Sistem Keamanan Komputer

(Computer Security System)

Computer
Network

Security

(General)

(Specific)

Internetwork
Posisi Security

Owner
Service
Server
Security

Not Owner
Request
Client
Convenience

(More specific)

Beberapa Statistik tentang Computer/Information

Security
Survey Information Week (USA), 1271 system or network manager, hanya
22% yang menganggap keamanan sistem informasi sebagai komponen
penting.
Kesadaran akan masalah keamanan masih rendah!
Bagaimana untuk membujuk management untuk melakukan invest di bidang
keamanan?
Membutuhkan justifikasi perlunya investment infrastruktur keamanan
Angka pasti, sulit ditampilkan karena kendala bisnis, Negative publicity.
- 1996. FBI National Computer Crime Squad, kejahatan komputer yang terdeteksi
kurang dari 15%, dan hanya 10% dari angka itu yang dilaporkan.
- 1996. American Bar Association: dari 1000 perusahaan, 48% telah mengalami
computer fraud dalam kurun 5 tahun terakhir.
- 1996. Di Inggris, NCC Information Security Breaches Survey: kejahatan komputer naik
200% dari 1995 ke 1996.
- 1997. FBI: kasus persidangan yang berhubungan dengan kejahatan komputer naik
950% dari tahun 1996 ke 1997, dan yang convicted di pengadilan naik 88%. 1988.
Sendmail dieksploitasi oleh R.T. Morris sehingga melumpuhkan Internet. Diperkirakan
kerugian mencapai $100 juta. Morris dihukum denda $10.000.
- 10 Maret 1997. Seorang hacker dari Massachusetts berhasil mematikan sistem
telekomunikasi sebuah
- airport lokal (Worcester, Mass.) sehingga memutuskan komunikasi di control tower
dan menghalau pesawat yang hendal mendarat.

Mungkinkah aman?
Sangat sulit mencapai 100% aman
Ada timbal balik antara keamanan vs. kenyamanan (security vs
convenience)
Definisi computer security:
A computer is secure if you can depend on it and its software to behave as you expect
(Garfinkel & Spafford)

Beberapa Sebab Peningkatan Kejahatan Komputer :

Aplikasi bisnis yang berbasis komputer / Internet meningkat
Electronic commerce (e-commerce)
Electronic Data Interchange (EDI)
Statistik e-commerce yang semakin meningkat.
Semakin banyak yang terhubung ke jaringan (seperti Internet).
Desentralisasi server.
Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM
yang handal dan tersebar. Padahal susah mencari SDM.
Transisi dari single vendor ke multi-vendor.
Banyak jenis perangkat dari berbagai vendor yang harus dipelajari.
Pemakai makin melek teknologi.
Ada kesempatan untuk menjajal. Tinggal download software. (Script
kiddies)
Sistem administrator harus selangkah di depan.

Kesulitan penegak hukum untuk mengejar kemajuan dunia

telekomunikasi dan komputer
Cyberlaw
Awareness

Meningkatnya kompleksitas sistem.

Program menjadi semakin besar.
Potensi lubang keamanan semakin besar.

Klasifikasi Keamanan Sistem Info

Keamanan
Keamanan
Keamanan
Keamanan

yang bersifat fisik (physical security)

yang berhubungan dengan orang (personel)
dari data dan media serta teknik komunikasi
dalam operasi.

Klasifikasi berdasarkan fungsi :

Network security

fokus kepada saluran pembawa info

Application security
fokus kepada aplikasinya sendiri

PC security

fokus kepada keamanan dari komputer (end system)

Aspek/servis dari keamanan

Privacy / confidentiality
Integrity
Authentication
Availability
Non-repudiation
Access control

Privacy / confidentiality

Proteksi data [pribadi] yang sensitif

Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status
perkawinan
Data pelanggan
Sangat sensitif dalam e-commerce, healthcare

Serangan: sniffer

Integrity

Informasi tidak berubah tanpa ijin (tampered, altered, modified)

Serangan: spoof, virus, trojan horse

Authentication

Meyakinkan keaslian data, sumber data, orang yang mengakses data,

server yang digunakan

 Penggunaan digital signature, biometrics

Serangan: password palsu

Availability

Informasi harus dapat tersedia ketika dibutuhkan

server dibuat hang, down, crash

Serangan: Denial of Service (DoS) attack

Non-repudiation

Tidak dapat menyangkal (telah melakukan transaksi)

menggunakan digital signature
peru pengaturan masalah hukum

Access Control

Mekanisme untuk mengatur siapa boleh melakukan apa

biasanya menggunakan password
adanya kelas / klasifikasi

Jenis Ancaman
(Konsep)

Interruption
Interception
Modification
Fabrication

Sumber
Informasi

tujuan
NORMAL

INTERCEPTION

MODIFICATION

INTERRUPTION

FABRICATION

Jenis Serangan
(Teknis)
a. Physical Access Attacks, yaitu :
serangan yang mencoba mendapatkan
akses melalui jalur fisik, contoh :
- Wiretapping, yaitu : usaha untuk dapat
mengakses data melalui media
transmisi (kabel)
- Server hacking, usaha untuk
mengakses resource server langsung
secara fisik
- Vandalism, serangan dengan tujuan
rusaknya sistem secara fisik
b. Dialog Attacks, yaitu serangan yang
dilakukan saat pihak pengirim dan
penerima men-transmisi-kan datanya,
contoh :
- Eavesdropping, yaitu menguping dan
mengintip data yang sedang
ditransmisikan
- Impersonation, yaitu serangan dengan
cara berpura-pura (menipu) mengaku
sebagai orang lain
- Message Alteration, yaitu serangan
dengan cara mengubah data yang
dikirim pihak lain sebelum sampai ke
tujuannya
c. Penetration Attacks, yaitu serangan
yang mencoba menembus pertahanan

- Scanning(Probing) , yaitu serangan dengan cara

pelacakan kemungkinan mendapatkan celah
kelemahan suatu sistem yang akan diserang
- Denial of Service (DoS), yaitu serangan dengan
tujuan men-down-kan server dengan cara
meminta /me-request service terus-menerus
- Brute Force, usaha penembusan dengan cara
coba-coba, misalnya mencoba semua
kemungkinan password
d. Maliciuos Code Attacks, yaitu serangan yang
dilakukan melalui suatu kode program yang
diselipkan ke program lain, contoh :
- Viruses, yaitu kode program yang menumpang
ke program lain, yang dapat memperbanyak
dirinya sendiri ke program lain, dan melakukan
hal yang tidak diinginkan
- Trojan horse, yaitu kode yang menumpang ke
program lain secara rahasia (sulit diketahui) dan
melakukan hal-hal yang tidak diinginkan
- Worm, yaitu program yang dapat meng-copy
dirinya sendiri dan mengirimkannya dari satu
komputer ke komputer lain melalui jaringan
- ..
e. Social Enggineering, yaitu serangan yang
dilakukan melalui aktivitas sosial, contoh :
- Password Theft, yaitu mencuri password
seseorang yang memiliki account
- Information Theft, yaitu mencuri informasi dari
seseorang/orang dalam

Penanganan keamanan :
Prosedur kerja
Fisik/lokasi
Teknis

Teknologi Sistem Keamanan :

Access Card
Biometric Authentication
System
Password
Cryptography
Digital Signature
Firewall

SSL
SSH
IDS
AntiVirus tools
Backup
Recovery
Hardening Host
Komputer :
Letak Fasilitas Keamanan pada Sistem

User : Management, Administrator, programmer, End-user,

Hardware : Biometric Authentication, Access card,
BIOS : password BIOS,
Sistem Operasi : windows Desktop, NT/200X Server, Unix/Linux, Novel,

Format file : ASCII (text), biner, terkompress, terenkripsi, FAT, NTFS, EXT,

Bahasa/tool Pemrograman : C/C++, Java,

Aplikasi : security tools,
Database : Oracle, DB2, SQL server, My SQL,
Keamanan pada level protokol komunikasi (OSI
Model :ISO) :
Application Layer :

Presentasion Layer :
Session Layer :
Transport Layer :
Network Layer :
Data Link Layer :

 Physical Layer :

Keamanan PC sebaiknya memperhatikan aspekaspek berikut :

Aspek fisik, misalnya dimana PC diletakkan, apakah ruangan aman
dari pencurian, apakah perlu menggunakan perangkat pengaman
semacam UPS, Smart card dan sebagainya.
Policy atau aturan tentang siapa-siapa yang boleh mengakses PC dan
resource apa saja yang boleh diaksesnya
Mekanisme penggunaan password, misalnya password untuk login ke
PC, password aplikasi, password file data, dan sebagainya
Penggunaan teknik enkripsi untuk kerahasiaan data, misalnya datadata penting dalam penyimpanannya di-enkripsi sehingga jika orang
lain yang tidak berhak mengakses maka ia tidak bisa memahami isinya.
Backup data dan prosedur Recovery, data apa yang harus dibackup,
bagaimana, kapan dan kemana data tersebut di-backup. Perangkat
atau software apa yang digunakan untuk fasilitas Recovery jika
sewaktu-waktu data rusak/hilang

Pengaman dari serangan virus, bagaimana virus dapat diatasi, jika

virus berhasil menyusup(meng-infeksi) perangkat apa yang digunakan
untuk menghilangkannya (men-disfeksinya).
..

Security Management
Security is a primarily a Management Issue, not a
Technologi Issue
Top to Buttom Commitment
Comprehensive Security :
o Closing All avenues of attack
o Asymetrical warfare : attacker only has to find one
opening
o Defense in depth : attecker must get past several
defenses to succeed

o Security audits : run attacks against your own

network
General Security Goals : CIA (Confidentialitiy, Integrity,
Availability)
Cycle : Plan Protect Respond
Security Policy

A security policy is a formal statement of the rules by which people who are given
access to an organization's technology and information assets must abide.
The main purpose of a security policy is to inform users, staff and managers of their
obligatory requirements for protecting technology and information assets. The policy
should specify the mechanisms through which these requirements can be met. Another
purpose is to provide a baseline from which to acquire, configure and audit computer
systems and networks for compliance with the policy. Therefore an attempt to use a set
of security tools in the absence of at least an implied security policy is meaningless.
List of individuals who should be involved in the creation and review of
security policy documents:
1) Site security administrator
2) Information technology technical staff (e.g., staff from computing center)
3) Administrators of large user groups within the organization (e.g., business
divisions, computer science department within a university, etc.)
4) Security incident response team
5) Representatives of the user groups affected by the security policy

6) Rresponsible management
7) Legal counsel (if appropriate)

The characteristics of a good security policy are:

(1) It must be implementable through system administration procedures, publishing of
acceptable use guidelines, or other appropriate methods.
(2) It must be enforcible with security tools, where appropriate, and with sanctions,
where actual prevention is not technically feasible.
(3) It must clearly define the areas of responsibility for the users, administrators, and
management.

The components of a good security policy include:

(1) Computer Technology Purchasing Guidelines which specify required, or preferred,
security features. These should supplement existing purchasing policies and
guidelines.
(2) A Privacy Policy which defines reasonable expectations of privacy regarding such
issues as monitoring of electronic mail, logging of keystrokes, and access to users'
files.
(3) An Access Policy which defines access rights and privileges to protect assets from
loss or disclosure by specifying acceptable use guidelines for users, operations
staff, and management. It should provide guidelines for external connections, data
communications, connecting devices to a network, and adding new software to
systems. It should also specify any required notification messages (e.g., connect
messages should provide warnings about authorized usage and line monitoring,
and not simply say "Welcome").

(4) An Accountability Policy which defines the responsibilities of users, operations

staff, and management. It should specify an audit capability, and provide incident
handling guidelines (i.e., what to do and who to contact if a possible intrusion is
detected).
(5) An Authentication Policy which establishes trust through an effective password
policy, and by setting guidelines for remote location authentication and the use of
authentication devices (e.g., one-time passwords and the devices that generate
them).
(6) An Availability statement which sets users' expectations for the availability of
resources. It should address redundancy and recovery issues, as well as specify
operating hours and maintenance down-time periods. It should also include
contact information for reporting system and network failures.
(7) An Information Technology System & Network Maintenance Policy which describes
how both internal and external maintenance people are allowed to handle and
access technology. One important topic to be addressed here is whether remote
maintenance is allowed and how such access is controlled. Another area for
consideration here is outsourcing and how it is managed.
(8) A Violations Reporting Policy that indicates which types of violations (e.g., privacy
and security, internal and external) must be reported and to whom the reports are
made. A non- threatening atmosphere and the possibility of anonymous reporting
will result in a greater probability that a violation will be reported if it is detected.
(9) Supporting Information which provides users, staff, and management with contact
information for each type of policy violation; guidelines on how to handle outside
queries about a security incident, or information which may be considered
confidential or proprietary; and cross-references to security procedures and related
information, such as company policies and governmental laws and regulations.

Istilah-istilah umum :
Access Control
Attack
Passive
Active
Authentication
Authorization
Availability
Back-up
Biometric-Authentication
Brute-force
Chipertext
Confidentiality
Cracking
Cryptography
Decryption
Digital Signature

Encryption
Exploit
Hacking
Hardening Host/Server
Integrity
Intruder
Non-repudiation
Patch
Penetration
Plaintext
Policy
Port
Privacy
Privilege
Recovery
Service

Socket
Trojan horse
Trusted System
Trustee assigment
Vulnerability

DoS (Denial of Service)

DES (Data Encryption
Standard)
RSA (Rivest Shanir Adelman)
SHA (Secure Hash Algorithm)
IDEA (International Data
Encryption Algorithm)
MD5 (Massage Digest,
version 5)
PGP (Pretty Good Privacy)
SSL (Secure Socket Layer)
SSH( Secure Shell)
IDS (Intrusion Detection
System)