FIREWALL

A.    Pengertian

Firewall adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar.

Mengingat saat ini banyak perusahaan yang memiliki akses ke internet dan juga tentu saja jaringan korporat didalamnya, maka perlindungan terhadap aset digital perusahaan tersebut dari serangan para hacker, pelaku spionase, ataupun pencuri data lainnya, menjadi esensial. Jadi firewall adalah suatu mekanisme untuk melindungi keamanan jaringan komputer dengan menyaring paket data yang keluar dan masuk di jaringan.

Manfaat Firewall :

1.      Mengatur lalu lontas/trafik data antar jaringan

2.      Dapat menmgatur port atau paket data yang diperbolehkan atau ditolak

3.      Autentikasi terhadap akses

4.      Memonitoring ataumencatat lalu lintas jaringan

B.     Jenis-jenis Firewall

1.      Packet Filtering Gateway

Packet Filtering Gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi terhadap paket-paket yang datang dari luar jaringan yang dilindunginya. Filterisasi paket ini hanya terbataspada sumber paket, tujuan paket, dan atribut-atribut dari paket tersebut, misalnya paket tersebut bertujuan ke server kita yang menggunakan alamat IP 202.51.226.35 dengan port 80. Port 80 adalah atribut yang dimiliki oleh paket tersebut . Seperti yang dilihat pada gambar 11.4, firewall tersebut akan melewatkan paket dengan tujuan ke Web Server yang menggunakan port 80 dan menolak paket yang menuju Web Server dengan port 23.

      Bila kita lihat dari sisi arsitektur TCP/IP, firewall ini akan bekerja pada layar internet. Firewall ini biasanya merupakan bagian dari sebuah router firewall. Spftware yang dapat digunakan untuk implementasi paket filtering diantaranya adalah iptables dan ipfw.

2.      Aplication Layer Gateway

Model firewall ini juga dapat disebut Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, Mekanisme lainnya yang terjadi adalah paket tersebut tidak akan secara langsung sampai ke server tujuan, akan tetapi hanya sampai firewall saja. Selebihnya firewall ini akan membuka koneksi baru ke server tujuan dan atribut paket, tapi bisa mencapai isi (content) paket tersebut. Tujuan setelah paket tersebut diperiksa berdasarkan aturan ang berlaku.

Bila kita lihat dsri sisi layer TCP/IP, firewall jenis ini akan melakukan filterisasipada layer aplikasi (Aplication Layer)

3.      Circuit Level Gateway

Model firewall circuit level gateway ini bekerja pada bagian Lapisan Transport model referensi  TCP/IP. Fiewall ini kan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut diperbolehkan atau tidak. Bentuknya hampir sama dengan Aplication Layer Gateway, hanya saja bagian yang difilter terdapa ada lapisan yang berbeda, yaitu berada pada layer Transport.

4.      Satefull Multilayer Inspection Firewall

Model firewall ini merupakan gabungan dari tiga firewall sebelumnya. Firewll jenis ini akan bekerja pada lapisan Aplikasi,Transport dan Internet. Dengan penggabungan ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway dan Circuit Level Gateway, mungkin dapat dikatakan firewall jenis ini merupakan firewall yang memberikan fitur terbanyak dan memberikan tingkat keamanan yang paling tinggi

GAMBAR HUBUNGAN KERJA FIREWALL DENGAN SUSUNAN LAPISAN MODEL REFERENSI TCP/IP 

 

 IPS sebenarnya merupakan kombinasi antara fasilitas blocking capabilities dari Firewall dan kedalaman inspeksi paket data dari Intrusion Detection System (IDS). Sehingga system ini dapat mendeteksi jika ada penyusup (intruder) melakukan serangan ke jaringan lokal kita dan juga mencatat semua paket data yang masuk. Oleh karena itu IPS dapat memblock semua serangan yang dilakukan oleh intruder dan juga mencatat semua log yang teridentifikasi. Berbeda dengan IDS yang hanya bisa mencatat atau memberi notifikasi bila ada serangan masuk. IPS juga bisa menggunakan signature untuk mendeteksi traffic dalam jaringan, sehingga pencegahan serangan dapat dilakukan sedini mungkin.

IPS membuat akses kontrol dengan cara melihat konten aplikasi, dari pada melihat IP address atau ports, yang biasanya dilakukan oleh firewall. IPS komersil pertama dinamakan BlackIce diproduksi oleh perusahaan NetworkIce, hingga kemudian berubah namanya menjadi ISS(Internet Security System). Sistem setup IPS sama dengan sistem setup IDS. IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. Secara logic IPS akan menghalangi suatu serangan sebelum terjadi eksekusi dalam memori, selain itu IPS membandingkan file checksum yang tidak semestinya mendapatkan izin untuk dieksekusi dan juga bisa menginterupsi sistem call.

Jenis-jenis IPS:

1. Host-based Intrusion Prevention System (HIPS)

HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature.

Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada aplikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusion pada webserver misalnya. Dari sisi security mungkin solusi 

2.  Network-based Intrusion Prevention System (NIPS)

Network Based IPS (NIPS) atau In-line proactive protection dapat menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi performansi bandwidth. Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS). 

Cara Kerja IPS

Cara kerja IPS hampir sama seperti kinerja  IDS. Pertama IDS (Intrusion Detection System) melindungi sistem  komputer  dengan  mendeteksi serangan dan menghentikannya. Awalnya, IDS melakukan pencegahan  intrusi.  Untuk  itu,  IDS mengidentifikasi  penyebab  intrusi  dengan  cara membandingkan antara event yang dicurigai sebagai intrusi dengan tanda yang  ada.  Saat  sebuah intrusi telah  terdeteksi, maka  IDS  akan  mengirim  sejenis peringatan ke administrator. Disini Firewall akan menblock serangan yang diduga merupakan suatu Intrusion.

Keamanan Jaringan (Network Security)
Keamanan jaringan merupakan upaya yang dilakukan untuk melindungi jaringan dari bahaya atau resiko kerugian, atau dengan kata lain untuk membuat jaringan aman dari penyusup, kesalahan dan ancaman lainnya. Keamanan jaringan dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tujuan utama dari keamanan jaringan adalah untuk mencegah kerugian yang tidak terduga atau akses yang tidak sah sehingga semua proses bisnis yang memang diperlukan dapat berjalan dengan normal.
Dalam jaringan komputer, khususnya yang berkaitan dengan aplikasi yang melibatkan berbagai kepentingan, akan banyak terjadi hal yang dapat mengganggu kestabilan koneksi jaringan komputer, baik yang berkaitan dengan hardware (pengamanan fisik, sumber daya listrik) maupun yang berkaitan dengan software (sistem, konfigurasi, sistem akses, dll). Gangguan pada sistem dapat terjadi karena faktor ketidaksengajaan yang dilakukan oleh pengelola maupun oleh pihak ketiga. Gangguan tersebut dapat berupa pengrusakan, penyusupan, pencurian hak akses, penyalahgunaan data maupun sistem, sampai tindak kriminal melalui aplikasi jaringan komputer.
Aturan utama keamanan jaringan meliputi:
Confidentiality
Bahwa sistem memiliki kerahasiaan ketika hanya mereka yang telah diizinkan untuk mengakses data elektronik tertentu.
Integrity
Sistem memiliki integritas ketika data elektronik hanya dapat dimodifikasi oleh mereka yang diperbolehkan untuk melakukannya.
Available
Sistem memiliki ketersediaan ketika data elektronik dapat diakses ketika dibutuhkan oleh mereka yang berwenang untuk melakukannya.
Macam-macam keamanan jaringan:
Autentikasi
Adalah proses pengenalan peralatan, sistem operasi, aplikasi dan identitas user yang terhubung dengan jaringan komputer, misalnya user memasukkan username dan password pada saat login ke jaringan. Tahapan dari autentikasi tersebut berupa:
Autentikasi untuk mengetahui lokasi dari peralatan pada suatu simpul jaringan (data link layer dan network layer).
Autentikasi untuk mengenal sistem operasi yang terhubung ke jaringan (transport layer).
Autentikasi untuk mengetahui fungsi/proses yang sedang terjadi di suatu simpul jaringan (session dan presentation layer)
Autentikasi untuk mengenali user dan aplikasi yang digunakan
Enkripsi
Enkripsi adalah teknik pengkodean data yang dapat berguna untuk menjaga data/file baik di dalam komputer maupun pada jalur komunikasi dari pemakai yang tidak dikehendaki. Enkripsi diperlukan untuk menjaga kerahasiaan data. Ada 2 teknik dalam enkripsi yaitu DES (Data Encription Standard) dan RSA (Rivest Shamir Adelman)
VPN
VPN (Virtual Private Network) adalah jaringan komunikasi lokal yang dapat terhubung melalui media jaringan. Fungsi dari VPN adalah untuk memperoleh komunikasi yang aman melalui internet.
DMZ
DMZ (De-Militerized Zone) berfungsi untuk melindungi sistem internal dari serangan hacker.
Keamana jaringan bisa sewaktu-waktu mendapatkan ancaman maupun serangan dari pihak yang tidak bertanggungjawab. Ancaman dan serangan yang dapat terjadi terhadap keamanan jaringan bisa berupa ancaman fisik dan ancaman logik.
Ancaman Fisik dapat berupa:
Gangguan pada kabel
Konsleting
Data tidak tersalurkan dengan baik
Kerusakan harddisk
Ancaman Logik dapat berupa:
Deface (merubah tampilan)
Malicious Code (ancaman menggunakan kode berbahaya)
Request Flooding (ancaman dengan membanjiri banyak request pada sistem)
Social Engineering (ancaman pada sisi sosial dengan memanfaatkan kepercayaan pengguna)
Bentuk ancaman jaringan juga bisa berupa:
Phreaking, perilaku menjadikan sistem pengamanan telepon menjadi lemah.
Hacker, orang yang secara diam-diam mempelajari sistem yang biasanya sukar dimengerti untuk kemudian mengelolanya dan men-share hasil uji coba yang dilakukannya. Namun hacker tidak merusak sistem.
Craker, orang yang secara diam-diam mempelajari sistem dengan maksud jahat. Craker muncul karena sifat dasar manusia yang selalu ingin membangun, salah satunya merusak.
Adapun tips keamanan jaringan yang bisa dilakukan untuk melindungi jaringan dari bahaya, meliputi:
Menggunakan AntiVirus yang sesuai dengan kebutuhan yang berfungsi untuk mencegah berbagai macam virus komputer.
Meng-update  komputer, tidak hanya antivirus pada komputer yang diupdate tapi juga software yang terinstal dikomputer demi keamanan komputer.
Jangan sembarangan browsing, kebiasaan yang dilakukan oleh seseorang biasanya mereka mengunjungi situs-situs bajakan seperti mp3, mp4 bajakan padahal disitus tersebut terdapat virus pathogen yang dapat menyebar ke komputer.
Biasanya disetiap komputer/laptop terdapat sebuah aplikasi Firewall untuk melindungi data yang tersimpan di komputer/laptop. Pengertian dari Firewall adalah aplikasi pada sistem operasi yang dibutuhkan oleh jaringan komputer untuk melindungi sistem jaringan dari serangan orang yang tidak bertanggungjawab. Caranya dengan melakukan filterisasi terhadap paket-paket yang melewatinya. Pada firewall terjadi beberapa proses yang memungkinkan untuk melindungi jaringan, diantaranya:
Modifikasi Header Paket berfungsi untuk memodifikasi kualitas layanan bit paket TCP sebelum mengalami proses routing.
Translasi Alamat Jaringan berfungsi untuk mentranslasikan alamat IP privat ke IP publik.
Filter paket berfungsi untuk menentukan nasib paket apakah dapat diteruskan atau tidak.
Jenis-jenis Firewall:
Packet Filtering Gateway bertugas untuk melakukan filterisasi terhadap paket-paket yang datang dari luar jaringan yang dilindunginya.
Application Layer Gateway bertugas melakukan filterisasi pada layer aplikasi.
Circuit Level Gateway bekerja pada bagian lapisan transport dari model referensi TCP/IP, firewall ini melakukan pengawasan terhadap awal hubungan TCP.
Statefull Multilayer Inspection Firewall merupakan penggabungan dari ketiga firewall diatas. Firewall ini bekerja pada lapisan aplikasi, transport dan internet. Firewall ini memberikan keamanan yang paling tinggi.
Berikut adalah cara kerja dari Firewall dalam melakukan keamanan jaringan:
Menolak dan memblokir paket data yang datang berdasarkan sumber dan tujuan yang tidak diinginkan.
Menolak dan menyaring paket data yang berasal dari jaringan internal ke internet.
Menolak dan menyaring paket data berdasarkan konten yang tidak diinginkan. Misalnya firewall yang terintegrasi pada suatu antivirus akan menyaring dan mencegah file yang sudah terjangkit virus yang mencoba memasuki jaringan internal.
Melaporkan semua aktifitas jaringan dan kegiatan firewall.


Referensi:
adrianti.staff.gunadarma.ac.id/Downloads/files/.../Keamanan+jaringan+komputer.pdf
http://www.cs.unsyiah.ac.id/~frdaus/PenelusuranInformasi/File-Pdf/kk15.pdf
http://edysusanto.com/wp-content/uploads/2013/09/Keamanan-Jaringan.pdf
https://microcyber2.com/sistem-keamanan-jaringan-komputer/

IDS (Intrution Detection System)
IDS adalah sebuah sistem yang melakukan pengawasan terhadap lalu lintas (traffic) jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan mencurigakan yang berhubungan dengan lalulintas jaringan, maka IDS akan memberikan perintah kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap lalulintas yang tidak normal/anomali melalui aksi pemblokiran user atau alamat IP yang melakukan usaha pengaksesan jaringan tersebut. Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.
Beberapa jenis dari IDS adalah:
NIDS (Network Intrusion Detection System)
IDS jenis ini ditempatkan disebuah tempat/titik yang strategis atau didalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang berasal dari semua alat-alat (devices) dalam jaringan. Semua lalulintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan.
HIDS (Host based IDS)
IDS jenis ini diletakkan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringa akan adanya kegiatan yang mencurigakan yang terdeteksi oleh HIDS.
IDS memiliki 4 metode untuk melakukan deteksi, yaitu:
Signatured Based Detection
Metode ini akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Metode ini efektif bila IDS mendeteksi ancaman yang sudah dikenal tetapi tidak efektif bila ancamannya baru atau tidak dikenal oleh IDS.
Anomaly Based Detection
IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan  identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.
Passive IDS
IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang  mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.
Reactive IDS
IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan proaktif untuk  merespon terhadap serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba  melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.
Pada umumnya suatu Intrusion Detection System digunakan untuk mendeteksi segala macam kegiatan yang tidak di authorisasi ataupun kegiatan yang berbahaya lainnya. IDS memeriksa semua kegiatan traffic jaringan inbound dan outbound dan mengidentifikasi pola-pola yang mencurigakan yang menjurus suatu compromi system atau serangan ke system. Intrusion Detection System bisa membantu anda dalam hal-hal berikut ini:
Secara active mengamati segala macam kegiatan yang mencurigakan
Memeriksa audit logs dengan sangat cermat dan seksama
Mengirim alert kepada administrator saat event-2 khusus di deteksi
Mengunci file-2 penting atau mengunci kemampuannya agar kesaktiannya hilang saat dikuasai oleh musuh
Melacak segala bentuk penyusupan yang bersifat cepat maupun lambat
Memberi tanda segala macam kerentanan yang diketemukan
Mengindentifikasi titik asal penyusup
Melacak lokasi dari logical maupun physical si pembuat onar / penyusup
Terminasi atau interupsi segala macam percobaan penyusupan dan serangan
Dan melakukan konfigurasi ulang router dan firewall untuk mencegah pengulangan-2 dari serangan yang berhasil diketemukan / dideteksi.
Pencegahan terhadap usaha penyusupan memerlukan pemeliharaan yang mencukupi dari suatu system keamanan secara keseluruhan, seperti menerapkan patches dan setting control security. Termasuk juga perlunya merespon segala usaha penyusupan yang telah diketemukan oleh IDS dengan membangun suatu penghalang untuk mencegah terjadinya serangan serupa di masa mendatang. Hal ini bisa saja hanya sekedar mengupdate software atau re-configure access control, atau yang paling drastis adalah configurasi ulang firewall, menghapus atau menggantikan suatu aplikasi atau layanan, bahkan perlunya design ulang infrastruktur jaringan. Keamanan infrastruktur jaringan sangat vital sekali untuk dikedepankan terutama untuk keamanan entry point kearah internet-jaringan publik. Salah satu contoh IDS adalah Cisco IDS 4200 Series.


Referensi:
https://rahedy.wordpress.com/2010/06/10/apakah-itu-ids-intrution-detection-system/
https://keamanan-informasi.stei.itb.ac.id/2013/10/30/menangani-serangan-intrusi-menggunakan-ids-dan-ips/

Celah Keamanan (Vulnerability)
Celah keamanan adalah suatu kelemahan program/infrastruktur yang memungkinkan terjadinya eksploitasi sistem. Celah keamanan ini terjadi karena adanya kesalahan dalam merancang, membuat atau mengimplementasikan sebuah sistem. Hal ini akan dimanfaatkan oleh para hacker sebagai jalan untuk masuk kedalam sistem secara ilegal. Hacker biasanya akan membuat Exploit yang disesuaikan dengan celah yang telah ditemukannya. Jika celah keamanan tersebut ditemukan oleh hacker jahat kemungkinan akan digunakan untuk mengeksploit sistem kemudian akan dilelang dan dijual ke penawar tertinggi, akan tetapi jika celah tersebut ditemukan oleh hacker baik biasanya hacker akan melaporkan celah keamanan tersebut ke develpoer aplikasi agar diperbaiki. Vulnerability terjadi ketika developer melakukan kesalahan logika koding atau menerapkan validasi yang tidak sempurna sehingga aplikasi yang dibuatnya mempunyai celah yang memungkinkan user dari luar sistem bisa dimasukkan kedalam programnya.
Zero Vulnerability adalah vulnerability yang ditemukan oleh hacker sedangkan pihak developer tidak mengetahuinya, kemudian hacker mengambil keuntungan dari hal tersebut untuk menyebarkan malware atau masuk ke sistem secara ilegal. Sedangkan Zero Day Exploit adalah exploit yang dibuat oleh hacker berdasarkan zero day vulnerability yang ditemukan oleh hacker untuk mengeksploitasi sistem yang rentan terhadap vulnerability.
Vulnerability yang sering diexploitasi pada umunya berada pada level software karena dapat dilakukan dengan remot dari jarak jauh dan menjadi target favorite hacker.
Firmware (Hardcoded Software)
Firmware adalah software/mini operating system yang tertanam alngsung kedalam chip pada perangkat tertentu seperti router, kamera, scanner, dll. Vulnerability di level firmware akan sangat berbahaya jika terjadi pada perangkat router karena hacker akan menggunakan celah yang ada untuk membobol router dan memodifikasinya. Maka vendor tiap perangkat akan menyediakan pembaruan/update untuk perangkatnya.
Operating System/Sistem Operasi
Untuk mengatasi vulnerability usahakan mengaktifkan fitur automatic update agar operating sistem selalu melakukan pembaruan ketika update tersedia.
Aplikasi (Software)
Aplikasi yang kita jadikan prioritas utama untuk update adalah aplikasi yang bersentuhan langsung dengan internet seperti browser, document reader, download manager. Hal ini untuk mencegah eksploitasi terhadap program tersebut ketika digunakan untuk mencari informasi di internet.
Brainware (Operator Komputer)
Walaupun semua sistem telah dirancang seaman mungkin tetapi pengetahuan setiap orang berbeda-beda. Ketidaktahuan operator inilah yang dimanfaatkan oleh hacker untuk mendapatkan akun/informasi dengan teknik social engineering tanpa disadari oleh operator.
Vulnerability  pada aplikasi web
Pada aplikasi web terdapat banyak komponen sehingga aplikasi web tersebut mempunyai banyak sisi untuk diserang. Web sevice dapat diserang dengan DDOS/ eksploitasi yang lain, php library juga bisa diserang dan aplikasi web itu sendiri bisa diserang sehingga aplikasi web membutuhkan extra proteksi untuk menjaga agar website aman dari hacker. Untuk masalah keamanan web service, php library atau library yang lain biasanya menjadi tanggung jawab penyedia hosting.
Jenis eksploitasi terhadap sistem vulnerability (celah keamanan) salah satunya adalah Local Exploit. Exploit jenis ini biasanya digunakan untuk mengangkat user privilage sehingga aplikasi dengan user biasa bisa memiliki hak akses administrator. Biasanya attacker akan memasukkan payload kedalam file sesuai formst aplikasi yang vulnerable dan ketika file dibuka otomatis program yang terdapat celah akan mengeksekusi payload yang berisi shellcode atau perintah untuk mendownload dan mengeksekusi payload dari remote server dan ahirnya hacker sudah masuk kedalam sistem. Exploit jenis ini hanya bisa berjalan di komputer yang terinstall program tertentu yang memiliki celah kemanan.
Teknik yang dapat dilakukan untuk mencegah eksploitasi vulnerability (celah kemanan) adalah dengan melakukan update Operating System, Firmware dan aplikasi. Selalu update secara berkala baik operating sistem ataupun aplikasi karena vulnerability bisa berasal dari operating software ataupun aplikasi yang terinstall dikomputer. Update aplikasi merupakan obat untuk mengatasi vulnerability.

Referensi :
https://www.tembolok.id/pengertian-vulnerability-contoh-dan-pencegahan/