KULIAH KEAMANAN KOMPUTER

OLEH Ir KI PRAMONO HA, MMSi

JAKARTA 1989,2000,2002,2006

Daftar Pustaka
1. Lance J Hoffman, 1979, MODERN METHODS FOR COMPUTER SECURITY & PRIVACY, California Security World Publisting Co Inc 2. IBI & ABC, 1993,Computer Fraud and Electronic Banking Crime, 1993 3. William Stallings, 2003,"Cryptography and Network Security: Principles and Practice",3nd Edition, Prentice-Hall Inc 4. Pfleeger, C.P., 2003, Security in Computing, Prentice-Hall, 3rd Edition 5 Katzenbeisser, S. and Petitcolas, F.A.P., 2000, Information Hiding: techniques for steganography and digital watermarking , Artech House

BAB I PENDAHULUAN 1. JENIS KEAMANAN a. INTERCEPTION

+ tidak berfungsi

+ tidak dapat digunakan

b. INTERRUPTION + orang tidak berhak mengakses + mengcopy data, file, menyadap c. MODIFICATION + merubah d. FABRICATION + yang berhak merubah : pembuat

2.

TUJUAN dan KERENTANAN KEAMANAN KOMPUTER a Tujuan -. Confidentiality hanya yang herhak saja yg bisa mengakses -. Integrity + presisi + akurat + konsisten (luar/dalam) + tidak ada perubahan + merubah : sekali, orang yg berhak,berhak proses -. Availability + services + capacity + waktu harus meliputi : - waktu respone - adil - fault tolerance - utility - control

b. RENTAN
a. Penyerangan 1. Hardware gangguan Hardware + kejadian yang merugikan + gosip/dendam + pencurian 2. Software gangguan (hapus) Software + penghapusan s/w pencurian merubah

pencurian

+ merubah :
- TROJAN HORSE penambahan/pengurangan/mengubah instruksi pada sebuah program akibatnya menjalankan program LAN - SUPERZAPPING bertujuan memodifikasi program untuk membypass control tapi disalah gunakan - TRAP DOORS (PINTU JEBAKAN) membypass kode program (INSERT Instruksi) - LOGIC BOMBS (bom logika) bertindak mengikuti kondisi tertentu yg sudah ditentukan oleh pelaku. - ASYNCHRONOUS ATTACKS (Penyerangan tidak sinkron) mengacaukan operating system - SCAVENGING (pengkaisan) mencari-cari sisa/kelebihan atas perhitungan - PIGGYBACKING. kesempatan untuk access ke dalam komputer memanfaatkan terminal ON

- SIMULATION mengcopy computer-process untuk dipelajari - MODELING. perencanaan menggunakan program komputer - CUCKOOS EGG (MYSTERIOUS WITHDRAWALS) penarikan atas beban rekening orang lain. - SPOOFING memalsukan kartu kredit, mendapat gambaran/ informasi dari orang dalam - WORM/VIRUS merasa bangga menembus/merusak sistem orang lain tanpa memperoleh imbalan secara material. + pencurian software

a. pelanggaran
- Data diddling (pengecohan/perusakan data) mengubah data valid menjadi invalid dengan cara merubah/merusak input/output - SALAMI TEHNIQUE/pemulung/OUNDING DOWN pembulatkan perhitungan dibelakang koma kebawah kemudian sisa pembulatan tadi ditransfer kedalam salah satu rekening tertentu - DATA LEAKAGE (membocorkan/mencuri data) memindahkan data dari suatu fasilitas komputer tanpa merusak data - IMPERSONATION. mengkira-kira Indensitas users - WIRETAPPING (Penyadapan pembicaraan). menyadap melalui transmission lines

b. merubah data - merubah biaya - mengulangi mesaage b. Asset - storage media - access lewat peralatan - networks - key people

c. Siapa yang menyerang - orang yang berniat jahat dari low s/d top - mempunyai motivasi tidak puas - terdari dari : + amatir + kecanduan komputer (hackers, cracker ,whiz kids) + criminal

3. PERTAHANAN A. RESIKO Resiko yang melekat pada penggunaan teknologi (inherent risks) : - ENVIRONMENT RISK berupa resiko yang berasal baik dari lingkungan intern maupun external al : faktor loyalitas dari para staff, kesadaran akan security, demographi, profile dari customers, profile business, infrastruktur dll - OPERATION RISK resiko yang timbul karena kegiatan operasional - PRODUCT/SERVICE RISK: berupa resiko yang muncul karena melansir/mengeluar kan suatu produk/jasa tertentu al : ATM, Cerdit/Debet Card, Electronic Fund Transfer Point Of Sales (EFTPOS), Electronic Mail Transfer/ Office Otomation dll

B.

KONTROL 1. BASELINE CONTROLS. a. Deterrent Control Kontrol kebijaksanaan manajemen : Computer security policy, segregation of incompati ble duties, supersion of results, indenpendent audit. b. Preventive Controls menjaga tidak terjadi penyimpangan2. Access validation, transaction validation, update authorisation, training, regular monitoring ,encryp tion dan physical security. c. Detective Controls untuk mengindentifikasi penyimpangan yang terjadi. Validation of events, Logging of events, Timely review of events, Independent confirmation dan message authentication.

d. Corective Controls kontrol terhadap koreksi yang dilakukan atas kesalahan/ penyimpangan yg telah terjadi dan sudah diteliti. Control ini terdiri dari: Existence of trail, Corrective means, Timely correction dan review of results. e. Recovery Controls. kontrol terhadap kecepatan/kemampuan sistem untuk dapat beroperasi kembali secara normal jika terjadi suatu masalah yang tidak dinginkan. Control ini terdiri dari: Check point & restart, Alternative Processing, Contigency plan dan training & testing.

2. INTERNAL CONTROLS mengontrol/mengaudit sistem komputer perusahaan. a. Application control 1. Completeness of input ( Menjaga masukkan/input) contoh: setiap nota yg diposting hanya diterima satu kali, tidak ada nota yang ditolak. 2. Accuracy of input data di key-in sudah akurat, terjamin kebenaranya contoh : DTPO (Daftar Transaksi Per Operator) 3. Completeness of updating menjaga input/transaksi yang telah diterima/di update secara lengkap ke master file. 4. Accuracy of updating menjaga nilai input/transaksi yg diproses di update secara akurat ke master file

5. Calculation, Summarizing and Categoring Procedures. proses perhitungan, penjumlahan/pengurangan,penge lompokan yg dilakukan mrpk perpaduan sets data/field 6. Computer generated data. data yg di generated otomatis terlaksana secara lengkap dan akurat. 7. Validaty of data processed. data yg diproses hanyalah data yg telah diperiksa & disahkan oleh yang berwenang . 8. Maintenance of data on file data di dalam files tidak akan berubah sampai dengan adanya proses selanjutnya. 9. File Creation and Conversion. data yg berubah pada saat melakukan konversi dari sistem lama ke sistem baru.

b. Information technology Controls.

1. Implementation controls programmed prosedure yg cocok,diimplementasikan terhadap adanya penambahan sistem/sistem yang baru. Contoh: memeriksa system design, program prepera tion, program and system testing, cataloging. 2. Computer Operation Controls programmed procedures konsisten diterapkan selama pemprosesan data. Contoh: memeriksa Job set up, JCL, xxx.BAT 3. Program Security Controls tidak terjadi perubahan2 program oleh yg tdk berwenang 4. Data file security controls tidak terjadi perubahan2 data files oleh yg tdk berwenang. 5. System Software controls system software dimplementasikan effektif dan terhindar dari perubahan oleh petugas yang tidak berwenang.

Prinsip :
Prinsip ke 1 : Principle of Easiest Penetration penyusup akan akan masuk menggunakan sarana yang tersedia Prinsip ke 2 : Principle of Adequate Protection, Principle of Timeliness (Proteksi yang cukup) Item data harus diproteksi sehingga tidak kehilangan nilai Prinsip ke 3 : Principles of Effectiveness kontrol harus digunakan secara effektif, effisien, mudah digunakan dan memadai