Daftar Isi:
- Keamanan e-mail
- Pilihan Anda untuk memberantas spam terbatas, namun mencakup:
- SSL menggunakan sistem kunci asimetris RSA; IDEA, DES, dan sistem kunci simetris 3DES; dan fungsi hash MD5. Versi saat ini adalah SSL 3. 0. SSL 3. 0 distandarisasi sebagai TLS 1. 0 dan dirilis pada tahun 1999.
Video: Ethical Hacking : Google Dorking | Footprinting & Reconnaissance 2024
Untuk ujian + keamanan, Anda perlu mengetahui standar dan aplikasi yang berbeda yang tersedia untuk penggunaan e-mail dan Internet yang aman. Anda juga perlu menyadari beberapa kerentanan dan gangguan, termasuk tipuan dan spam virus, untuk melakukannya dengan baik di ujian Keamanan +.
Keamanan e-mail
Beberapa aplikasi yang menggunakan teknik kriptografi telah dikembangkan untuk komunikasi e-mail untuk memberikan
Ekstensi Internet Serbaguna Serba Guna > (S / MIME) menyediakan metode aman untuk mengirim e-mail dan digabungkan ke dalam beberapa aplikasi browser dan e-mail yang populer. S / MIME menyediakan kerahasiaan dan otentikasi dengan menggunakan sistem kunci asimetris RSA, tanda tangan digital, dan X. 509 sertifikat digital. S / MIME mematuhi format Standar Kriptografi Kunci Publik (PKCS) # 7 dan telah diusulkan sebagai standar untuk Internet Engineering Task Force (IETF).
(MOSS) memberikan kerahasiaan, integritas, identifikasi dan otentikasi, dan non-penolakan dengan menggunakan MD2 atau MD5, RSA asimetris kunci, dan DES. MOSS belum banyak diimplementasikan di Internet.
Privacy Enhanced Mail (PEM)
Privacy Enhanced Mail (PEM) diusulkan sebagai standar yang sesuai PKCS oleh IETF namun belum banyak diterapkan di Internet. Ini menyediakan kerahasiaan dan otentikasi dengan menggunakan 3DES untuk enkripsi, pencekalan pesan MD2 atau MD5, sertifikat digital X. 509, dan sistem asimetris RSA untuk tanda tangan digital dan distribusi kunci yang aman.
Kerentanan e-mail Pada bagian ini, cari tahu sekitar dua kerentanan e-mail yang sangat umum dan tidak diragukan lagi, untuk pengguna e-mail saat ini: spam dan hoax. Spam
Spam membuang sumber daya bandwidth dan komputasi yang berharga dan terbatas. Biayanya perusahaan dan individu jutaan dolar setiap tahunnya karena kehilangan produktivitas. Produk antispamming yang ada saat ini hanya memiliki keefektifan terbatas.Pilihan Anda untuk memberantas spam terbatas, namun mencakup:
Delete:
Jika Anda menerima spam e-mail spam yang relatif rendah setiap hari, mungkin hal yang paling mudah dilakukan adalah menghapusnya. Melakukan hal ini sebenarnya bukan solusi dan mungkin bukan yang ingin didengar oleh pengguna Anda, tapi ini adalah metode yang paling umum untuk menangani spam.
Filter:
Sebagian besar aplikasi e-mail dan layanan e-mail Internet memberikan beberapa kemampuan penyaringan. Beberapa produk pihak ketiga komersial memberikan kemampuan penyaringan yang lebih baik. Pastikan Anda mengkonfigurasi opsi penyaringan dengan hati-hati untuk menghindari penyaringan e-mail yang sah!
- Mendidik: Mendidik pengguna Anda tentang spam. Pengguna harus tahu bahwa
- tidak pernah membalas atau berhenti berlangganan e-mail spam. Ini memverifikasi alamat e-mail dan membuat masalah menjadi lebih buruk.
- Jangan relay! Mungkin hal terpenting yang harus dilakukan perusahaan adalah memastikan bahwa barang tersebut belum (atau tidak menjadi) merupakan bagian dari masalah. Server email yang disiapkan sebagai open mail relay (banyak secara default) dapat digunakan untuk mengirim spam ke siapapun di Internet. Relay surat terbuka tidak mencoba untuk memverifikasi pencetus pesan e-mail dan meneruskan apapun yang diterimanya.
- Hoaxes Tipuan e-mail biasanya berbentuk surat berantai. Salah satu jenis tipuan e-mail tipuan virus adalah tipuan. A tipuan virus adalah pesan e-mail yang menggambarkan virus palsu menggunakan bahasa pseudotechnical. Ancaman yang dijelaskan mungkin tampak cukup sah dan bisa dikirim dari seseorang yang Anda kenal. (Kebohongan biasanya menginstruksikan Anda untuk meneruskannya ke semua orang di buku alamat Anda.) Banyak tipu daya menginstruksikan pengguna yang tidak menaruh curiga untuk menghapus file sistem yang penting.
Pertahanan Anda terhadap tipuan harus mencakup ini:
Mendidik: Mendidik pengguna Anda tentang tipuan e-mail (terutama tipuan virus). Ajarkan mereka untuk tidak pernah meneruskan tipuan, bahkan jika diterima dari seseorang yang mereka kenal. Pastikan mereka melaporkan tipuan ke sistem atau administrator keamanan. Verifikasi:
Jika Anda khawatir tentang legitimasi tipuan virus, verifikasi keberadaannya (atau tidak ada) di Symantec atau McAfee. Meskipun raksasa perangkat lunak antivirus ini mungkin tidak memerlukan perbaikan segera untuk virus baru di alam liar, namun mereka memberi Anda informasi yang andal tentang ancaman baru (nyata atau tidak benar).
- Keamanan Internet Seperti aplikasi e-mail, beberapa protokol dan standar telah dikembangkan untuk memberikan keamanan bagi komunikasi dan transaksi Internet. Ini termasuk SSL / TLS dan S-HTTP, yang dibahas dalam artikel ini. Anda juga mengeksplorasi kerentanan yang terkait dengan dua aplikasi Internet: browser dan pesan instan. Protokol Secure Sockets Layer (SSL) / Transport Layer Security (TLS)
- Protokol Secure Socket Layer 999 (SSL) menyediakan enkripsi berbasis sesi dan otentikasi untuk komunikasi yang aman antara klien dan server di Internet.. SSL beroperasi di Transport Layer, tidak bergantung pada protokol aplikasi, dan menyediakan otentikasi server dengan otentikasi klien opsional.
SSL menggunakan sistem kunci asimetris RSA; IDEA, DES, dan sistem kunci simetris 3DES; dan fungsi hash MD5. Versi saat ini adalah SSL 3. 0. SSL 3. 0 distandarisasi sebagai TLS 1. 0 dan dirilis pada tahun 1999.
Secure HyperText Transfer Protocol (S-HTTP)
Secure HyperText Transfer Protocol
(S- HTTP) adalah protokol Internet yang menyediakan metode untuk komunikasi yang aman dengan server Web.S-HTTP adalah protokol tanpa koneksi yang merangkum data setelah properti keamanan untuk sesi tersebut telah berhasil dinegosiasikan. Protokol menggunakan Enkripsi simetris (untuk kerahasiaan)
Pesan mencerna (untuk integritas)
Enkripsi kunci publik (untuk otentikasi client-server dan nonrepudiation)
Pesan instan
Program perpesanan instan telah menjadi sangat populer di Internet karena kemudahan penggunaan dan kemampuan komunikasi seketika. Contohnya termasuk AIM, MSN Messenger, dan Yahoo! Kurir. Banyak kerentanan dan risiko keamanan, seperti berikut ini, terkait dengan program olahpesan cepat:
Virus dan Trojan horse:
- Program IM dengan cepat menjadi media pilihan untuk menyebarkan kode berbahaya.
- Social engineering:
- Banyak pengguna tidak menyadari sifat terbuka IM dan dengan sangat santai menukar informasi pribadi, pribadi, atau sensitif ke pihak yang tidak dikenal.
File bersama:
Banyak program IM (dan program terkait) memungkinkan pengguna membagikan hard drive atau mentransfer file mereka.
Packet sniffing:
- Seperti hampir semua lalu lintas TCP / IP, sesi IM dapat dengan mudah diendus untuk mendapatkan informasi dan password yang berharga. Browser internet
- Browser internet, seperti Microsoft Internet Explorer dan Netscape Navigator, adalah alat selancar Web dasar. Untuk meningkatkan pengalaman berselancar Web Anda, banyak alat keren telah dirancang untuk menghadirkan konten dinamis dan interaktif di luar HTML dasar. Tentu saja, fitur ini sering datang dengan harga - risiko keamanan tambahan. Alat dan risiko ini mencakup
- JavaScript: JavaScript adalah bahasa scripting yang dikembangkan oleh Netscape untuk menyediakan konten dinamis untuk halaman Web HTML. JavaScript memiliki banyak kerentanan yang dikenal yang dapat, misalnya, mengungkapkan informasi pribadi tentang pengguna atau mengizinkan seseorang membaca file di komputer lokal Anda.
- ActiveX dan Java applet: ActiveX dan Java dapat membuat browser Web melakukan beberapa hal yang cukup rapi - dan beberapa hal yang sangat buruk. Model keamanan untuk ActiveX didasarkan pada hubungan kepercayaan. (Anda menerima sertifikat digital, dan applet telah diunduh.) Keamanan Java didasarkan pada konsep sandbox
,
yang membatasi applet untuk berkomunikasi hanya dengan host asal dan mencegah applet mengakses secara langsung Hard drive PC atau sumber daya lainnya - secara teoritis.
Buffer Overflows:
- Buffer overflows barangkali adalah serangan denial-of-service yang paling umum dan mudah dilakukan hari ini. Kerentanan di browser Web (terutama Internet Explorer) dapat dieksploitasi, menyebabkan sistem mogok atau, yang lebih buruk lagi, memberi akses tidak resmi ke sistem atau penyerang yang diserang.
