Analisis Keamanan
Sistem Informasi Akademik Berbasis Web Di Fakultas Teknik Universitas
Diponegoro
Sistem Informasi Akademik
(SIA) merupakan sistem berbasis online yang memudahkan bagian civitas akademik
untuk mengakses berbagai informasi yang berkaitan dengan kebutuhan akademik dan
administrasi kampus. Informasi yang telah disediakan dapat diakses dari komputer
yang tersambung pada jaringan di kampus dengan mengetahui nama akun dan kata
sandi yang dibutuhkan. Penggunaan perangkat lunak ini memudahkan kegiatan
administrasi akademik sehingga dapat dikelola dengan baik dan informasi yang
diperlukan dapat diperoleh dengan mudah dan cepat.
Metode
yang digunakan dalam melakukan analisis ini menggunakan beberapa metode, yaitu
studi literatur, pengujian sistem yang sudah ada, perumusan solusi permasalahan
dan penerapan solusi permasalahan.
A. Studi
Literatur
Pada
tahap ini dilakukan pengumpulan bahan – bahan pustaka (literatur) sesuai dengan
masalah yang terjadi. Bahan – bahan pustaka sebagian besar diperoleh dari
Internet karena sebagian besar referensi pada buku cetak tidak ditemukan.
1. Alat
dan Bahan
a.) Sistem
Informasi Akademik Fakultas Teknik UNDIP versi 0.4
SIA pada versi ini digunakan di
Teknik Elektro program Ekstensi Fakultas
Teknik Undip dan dapat diakses melalui Internet dengan alamat http://sia-ft.undip.ac.id/elektroext/.
b.) CMS
Drupal merupakan salah satu E-CMS yang sangat populer saat ini. CMS ini dipilih
karena kemampuannya untuk membuat modul sendiri termasuk modul sistem login.
CMS Drupal dapat dilihat di situs resminya http://www.drupal.org/.
c.) Peramban
Firefox dan Internet Explorer Kedua peramban ini dipilih karena peramban
terbanyak yang digunakan pada terminal di lingkungan kampus FT Undip. Digunakan
dua versi peramban Firefox yaitu versi 1.0 dan versi 1.5. Internet Explorer 6.0
digunakan untuk pengujian pada terminal yang berbasis Microsoft Windows.
d.) Fiddler
v1.1 merupakan salah satu program pemantau sesi (session inspector) dengan
target peramban Microsoft Internet Explorer. Dengan perangkat lunak ini
lalulintas data dari/ke Internet Explorer dapat dipantau.
e.) Ethereal
0.99 adalah salah satu program pengendus (sniffer) aliran data yang melewati
jaringan. Ethereal ditempatkan antara server dan peramban. Semua paket data
yang melewati perangkat keras (seperti ethernet card dan router) dapat
dipantau.
2. Pengumpulan
Data
Melakukan
pengumpulan data dengan mengambil data pengguna dari daftar NIM karena NIM dijadikan
sebagai nama pengguna pada SIA versi 0.4. Cara pengumpulan data NIM termudah
adalah dari daftar mahasiswa yang terdapat pada SIA. Ada dua jalan untuk
mendapatkan data mahasiswa menggunakan SIA. Pertama pada menu Mencari data
mahasiswa dan kedua pada menu Daftar peserta matakuliah. Data kata sandi dapat
diambil dengan dua cara. Pertama menggunakan kata sandi default. Kata sandi
default untuk SIA versi 0.4 adalah sama dengan NIM pengguna. Kedua dengan
metode social engineering yaitu metode pendekatan dengan pengguna.
B. Analisis
dan Pengujian Sistem
Pada
tahap ini dilakukan pengujian, yaitu yang pertama adalah masalah sistem
login. Pencurian data kata sandi dapat
dilakukan dengan cara pengendusan data yang melewati jaringan antara client
dengan server. Pengujian berikutnya adalah dengan melihat jejak data yang
tertinggal di komputer terminal (client). Komputer terminal yang disediakan
sebagian besar menggunakan peramban Firefox sehingga target penelitian adalah
peramban Firefox. Pada peramban Firefox terdapat fasilitas untuk menyimpan kata
sandi.
Gambar 1. Konfirmasi penyimpanan kata
sandi pada Firefox 1.0
Seperti terlihat pada
Gambar 1, pada Firefox 1.0 tombol default dialog penyimpanan kata sandi adalah
Yes yang berarti akan menyimpan kata
sandi dalam pengelola kata sandi (password manager). Hal ini mungkin tidak
terlalu rentan pada Firefox 1.5 karena tombol default dialog untuk menyimpan
kata sandi bukan Yes melainkan Not Now seperti ditunjukkan pada Gambar 2.
Gambar 2. Default Dialog Password
Penekanan tombol Yes pada Firefox 1.0
(tombol Remember pada Firefox 1.5) akan mengakibatkan kata sandi tersimpan
dalam pengelola kata sandi. Tombol Never for this site digunakan untuk
mencatat kata sandi untuk situs yang
dikunjungi (dalam kasus ini adalah SIA) tidak akan pernah disimpan ke dalam
pengelola kata sandi. Tombol No pada Firefox 1.0 (tombol Not Now pada Firefox
1.5) berfungsi untuk tidak menyimpan kata sandi ke dalam pengelola kata sandi
hanya pada saat tombol No ditekan. Kata sandi yang tersimpan dapat dilihat
hanya dengan penekanan tombol View Saved Passwords pada jendela Option →
Privacy → Passwords seperti terlihat pada Gambar 3. Dengan cara ini, data nama
pengguna kata sandi semua pengguna yang telah menggunakan komputer terminal
baik untuk tujuan akses SIA maupun layanan Internet lainnya dapat dilihat
dengan mudah.
Gambar 3. Jendela option → privacy →
password Firefox 1.5
C. Perumusan
Solusi Permasalahan
Dalam
merumuskan solusi permasalahan, setiap langkah - langkah masalah
didokumentasikan. Pada dokumentasi permasalahan dicari solusi untuk memperbaiki
sistem yang sedang berjalan.
D. Penerapan
Solusi Permasalahan
Berdasarkan hasil
analisis pengujian, studi literatur dan perumusan solusi masalah dibuat model
untuk solusi yang akan digunakan. Model tersebut kemudian dibuat kode program
sederhana untuk diuji coba. Apabila hasil uji coba tersebut berhasil, bagian kode program tersebut kemudian ditempelkan pada bagian proyek yang
memiliki kelemahan.
E. Pengujian
Ulang Sistem
Tahap akhir adalah pengujian yang bertujuan untuk
mendapatkan hasil yang maksimal. Pengujian akhir dimaksudkan untuk mencari
kelemahan yang masih ditemui pada solusi yang diberikan. Berdasarkan hasil
pengujian apabila ditemukan kesalahan, maka solusi dievaluasi kembali dan
diperbaiki untuk mendapatkan hasil yang terbaik.
Kesimpulan
Pada Sistem Informasi Akademik berbasis web di
Fakultas Teknik Universitas Diponegoro menggunakan beberapa metode, yaitu studi
literatur, pengujian sistem yang sudah ada, perumusan solusi permasalahan dan
penerapan solusi permasalahan. Tahap pertama, yaitu studi literatur dilakukan
pengumpulan data atau bahan pustaka sesuai dengan masalah yang terjadi.
Sebagian besar data – data yang dibutuhkan bersumber dari Internet dikarenakan beberapa
referensi pada buku cetak tidak ditemukan. Alat dan bahan yang digunakan pada
studi literatur, yaitu Sistem Informasi Akademik Fakultas Teknik UNDIP versi
0.4, CMS Drupal CMS Drupal, Peramban Firefox dan Internet Explorer, Fiddler
v1.1, dan Ethereal 0.99. Melakukan pengumpulan data dengan mengambil data
pengguna dari daftar NIM karena NIM dijadikan sebagai nama pengguna pada SIA
versi 0.4. Tahap kedua, yaitu analisis dan pengujian sistem. Pada tahap ini
dilakukan beberapa pengujian, yang pertama adalah masalah sistem login. Pencurian
data akun dan password dapat dilakukan dengan cara penyusupan data yang
melewati jaringan antara client dengan server. Pengujian berikutnya adalah
dengan melihat jejak data yang tertinggal di komputer terminal (client). Tahap
ketiga, yaitu perumusan solusi permasalahan. Pada perumusan masalah, setiap
langkah permasalahan didokumentasikan. Perumusan masalah bertujuan untuk
mencari solusi pada sistem yang akan diperbaiki. Tahap keempat, yaitu penerapan
solusi permasalahan. Berdasarkan hasil dari analisis dibuat model untuk solusi
yang akan digunakan. Model tersebut akan digunakan pada kode program untuk
diuji coba. Tahap terakhir, yaitu pengujian ulang sistem. Sistem yang telah
diuji coba dianalisis untuk mencari kelemahan dan kekurangan, kemudian dievaluasi
dan diperbaiki kembali sehingga dapat menghasilkan sistem yang terbaik.
Pada hasil penelitian dan pembahasan dilakukan pengujian
sistem autentikasi, pencarian daftar pengguna, pengujian sistem login dengan
kata sandi default, pemantauan sesi, pengendusan menggunakan ethereal, teknik
sql injection, pencarian jejak kata sandi pada terminal, perbaikan sistem
autentikasi, perancangan, pembuatan modul, pemasangan, aktivasi dan konfigurasi
modul, pengujian modul chaplogin, pengujian kata sandi default, pemantauan
sesi, pengendusan data, teknik sql injection dan pencarian jejak kata sandi
pada terminal. Penggunaan kata sandi secara default sama dengan nama pengguna
membuat sistem rawan penyusup. Penggunaan
browser yang tidak terenkripsi membuat history nama pengguna dan kata sandi
dapat dilihat pada pengelola kata sandi. Sistem ini telah dilakukan perbaikan dengan
mengganti kata sandi default menjadi kata sandi yang dapat dibuat oleh pengguna sendiri.
Saran
:
1. Sebaiknya
dilakukan penggantian kata sandi setiap 1 – 2 bulan sekali untuk mengurangi
risiko kata sandi dicuri atau diendus.
2. Dilakukan
pengujian dan pemelihara secara berkala terhadap keamanan sistem terutama kata sandi
pengguna.
Link Jurnal :
