TUGAS KEAMANAN APLIKASI

PAPER : KEAMANAN APLIKASI

NAMA: ADIT GUSTIANA RAMADHAN

NO. TUGAS: 7(TUJUH)

NIM: 41155050160070

KELAS: INFORMATIKA- B

TANGGAL: 08 JANUARI 2019

UNIVERSITAS LANGLANGBUANA

BANDUNG

2018
 KATA PENGANTAR

Puji syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa yang telah

berkenan memberi petunjuk dan kesabaran kepada penulis sehingga paper ini dapat

diselesaikan dengan baik. Paper ini disusun dan dibuat berdasarkan materi-materi

yang diberikan yang bertujuan agar dapat menambah pengetahuan dan wawasan

para pembaca. Penulis menyadari bahwa dalam pembuatan paper ini masih terdapat

kekurangan sehingga penulis berharap saran dan kritik agar penulis dapat

meningkatkan dan memperbaiki penyajian paper yang lebih baik dari sebelumnya.

Bandung, Januari 2019

Penulis

1
 BAB I
PENDAHULUAN

Dalam dunia komunikasi data global dan perkembangan teknologi

informasi yang senantiasa berubah serta cepatnya perkembangan software,

keamanan merupakan suatu isu yang sangat penting, baik itu keamanan fisik,

keamanan data maupun keamanan aplikasi.Perlu kita sadari bahwa untuk mencapai

suatu keamanan itu adalah suatu hal yang sangat mustahil, seperti yang ada dalam

dunia nyata sekarang ini. Tidak ada satu daerah pun yang betul-betul aman

kondisinya, walau penjaga keamanan telah ditempatkan di daerah tersebut, begitu

juga dengan keamanan sistem komputer. Namun yang bisa kita lakukan adalah

untuk mengurangi gangguan keamanan tersebut.

Salah satu metode pengamanan sistem informasi yang umum diketahui oleh

banyak orang adalah password. Tanpa disadari password mempunyai peranan

penting dalam mengamankan informasi-informasi yang sifatnya pribadi

(confidential). Pada beberapa aplikasi yang berhubungan dengan piranti lunak,

seperti HP, kartu ATM, dll., ada juga sistem pengamanannya yang fungsinya mirip

dengan password; biasa dikenal sebagai Kode PIN. Walaupun hanya terdiri dari

angka, namun kegunaannya sama sepertipassword, yaitu untuk mengamankan

informasi. Informasi yang disimpan tersebut biasanya sudah berbentuk digital.

Tetapi banyak dari para pengguna password yang

membuat password secara sembarangan tanpa mengetahui kebijakan pengamanan

(password policy) dan bagaimana membuat password yang kuat (strong password).

2
Mereka tidak sadar dengan bahayanya para ‘penyerang’ (attacker) yang dapat

mencuri atau mengacak-acak informasi tersebut.

3
 BAB II

PEMBAHASAN

1. Keamanan Aplikasi

Keamanan Aplikasi adalah penggunaan perangkat lunak, perangkat keras, dan

metode prosedural untuk melindungi aplikasi dari ancaman eksternal.

Keamanan aplikasi mencakup langkah-langkah yang diambil untuk

meningkatkan keamanan aplikasi dengan menemukan, memperbaiki dan

mencegah kerentanan keamanan.

2. Konsep Keamanan Aplikasi

Konsep Keamanan aplikasi adalah Confidentiality,Integrity,dan Avaibility

(CIA) yang mana,

 Confidentiality (kerahasiaan) = Perlindungan dari yang tidak berwenang

(unauthorized) untuk membaca informasi

 Integrity (integritas/keterpercayaan) = yaitu mendeteksi dari yang tidak

berwenang untuk menulis atau mengubah informasi.

 Avaibility (ketersediaan) = data yang selalu tersedia bila diperlukan.

3. Kriptografi

3.1 Kriptografi adalah ilmu yang mempelajari teknik – teknik matematika yang

berhubungan dengan aspek keamanan informasi, seperti kerahasiaan data,

keabsahaan data, serta autentikasi data.

Kriptologi = ilmu/seni yang membuat dan membongkar kode rahasia

Kriptografi = membuat kode rahasia

4
 Kriptanalisis = membongkar/menganalisis kode rahasia

Kripto terdiri atas :

 Cipher : digunakan untuk meng-enkripsi plaintext(text biasa)

menjadi ciphertext (hasil enkripsi)

 Dekripsi : mengembalikan cipher text menjadi plaintext

 Kunci/key : digunakan untuk mengkonfirugrasi didalam

kriptosystem, ada yang simetris dan a-simetris, yang membedakan

adalah penggunaan kuncinya apakah menggunakan kunci yang

sama atau berbeda.

3.2 Asumsi Dasar

 Sistem diketahui total oleh pembajak ( Attacker )

 Hanya kuncinya ( Key ) yang rahasia

 Jadi algoritma kripto tidak rahasia

3.3 Kriptanalisis : Terminologi

Cryptosystem adalah aman ( secure ) jika untuk mendapatkan keynya

harus dengan cara mencoba satu persatu. Cryptosystem adalah tidak aman (

insecure ) jika ada cara bypass attack. Namun ada juga kemungkinan

insecure cipher lebih susah dibedah daripada secure cipher.

4. Access Control

Access control adalah sebuah pembatasan selektif hak untuk mengakses

sebuah system atau tempat. Bentuk bentuk access control adalah seperti :

5
4.1 Otentikasi

Otentikasi adalah proses dalam rangka mevalidasi user pada saat

memasuki sistem, nama dan password dari user dicek melalui proses

yang mengecek langsung ke daftar mereka yang diberikan hak untuk

memasuki sistem tersebut. Otentikasi juga merupakan langkah untuk

menentukan atau mengonfirmasi bahwa seseorang (sesuatu) adalah

otentik atau asli.

Melakukan otentikasi terhadap sebuah objek adalah melakukan

konfirmasi terhadap kebenarannya. Sedangkan melakukan otentikasi

terhadap seseorang biasanya adalah untuk memverifikasi identitasnya.

Pada suatu sistem komputer, otentikasi biasanya terjadi pada saat login

atau permintaan akses.

4.2 Metode – metode Otentikasi

Otentikasi bertujuan untuk membuktikan siapa anda sebenarnya, apakah

anda benar – benar orang yang anda klaim sebagai dia (who you claim

to be). Ada banyak cara untuk membuktikan siapa anda

Metode otentikasi bisa dilihat dalam 4 kategori :

4.2.1 Something you know

Ini adalah metode otentikasi yang paling umum. Cara mengandalkan

kerahasiaan informasi,contohnya password dan PIN. Cara ini

berasumsi bahwa tidak ada seorangpun yang mengethaui rahasia itu

kecuali anda.

6
 4.2.2 Something you have

Cara ini biasanya merupakan faktor tambahan untuk membuat

otentikasi menjadi lebih aman. Cara ini mengandalkan barang yang

sifatnya unik, contohnya adalah kartu magnetic / smartcard,

hardware token, USB token dan sebagainya. Cara ini berasumsi

bahwa tidak ada seorangpun yang memiliki barang tersebut kecuali

anda seorang.

4.2.3 Something you are

Ini adalah metode yang paling jarang dipakai karena faktor teknologi

dan manusia juga. Cara ini mengandalkan keunikan bagian – bagian

tubuh anda yang tidak mungkin dimiliki orang lain seperti sidik jari,

suara atau sidik retina. Cara ini berasumsi bahwa bagian tubuh anda

seperti sidik jari dan retina, tidak munngkin sama dengan orang lain.

4.2.4 Something you do

Melibatkan bahwa setiap user dalam melakukan sesuatu dengan cara

yang berbeda seperti penggunaan analisi suatu (voice recognation),

dan analisis tulisan tangan.

4.3 Faktor – faktor Otentikasi

Tiga jenis faktor otentikasi yang umum digunakan adalah :

a. Sesuatu yang diketahui oleh pengguna (Password, Passphrase, dan PIN

(Personal Indetification Number)

b. Sesuatu yang dimiliki oleh pengguna (ID card, kartu kredit, telepon

seluran, dan perangkat token)

7
c. Sesuatu yang ada pada pengguna (Sidik jari, DNA, suara, dan pola

retina.

4.4 Perbandingan Key dan Password

Crypto Keys Passwords

64 bits 8 Characters ( 256

Characters on Keyboard

264 Keys 2568 = 264 password

Key adalah random Pengguna umumnya tidak

membuat password secara

random

Pembajakan perlu mencoba Pembajakan perlu mencoba

263 password 263 password

8
 o Sesuatu kepunyaanmu ( Smartcard, Kartu Kredit, Kartu

Anggota, dll )

o Sesuatu tentang dirimu ( Sidik jari, Iris mata, dll )

Good dan Bad Password

4.5 Otorisasi

Adalah pembatasan dari pengguna yang telah melewati proses

otentikasi, meskipun sudah dapat masuk kedalam sebuah system, tapi

pengguna tidak bisa sembarangan mengakses semuanya, terdapat hak

hak dan kewenangan yang dipunyai user. Jadi user hanya bisa

melakukan hak haknya di dalam system tersebut.

9
 4.5.1 Access Control List

Jika pada Matrik kontrol akses menurut Lampson mengandung

semua informasi yg terkait untuk sekitaran 100 pengguna,

dengan 10000 resources maka matriknya 1000000 entries.

Sehingga untuk mengatasi hal tersebut digunakan Access

Control List (ACL) yaitu membatasi kontrol akses berdasarkan

kolom pada matriknya.

Accounting Accounting Insurance Paytroll

program data data data
OS

Bob

Alice

Sam

Accounting
program

ini adalah contoh dari ACL, yang mana berisi hak hak yang ada

pada system dan user mana saja yang bias mengaksesnya

4.5.2 Control – List

Jika pada ACL membatasi kontrol akses berdasarkan kolom,

maka pada Capability List (C-List) membatasi kontrol akses

berdasarkan baris pada matriknya.

10
 Accounting Accounting Insurance Paytroll
OS
program data data data

Bob

Alice

Sam

Accounting
Program

Ini adalah contoh dari C-List (Capability List) yang mana adalah

berisi list capabilities (list kemampuan/hak hak) setiap user pada

sebuah system, seperti pada contoh pada suatu system, user

dengan nama alice mempunyai hak apa saja pada setiap system

yang ada.

4.5.3 ACL vs Capabilities

11
 ACLs

 Bagus bila pengguna yang mengelola filenya

 Proteksi adalah data – oriented

 Mudah mengubah kewenangan pada suatu

resource

Capabilities

 Mudah dalam mendelegasikan,

menghindari Confused Deputy

 Mudah dalam menambah / menghapus

kewenangan pengguna

 Lebih sulih diimplementasikan

 The “Zen of Information Security”

Capabilities disenangi oleh akademisi

 Capability Myths Demolished

4.5.4 Confused Deputy

Confused Deputy adalah sebuah program komputer yang dibodohi

oleh pihak lain untuk menyalahgunakan wewenangnya. Ini adalah

tipe khusus eskalasi hak istimewa. Dalam keamanan informasi,

12
 masalah wakil bingung sering dikutip sebagai contoh pengamanan

berbasis kemampuan penting, karena sistem kemampuan

melindungi terhadap hal ini.

4.5.5 Multi-Level Security (MLS)

MLS diperlukan bila subjek / objek ada pada level akses yang

berbeda namun berada pada sistem yang sama. MLS adalah

salah satu bentuk Access Control. Militer dan Pemerintah telah

menggunakan MLS pada beberapa dekade.

 Banyak Penelitian tentang MLS dilakukan

 Kekuatan dan kelemahan MLS sangat dipahami walau lebih

banyal teoritis

 Ada bebrapa kemungkinan penggunaan MLS diluar militer

4.5.6 Bell La Padula (BLP)

Adalah model keamanan yang menyangkut kerahasiaan data

(confidentiality) untuk membatasi pembacaan oleh

unauthorized/ pengguna yang bukan otorisasinya.

BLP hanya terbagi dua sebagai berikut :

 Simple Security Condition = No Read up / personel

hanya bisa membaca informasi yang klasifikasinya sama

atau lebih rendah.

13
  *-Property (Star Property) = No Write Down / informasi

yang hanya bisa ditulis/diubah/diberikan pada klasifikasi

yang sama atau lebih tinggi.

4.5.7 Biba

Adalah salah satu model yg dpt dipakai utk perlindungan

terhadap sistem atau Biba adalah model keamanan yang

menyangkut kebenaran data (integrity) untuk membatasi

penulisan oleh unauthorized/ pengguna yang bukan otorisasinya.

Berikut aturan yang diterapkan pada Biba :

 Write Access Rule

informasi yang hanya bisa ditulis/diubah/diberikan pada

klasifikasi yang sama atau lebih rendah.

 Read Access Rule

informasi yang hanya bisa dibaca pada klasifikasi yang

sama atau lebih tinggi.

4.5.8 Compartment

o Multilevel Security ( MLS ) menegakkan kontrol akses secara

up dan down

o Sistem security bertingkat dengan label umumnya tidak cukup

fleksibel

o Sistem compartments melakukan pembatasan secara ( Inter /

Antar ) Across

14
 o Misalkan TOP SECRET dibagi jadi TOP SECRET { CAT } dan

TOP SECRET { GOD }

o Keduanya TOP SECRET tetapi aliran informasi terbatas dilevel

TOP SECRET nya saja.

o Compartments didesain untuk memaksa, prinsip need to know

 Walaupun sudah ok ( Clearance ), kamu hanya dapat

mengakses informasi yanh mana kamu butuhkan untuk

pekerjaanmu saja.

4.5.9 MLS vs Compartments

o MLS bisa digunakan tanpa Compartments

o Tapi MLS sering digunakan Compartments

4.5.10 Covert Channel

MLS didesain untuk membatasi saluran informasi disaluran

komunikasi secara resmi(Legitimate), namun bisa terjadi ada

informasi terselubung yang dikirimkan lewat saluran resmi

15
 tersebut. Misalnya dengan cara menumpangkan sinyal yang

mengandung informasi lain pada sumber daya komunikasi

bersama tersebut. Convert Channel adalah sesuatu bagian yang

tidak direncanakan oleh desainer sistem.

4.5.11 Inference Control

Inference Control atau Kontrol Kesimpulan memiliki arti yaitu

user bisa mengakses pada item – item data, akan tetapi disana

terjadi pembatasan untuk mendapatkan kesimpulan dengan

menggunakan data tersebut.

Inference Control bertujuan untuk melindungi data dari deteksi

tidak langsung. Ini memastikan query non-data sensitif bila

disatukan tidak mengungkapkan informasi sensitif. Tujuan dari

Inference Control adalah untuk mencegah pengguna dari

menyelesaikan setiap saluran inferensi.

16
4.5.12 Captcha

Diajukan oleh Alan Turing pada tahun 1950, manusia bertanya

kepada manusia dan komputer tanpa saling melihat. Jika

penanya tidak bisa membedakan mana manusia dan mana

komputer, maka komputer lulus sebagai sesuatu yang cerdas (

Berinteligensi ). Ini sebagai Gold Standard pada AI, belum ada

komputer yang lulus hingga saat ini. Memang ada beberapa

diantaranya yang Close To Passing.

CAPTCHA singkatan dari Completely Automated Public Turing

test to tell Computers and Humans Apart. Completely

Automated – test dibuat dan dinilai oleh komputer. Public –

program dan data adalah public. Turing test untuk melihat

manusia bila lulus test tapi mesin tidak ( Juga sering disebut HIP

= Human Interactive Proof ). Jadi lawan dari Turing test yanga

asli.

Penggunaan CAPTCHA

Layanan email gratis – spammers suka menggunakan bots untuk

sign up sekitar 1000an akun. Captcha membuatnya sedemikian

sehingga hanya manusia yang mendapat akun. Web Sites yang

tidak meninginkan terindek secara oleh search engines.

17
 Tipe – tipe Captcha :

1. Visual

2. Audio

Captcha dan AI :

 OCR adalah salah satu challenge bagoi AI

 Sangat sulit bagi Segmentation Problem

 Manusia sangat baik dalam hal ini

 Suara yang distorsi adalah good Captcha

 Manusia juga baik dalam mengenal hal ini

 Hackers yang bisa memecah CAPTCHA berarti telah

menemukan salah satu solusi bagi masalah berat AI (

Such as OCR ).

4.5.13 Firewall

Firewall adalah perangkat yang digunakan untuk mengontrol

akses terhadap sisapun yang memiliki akses terhadap jaringan

privat dari pihak luar. Saat ini pengertian Firewall difahami

sebagai sebuah istilah generik yang merujuk pada fungsi firewal

sebagai sistem pengaturan komunikasi antar dua jaringan yang

berlainan.

18
 4.5.14 IDS

Intrusion Detection System adalah sebuah metode yang dapat

digunakan untuk mendeteksi aktivitas yang mencurigakan dalam

sebuah sistem atau jaringan. IDS dapat melakukan inspeksi

terhadap lalu lintas inbound dan outbound dalam sebuah sistem

atau jaringan, melakukan analisis dan mencari bukti dari

percobaan intrusi(penyusupan).

Jenis – jenis IDS

1. Network – based Intrusion Detection System(NIDS)

2. Host – Based Intrusion Detection System(HIDS)

5. Protocol

5.1 Pengertian Protocol

Protocols adalah sekumpulan perintah atau sistem yang mengatur

proses komunikasi, transmisi dan penerimaan informasi, pembacaan

pesan serta pengkoordinasian semua komputer yang terintegrasi dalam

jaringan, sehingga dapat melakukan aktifitas – aktifitas tersebut dengan

lancar.

Protocols

o Human protocols

Aturan interaksi antar manusia sehari – hari

o Networking protocols

Aturan yang berlaku dalam jaringan komunikasi ( HTTP,

FTP, etc )

19
 o Security Protocol

Protokol komunikasi yang diterapkan pada aplikasi

keamanan ( SSL, Ipsec, Kerberos, ect )

Kegagalan protocol dapat merambat, beberapa protocol

keamanan yang ternama mempunyai cukup banyak kelemahan (

Termasuk WEP, GSM, dan IPSec). Kesalahan dalam implementasi juga

dapat terjadi ( Implementasi SSL ).

5.2 Fungsi Protokol

1. Enkapsulasi

2. Connection Control

3. Flow Control

4. Error Control

5. Fragmentasi & Reassembly

6. Transmission Service

5.3 Protokol Keamanan yang Ideal

- Harus memenuhi kebutuhan keamanan ( Akurat )

- Efficient ( Membutuhkan komputasi minimal, menggunakan

bandwidth juga delays)

- Robust / Jelas ( Bekerja bila attacker mencoba menebusnya,

bekerja bila lingkungan / keadaan tiba – tiba berubah)

- Mudah diimplementasikan, mudah digunakan, dan fleksibel

20
6. Malware

6.1 Pengertian Malware

Malware adalah sebuah program yang diciptakan dengan maksud dan

tujuan tertentu untuk mencari celah kesalahan didalam software atau

operating sistem. Nama malware sendiri merupakan sebuah singkatan

“Malicious Software” yang berarti perangkat lunak mencurigakan.

Sebuah malware dapat mengakibatkan dampak buruk bagi sebuah

komputer maupun user (pengguna komputer). Program ini dapat

mengubah, merusak, mencari celah, dan mencuri data pribadi seseorang

yang tentu sangan merugikan.

6.2 Tipe Tipe Malware

 Virus => merambat/menjangkit

 Worm => Menginfeksi.

 Trojan Horse => fungsi pada pelengahan

 Trapdoor/backdoor => akses gelap

 Rabbit => menguras sumberdaya system

 Spyware => mencuri info, misal passwords

6.3 Tempat beradanya virus

- Boot Sector

o Mengambil alih kendali sebelum sesuatu yang lain

- Memory resident

o Berdiam dimemori

21
 - Aplikasi, marcos, data, etc.

- Library routines ( lib, ddl, dll)

- Compiler, debuggers, virus checker, etc.

6.4 Contoh contoh malware

- Brain Virus ( 1986 )

- Morris worm ( 1988 )

- Code Red ( 2001 )

- SQL Slammer ( 2004 )

- Stuxnet ( 2010 )

- Botnets ( Currently fashionable malware )

6.5 Malware Detection

3 Cara deteksi yang umum :

1. Signature detection

2. Change detection

3. Anomaly detection

7. Future Malware

7.1 Future Malware

Yang sedang tren

- Encrypted, polymorphic, metmorphic malware

- Fast replication / Warhol worms

- Flash worms, slow worms

- Botnets

22
7.2 Computer Infection

Komputer yang terkena viruses / worms analog dengan penyakit (

biological diseases )

Perbedaannya adalah :

- Dikomputer infeksi / berjangkit bisa lebih cepat

- Vaksinasi masih dibatasi

- Model bio disease tidak selalu bisa diterapkan

- Jarak bukan masalah di era Internet ini

Cyber “diseases” vs biologicak diseases

Kesamaan :

- Alamihnya infrksi yang berlebihan akan membuat penyakitnya

mati sendiri. ( Serum Polio, cacar, dll )

- Di internet terlalu banyaknya virus / worm might akan

mengakibatkan mereka gagal bekerja

Perbedaan :

- Alamihnya serangan penyakit bersifat random

- Cyber attackers mencari “desirable” targets

- Cyber attackers lebih terfokus dan lebih merusak

Mobile devices adalah kasus hibrid yang menarik

23
 7.3 Future Malware Detection

Malware saat ini jauh lebih baik dari “goodware”

- Metamorphic copies of existing malware

- Tools pembuat irus semakin banyak tersedia

- Berbagai virus dapat didaur ulang, dengan new signatures

Jadi lebih baik mendeteksi “detect” good code

- If code not an approved list, assume it’s bad

- That is, use whitelist instead of blacklist

7.4 Miscellaneous (Ragam) Software – Based Attacks

Sejumlah attacks melibatkan software itu sendiri

Dibawah ini adalah diskusi luar kategori sebelumnya

- Salami attack

- Linearization attack

- Time bomb

8. Secure Software Development

8.1 Penetrate and Patch (Awal & Penguatannya)

Pendeketan umum dalam membangun software

- Membangun secepat mungkin

- Melepas tanpa test yang memadai

- Membuat perbaikan / penguatan bila ada kelemahan

24
 Terkait security, hal ini disebut “penetrate and patch”

- A bad approach to software development

- An even worse approach to secure software

Kenapa Penetrate and Patch

Utamanya adalah masalah pasar

- Ingin menjadi market leader

- Market leader punya banyak keunggulan dalam dunia software

- Pengguna agak “menderita” bila dia “follow the leader”

- Boss tidak komplain bila kelemahan disistem kita, bisa hal yang

sama juga terjadi pada sistem lain

- Pengguna akan meminta bantuan ke orang lain, etc.

Hal ini biasa disebut juga “network economics”

Membangun Secure software sangat susah

- Biaya dan waktu yang diperlukan

- Biaya dan waktu untuk pengetesan

- Murah bagi pengguna dalam mengerjakan tugasnya

Secara ekonomik tidak jatuh harganya ( Disincentive )

- Walaupun kelemahan software menyebabkan kerugian,

penyedia software tidak bertanggung jawab

8.2 Penetrate and Patch Fallacy

Kesalahan / kekurangan ( Fallancy )

Jika kamu terus menjaga ( pembaruan ) patching terhadap software,

akhirnya memang akan aman ( secure )

25
 Kejadian empirik yang berlawanan ( Empirical Evidence To The

Contrary )

Patches umumnya menambah flaws baru

Software adalah target dinamik : new versions, features, changing

environment, new users.

8.3 Open vs Closed Source

Open source software

- The source code is available to user ( Linux )

Closed source

- The source code is not available to user ( Windows )

8.4 Open Source Security

Keunggulan open source

- More eyeballs

Lebih banyak orang dapat melihat ke code harusnya makin

banyak membetulkan flaws

- Salah satu Variasi dari Kerchoffs Principle

Contoh open source : wu – ftp

- Sekitar 8.000 baris code

- A security – critical application

- Sudah digunakan secara luas

- Setelah 10 tahun digunakan, serious security flaws ditemukan

26
 Secara umum open source software sedikit sekali upaya mereduksi

security flaws nya, karena open source mengikuti penetrate and patch

model.

8.5 Close Source Security

- Keunggulan closed source

o Kelamahan ( flaw ) tidak langsung terlihat oleh attacker

o Ini adalah bentuk “security by obscurity ( tidak penting )”

- Pembela open source selalu berpegangan pada Microsoft Fallacy (

Kekurangan ) yang berstatus

1. Microsoft membuat software yang jelek

2. Microsoft software adalah closed source

3. Sehingga closed software adalah jelek

- Mengapa Fallacy

o Secara logik tidak benar

o Lebih relevan Microsoft mengikuti prinsip penetrate and patch

model

- Tidak jelas keunggukab dari segi security baik opne atau closed source

- Perbandingan open vs closed source lebih terasa pada software

development practices nya

- Keduanya open dan closed source follow the “penetrate and patch”

model

27
- Jidak tidak ada beda segi security bya, mengapa Microsoft software

lebih seringan diserang ( attack )

o Microsoft is a big target !

o Attacker wants most “bang for buck ( gagal )”

- Sedikit eksploitasi terhadap Mac OS X

o Bukan karena Mac OS X lebih secure

o Namun attack pada Mac OS X lebihy sedikit kerusakannya

o Hal ini menyebabkan kurang “gairah / glory” pada attacker

- Selanjutnya kita akan melihat perbedaan secara teori

28
 Daftar Pustaka

Yufikar,U.(2018). K1_Intro [PowerPoint Slides].

Yufikar,U.(2018). K2_Kripto [PowerPoint Slides].

Yufikar,U.(2018). K3_Otentikasi [PowerPoint Slides].

Yufikar,U.(2018). K4_Otorisasi2018 [PowerPoint Slides].

Yufikar,U.(2018). K5_ExtendedAccessControl [PowerPoint Slides].

Yufikar,U.(2018). K6_Protocols [PowerPoint Slides].

Yufikar,U.(2018). K8_SWsec_malware [PowerPoint Slides].

Yufikar,U.(2018). K9_SWsec_Fututrmalware [PowerPoint Slides].

Yufikar,U.(2018). K10_SecSWdev [PowerPoint Slides].

29