UTS Perbaikan

Keamanan Sistem dan Jaringan Komputer

Dosen: Hadi Syahrial, M.M, M.Kom, CEH, CHFI

Nama : Fransiscus Xaverius Eko Budi Kristanto

NIM : 1111600126
Kelas : XA

MAGISTER ILMU KOMPUTER

UNIVERSITAS BUDI LUHUR JAKARTA
2012
 UTS Keamanan Sistem dan Jaringan 2012

1. Soal: Jelaskan perbedaan indentification, authentication dan authorization.

Jawab:

Perbedaan antara indentification, authentication dan authorization adalah:

a. Indentification, disini terjadi proses pemberian indentitas ke sistem pengendali akses,

dimana user yang login menginput data berupa login user dan login password.
b. Authentification. Meyakinkan keaslian data, sumber data, orang yang mengakses data,
server yang digunakan: what you have (identity card), what you know (password, PIN),
what you are (biometric identity).
c. Authorization, merupakan suatu proses untuk memberikan izin kepada seseorang
untuk melakukan atau memberikan sesuatu. Hal ini berarti untuk membuat
seseorang dapat mengakses sesuatu, orang tersebut harus terlebih dahulu diotentifikasi
terlebih dahulu. Dengan kata lain otentifikasi dikerjakan terlebih dahulu sebelum
otorisasi. Sebenarnya otentifikasi dari suatu entiti atau identitas, tidak selalu diperlukan
dalam otorisasi, jika otorisasi dapat divalidasi dengan cara lain.

2. Soal: Jelaskan gambar di bawah ini.

Jawab:

• Vulnerability (kerentanan). Kelemahan dalam mekanisme yang dapat mengancam

kerahasiaan, integritas atau ketersediaan aset.
• Threat (ancaman). Seseorang mengungkap kerentanan dan memanfaatkannya.
• Risk (risiko). Probabilitas ancaman menjadi nyata dan sesuai potensi kerusakan.
• Exposure (paparan). Ketika agen ancaman mengeksploitasi kerentanan.

1
 UTS Keamanan Sistem dan Jaringan 2012

• Countermeasure (tindakan balasan). Sebuah kontrol dilakukan untuk mengurangi

potensi kerugian.

Kelemahan keamanan pada satu mekanisme sistem dapat mengancam kerahasiaan, integritas
atau availabilitas dari suatu program data. Seseorang akan mengekploitasi kerentanan untuk
mengungkap kelemahan dan memanfaatkannya. Probabilitas ancaman menjadi nyata dan
sesuai potensi kerusakan. Ancaman yang terjadi bisa merusak aset dan menimbulkan
kerugian. Ketika satu agen ancaman memanfaatkan kelemahan sistem maka perlu ada
tindakan balasan sebagai antisipasi keamanan. Sebuah kontrol harus dilakukan untuk
mengurangi resiko ancaman dan potensi kerugian.

3. Soal: Jelaskan apa perbedaan policy (kebijakan) dengan prosedur.

Jawab:

Perbedaan antara policy (kebijakan) dengan prosedur adalah:

Policy atau kebijakan keamanan adalah wujud nyata dari pernyataan dan visi manajemen
keamanan yang menjadi elemen dasar bagi penerapan kebijakan keamanan yang
didokumenkan. Kebijakan memberikan arahan yang jelas untuk upaya taktis dan administrasi.
Anatomi kebijakan keamanan meliputi pembahasan tentang pernyataan misi, unsur keamanan
organisasi, isu-spesifik elemen kebijakan yang menargetkan bidang yang menjadi perhatian
dan sistem-spesifik elemen kebijakan.

Prosedur merupakan langkah-langkah detail yang perlu diikuti untuk melaksanakan tugas-
tugas menjalankan kebijakan/policy. Tujuan dari prosedur adalah menyediakan langkah detail
yang dilakukan oleh setiap orang dalam mengimplementasikan kebijakan atau policy, standar,
dan panduan yang telah dibuat sebelumnya.

Dengan demikian kebijakan (policy) keamanan mendefinisikan tujuan, standar, landasan dan
pedoman yang memberikan metode yang akan digunakan untuk mencapai tujuan. Sedangkan
prosedur mentransforamsi kebijakan (policy) menjadi tugas-tugas yang ditindaklanjuti,
memberikan langkah-demi-langkah untuk memastikan bahwa organisasi tetap sesuai dengan
kebijakan keamanan.

4. Soal: Jelaskan apa yang dimaksud dengan CIA (Confidentiality, Integrity, Availability) dan
sebutkan jenis ancaman yang dapat mengganggu CIA.

2
 UTS Keamanan Sistem dan Jaringan 2012

Jawab:

Confidentiality. Informasi dan data pada sistem komputer terjamin kerahasiaannya, hanya
dapat diakses oleh pihak-pihak yang diotorisasi, keutuhan serta konsistensi data pada sistem
tersebut tetap terjaga.

Integrity. Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya. Bahwa
data tidak boleh diubah (modified) oleh pihak yang tidak berhak.

Availability. Menjamin pengguna yang sah untuk selalu dapat mengakses informasi dan
sumberdaya yang diotorisasi. Untuk memastikan bahwa orang-orang yang memang berhak
untuk mengakses informasi yang memang menjadi haknya.

Jenis ancaman yang dapat mengganggu CIA (Confidentiality, Integrity, Availability) adalah:

Confidentiality Integrity Availability

Penyadapan atas data, dengan Pengubahan data oleh pihak Peniadaan layanan (denial of
cara teknis: sniffing/logger, yang tidak berhak (spoofing), service Dos, distributed
virus maupun non teknis virus yang dapat juga denial of service Ddos), atau
dengan social engineering. merubah data. menghambat layanan (respon
Virus juga dapat merusak data server menjadi lambat),
dan menyembunyikannya. malware, worm dan lain-lain.

5. Soal: Jelaskan apa fungsi security awareness dan berikan contoh security awareness:

Jawab:

Security awareness atau kesadaran akan keamanan adalah pengetahuan dan sikap dari setiap
orang dalam organisasi terhadap kepedulian keamanan aset informasi dan data dari organisasi
tersebut. Menjadi sadar terhadap keamanan sistem berarti memahami bahwa ada potensi bagi
ancaman yang sengaja atau tanpa sengaja mencuri, melakukan pengrusakan, atau
penyalahgunaan data yang disimpan dalam sistem komputer perusahaan dan seluruh
organisasi. Oleh karena itu, maka akan lebih bijaksana untuk mendukung aset lembaga
(informasi, fisik, dan pribadi) dengan mencoba untuk menghentikan hal itu terjadi.

Contoh security awareness:

3
 UTS Keamanan Sistem dan Jaringan 2012

• Data dan informasi dalam media yang sudah tidak digunakan lagi misalnya dalam
harddisk komputer yang rusak hendaknya dihancurkan, agar tidak dapat dibaca oleh
orang yang tidak berhak.
• Kebijakan terhadap password dan penggunaan otentikasi dua faktor.
• Masing-masing pengguna dibiasakan untuk selalu logout dari aplikasi dan tidak
meninggalkan dalam keadaan masih login.
• Menyimpan username dan kata sandi untuk login ke berbagai aplikasi dengan baik dan
tidak memberikan informasi tersebut kepada orang lain.

6. Soal: Jelaskan apa yang dimaksud dengan segregation of duties, least privilege dan single
sign on.

Jawab:

segregation of duties

adalah suatu kegiatan pemisahan tugas yang dilakukan agar tidak terjadinya penunpukan
tugas dan tidak terjadinya antrian yang berarti, hal ini di lakukan untuk menghindari
terjadinya sebuah proses yg dapat menghentikan sebuah kegiatan atau tugas yg berjalan yang
di akibatkan tingginya frekuensi tugas yg harus di selesaikan sedangakan sistem tidak mampu
untuk menyelesaikan tugas- tugas dengan cepat.

least privilege

Prinsip ini menyatakan bahwa setiap proses dan user/pengguna suatu sistem komputer harus
beroperasi pada level/tingkatan terendah yang diperlukan untuk menyelesaikan tugasnya.
Dengan kata lain setiap proses dan user hanya memiliki hak akses yang memang benar-benar
dibutuhkan. Hak akses harus secara eksplisit diminta, ketimbang secara default diberikan.
Tindakan seperti ini dilakukan untuk mengantisipasi kerusakan yang dapat ditimbulkan oleh
suatu penyerangan.

single sign on

Single sign on adalah sebuah sistem authentifikasi terhadap user dengan sekali login akan bisa
mengakses beberapa aplikasi tanpa harus login di masing-masing aplikasi.

Memiliki 2 bagian yaitu Single Sign On (login satu aplikasi, maka aplikasi lain yang
didefinisikan ikut dalam SSO otomatis akan bisa diakses) dan Single Sign Out (log out di satu

4
 UTS Keamanan Sistem dan Jaringan 2012

aplikasi, maka semua aplikasi yang didefinisikan ikut dalam SSO akan ikut logout secara
otomatis.

7. Soal: Jika kita ingin mengimplementasi kontrol akses Biometrics, sebaiknya kita perhatikan
False Rejection Rate dan False Acceptance Rate. Jelaskan apa arti kedua istilah ini.

Jawab:

False Rejection Rate (FRR) adalah suatu kondisi untuk ukuran/tingkatan dimana data yang
diinput oleh user ditolak oleh mesin kontrol akses biometrik sedangkan data yang dimasukkan
adalah data yang benar. Sistem mungkin menolak subjek yang memiliki otoritas. Diakibatkan
karena rendahnya pengaturan untuk FRR.

False Acceptance Rate (FAR) adalah suatu kondisi untuk ukuran/tingkatan dimana data yang
diinput oleh user diterima oleh mesin kontrol akses biometrik sedangkan data yang
dimasukkan adalah data yang salah. Sistem mungkin menerima subjek yang tidak memiliki
otoritas. Diakibatkan karena rendahnya pengaturan FAR.

Permasalahan pada biometrik adalah ketika sensitifitas sistem biometric diatur untuk
menurunkan FRR, maka FAR meningkat. Begitu juga berlaku sebaliknya. Posisi pengaturan
yang terbaik adalah bila nilai FRR dan FAR seimbang.

8. Soal: Jelaskan kenapa perusahaan atau organisasi perlu membuat data classification policy.

Jawab:

Data classification adalah kategorisasi atau klasifikasi data untuk penggunaan yang paling
efektif dan efisien. Dalam pendekatan dasar untuk penyimpanan data komputer, data dapat
diklasifikasikan menurut nilai kritis dan kepentingannya atau seberapa sering perlu diakses.
Jenis klasifikasi cenderung untuk mengoptimalkan penggunaan penyimpanan data untuk
beberapa tujuan: teknis, administratif, hukum, dan ekonomi.

Dengan klasifikasi data yang ada pada setiap perusahaan atau organisasi dimana memiliki
dokumen-dokumen rahasia, baik itu dokumen keuangan, rancangan atau dokumen yang
memiliki hak paten sendiri, maka akan sangat membantu dalam mengidentifikasi informasi
dan data yang sensitif dan penting serta menunjukkan komitmen terhadap keamanan
informasi.

5
 UTS Keamanan Sistem dan Jaringan 2012

Dengan demikian dibutuhkan sebuah keamanan untuk mengelola dokumen tersebut agar tetap
aman, sehingga data classification policy sangat berguna untuk melindungi dokumen
dokumen tersebut dari suatu kebijakan pengamanan data di dalamnya, hak penciptaan hingga
dapat mengontrol keabsahkan dokumen-dokumen yang ada, dan juga untuk menjaga
dokumen dari aktifitas di luar perusahaan yang menyalahgunakan dokumen atau
memalsukannya. Juga dengan menerapkan data classification policy akan mendukung
terwujudnya CIA (Confidentiality, Integrity, Availability) serta sebagai salah satu alasan
untuk peraturan hukum.

9. Soal: Jelaskan apa yang dimaksud dengan serangan social engineering dan phising.

Jawab:

Serangan social engineering adalah pemerolehan informasi atau data rahasia/sensitif dengan
cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui
telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh
hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu
langsung kepada korban atau pihak lain yang mempunyai informasi itu.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer,
yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi
manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform,
sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai
kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam
sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam
kebijakan kemanan yang telah disusun.

Sedangkan phising adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk
mendapatkan informasi rahasia, seperti username, kata sandi dan kartu kredit, dengan
menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik
resmi, seperti surat elektronik (email) atau pesan instan. Komunikasi yang mengaku berasal
dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator
biasanya digunakan untuk memikat publik tidak curiga. Phishing biasanya dilakukan melalui
e-mail spoofing atau pesan instan, dan sering mengarahkan pengguna untuk memasukkan
rincian di sebuah website palsu yang tampilan dan nuansa yang hampir sama dengan yang
asli. Phishing adalah contoh dari teknik social engineering atau teknik rekayasa sosial yang

6
 UTS Keamanan Sistem dan Jaringan 2012

digunakan untuk menipu pengguna, dan memanfaatkan kelemahan teknologi keamanan web
saat ini. Istilah phishing dalam bahasa Inggris berasal dari kata fishing ('memancing'), dalam
hal ini berarti memancing informasi rahasia dan kata sandi pengguna.

10. Soal: Jelaskan langkah-langkah dalam melakukan analisa kebutuhan keamanan (security
requirement analysis) dengan menggunakan metode SQUARE.

Jawab:

Metodologi SQUARE (System Quality Requirements Engineering) adalah sembilan langkah

proses yang dikembangkan untuk membantu organisasi atau lembaga menjamin keamanan
dan keberlangsungan sistem dan aplikasi berbasis Teknologi Informasi dalam sebuah Sistem
Manajemen Aset. Proses ini meliputi proses mengidentifikasi dan menilai serta teknik untuk
melakukan identifikasi kebutuhan, analisis, spesifikasi, dan manajemen. Metodologi
SQUARE juga berfokus pada isu-isu manajemen yang terkait dengan perkembangan
keamanan dan persyaratan privasi sistem TI yang baik.

1. Step 1: Definitions

Mendeskripsikan perangkat lunak yang dibangun dan mendefinisikan istilah-istilah keamanan

informasi untuk sistem yang akan dianalisis yang disepakati di dalam organisasi.

2. Step 2: Safety and Security Goals

Menganalisis tujuan dan persyaratan keamanan sistem yang diperlukan oleh organisasi untuk
memastikan keamanan secara keseluruhan sistem dan ketersediaan (availability) setiap saat.

3. Step 3: System Architecture

Menjelaskan arsitektur aplikasi yang dibangun. Arsitekturnya dapat berupa arsitektur aplikasi,
data dan jaringan.

4. Step 4: Use Case

Menggambarkan diagram Use Case aplikasi menggunakan UML dan menjelaskannya dalam
tabel use case untuk masing-masing kasus penggunaan. Use Case memberikan garis besar
fungsi sistem dari perspektif pengguna, dengan klasifikasi hak istimewa tingkat pengguna
dengan Access Control List (ACL). Penggambaran untuk use case meliputi:

• pengguna yang berinteraksi dengan sistem, digambarkan sebagai seorang aktor

7
 UTS Keamanan Sistem dan Jaringan 2012

• deskripsi tujuan yang akan dicapai melalui kasus penggunaan

• asumsi yang harus dipenuhi untuk kasus penggunaan akan selesai dengan sukses
• daftar langkah-langkah yang sebenarnya antara aktor dan sistem
• variasi atau alternatif cara untuk mencapai tujuan
• non-fungsional bahwa use case harus memenuhi, seperti kinerja atau keandalan
5. Step 5: Misuse Case

Mengidentifikasi kemungkinanan ancaman dan kasus potensi penyalahgunaan aplikasi yang

disepakati dalam organisasi. Tujuannya adalah untuk mengetahui kerentanan dalam aplikasi
yang ada dan memberikan rekomendasi arsitektur dan kebijakan dalam mengurangi
kerentanan untuk mengamankan komponen kritis Sistem Manajemen Aset. Digambarkan
dalam bentuk diagram misuse case.

6. Step 6: Attack Tree

Attack tree adalah pendekatan formal untuk memeriksa kasus penyalahgunaan dan untuk
memverifikasi bahwa rekomendasi arsitektur misuse case atau kasus penyalahgunaan dan
kebijakan yang diambil cukup dapat mengatasi semua potensi kerentanan yang dapat
menyebabkan terjadinya penyalahgunaan.

Attack tree merupakan representasi hirarkis banyak jenis pelanggaran keamanan yang
didasarkan kepada misuse case. Setiap skenario di attack tree diperiksa secara rinci untuk
melihat apakah ada sekumpulan rekomendasi yang cukup dapat mengurangi risikonya. Jika
ada skenario yang saat ini tidak tercakup, tambahan arsitektur dan/atau rekomendasi
kebijakan perlu dipertimbangkan dan ditambahkan ke daftar rekomendasi. Dengan kata lain,
attack tree adalah visualisasi rinci misuse case dan elemen penting dari validasi untuk
arsitektur dan rekomendasi kebijakan dari misuse case.

7. Step 7: Prioritization

Tahap metodologi SQUARE difokuskan pada prioritas persyaratan keselamatan dan

keamanan. Untuk memprioritaskan persyaratan keselamatan dan keamanan digunakan misuse
case dan kategorinya untuk menentukan misuse case mana yang paling penting untuk
menjamin survivabilitas dari Sistem Manajemen Aset. Dengan mengevaluasi setiap misuse
case atau kasus penyalahgunaan dan atributnya, akan mampu membuat daftar prioritas
kerentanan dan penyalahgunaan yang merugikan Sistem Manajemen Aset.

8
 UTS Keamanan Sistem dan Jaringan 2012

8. Step 8: Categorizing and Detailing Recommendation

Membuat daftar kategori dan memberikan rekomendasi detail terhadap arsitektur dan
kebijakan persyaratan penerapan keamanan system. Semua solusi teknis yang ada kemudian
diteliti berdasarkan pada tingkatan prioritas misuse case, yang akan menyediakan semua yang
diperlukan langkah-demi-langkah keamanan dan teknis dalam rangka implementasi pada
komponen inti dari Sistem Manajemen Aset.

9. Step 9: Budgeting and Analisis

Dalam situasi ideal, semua misuse case atau kasus penyalahgunaan yang diprioritaskan tinggi
(menengah dan rendah) akan diatasi dan diselesaikan untuk melindungi Sistem Manajemen
Aset. Namun, karena keterbatasan jumlah sumber daya yang tersedia, hanya bagian tertentu
dari misuse case dan secara inheren, arsitektur dan kebijakan rekomendasi harus dipilih.
Untuk mengoptimalkan bagian ini, model matematika dirumuskan untuk memecahkan
kombinasi terbaik dari misuse case. Hasilnya dalam tabel yang mereferensikan use case mana
harus ditangani berdasarkan anggaran yang tersedia.