Introduction to

computer and network
security

Beberapa Statistik tentang
Computer/Information Security
Survey Information Week (USA), 1271 system

or network manager, hanya 22% yang
menganggap keamanan sistem informasi
sebagai komponen penting.
Kesadaran akan masalah keamanan masih
rendah!

Statistik

(sambungan)

Bagaimana untuk membujuk management

untuk melakukan invest di bidang keamanan?
Membutuhkan justifikasi perlunya investment
infrastruktur keamanan

Rendahnya kesadaran akan masalah
keamanan!

Timbul Masalah
Security

Management:
“nyambung dulu (online dulu),
security belakangan”
“Sekarang kan belum ada masalah!”
“Bagaimana ROI?”
Praktisi:
“Pinjam password admin, dong”

Statistik

(sambungan)

Angka pasti, sulit ditampilkan karena kendala

bisnis. Negative publicity.

 1996. FBI National Computer Crime Squad, kejahatan komputer

yang terdeteksi kurang dari 15%, dan hanya 10% dari angka itu
yang dilaporkan.
 1996. American Bar Association: dari 1000 perusahaan, 48%
telah mengalami computer fraud dalam kurun 5 tahun terakhir.
 1996. Di Inggris, NCC Information Security Breaches Survey:
kejahatan komputer naik 200% dari 1995 ke 1996.
 1997. FBI: kasus persidangan yang berhubungan dengan
kejahatan komputer naik 950% dari tahun 1996 ke 1997, dan
yang convicted di pengadilan naik 88%.

Statistik

(sambungan)

 1988. Sendmail dieksploitasi oleh R.T. Morris sehingga

melumpuhkan Internet. Diperkirakan kerugian mencapai
$100 juta. Morris dihukum denda $10.000.
 10 Maret 1997. Seorang hacker dari Massachusetts berhasil
mematikan sistem telekomunikasi sebuah airport lokal
(Worcester, Mass.) sehingga memutuskan komunikasi di
control tower dan menghalau pesawat yang hendal
mendarat
 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial
of Service (Ddos) attack terhadap Yahoo, eBay, CNN,
Amazon, ZDNet, E-Trade. Diduga penggunaan program
Trinoo, TFN.

Statistik

(sambungan)

 Jumlah kelemahan (vulnerabilities) sistem informasi yang

dilaporkan ke Bugtraq meningkat empat kali (quadruple)
semenjak tahun 1998 sd tahun 2000. Dari 20 laporan
perbulan menjadi 80 laporan perbulan.
 1999. Common Vulnerabilities and Exposure cve.mitre.org
mempublikasikan lebih dari 1000 kelemahan sistem. CVE
terdiri dari 20 security entities.
 2000. Ernst & Young survey menunjukkan bahwa 66%
responden menganggap security & privacy menghambat
(inhibit) perkembangan e-commerce
 2001. Virus SirCam mengirimkan file dari harddisk korban.
File rahasia bisa tersebar. Worm Code Red menyerang sistem
IIS kemudian melakukan port scanning dan menyusup ke
sistem IIS yang ditemukannya.

1999 Computer Security Institute (CSI) / FBI Computer Crime Survey
menunjukkan beberapa statistik yang menarik, seperti misalnya ditunjukkan
bahwa “disgruntled worker” (orang dalam) merupakan potensi attack / abuse.
http://www.gocsi.com

Disgruntled workers
Independent hackers
US Competitors
Foreign corp
Forign gov.

86%
74%
53%
30%
21%

“Tujuh-puluh sembilan persen eksekutif senior
terjebak dalam kesalahan berfikir bahwa ancaman
terbesar terhadap keamanan sistem berasal dari luar
(eksternal)”
“Walaupun kebanyakan responden sudah
memikirkan tentang hacker, kurangnya atau bahkan
tidak adanya implementasi security policy dan
kurangnya kesadaran karyawan adalah ancaman
terbesar bagi sistem online mereka”

http://www.cs.berkeley.edu/~nweaver/sapp
hire/

worm mengeksploit bug MS-SQL server, peta penyebaran
dalam 30 menit

Statistik di Indonesia

• Januari 1999. Domain Timor Timur (.tp) diacak-acak



dengan dugaan dilakukan oleh orang Indonesia
September 2000. Mulai banyak penipuan transaksi di
ruangan lelang (auction) dengan tidak mengirimkan
barang yang sudah disepakati
24 Oktober 2000. Dua Warnet di Bandung digrebeg
karena menggunakan account dialup curian
Banyak situs web Indonesia (termasuk situs Bank)
yang diobok-obok (defaced)
Akhir tahun 2000, banyak pengguna Warnet yang
melakukan kegiatan “carding”

Statistik di Indonesia
(sambungan)

 Juni 2001. Situs plesetan “kilkbca.com” muncul dan menangkap

PIN pengguna klikbca.com
 Seorang operator komputer di sebuah rumah sakit mencuri obatobatan dengan mengubah data-data pembelian obat
 Oktober 2001. Jaringan VSAT BCA terputus selama beberapa jam
sehingga mesin ATM tidak dapat digunakan untuk transaksi. Tidak
diberitakan penyebabnya.
 3 April 2002. Pada siang hari (jam 14:34 WIB), sistem BEJ macet
sehingga transaksi tidak dapat dilakukan sampai tutup pasar (jam
16:00). Diduga karena ada transaksi besar (15 ribu saham TLKM
dibeli oleh Meryll Lynch). Padahal ada perangkat (switch) yang
tidak berfungsi
 Oktober 2002. Web BRI diubah (deface)

Koran Tempo, 26 September 2003

Sumber:
Surat Pembaca, Kompas, 2003

Mungkinkah aman?
Sangat sulit mencapai 100% aman
Ada timbal balik antara keamanan vs.

kenyamanan (security vs convenience)
 Semakin tidak aman, semakin nyaman

Definisi computer security:
(Garfinkel & Spafford)

A computer is secure if you can depend on it
and its software to behave as you expect

Why we need information security ?

• Information‐based society
• security hole
•Information can be stolen - but you still have it
•Confidential information may be copied and sold but the theft might not be detected
•The criminals may be on the other side of the
world

Peningkatan Kejahatan
Komputer
BeBeRaPa SeBaB

Aplikasi bisnis yang berbasis
komputer / Internet meningkat.
 Internet mulai dibuka untuk publik tahun 1995
 Electronic commerce (e-commerce)
 Statistik e-commerce yang semakin

meningkat.
 Semakin banyak yang terhubung ke jaringan
(seperti Internet).

Peningkatan Kejahatan
Komputer
Desentralisasi server.
 Terkait dengan langkanya SDM yang handal
 Lebih banyak server yang harus ditangani dan
butuh lebih banyak SDM dan tersebar di
berbagai lokasi. Padahal susah mencari SDM
 Server remote seringkali tidak terurus
 Serangan terhadap server remote lebih susah
ditangani (berebut akses dan bandwidth
dengan penyerang)

Peningkatan Kejahatan Komputer
Transisi dari single vendor ke multi-

vendor.

 Banyak jenis perangkat dari berbagai vendor

yang harus dipelajari. Contoh:

Untuk router: Cisco, Bay Networks, Nortel,
3Com, Juniper, Linux-based router, …
Untuk server: Solaris, Windows NT/2000/XP,
SCO UNIX, Linux, *BSD, AIX, HP-UX, …
 Mencari satu orang yang menguasai semuanya
sangat sulit. Apalagi jika dibutuhkan SDM yang
lebih banyak

Peningkatan Kejahatan
Komputer
Pemakai makin melek teknologi dan

kemudahan mendapatkan software.

 Ada kesempatan untuk menjajal. Tinggal

download software dari Internet.
(Script kiddies)
 Sistem administrator harus selangkah di
depan.

Peningkatan Kejahatan
Komputer
Kesulitan penegak hukum untuk

mengejar kemajuan dunia
telekomunikasi dan komputer.
 Cyberlaw belum matang
 Tingkat awareness masih rendah

 Technical capability masih rendah

Peningkatan Kejahatan Komputer
Meningkatnya kompleksitas sistem

(teknis & bisnis)

 Program menjadi semakin besar. Megabytes.

Gigabytes.
 Pola bisnis berubah: partners, alliance, inhouse
development, outsource, …
 Potensi lubang keamanan juga semakin besar.

Contoh peningkatkan
kompleksitas
Operating system

Year

Windows 3.1
Windows NT
Windows 95
Wndows NT 4.0
Windows 98
Windows 2000

1992
1992
1995
1996
1998
2000

Lines of
Code
3 million
4 million
15 million
16.5 million
18 millions
35-60
millions

Fisik (physical security)
Manusia (people /
personel security)
Data, media, teknik
komunikasi
Kebijakan dan prosedur
(policy and procedures)

Biasanya orang
terfokus kepada
masalah data,
media, teknik
komunikasi.
Padahal kebijakan
(policy) sangat
penting!

Letak potensi lubang keamanan
ISP

Network
sniffed,
attacked

Holes
1.
2.
3.

Internet
Network
sniffed, attacked

Users
Trojan horse

Userid, Password,
PIN, credit card #

System (OS)
Network
Applications (db)

Network
sniffed,
attacked

Web
Site

- Applications
(database,
Web server)
hacked
-OS hacked

www.bank.co.id

Klasifikasi kejahatan Komputer

Level annoying

Level Dangerous

Menurut David Icove Howard, “An Analysis Of Security Incidents On The Internet
1989 ‐ 1995,” PhD thesis, Carnegie Mellon University, 1997.]
“berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi”

 physical security

Keamanan yang bersifat fisik termasuk akses orang ke gedung,
peralatan, dan media yang digunakan. Contoh :
•Wiretapping atau hal‐hal yang ber‐hubungan dengan akses ke kabel
atau komputer yang digunakan juga dapat dimasukkan ke dalam
kelas ini.
•Denial of service, dilakukan misalnya dengan mematikan peralatan
atau membanjiri saluran
komunikasi dengan pesan‐pesan
(yang dapat berisi apa saja karena yang diuta‐makan adalah
banyaknya jumlah pesan).
•Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh
permintaan sehingga dia
menjadi ter‐lalu sibuk dan bahkan
dapat berakibat macetnya sistem (hang)

 Personal :Keamanan yang berhubungan dengan orang

Contohnya :
• Identifikasi user (username dan password)
•Profil resiko dari orang yang mempunyai akses
(pemakai dan pengelola).
 Communications : Keamanan dari data dan media serta teknik
komunikasi
 Operations : Keamanan dalam operasi
Adanya prosedur yang digunakan untuk mengatur dan mengelola sistem
keamanan, dan juga ter‐masuk prosedur setelah serangan (post attack
recovery)

Karakteristik Penyusup
 The Curious (Si Ingin Tahu)
tipe penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang anda miliki

The Malicious (Si Perusak)
tipe penyusup ini berusaha untuk merusak sistem anda, atau merubah web page
anda, atau sebaliknya membuat waktu dan uang anda kembali pulih
The High-Profile Intruder (Si Profil Tinggi)
tipe penyusup ini berusaha menggunakan sistem anda untuk memperoleh
popularitas dan ketenaran. Dia mungkin menggunakan sistem profil tinggi anda
untuk mengiklankan kemampuannya
The Competition (Si Pesaing)
tipe penyusup ini tertarik pada data yang anda miliki dalam sistem anda. Ia
mungkin seseorang yang beranggapan bahwa anda memiliki sesuatu yang dapat
menguntungkannya secara keuangan atau sebaliknya

MEMAHAMI HACKER BEKERJA

Secara umum melalui tahapan‐tahapan sebagai
berikut :
1. Tahap mencari tahu system komputer sasaran.
2. Tahap penyusupan.
3. Tahap penjelajahan.
4. Tahap keluar dan menghilangkan jejak.

Seorang gadis cantik dan genit peserta kuliah UNIX di sebuah perguruan
tinggi memiliki potensi memancing pengelola sistem komputer (administrator
pemegang account root . . . hmmm) yang lengah. Ia melaporkan bahwa
komputer tempat ia melakukan tugas‐tugas UNIX yang diberikan tidak dapat
dipergunakan. Sang pengelola sistem komputer tentu saja dengan gagah
perkasa ingin menunjukkan kekuasaan sebagai administrator UNIX.
"Well, ini soal kecil. Mungkin password kamu ke blokir, biar saya perbaiki
dari tempat kamu", ujar administrator UNIX sombong sambil duduk
disebelah gadis cantik dan genit peserta kuliah tersebut.
Keesokan harinya, terjadilah kekacauan di sistem UNIX karena diduga
terjadi penyusupan oleh hacker termasuk juga hompepage perguruan tinggi
tersebut di‐obok‐obok, maklum pengelolanya masih sama. Selanjutnya pihak
perguruan tinggi mengeluarkan press release bahwa homepage mereka
dijebol oleh hacker dari Luar Negeri . . . . hihiii

Sebenarnya apa sih yang terjadi ?
Sederhana, gadis cantik dan genit peserta kuliah UNIX tersebut menggunakan
program kecil my_login dalam bentuk shell script yang menyerupai layar
login dan password sistem UNIX
Apabila program ini dijalankan maka akan ditampilkan layar login seperti
layaknya awal penggunaan komputer pdaa sistem UNIX:
Login
Password

:
:

Istilah bagi penyusup
 Mundane ; tahu mengenai hacking tapi tidak mengetahui metode dan
prosesnya.
 lamer (script kiddies) ; mencoba script2 yang pernah di buat oleh aktivis
hacking, tapi tidak paham bagaimana cara membuatnya.
 wannabe ; paham sedikit metode hacking, dan sudah mulai berhasil
menerobos sehingga berfalsafah ; HACK IS MY RELIGION.
 larva (newbie) ; hacker pemula, teknik hacking mulai dikuasai dengan
baik, sering bereksperimen.
 hacker ; aktivitas hacking sebagai profesi.
 wizard ; hacker yang membuat komunitas pembelajaran di antara mereka.
 guru ; master of the master hacker, lebih mengarah ke penciptaan toolstools yang powerfull yang salah satunya dapat menunjang aktivitas
hacking, namun lebih jadi tools pemrograman system yang umum.

Aspek – Aspek Keamanan
Komputer
Privacy / confidentiality
Integrity
Authentication
Availability
Non-repudiation
Access control

Privacy /
confidentiality
Privacy : merupakan lebih ke arah data-data

yang sifatnya privat (pribadi)
Confidentiality : merupakan usaha untuk
menjaga informasi dari orang yang tidak
berhak mengakses. Confidentiality biasaya
berhubungan dengan informasi yang
diberikan kepada pihak lain.

Privacy /
confidentiality
Proteksi data [hak pribadi] yang sensitif
 Nama, tempat tanggal lahir, agama, hobby,
penyakit yang pernah diderita, status
perkawinan
 Data pelanggan
 Sangat sensitif dalam e-commerce, healthcare
Serangan: sniffer, SOP tidak jelas
Proteksi: enkripsi
 Electronic Privacy Information Center http://www.epic.org

Electronic Frontier Foundartion http://www.eff.org

Integrity
Keaslian pesan yang dikirim melalui sebuah

jaringan dan dapat dipastikan bahwa
informasi yang dikirim tidak dimodifikasi oleh
orang yang tidak berhak dalam perjalanan
informasi tersebut.
Informasi tidak berubah tanpa ijin (tampered,
altered, modified)
Serangan: spoof, virus, trojan horse, man in
the middle attack
Proteksi: signature, certificate, hash

Authenticity
Meyakinkan keaslian data, sumber data,

orang yang mengakses data, server yang
digunakan
 penggunaan digital signature, biometrics

Serangan: password palsu, terminal palsu,

situs web palsu
Proteksi: certificates

Availability
Informasi harus dapat tersedia ketika

dibutuhkan

 Sistem informasi yang diserang atau dijebol

dapat menghambat atau meniadakan akses ke
informasi.
 Serangan terhadap server: dibuat hang, down,
crash, lambat

Serangan: Denial of Service (DoS) attack

(mulai banyak)
Proteksi: backup, IDS, filtering router, firewall

Non-repudiation
Merupakan hal yang bersangkutan dengan

sipengirim. Sipengirim tidak dapat mengelak
bahwa dialah yang mengirim informasi tersebut.
Tidak dapat menyangkal (telah melakukan
transaksi)
 menggunakan digital signature / certificates
 perlu pengaturan masalah hukum (bahwa digital

signature sama seperti tanda tangan
konvensional)

Access Control
Aspek ini berhubungan dengan cara

pengaturan akses kepada informasi.
Mekanisme untuk mengatur siapa boleh
melakukan apa
 biasanya menggunakan password, token
 adanya kelas / klasifikasi pengguna dan data

Aspek-Aspek Ancaman Keamanan
Komputer
(Jenis serangan)
• Interruption  merupakan suatu ancaman terhadap availability. Informasi
dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika
dibutuhkan, data atau informasi tersebut tidak ada lagi.

• Interception  merupakan ancaman terhadap kerahasiaan

(secrecy). Informasi yang ada disadap atau orang yang tidak berhak
mendapatkan akses ke komputer dimana informasi tersebut disimpan.

• Modification merupakan ancaman terhadap integritas. Orang yang
tidak berhak berhasil menyadap lalu lintas informasi yang sedang
dikirim dan diubah sesuai keinginan orang tersebut.

• Fabrication merupakan ancaman terhadap integritas. Orang yang
tidak berhak berhasil meniru (memalsukan) suatu informasi yang ada
sehingga orang yang menerima informasi tersebut menyangka
informasi tersebut berasal dari orang yang dikehendaki oleh
sipenerima informasi tersebut.

Jenis Serangan
(attack)
• Menurut W. Stallings
• Interruption

DoS attack, network flooding

• Interception

A

B

Password sniffing

• Modification

Virus, trojan horse

• Fabrication

spoffed packets

E

Interruption Attack
Denial of Service (DoS) attack
 Menghabiskan bandwith, network flooding
 Memungkinkan untuk spoofed originating
address
 Tools: ping broadcast, smurf, synk4, macof,
various flood utilities
Proteksi:
 Sukar jika kita sudah diserang
 Filter at router for outgoing packet, filter attack

orginiating from our site

Interception Attack
Sniffer to capture password and other

sensitive information
Tools: tcpdump, ngrep, linux sniffer, dsniff,
trojan (BO, Netbus, Subseven)
Protection: segmentation, switched hub,
promiscuous detection (anti sniff)

Modification Attack
Modify, change information/programs
Examples: Virus, Trojan, attached with email

or web sites
Protection: anti virus, filter at mail server,
integrity checker (eg. tripwire)

Fabrication Attack
Spoofing address is easy
Examples:
 Fake mails: virus sends emails from fake users

(often combined with DoS attack)
 spoofed packets

Tools: various packet construction kit
Protection: filter outgoing packets at router

More on Interruption
Attack (cont.)
Distributed Denial of Service (DDoS) attack
 Flood your network with spoofed packets from
many sources
 Based on SubSeven trojan, “phone home” via
IRC once installed on a machine. Attacker
knows how many agents ready to attack.
 Then, ready to exhaust your bandwidth
 See Steve Gibson’s paper http://grc.com

Teknologi Kriptografi
Penggunaan enkripsi (kriptografi) untuk

meningkatkan keamanan
Private key vs public key
Contoh: DES, IDEA, RSA, ECC

Mempelajari crackers
Ada baiknya mengerti prilaku perusak.
Siapakah mereka?
Apa motifnya?
Bagaimana cara masuk?
Apa yang dilakukan setelah masuk?

Crackers SOP /
Methodology
Dari “Hacking Exposed”:
Target acquisition and information gathering
Initial access
Privilege escalation
Covering tracks
Install backdoor
Jika semua gagal, lakukan DoS attack

IT SECURITY FRAMEWORK

Pengamanan
Menyeluruh
Harus menyeluruh - holistic approach
PEOPLE

PROCESS

TECHNOLOGY

• awareness, skill
• ...
• security as part of
business process
• ...
• implementation
• ...

IDS
Customer

(with authentication device)

detect
intrusions

core
banking
applications

Internet

Firewal

Internet
Web server(s) Firewall banking
gateway

protect access
to web server

protect access
to SQL

Sign up to vote on this title
UsefulNot useful