau membaca sebuah informasi tanpa memiliki hak akses atau

mambaca sesuatu tanpa mempunyai hak otorisasi

v) Denial of Service

Membuat sebuah system tidak bekerja atau tidak dapat digunakan oleh

orang lain

vi) Elevation of Privilege

Menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah

sistem untuk kepentingan pribadi Hal ini dilakukan dengan meningkatkan hak

kewenangan dari yang seharusnya

b) Penjelasan Aspek Keamanan

i) Authentication

Authentication adalah proses menentukan apakah sesorang yang masuk

merupakan orang yang benar dan berhak Authentication biasa menggunakan

6 | P a g e

username dan password untuk masuk Password diasumsikan hanya user

yang bersangkutan yang hanya mengetahuinya Kelemahan sistem ini adalah

intruders dapat masuk jika username dan password diketaui

ii) Integrity

Integrity bermaksud bahwa data yang diakses atau dibaca diterima dengan

utuh tidak kurang atau lebih Hal tersebut mungkin terjadi karena sistem

error

iii)Non repudiation

Non Repudiation adalah bahwa pengirim dan penerima tidak dapat

mengelak bahwa benar-benar mereka yang melakukannya

iv) Confidentiality

Menurut International Organization for Standardization (ISO)

confidentiality adalah memastikan bahwa informasi dapat diakses oleh yang

mempunyai hak Bisa dikatakan bahwa informasi tersebut merupakan

informasi yang mengandung privacykerahasiaan

v) Availability

Availability merupakan ketersediaan yang berarti sebuah informasi selalu

tersedia ataupun dapat diakses pada saat dibutuhkan

vi) AuthorityAuthorization

AuthorityAuthorization adalah wewenang yang dimilki oleh user yang

telah terautentikasi dalam sebuah sistem informasi Wewenang yang dimilki

bisa merubah memodifikasi menghapus atau menambah suatu informasi

Langkah-langkah analisis STRIDE adalah dengan melakukan pemodelan suatu

sistem yang menggambarkan cara kerja sistem tersebut (contohnya dengan Data Flow

Diagram DFD) Kemudian setiap bagian dari pemodelan tersebut dianalisis dari

kemungkinan ancaman STRIDE

Dalam pemodelan sistem dengan DFD terdapat 4 simbol elemen yang memiliki

ancaman STRIDE yaitu data flow data store proses dan interaktor Elemen dan

ancaman tersebut dapat disimbolkan sebagai berikut

7 | P a g e

Tabel 12 Simbol DFD dan STRIDE

Elemen Simbol S T R I D E

Data flow x x x

Data store x x x x

Proses x x x x x x

Interaktor x x

2 SDL (Security Development Lifecycle) Threat Modeling Tools

SDL Threat Modeling Tools merupakan suatu perangkat lunak yang

diperkenalkan oleh Microsoft untuk membantu melakukan analisis STRIDE terhadap

suatu sistem Tools ini menampilkan framework untuk melakukan analisis STRIDE

dengan siklus sebagai berikut

Gambar 11 Proses SDL Threat Modeling

Penjelasan elemen-elemen dari Proses SDL Threat Modeling yang terdapat pada

gambar 11 adalah sebagai berikut

a) Vision merupakan gambaran umum dari sistem yang akan dianalisis Tahap ini

menjelaskan cara kerja dari suatu sistem

8 | P a g e

b) Model merupakan pemodelan dari sistem menjadi suatu diagram sistem (sebagai

contoh adalah menggunakan Data Flow Diagram DFD)

c) Identify Threat merupakan inti dari analisis model Pada tahap ini dilakukan

analisis STRIDE terhadap setiap elemen pada suatu sistem

d) Mitigate merupakan solusi yang dipilih untuk menanggulangi hasil dari analisis

ancaman STRIDE

e) Validate merupakan tahapan untuk mengesahkan model sistem yang telah dibuat

Pada tahap ini diperhatikan prioritas dampak dari ancaman STRIDE dan solusi

yang diberikan

II Pembahasan

a Gambaran umum sistem (Vision)

Umumnya sistem email menggunakan sistem client-server artinya ada interaksi

antara client (pengguna) dengan mail server (layanan email pusat) Adapun arsitektur

sistem client-server adalah sebagai berikut

Gambar 21 Arsitektur Client-Server

Pada sistem ini client mengakses server dengan menggunakan infrastruktur internet

Juga terdapat firewall yang memisahkan infrastruktur internet (untrust boundary) dengan

infrastruktur internal server (trust boundary)

Salah satu proses transaksi email yang ada saat ini adalah dengan menggunakan

POP3 dan SMTP POP3 merupakan suatu protokol yang bekerja pada email client

(contoh aplikasi email client adalah microsoft outlook thunderbird dan lainnya) untuk

mengunduh email dari mail server Sedangkan SMTP merupakan suatu protokol untuk

mengunggah suatu email ke mail server (baik dari email client ke mail server maupun

dari mail server ke mail server lainnya) Agar proses kirim dan terima data antara client

9 | P a g e

dan server dapat terjadi maka 2 (dua) protokol ini harus digunakan pada sistem email

Untuk lebih jelasnya dapat dilihat pada gambar 22 dan 23

Gambar 22 Email Server POP3 dan SMTP

Gambar 23 Proses Unggah dan Unduh Email

Pada sistem mail server yang dibuat ini hanya melayani proses ungguh dan unggah

dengan menggunakan protokol POP3 dan SMTP

Sebelum mengakses data pada mail server terdapat proses otentikasi akun dan

password pengguna yang dilakukan oleh client access server (CAS) Sehingga hanya

pengguna yang telah terdaftar pada client access server saja yang dapat menggunakan

layanan email tersebut

10 | P a g e

b Pemodelan sistem (Model)

c Identifikasi Ancaman dan Solusi (Identify Threat)

1 SMTP (User ke Client Access Server)

11 | P a g e

12 | P a g e

2 POP3 (Client Access Serve ke User)

13 | P a g e

3 Command (Client Access Server ke Mail Server)

14 | P a g e

15 | P a g e

4 Respond (Mail Server ke Client Access Server)

16 | P a g e

5 User (Email Client)

17 | P a g e

6 Client Access Server

18 | P a g e

19 | P a g e

20 | P a g e

7 Mail Server

21 | P a g e

22 | P a g e

d Pengesahan Sistem (Validate)

Dari hasil identifikasi ancaman yang mungkin terjadi pada sistem email server adalah

sebagain berikut

No ElemenJumlah Resiko

KeteranganLow Medium High

1

Data Flow- SMTP - - 3 -- POP3 - - 3 -- Command - - - Resiko sudah ditangani di (CAS)

- Respon - - -Data berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary

2Data Store(Mail Server)

- - 2 -

3Proses(Client Access Server)

- 1 5 -

4Interaktor(Email Client)

- 1 2 -

23 | P a g e

III Penutup

a Simpulan

1 Dalam mendukung kegiatan operasional perusahaan maka email merupakan suatu

yang menjadi perhatian khusus sehingga pengiriman dan penerimaan email dapat

berjalan dengan lancar

2 Dalam menyusun system ini perlu topologi yang jelas sekuritinya

3 Pada sistem email POP3SMTP ini terlihat resiko terbanyak berada pada elemen

proses (CAS) Sehingga perlu perhatian keamanan yang lebih pada elemen ini agar

dampak resiko keamanan suatu sistem dapat diminimalisir

b Saran

1 Perlu terus diperhatikan perkembangan ancaman terhadap sistem yang ada sehingga

dalam pengembangan suatu sistem email tersebut dapat mengurangi resiko terhadap

kerahasian data yang dikirim maupun data yang diterima

2 Untuk menjaga keamanan email suatu perusahaan maka diperlukan Firewall dan

Router sehingga tidak disalah gunakan oleh pihak yang tidak bertanggung jawab

3 Disamping itu perlu dipasang anti virus agar email yang keluarmasuk benar-benar

bersih dari virus

4 Perlu ditambahkan penggunaan enkripsi data terlebih dahulu sebelum proses kirim

terima email sehingga data yang penting tidak dapat dibaca

24 | P a g e

Daftar Pustaka

[1] Hernan Shawn and Scott Lambert and Tomasz Ostwald and Adam Shostack 2006 Threat Modeling Uncover Security Design Flaws Using The STRIDE Approach Url httpmsdnmicrosoftcomen-usmagazinecc163519aspx

[2] Nirsquomah Iftitahu 2009 POP3 SMTP and IMAP URL httptheetawordpresscom20090316pop3-smtp-and-imap

[3] Shostack Adam 2008 Security Briefs Reinvigorate your Threat Modeling Process URL httpmsdnmicrosoftcomen-usmagazinecc700352aspx

[4] Shostack Adam 2009 Security BriefsGetting Started With The SDL Threat Modeling Tool URL httpmsdnmicrosoftcomen-usmagazinedd347831aspx

[5] http12pubywordpresscom20100519pentingnya-keamanan-komputer-dan-jaringan

[6] httpkakakungblogspotcom201002pentingnya-keamanan-komputerhtml

[7] httpwwwjagatreviewcom2011114-tips-mencegah-masuknya-virus-pada-komputer

25 | P a g e

Lampiran I

Matriks identifikasi threat STRIDE dan mitigasi pada masing-masing elemen sistem email

POP3SMTP

1 SMTP (User ke Client Access Server)

Jenis Ancaman

Dampak Resiko Mitigasi

Tempering

High- Data yang diunggah ke server

dapat diubah selama transmisi karena tidak disertakan otentikasi data

- User menggunakan Message Authentication Codes (MAC) agar dapat terlihat bila terjadi perubahan data

Information Disclosure

High- Data yang diunggah ke server

dapat dibaca selama transmisi karena tidak terenkripsi

- User mengekripsi data sebelum dikirim ke server

Denial of Service

High- Sistem bisa down bila diakses

banyak user- Pembatasan kuota user yang dapat

mengakses server- Pemberian akses control (prioritas

user)

2 POP3 (Client Access Serve ke User)

Jenis Ancaman

Dampak Mitigasi

Tempering

High- Data yang diunduh dari server

dapat diubah selama transmisi karena tidak disertakan otentikasi data

- Server menggunakan Message Authentication Codes (MAC) agar dapat terlihat bila terjadi perubahan data

- Server memberikan Digital Signature pada pesan yang akan diunduh

Information Disclosure

High- Data yang diunduh dari server

dapat dibaca selama transmisi karena tidak terenkripsi

- Data dari server dienkripsi terlebih dahulu

Denial of Service

High- Sistem bisa down bila diakses

banyak user- Pembatasan kuota user yang dapat

mengakses server- Pemberian akses control (prioritas

user)

26 | P a g e

3 Command (Client Access Server ke Mail Server)

Jenis Ancaman

Dampak Mitigasi

Tempering Dianggap tidak ada Resiko sudah ditangani di (CAS)

Information Disclosure

Dianggap tidak ada Resiko sudah ditangani di (CAS)

Denial of Service

Dianggap tidak ada Resiko sudah ditangani di (CAS)

4 Respond (Mail Server ke Client Access Server)

Jenis Ancaman

Dampak Mitigasi

Tempering Dianggap tidak adaData berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary

Information Disclosure

Dianggap tidak adaData berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary

Denial of Service

Dianggap tidak adaData berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary

5 User (Email Client)

Jenis Ancaman

Dampak Mitigasi

Spoofing

High- Apabila suatu akun dan

password dapat diketahui orang lain sehingga orang tersebut dapat mengakses server

- Secara berkala User harus selalu mengganti password yang digunakan

High- Apabila seseorang berusaha

mengakses server dengan berpura-pura sebagai salah satu akun yang sah

- Menggunakan sertifikat digital dan Sistem PKI (Public Key Infrastructure) antara Client dan Sever sehingga hanya client yang terotentikasi yang dapat mengakses server

Repudiation Medium- Apabila terjadi pengrusakan

sistem oleh salah satu userUntuk mengetahui user yang terakhir mengakses sebelum sistem rusak pada server dapat ditambahkan fitur

27 | P a g e

- Secure logging and auditing pada server (data log akses server)

- Secure time stamps

6 Client Access Server

Jenis Ancaman

Dampak Mitigasi

Spoofing

High- Apabila seseorang berusaha

mengakses server dengan berpura-pura sebagai salah satu akun yang sah

- Menggunakan sertifikat digital dan Sistem PKI (Public Key Infrastructure) antara Client dan Sever sehingga hanya client yang terotentikasi yang dapat mengakses server

Tempering

High- Data yang diunduh ataupun

diunggah dari dan ke server dapat diubah selama transmisi karena tidak disertakan otentikasi data

- Server dan User harus menggunakan Message Authentication Codes (MAC) agar dapat terlihat bila terjadi perubahan data

- Server memberikan Digital Signature pada pesan yang akan diunduh oleh user

Repudiation

Medium- Apabila terjadi pengrusakan

sistem oleh salah satu userUntuk mengetahui user yang terakhir mengakses sebelum sistem rusak pada server dapat ditambahkan fitur

- Secure logging and auditing pada server (data log akses server)

- Secure time stamps

Information Disclosure

High- Data yang diunggah ke server

dapat dibaca selama transmisi karena tidak terenkripsi

- User mengekripsi data sebelum dikirim ke server

Denial of Service

High- Sistem bisa down bila diakses

banyak user- Pembatasan kuota user yang dapat

mengakses server- Pemberian akses control (prioritas

user)Elevation of

PrivilegeHigh- Apabila seorang dengan privasi

user mampu menaikan tingkatan privasi menjadi

- Menerapkan Akses Kontrol (misalkan selain user yang ditentukan tidak ada lagi user

28 | P a g e

administrator sehingga memiliki hak penuh terhadap seluruh isi server

yang bisa mengakses email server)- Menentukan permission (hak

untuk membaca mengubah maupun menghapus data) yang berbeda untuk user (misalkan tingkatan administrator pengguna biasa atau pengguna lainnya)

- Memvalidasi input yang diberikan user (membatasi penggunaan karakterinput yang memungkinkan jadi ancaman)

7 Mail Server

Jenis Ancaman

Dampak Mitigasi

Tempering

High- Data dapat diubahdimodifikasi

ataupun dihapus oleh seorang yang tidak memiliki hak apabila seseorang tersebut dapat mengakses secara fisik terhadap mail server

- Memberikan proteksi akses terhadap data yang ada di mail server

- Server menambahkan MAC pada setiap email yang disimpan pada database server

RepudiationDianggap tidak ada - Resiko sudah ditangani di

(CAS)-

Information Disclosure

High- Data dapat dibaca oleh seorang

yang tidak memiliki hak apabila seseorang tersebut dapat mengakses secara fisik terhadap mail server (karena email biasanya tersimpan dalam bentuk plain)

- Menerapkan enkripsi data sebelum disimpan pada mail server

Denial of Service

Dianggap tidak ada - Resiko sudah ditangani di

(CAS)-

29 | P a g e

Lampiran II

Hasil Report tools SDL Threat Modeling

30 | P a g e