Catur Iswahyudi
Tujuan Belajar
1. Mahasiswa mampu menguraikan pendekatan umum
untuk menganalisis kerawanan dan ancaman-ancaman di
dalam sistem informasi
2. Mahasiswa mampu mengidentifikasi ancaman-ancaman
pasif dan aktif sistem informasi
3. Mahasiswa mampu mengidentifikasi aspek kunci sistem
keamanan informasi
4. Mahasiswa mampu membahas kontingensi perencanaan
dan praktek pengelolaan risiko bencana lainnya.
Pendahuluan
Masalah keamanan merupakan salah satu aspek
penting dari sebuah sistem informasi.
Sayang sekali masalah keamanan ini seringkali
kurang mendapat perhatian dari para pemilik dan
pengelola sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi
yang sangat penting. Bahkan ada yang mengatakan
bahwa kita sudah berada di sebuah informationbased society.
Pendahuluan
Sistem Keamanan Informasi adalah sub-sistem
organisasi yang mengendalikan resiko-resiko
khusus yang berhubungan dengan sistem informasi
berbasis komputer
Sistem keamanan komputer mempunyai unsurunsur dasar setiap sistem informasi, seperti
perangkat keras, database, prosedur, dan laporan.
Pengamanan
Sistem
Basis Data
KEAMANAN
KOMPUTER
Pengamanan
Jaringan
Komputer
Pengamanan
Sistem Operasi
Kriptografi
Pengamanan
Program
Praktisi:
Pinjam password admin, dong
Rendahnya kesadaran akan masalah
keamanan!
Manajemen:
nyambung dulu (online dulu),
security belakangan
Sekarang kan belum ada masalah!
Bagaimana ROI?
Security Lifecycle
Security Lifecycle
Sistem keamanan komputer dikembangkan dengan
menerapkan metoda-metoda yang telah mapan yang
terdiri dari : analisis sistem; desain; implementasi;
operasi, evaluasi, serta kendali.
Sistim keamanan informasi diatur oleh seorang kepala
petugas keamanan (Chief Security Officer).
Untuk menjaga independensinya, CSO
bertanggungjawab secara langsung kepada dewan
direktur.
Laporan-laporan CSO meliputi semua tahap siklus daur
hidup.
Security Lifecycle
Analisis Sistem
Analisis kerentanan
sistem informasi
terutama yang
berhubungan
dengan hambatan
dan kerugian yang
mungkin timbul
Perancangan Sistem
Perancangan
pengukuran
keamanan dan
rencana kontigensi
untuk mengatasi
kerugian
Implementasi Sistem
Implementasi
ukuran keamanan
seperti rancangan
Statistik
1996. FBI National Computer Crime Squad, kejahatan
komputer yang terdeteksi kurang dari 15%, dan hanya 10%
dari angka itu yang dilaporkan.
1996. American Bar Association: dari 1000 perusahaan, 48%
telah mengalami computer fraud dalam kurun 5 tahun
terakhir.
1996. Di Inggris, NCC Information Security Breaches Survey:
kejahatan komputer naik 200% dari 1995 ke 1996.
1997. FBI: kasus persidangan yang berhubungan dengan
kejahatan komputer naik 950% dari tahun 1996 ke 1997,
dan yang convicted di pengadilan naik 88%.
Statistik (sambungan)
1988. Sendmail dieksploitasi oleh R.T. Morris sehingga
melumpuhkan Internet. Diperkirakan kerugian mencapai
$100 juta. Morris dihukum denda $10.000.
10 Maret 1997. Seorang hacker dari Massachusetts berhasil
mematikan sistem telekomunikasi sebuah airport lokal
(Worcester, Mass.) sehingga memutuskan komunikasi di
control tower dan menghalau pesawat yang hendal
mendarat
7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of
Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon,
ZDNet, E-Trade. Diduga penggunaan program Trinoo, TFN.
Statistik (sambungan)
Jumlah kelemahan (vulnerabilities) sistem informasi yang
dilaporkan ke Bugtraq meningkat 4 kali sejak 1998 sd 2000.
Dari 20 laporan perbulan menjadi 80 laporan perbulan.
1999. Common Vulnerabilities and Exposure cve.mitre.org
mempublikasikan lebih dari 1000 kelemahan sistem. CVE
terdiri dari 20 security entities.
2000. Ernst & Young survey menunjukkan bahwa 66%
responden menganggap security & privacy menghambat
(inhibit) perkembangan e-commerce
2001. Virus SirCam mengirimkan file dari harddisk korban.
File rahasia bisa tersebar. Worm Code Red menyerang
sistem IIS kemudian melakukan port scanning dan
menyusup ke sistem IIS yang ditemukannya.
86%
74%
53%
30%
21%
Fakta
79% eksekutif senior terjebak dalam kesalahan
berfikir bahwa ancaman terbesar terhadap
keamanan sistem berasal dari luar (eksternal)
Walaupun kebanyakan responden sudah
memikirkan tentang hacker, kurangnya atau bahkan
tidak adanya implementasi security policy dan
kurangnya kesadaran karyawan adalah ancaman
terbesar bagi sistem online mereka
Statistik di Indonesia
September 2000. Mulai banyak penipuan transaksi di
ruangan lelang (auction) dengan tidak mengirimkan
barang yang sudah disepakati
24 Oktober 2000. Dua Warnet di Bandung digrebeg
karena menggunakan account dialup curian
Banyak situs web Indonesia (termasuk situs Bank) yang
diobok-obok (defaced)
Akhir tahun 2000, banyak pengguna Warnet yang
melakukan kegiatan carding
KEJAHATAN DI ATM
Sumber:
Surat Pembaca, Kompas, 2003
Mungkinkah aman?
Sangat sulit mencapai 100% aman
Ada timbal balik antara keamanan vs. kenyamanan
(security vs convenience)
Semakin tidak aman, semakin nyaman
1992
1992
1995
1996
1998
2000
Lines of
Code
3 million
4 million
15 million
16.5 million
18 millions
35-60
millions
Klasifikasi Keamanan SI
[menurut David Icove]
Biasanya orang
terfokus kepada
masalah data,
media, teknik
komunikasi.
Padahal kebijakan
(policy) sangat
penting!
ISP
Holes
1.
2.
3.
Internet
Network
sniffed, attacked
Users
System (OS)
Network
Applications (db)
Network
sniffed,
attacked
Web Site
Trojan horse
Userid, Password,
PIN, credit card #
www.bank.co.id
- Applications
(database,
Web server)
hacked
-OS hacked
Privacy / confidentiality
Proteksi data [hak pribadi] yang sensitif
Nama, tempat tanggal lahir, agama, hobby, penyakit
yang pernah diderita, status perkawinan
Data pelanggan
Sangat sensitif dalam e-commerce, healthcare
Integrity
Informasi tidak berubah tanpa ijin (tampered,
altered, modified)
Serangan: spoof, virus, trojan horse, man in the
middle attack
Proteksi: signature, certificate, hash
Authenticity
Meyakinkan keaslian data, sumber data, orang yang
mengakses data, server yang digunakan
penggunaan digital signature, biometrics
Availability
Informasi harus dapat tersedia ketika dibutuhkan
Serangan terhadap server: dibuat hang, down, crash,
lambat
Non-repudiation
Tidak dapat menyangkal (telah melakukan
transaksi)
menggunakan digital signature / certificates
perlu pengaturan masalah hukum (bahwa digital
signature sama seperti tanda tangan konvensional)
Access Control
Mekanisme untuk mengatur siapa boleh melakukan
apa
biasanya menggunakan password, token
adanya kelas / klasifikasi pengguna dan data
Normal Communication
Interruption
Suatu aset sistem dihancurkan, sehingga tidak lagi tersedia
atau tidak dapat digunakan
Misalnya : perusakan terhadap suatu item hardware,
pemutusan jalur komunikasi, disable sistem manajemen file.
Serangan terhadap layanan availability sistem.
Interruption Attack
Denial of Service (DoS) attack
Menghabiskan bandwidth, network flooding
Memungkinkan untuk spoofed originating address
Tools: ping broadcast, smurf, synk4, macof, various flood
utilities
Proteksi:
Sukar jika kita sudah diserang
Filter at router for outgoing packet, filter attack
orginiating from our site
Interception
Pengaksesan asset informasi oleh orang yang tidak berhak.
Misalnya oleh seseorang, program, atau komputer.
Contoh serangan ini pencurian data pengguna kartu kredit.
Penyerangan terhadap layanan confidentiality.
Interception Attack
Sniffer to capture password and other sensitive
information
Tools: tcpdump, ngrep, linux sniffer, dsniff, trojan
(BO, Netbus, Subseven)
Protection: segmentation, switched hub,
promiscuous detection (anti sniff)
Modification
Pengaksesan data oleh orang yang tidak berhak, kemudian
ditambah, dikurangi, atau diubah setelah itu baru dikirimkan
pada jalur komunikasi.
Contoh pengubahan suatu nilai file data. Merupakan jenis
serangan terhadap layanan integrity.
Modification Attack
Modify, change information/programs
Examples: Virus, Trojan, attached with email or web
sites
Protection: anti virus, filter at mail server, integrity
checker (eg. tripwire)
Fabrication
Seorang user yang tidak berhak mengambil data, kemudian
menambahkannya dengan tujuan untuk dipalsukan.
Merupakan serangan terhadap layanan authentication.
Fabrication Attack
Spoofing address is easy
Examples:
Fake mails: virus sends emails from fake users (often
combined with DoS attack)
spoofed packets
Pengamanan Menyeluruh
holistic approach
PEOPLE
PROCESS
TECHNOLOGY
awareness, skill
...
security as part of
business process
...
implementation
...
Pengamanan Berlapis
IDS
detect
intrusions
Customer
core
banking
applications
Internet
Firewal
protect access
to web server
Web server(s)
Firewall
Internet
banking
gateway
protect access
to SQL
manipulasi masukan
gangguan program
gangguan file secara langsung
pencurian data
sabotase
penggelapan atau pencurian sumber daya informasi
Ancaman-ancaman Aktif
Sistim Informasi
Gangguan program barangkali metoda yang paling
sedikit digunakan untuk melakukan penipuan
komputer.
Metoda ini memerlukan ketrampilan-ketrampilan
programming yang hanya dikuasai hanya oleh
beberapa orang.
Apa yang dimaksud trapdoor?
Ancaman-ancaman Aktif
Sistim Informasi
Trapdoor adalah suatu bagian program komputer
yang mengizinkan (membiarkan) seseorang untuk
mengakses program dengan melewati pengamanan
normal program tersebut.
Gangguan file secara langsung terjadi ketika
seseorang menemukan jalan untuk membypass
proses normal untuk pemasukan data ke program
komputer.
Ancaman-ancaman Aktif
Sistim Informasi
Pencurian data adalah masalah yang serius di
dalam bisnis sekarang ini.
Di dalam industri yang sangat kompetitif, informasi
kwalitatif dan kwantitatif tentang pesaing nya terus
menerus dicari.
Sabotase komputer adalah suatu bahaya yang
sangat serius bagi semua sistem informasi.
Ancaman-ancaman Aktif
Sistim Informasi
Karyawan yang tidak puas, bisa menjadi para
pelaku sabotase sistem komputer.
Beberapa metoda dari sabotase:
Logic bomb
Trojan horse
virus program virus
Ancaman-ancaman Aktif
Sistim Informasi
Apa yang dimaksud Worm?
Worm adalah suatu jenis dari virus komputer yang
menyebar dengan sendirinya di atas suatu jaringan
komputer.
Salah satu jenis penggelapan sumber daya
komputer adalah ketika penggunaan sumber daya
komputer-komputer perusahaan digunakan
karyawan untuk urusan bisnis mereka sendiri.
Pengendalian Ancaman-ancaman
Aktif
Site-access controls
System-access controls
File-access controls
Pengendalian Ancaman-ancaman
Aktif
1 Site-Access Controls
Tujuan pengendalian akses fisik adalah untuk
memisahkan secara fisik, individu yang tidak memiliki
otorisasi dari sumberdaya komputer yang ada.
Pemisahan fisik ini harus diterapkan pada perangkat
keras, area masukan, keluaran dan librari data, dan
kabel kabel komunikasi
Seluruh pemakai diharuskan menggunakan kartu
identitas keamanan.
Tempat pengolahan data harus berada dalam gedung
tertutup yang dikelilingi pagar.
Suatu sistim masukan sangat tegas harus digunakan.
Pengendalian Ancaman-ancaman
Aktif
TV
Monitor
Telephone
Locked Door
(opened from
inside vault)
Locked Door
(entrance)
Locked Door
LOBBY
Intercom
to vault
Scanner
Magnet
Detector
Service
Window
Data
Archives
INNER
VAULT
Pengendalian Ancaman-ancaman
Aktif
2 System-Access Controls
Pengendalian akses sistem adalah pengendalian yang
berbentuk perangkat lunak, yang dirancang untuk
mencegah pemanfaatan sistem oleh orang yang tidak
berhak.
Pengendali ini membuktikan keaslian pemakai dengan ID
pemakai, kata sandi, alamat protokol internet, dan alatalat perangkat keras.
Pengendalian Ancaman-ancaman
Aktif
3 File-Access Controls
Pengendalian akses file mencegah akses yang tidak
sah ke file data dan file-file program.
Pengendalian akses file paling pokok adalah
penetapan petunjuk otorisasi dan prosedurprosedur untuk mengakses dan mengubah file-file.
Pengendalian Ancaman-ancaman
Pasif
Ancaman-ancaman pasif termasuk permasalahan
kegagalan tenaga dan perangkat keras.
Pengendalian untuk ancaman pasif dapat bersifat
preventif atau korektif.
1. Pengendalian Preventive
Sistem Toleransi Kesalahan menggunakan pemonitoran dan
pencadangan.
Jika salah satu bagian sistem gagal, bagian cadangan akan
segera mengambil alih dan sistem akan melanjutkan operasi
dengan sedikit atau tanpa interupsi.
2. Pengendalian korektif
File backup digunakan untuk memperbaiki kesalahan.
Pengendalian Ancaman-ancaman
Pasif
Tiga tipe backup:
1. Full backups
2. Incremental backups
3. Differential backups
30%
45%
25%
Metode Enkripsi
Metode enkripsi atau kriptografi adalah metode penyandian
End of Slide