A. OBJEK
GARAPAN
Menurut Gondodiyoto dan Idris (2003,
hh.155-158) berpendapat bahwa ada tiga metode audit sistem informasi antara
lain:
1. Audit Around the Computer
Untuk menerapkan metode ini, auditor pertama
kali harus menelusuri dan menguji pengendalian masukan, kemudian menghitung
hasil yang diperkirakan dari proses transaksi, lalu auditor membandingkan hasil
sesungguhnya dengan hasil yang dihitung secara manual.
Audit
Around The Computer.
Audit around the computer masuk ke dalam kategori audit sistem informasi dan lebih tepatnya masuk ke dalam metode audit. Audit around the computer dapat dikatakan hanya memeriksa dari sisi user saja pada masukkan dan keluaranya tanpa memeriksa lebih mendalam terhadap program atau sistemnya, bisa juga dikatakan bahwa audit around the computer adalah audit yang dipandang dari sudut pandang black box.
Dalam pengauditannya yaitu auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik.
Audit around the computer dilakukan pada saat:
Audit around the computer masuk ke dalam kategori audit sistem informasi dan lebih tepatnya masuk ke dalam metode audit. Audit around the computer dapat dikatakan hanya memeriksa dari sisi user saja pada masukkan dan keluaranya tanpa memeriksa lebih mendalam terhadap program atau sistemnya, bisa juga dikatakan bahwa audit around the computer adalah audit yang dipandang dari sudut pandang black box.
Dalam pengauditannya yaitu auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik.
Audit around the computer dilakukan pada saat:
- Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual.
- Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
- Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
Kelebihan dan Kelemahan dari metode Audit Around The Computer adalah sebagai berikut:
Kelebihan:
- Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.
- Tidak harus mengetahui seluruh proses penanganan sistem.
Kelemahan:
- Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual. Tidak membuat auditor memahami sistem komputer lebih baik.
- Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem.
- Lebih berkenaan dengan hal yang lalu daripada audit yang preventif.
- Kemampuan komputer sebagai fasilitas penunjang audit mubadzir.
- Tidak mencakup keseluruhan maksud dan tujuan audit.
2. Audit Through the Computer
Pada metode ini, auditor tidak hanya melakukan
pengujian pada input dan output
melainkan juga pemeriksaan secara langsung terhadap pemrosesan komputer melalui
pemeriksaan logika dan akurasi program meliputi koding program, desain
aplikasi, serta hal lain yang berkaitan dengan program aplikasinya.
Audit Through The Computer
Audit through the computer dilakukan pada saat:
- Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
- Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.
Kelebihan dan Kelemahan dari metode Audit Through The Computer adalah sebagai berikut:
Kelebihan:
- Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
- Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi.
- Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating.
- Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
- Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.
Kelemahan:
- Biaya yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat lebih memahami struktur pengendalian intern dari pelaksanaan system aplikasi.
- Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.
3. Audit With the Computer
Pada metode ini audit dilakukan dengan
menggunakan komputer dan software untuk mengotomatisasi prosedur
pelaksanaan audit. Metode ini sangat bermanfaat dalam pengujian substantif atas
file dan record perusahaan.
Salah satu software audit yang dapat digunakan adalah GAS
(Generalized Audit Software) dan SAS (Specialized Audit Software).
B. Metode
atau Cara Pengerjaan
Nessus sebagai Audit TI
Obyek yang
akan dipilih : Nessus
Nessus
Nessus adalah termasuk kelompok scanner gratis baru. Ditulis
oleh Renaud Deraison saat berusia 18 tahun dan ia berasal dari Paris. Renaud
sudah familiar dengan sistem operasi linux sejak usia 16 tahun, dan ia sangat
tertarik dengan bidang isu-isu security komputer. Nessus
didistribusikann di bawah GNU Public License dari Free Software Foundation .
Renaud memulai untuk mengkonsep linux pada permulaan tahun 1998.
Nessus bekerja dengan memeriksa target yang anda telah
anda tentukan, seperti Sekumpulan host atau bisa juga host dalam fokus
tersendiri. Begitu aktivitas scan selesai, anda dapat melihat informasi
hasilnya baik dalam bentuk grafikal atau baris, Interface (tampilan) grafikal
Nessus dibangun dengan menggunakan Gimp Toolkit (gtk). Gtk adalah sebuah
library gratis yang banyak digunakan untuk membangun interface grafikal dibawah
X. Alasan kenapa kebanyakan Administrator Security Computer memilih Nessus
adalah karena distribusi aplikasi ini selalu up to date (selalu diperbaharui),
berbasis web interface, mudah dioperasikan dan gratis (Rafiudin, 2002:350).
Tenable Network Security, Inc. adalah sekelompok
organisasi yang berwenang menulis dan membangun aplikasi Nessus Security
Scanner. Dan secara konsisten organisasi ini pun terus mengembangkan aplikasi
ini. Tenable dalam hal ini menulis hampir semua fasilitas Plugin yang tersedia
saat ini, seperti khususnya untuk membantu aktifitas Scanner sesuai dengan
kebutuhan dan kebijakan audit yang semakin luas.
Suatu kebijakan atau Policy yang ditentukan pada
aplikasi Nessus mendukung beberapa teknik pilihan konfigurasi, pilihan-pilihan
ini meliputi:
1.
Adanya parameter yang mengontrol
aspek
-aspek teknik pemindaian, seperti efisiensi penggunaan waktu ( timeouts ),
jumlah banyaknya host, tipe pemindaian port dan lain-lain.
2.
Keamanan untuk pemindaian jaringan
lokal, seperti protocol IMAP
3.
Pemeriksaan kebijakan dalam
penggunaan database, seperti deteksi pemindaian pada servis, dan lain-lain.
Fungsi dan Kegunaan Nessus
Nessus
merupakan sebuah program yang dapat digunakan untuk mencari kelemahan pada
sebuah sistem komputer. Nessus juga dapat melakukan pengecekan terhadap
kerentanan system komputer, dan meningkatkan keamanan sistem yang kita miliki.
Nessus dapat
pula digunakan untuk melakukan audit sebagai berikut:
1. credentialed and un-credentialed port scanning.
2. network based vulnerability scanning.
3. credentialed based patch audits for Windows and most
UNIX platforms.
4. redentialed configuration auditing of most Windows and
UNIX platforms.
5. robust and comprehensive credentialed security testing
of 3rd party applications.
6. custom and embedded web application vulnerability
testing.
7. SQL database configuration auditing.
8. software enumeration on Unix and Windows.
9. Testing anti-virus installs for out-of date signatures
and configuration errors.
CARA KERJA
Nessus melakukan scaning berdasarkan Security Policy
Plugin yang kita aktifkan (enabled) sebelum melakukan scaning. Security Policy
sendiri merupakan suatu set aturan yang menetapkan hal-hal apa saja yang
diperbolehkan dan apa saja yang dilarang terhadap penggunaan atau pemanfaatan
akses pada asebuah system selama operasi normal.Contoh misal, nesus dapat
mengetahui port mana saja yang terbuka pada sebuah komputer yang terhubung ke sebuah
jaringan, misalnya internet. Dengan mengetahui port mana saja yang terbuka,
kita dapat mengetahui kemungkinan penyebab kerusakan atau mengetahui jalur mana
saja yang dimungkinkan untuk mengakses komputer kita.
Berikut ini
adalah fitur-fitur yang dimiliki oleh Nessus:
1) Plug-in architecture
Setiap security test ditulis sebagai external plugin.
Dengan fitur seperti ini, kita dapat dengan mudah menambah tes yang kita
inginkan tanpa harus membaca
kode dari nessusd engine.
kode dari nessusd engine.
2) NASL(Nessus Attack Scrpiting Language)
NASL adalah sebuah bahasa yang didesain untuk menulis
program security test
dengan mudah dan cepat. Selain dengan NASL, bahasa C juga dapat digunakan
untuk menulils program security test.
dengan mudah dan cepat. Selain dengan NASL, bahasa C juga dapat digunakan
untuk menulils program security test.
3) Up-to-date security vulnerability database.
4) Client-sever architecture
Nessus security scanner terdiri dari dua bagian yaitu:
sebuah server yang
berfungsi sebagai pelaku serangan, dan sebuah client yang berfungsi sebagai
frontend. Client dan server dapat berjalan pada sistem yang berbeda. Arti dari
fitur ini adalah bahwa keseluruhan jaringan dapat diaudit melalui sebuah PC,
dengan server yang melakukan serangan ke jaringan yang dituju.
berfungsi sebagai pelaku serangan, dan sebuah client yang berfungsi sebagai
frontend. Client dan server dapat berjalan pada sistem yang berbeda. Arti dari
fitur ini adalah bahwa keseluruhan jaringan dapat diaudit melalui sebuah PC,
dengan server yang melakukan serangan ke jaringan yang dituju.
5) Smart service recognation.
Nessus tidak mempercayai host yang dituju menggunakan
port standar yang
ditentukan oleh IANA. Ini berarti Nessus dapat mengenali sebuah Web server
yang berjalan pada port yang bukan merupakan port standar (contohnya pada port8080), atau sebuah FTP server yang berjalan pada port 31337.
ditentukan oleh IANA. Ini berarti Nessus dapat mengenali sebuah Web server
yang berjalan pada port yang bukan merupakan port standar (contohnya pada port8080), atau sebuah FTP server yang berjalan pada port 31337.
6) Multiple Services
Apabila ada dua buah Web server pada host yang dituju
maka Nessus akan
mengetes kedua Web server tersebut.
mengetes kedua Web server tersebut.
7) Complete reports.
Nessus tidak hanya memberi tahu kelemahan dari
jaringan yang dituju tetapi juga memberikan cara yang dapat digunakan untuk
mencegah the bad guy utnuk
mengeksploitasi kelemahan dari jaringan dan juga memberikan level resiko dari
setiap masalah yang ditemukan.
mengeksploitasi kelemahan dari jaringan dan juga memberikan level resiko dari
setiap masalah yang ditemukan.
8) Exportable reports.
Unix client dapat mengekspor laporan sebagai Ascii
text, HTML, LaTeX
Rencana Audit yang akan dilakukan : Menganalisis
Keamanan Jaringan Server Web dan Hotspot menggunakan Nessus
Tujuan :
Tujuan
dari penggunaan Nessus adalah untuk mengetahui kelemahan dari suatu perangkat
atau suatu sistem didalam komputer. Sehingga setelah menggunakan nessus
diharapkan para pengguna mampu dengan lebih baik menjaga sistem didalam
komputernya dan menutup dan membuka port sesuai kebutuhan agar tak digunakan
oleh pihak-pihak yang tidak bertanggung jawab.
Penggunaan Nessus
1) Install Nessus, setelah diinstall maka akan muncul 2
icon baru, yatu:
a. Nessus Server Manager
Digunakan
pertama kali untuk melakukan registrasi, setelah nomor registrasi dari email
dimasukkan, nessus akan melakukan update plugin secara otomatis. Nessus terdiri
dari ribuan program-program kecil untuk melakukan pemeriksaan kerawanan
(vulnerability) yang dinamakan Plugin.
Setelah
itu menambahkan user baru pada menu Manage Users, masukkan nama username dan
password yang diinginkan, jangan lupa centang tanda Administrator.
Apabila Nessus telah lama tidak digunakan sebaiknya melakukan update plugins.
Start Nessus Server jika belum dijalankan
Apabila Nessus telah lama tidak digunakan sebaiknya melakukan update plugins.
Start Nessus Server jika belum dijalankan
b. Nessus Client
Setelah selesai melakukan setting pada Nessus Server Manager selanjutnya
adalah melakukan pemeriksaan dengan menggunakan Nessus Client. Klik saja icon
Nessus Client.
Apabila muncul web browser dengan tampilan seperti di bawah. Pilih dan klik
“I Understand the Risks”, Klik tombol “Add Exception..”, Klik tombol “Get
Certificate”, Kemudian klik tombol “Confirm Security Exception”
2) Kemudian
pada web browser muncul tampilan Nessus Client. Masukkan username dan password
yang sudah disetting di Nessus Server Manager diatas, kemudian klik “Log
In”.
3) Memilih
New Policy pada menu Policies.
Policies
adalah setting pilihan akan apa saja yang akan dilakukan oleh Nessus, sehingga
setiap pemeriksaan bisa disesuaikan dengan kebutuhan.
Tampilan dari halaman menu Policies:
Tampilan dari halaman menu Policies:
4) Setelah
selesai membuat “Policies”, selanjutnya pilih menu “Scans”. Lalu
klik Add
Pada
menu Scans, isi kolom Names, pilih Type “Run Now”, pilih Policy
sesuai dengan Policies yang telah dibuat sebelumnya kemudian masukkan alamat IP
komputer yang akan diperiksa.
Tampilan dari halaman menu Scans:
Tampilan dari halaman menu Scans:
Setelah itu klik “Launch Scan” di
pojok kanan bawah.
Akan tampil halaman seperti dibawah ini:
Klik
tulisan running diatas untuk melihat detail pemeriksaan, jika
ingin melihat detail untuk tiap alamat IP tinggal klik alamat IP yang
diinginkan. Contoh ketika tulisan running diklik ada pada
gambar dibawah ini:
Pada gambar diatas terdapat 2 (dua) alamat IP/Host
yang sedang diperiksa, ada kolom progress, kolom open port dan ada kolom Severity (Tingkat
Kerawanan) yang dibagi menjadi 3 (tiga): high, medium dan low.
Kolom Severity (High, Medium dan Low) adalah tingkat kerawanan
komputer yang sedang diperiksa, semakin tinggi tingkat kerawanan maka semakin
mudah dibobol oleh hacker dan virus. Contoh untuk ketika dipilih salah satu
alamat IP dengan Severity High:
Kemudian
pilih Severity dengan nama MS05-027:
Dari gambar
diatas terdapat beberapa hal yang harus diperhatikan:
– Port/Service
Yang memiliki kerawanan(vulnerability)
dengan informasi port/service mana yang terdapat kerawanan maka dengan mudah
dapat dicari informasinya di internet.
– Synopsis dan Deskripsi
MS05-027 adalah salah satu kerawanan dari OS Microsoft Windows yang telah diperbaiki (patched) dan bisa dilihat di Microsoft Security Bulletin. Dari keterangan gambar diatas MS05-27 ini adalah sebuah kerawanan dari SMB (server message block) di OS Windows sehingga memungkinkan sebuah serangan jarak jauh (melalui jaringan atau internet) yang dapat menjalankan suatu perintah tanpa target menyadarinya.
MS05-027 adalah salah satu kerawanan dari OS Microsoft Windows yang telah diperbaiki (patched) dan bisa dilihat di Microsoft Security Bulletin. Dari keterangan gambar diatas MS05-27 ini adalah sebuah kerawanan dari SMB (server message block) di OS Windows sehingga memungkinkan sebuah serangan jarak jauh (melalui jaringan atau internet) yang dapat menjalankan suatu perintah tanpa target menyadarinya.
– Solution
Biasanya untuk kerawanan dengan kode MS dari OS Windows dapat dengan mudah dilakukan update/patch OS, tinggal klik link dibawahnya.
Atau salah satu solusi umumnya gunakan antivirus yang terupdate dan memiliki fitur firewall di dalamnya.
Biasanya untuk kerawanan dengan kode MS dari OS Windows dapat dengan mudah dilakukan update/patch OS, tinggal klik link dibawahnya.
Atau salah satu solusi umumnya gunakan antivirus yang terupdate dan memiliki fitur firewall di dalamnya.
– CVE (Common
Vulnerabilities and Exposures)
CVE adalah daftar kerawanan teknologi informasi yang telah diketahui oleh umum.
CVE adalah daftar kerawanan teknologi informasi yang telah diketahui oleh umum.
5) Menyimpan hasil
pemeriksaan di menu “Reports”
Untuk menyimpan
hasil scanning dengan Nessus pada menu “Report” dapat dilakukan dengan cara
klik dua kali nama/judul dari scanning yang akan disimpan.
Kemudian di
sebelah kiri, klik tombol “Download Report”. pilih “Executive
HTML report” dan klik tombol “Submit”.
Pada gambar
diatas dapat dilihat data statistik dari masing-masing Severity, alamat
IP yang memiliki High Severity Problems dan jenis Plugin yang
sering digunakan dalam pemeriksaan.
referensi
:
https://andrewhormatmsitumeang.wordpress.com/2016/04/09/perbedaan-audit-around-the-computer-dengan-through-the-computer-beserta-contoh-procedure-dan-lembar-kerja-it-nya/
Tidak ada komentar:
Posting Komentar