Home > Jaringan Komputer, Pemrograman Web, Serba-serbi > Software Design & Misuse Case

Software Design & Misuse Case


Dalam pengembangan suatu perangkat lunak, kita mengenal siklus bernama SDLC, singkatan dari System atau Software Development Life Cycle, siklus hidup pengembangan perangkat lunak. Ada 4 tahap dalam SDLC, yaitu PADI = Planning, Analysis, Design, Implementation. Pada tahap analisis dan perancangan sering digunakan diagram use case untuk menggambarkan apa saja yang dapat dilakukan sistem untuk pengguna tertentu. Namun, banyak sekali pengembang yang tidak memperhatikan faktor keamanan dalam perancangannya, di sinilah diperlukan diagram misuse case dan security use case.


Use case memberikan outline apa yang sistem akan lakukan, sedangkan misuse case menggambarkan apa yang dapat dilakukan terhadap sistem. Sedangkan security use case memperlihatkan apa yang harus dilakukan untuk mengantisipasi adanya aktifitas yang digambarkan oleh misuse case tersebut.

Seperti pada use case standard, pengembang software juga perlu membuat misuse case diagram dan memasukkan semua kemungkinan aktor dari sistem. Dengan kata lain, jangan hanya menganggap kita selalu mempunyai penyerang eksternal yang masuk ke dalam. Sangat mungkin sebuah sistem diserang oleh pengguna yang sudah dipercaya (diberi privileges). Pengembang harus memperhatikan, memperkirakan semua level peran penguna yang mungkin, baik insider maupun outsider.

Dengan melakukan ini, dapat dikatakan kita telah menyiapkan sebuah dasar yang tepat untuk mengamankan sistem dari berbagai kemungkinan di masa akan datang, saat sistem dijalankan secara real (selama dan setelah deployment).

Gambar 1 memperlihatkan beberapa titik lemah dari aplikasi yang terhubung ke jaringan, umumnya pada aplikasi berbasis web.

Gambar 1. Daerah kritis bagi misuse case pada suatu aplikasi

Gambar 1. Daerah kritis bagi misuse case pada suatu aplikasi

Gambar 2 memperlihatkan sebuah diagram use case (sebelah kiri) dan diagram misuse case (sebelah kanan) pada suatu sistem portal berbasis web.

Gambar 2. Use case dan misuse case pada sistem web portal

Gambar 2. Use case dan misuse case pada sistem web portal

Sedangkan gambar 3 memperlihatkan diagram untuk sebuah sistem e-commerce:

Gambar 3. Diagram case untuk sistem e-commerce

Gambar 3. Diagram case untuk sistem e-commerce

Berikut ini adalah beberapa celah atau peluang yang dapat digunakan oleh misuser atau pengguna yang memanfaatkan sistem di luar dari cara yang dibolehkan atau diharapkan oleh pemilik sistem:

1. Mengeksploitasi kesalahan konfigurasi server.
2. Melakukan crack terhadap mekanisme otentikasi sistem
3. Menganalisa data dalam pengiriman data yang tidak diamankan, misalnya data teks murni tanpa dibungkus suatu mekanisme enskripsi
4. Masukkan data sampah (junk) ke dalam field form dan URL
5. Mengeksploitasi logika registrasi pengguna
6. Menyembunyikan identitas untuk mengaburkan jejak

Memanfaatkan semua misuse case, pengembang harus meyakinkan cara-cara alternatif serangan yang mungkin terjadi. Sebagai contoh, pada halaman HTML, adanya field form dan field hidden dapat menjadi media terjadinya serangan melalui manipulasi URL.

Referensi:
>>> Kevin Beaver. 2008. Getting started with Web application misuse cases [online], http://searchsoftwarequality.techtarget.com/tip/0,289483,sid92_gci1310166,00.html,24 November 2008.
>>> Ian Alexander . 2003. Misuse Cases – Use Cases with Hostile Intent [online], http://easyweb.easynet.co.uk/~iany/consultancy/misuse_cases_hostile_intent/misuse_cases_hostile_intent.htm, 24 November 2008
>>> Guttorm Sindre, Andreas L. Opdah, Templates for Misuse Case Description

  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: