Keamanan Sistem World Wide Web

World Wide Web (WWW atau Web)
merupakan salah satu “killer applications” yang menyebabkan populernya Internet. WWW
dikembangkan oleh Tim Berners-Lee ketika sabatical di CERN. Kehebatan WWW adalah kemudahan untuk mengakses informasi, yang dihubungkan satu dengan lainnya melalui konsep hypertext.

Berkembangnya WWW dan Internet menyebabkan pergerakan
sistem informasi untuk menggunakannya sebagai basis. Untuk itu,
keamanan sistem informasi yang berbasis WWW dan teknologi
Internet bergantung kepada keamanan sistem WWW tersebut.
Sistem WWW terdiri dari dua sisi: server dan client. Sistem server
dan client memiliki permasalahan yang berbeda. Keduanya akan
dibahas secara terpisah.

Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang
administrator. Dengan memasang server WWW di sistem anda,
maka anda membuka akses (meskipun secara terbatas) kepada
orang luar. Apabila server anda terhubung ke Internet dan memang
server WWW anda disiapkan untuk publik, maka anda harus lebih berhati-hati.

Server WWW menyediakan fasilitas agar client dari tempat lain
dapat mengambil informasi dalam bentuk berkas (file), atau
mengeksekusi perintah (menjalankan program) di server. Fasilitas
pengambilan berkas dilakukan dengan perintah “GET”, sementara
mekanisme untuk mengeksekusi perintah di server dikenal dengan
istilah “CGI-bin” (Common Gateway Interface). Kedua servis di atas
memiliki potensi lubang keamanan yang berbeda.

Adanya lubang keamanan di sistem WWW dapat dieksploitasi
dalam bentuk yang beragam, antara lain:
• informasi yang ditampilkan di server diubah sehingga dapat
mempermalukan perusahaan atau organisasi anda;
• informasi yang semestinya dikonsumsi untuk kalangan terbatas
(misalnya laporan keuangan, strategi perusahaan anda, atau
database client anda) ternyata berhasil disadap oleh saingan
anda;
• informasi dapat disadap (seperti misalnya pengiriman nomor
kartu kredit untuk membeli melalui WWW);
• server anda diserang sehingga tidak bisa memberikan layanan
ketika dibutuhkan (denial of service attack);
• untuk server web yang berada di belakang firewall, lubang
keamanan di server web yang dieksploitasi dapat melemahkan
atau bahkan menghilangkan fungsi dari firewall.
Sebagai contoh serangan dengan mengubah isi halaman web,
beberapa server Web milik pemerintah Indonesia sempat menjadi
target serangan dari beberapa pengacau (dari Portugal) yang tidak

Kontrol Akses
Sebagai penyedia informasi (dalam bentuk berkas-berkas), sering
diinginkan pembatasan akses. Misalnya, diinginkan agar hanya
orang-orang tertentu yang dapat mengakses berkas (informasi)
tertentu. Pada prinsipnya ini adalah masalah kontrol akses.
Pembatasan akses dapat dilakukan dengan:
• membatasi domain atau nomor IP yang dapat mengakses;
• menggunakan pasangan userid & password;
• mengenkripsi data sehingga hanya dapat dibuka (dekripsi) oleh
orang yang memiliki kunci pembuka.

Secure Socket Layer
Salah satu cara untuk meningkatkan keamanan server WWW adalah
dengan menggunakan enkripsi pada komunikasi pada tingkat
socket. Dengan menggunakan enkripsi, orang tidak bisa menyadap
data-data yang dikirimkan dari/ke server WWW. Salah satu
mekanisme yang cukup populer adalah dengan menggunakan
Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape.
Selain server WWW dari Netscape, beberapa server lain juga
memiliki fasilitas SSL juga. Server WWW Apache (yang tersedia
secara gratis) dapat dikonfigurasi agar memiliki fasilitas SSL dengan
menambahkan software tambahan (SSLeay - yaitu implementasi SSL
dari Eric Young - atau OpenSSL - yaitu implementasi Open Source
dari SSL). Bahkan ada sebuah perusahaan (Stronghold) yang menjual
Apache dengan SSL.
Penggunaan SSL memiliki permasalahan yang bergantung kepada
lokasi dan hukum yang berlaku. Hal ini disebabkan:
• Pemerintah melarang ekspor teknologi enkripsi (kriptografi).
Keamanan Sistem Informasi Berbasis Internet - Budi Rahardjo 67
Keamanan Server WWW
• Paten Public Key Partners atas Rivest-Shamir-Adleman (RSA) publickey
cryptography yang digunakan pada SSL.
Oleh karena hal di atas, implementasi SSLeay Eric Young tidak
dapat digunakan di Amerika Utara (Amerika dan Kanada) karena
“melanggar” paten RSA dan RC4 yang digunakan dalam
implementasinya. SSLeay dapat diperoleh dari:
• http://www.psy.uq.oz.au/~ftp/Crypto
Informasi lebih lanjut tentang SSL dapat diperoleh dari:
• http://home.netscape.com/newsref/std

Mengetahui Jenis Server
Informasi tentang server yang digunakan dapat digunakan oleh
perusak untuk melancarkan serangan sesuai dengan tipe server dan
operating system yang digunakan.
Informasi tentang program server yang digunakan sangat mudah
diperoleh. Program Ogre (yang berjalan di sistem Windows) dapat
mengetahui program server web yang digunakan. Sementara itu,
untuk sistem UNIX, program lynx dapat digunakan untuk melihat
jenis server dengan menekan kunci “sama dengan” (=).

Keamanan Program CGI
Meskipun mekanisme CGI tidak memiliki lubang keamanan,
program atau skrip yang dibuat sebagai CGI dapat memiliki lubang
keamanan. Misalnya, seorang pemakai yang nakal dapat memasang
skrip CGI sehingga dapat mengirimkan berkas password kepada
pengunjung yang mengeksekusi CGI tersebut.

Dalam bagian terdahulu dibahas masalah yang berhubungan
dengan server WWW. Dalam bagian ini akan dibahas masalahmasalah
yang berhubungan dengan keamanan client WWW, yaitu
pemakai (pengunjung) biasa.
Seorang pengunjung sebuah tempat WWW dapat diganggu dengan
berbagai cara. Misalnya, tanpa dia ketahui, dapat saja program Java,
Javascript, atau ActiveX yang jahat didownload dan dijalankan.
Program ini dapat mengirimkan informasi tentang anda ke server
WWW tersebut, atau bahkan menjalankan program tertentu di
komputer anda. Bayangkan apabila yang anda download adalah
virus atau trojan horse yang dapat menghapus isi harddisk anda.