Panduan ringkas ini saya sediakan apabila seorang sahabat bertanya tentang kemahiran keselamatan ICT yang beliau boleh pelajari dan kuasai. Dalam bidang keselamatan ICT (Information Security) secara umum terbahagi kepada tiga bahagian.
Moga ia menjadi panduan semua.
Harisfazillah Jamel aka LinuxMalaysia
6 Nov 2012
This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Malaysia License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
Hala Tuju Kemahiran Keselamatan Komputer Dan Internet (ICT)
1. Hala Tuju Kemahiran Keselamatan Komputer Dan Internet (ICT)
Archive :-
http://cikgucyber.blogspot.com/2012/11/hala-tuju-kemahiran-keselamatan.html
Panduan ringkas ini saya sediakan apabila seorang sahabat bertanya tentang kemahiran
keselamatan ICT yang beliau boleh pelajari dan kuasai. Dalam bidang keselamatan ICT
(Information Security) secara umum terbahagi kepada tiga bahagian.
1. Menjalankan kerja-kerja menguatkan (hardening) pertahanan server dalam sistem
rangkaian (Network).
2. Menjalankan kerja-kerja audit kepada server dan sistem rangkaian dalam
memastikan sistem pertahanan dalam keadaan baik.
3. Menjalankan ujian serangan anda sendiri bagi menguji pertahanan (Pentest)
Sebagai permulaan, mulakan dengan hardening dan membuat audit server. Laman web
CISecurity menyediakan pelbagai dokumen benchmark yang boleh digunakan sebagai
rujukan dalam usaha hardening server. Sila rujuk laman web ini :-
http://benchmarks.cisecurity.org/en-us/?route=default
Jika anda pengguna Ubuntu Server, sila Download dokumen bertajuk Debian Linux
Benchmark. Baca dan ikut arahan-arahan dan panduan yang diberikan. Ini termasuk
penjelasan mengapa ia perlu dilakukan dalam usaha hadening server.
Untuk hardening pensijilan seperti LPI1 dan LPI2 adalah sijil yang kita perlu ambil
untuk nilaikan diri kita. Lawat Linux Professional Institute (LPI) http://www.lpi.org/
untuk maklumat lanjut persijilan ini. Di Malaysia sila sertai
Facebook LPI Malaysia http://www.facebook.com/LPI.Malaysia
Selepas kita harden server sudah tentu kita hendak menguji kemampuan ia. Kita perlu
jalankan Penetration Test (Ujian penembusan). Dokumen ini agak lama, namun ia
boleh digunakan untuk dapatkan konsep pentest.
http://www.sans.org/reading_room/whitepapers/testing/penetration-101-introduction-
penetration-tester_266
2. Maka saya cadangkan Certified Ethical Hacker (CEH) untuk sijil
http://www.eccouncil.org/courses/certified_ethical_hacker.aspx
dan bapa kepada semua diatas adalah CISSP
https://www.isc2.org/cissp/default.aspx
dan Cybersecurity Malaysia ada sediakan latihan persediaan CISSP ini. Sila rujuk laman
web http://www.cybersecurity.my/
Bagi yang mahu kembangkan lagi kemahiran dalam keselamatan ICT boleh mengambil
pensijilan Red Hat Certified Security Specialist (RHCSS). Ia ada sijil keselamatan ICT
bagi membukti kemahiran dalam penggunaan Red Hat Enterprise Linux dan SELinux.
http://sg.redhat.com/certification/rhcss/?sc_cid=70160000000TmB8AAK
Bagi yang hendak belajar sendiri boleh menggunakan merujuk kepada laman web ini
OWASP Webgoat :-
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Belajar dengan ketahui kelemahan server yang disediakan diatas oleh OWASP. Sertai
OWASP Malaysia
https://www.owasp.org/index.php/Malaysia
dan juga disini untuk latihan bagi menguatkan Web Application, "Web Application
Exploits and Defenses"
https://google-gruyere.appspot.com/
Jangan lupa kepada Smart phone security terutamanya telepon bimbit yang dijalankan
oleh Google Android. Boleh gunakan panduan ini sebagai permulaan.
http://benchmarks.cisecurity.org/en-us/?route=downloads.show.single.android.100
3. Laman-laman web yang dicadangkan untuk dilawati untuk berita bugs dan
masalah keselamatan ICT
http://www.linux.com/
http://www.sans.org/
http://www.cybersecurity.my/
Dapatkan notis keselamatan terkini daripada laman-laman web berikut :-
http://www.kb.cert.org/vuls/
http://packetstormsecurity.org/
http://www.mycert.org.my/
http://isc.sans.edu/ (Internet Storm Center)
Gunakan Google untuk mengetahui mana-mana laman web yang mungkin mempunyai
masalah bugs atau exploit.
http://www.exploit-db.com/google-dorks/
Anda boleh daftarkan laman web anda dengan Google Webmaster Tools untuk
mengetahui sebarang perubahan yang berlaku dalam isi kandungan laman web anda.
https://www.google.com/webmasters/tools/
Moga ia menjadi panduan semua.
Harisfazillah Jamel aka LinuxMalaysia
6 Nov 2012
This work is licensed under the Creative Commons Attribution-NonCommercial-
ShareAlike 2.5 Malaysia License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative
Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.