Keamanan Sistem Informasi

Oleh: Puji Hartono

Versi: 2016

Modul 1
Pengantar Keamanan Sistem Informasi
 Overview
1. Mengapa perlu belajar keamanan?
2. Mengapa banyak insiden?
3. Statistik insiden keamanan di Indonesia
4. Contoh kasus insiden keamanan
5. Motif serangan
6. Strategi pengamanan
7. Tujuan pengamanan
8. Jenis-jenis serangan
9. Hacker vs Cracker
10. Audit keamanan
11. Istilah-istilah penting
 Mengapa belajar keamanan (1)
● Perkembangan peradaban
● Teknologi mempermudah kehidupan manusia
● Manusia menjadi tergantung dengan IT
●
Tergantung  Ancaman

Barter Pasar Toko Online !

 Mengapa belajar keamanan (2)
● Teknologi komputer masuk ke banyak aspek
kehidupan. Contoh: Perkembangan teknologi perang

Samuari Catapult Senjata api

 Mengapa belajar keamanan (3)
Contoh: Perkembangan teknologi perang saat ini

CRACKER

Kekuatan militer saat ini tidak diukur dengan

kekuatan otot
 Mengapa banyak insiden? (1)
1. Pengembangan teknologi lebih berorientasi pada
"Easy to use"
● Makin mudah penggunaan →makin tidak aman
● Makin banyak fungsinya →makin tidak aman
 Mengapa banyak insiden? (2)
2. Berkembangnya aplikasi berbasis jaringan
 Mengapa banyak insiden? (3)
3. Berkembangnya environment infrastruktur jaringan
 Mengapa banyak insiden? (4)
4. Makin canggihnya teknik-teknik serangan
5. Makin lama, penyerang tidak musti ahli
 Mengapa banyak insiden? (5)
6. Bertambahnya pengguna dengan motivasi yang
berbeda-beda
 Mengapa banyak insiden? (6)
7. Meningkatnya kompleksitas pada software,
hardware, manajemen

http://en.wikipedia.org/wiki/Source_lines_of_c
ode
 Mengapa banyak insiden? (7)
8. Trend jumlah vulnerability dan insiden bertambah
sangat pesat
 Statistik Insiden di ID (1)
● Rata-rata jumlah serangan=116 ribu perhari
 Statistik Insiden di ID (2)
● Serangan dengan severity high sebanyak 82%
 Statistik Insiden di ID (3)
● Jenis serangan SQL mencapai 83%
Contoh kasus insiden (1)
Contoh kasus insiden (2)
Contoh kasus insiden (3)
Contoh kasus insiden (4)
Contoh kasus insiden (5)
Contoh kasus insiden (6)
Contoh kasus insiden (7)
 Motif serangan
1. Politis, menjatuhkan lawan politik
2. Finansial, pencurian uang
3. Tujuan tertentu, dikenal dengan “Hacktivism”
4. Dendam (sakit hati), “Grudge attack”
5. Iseng, seperti banyak dilakukan oleh “Script kiddies”
6. Sebagai pekerjaan (cracker bayaran)
7. Dan lain sebagainya
 Pengendalian Keamanan
Lapisan strategi pengamanan sistem

Preventive Detective Corrective

● Security Policy ● CCTV ● IPS (Intrussion

● Kriptografi ● Deteksi Penyusupan Preventing System)
● Access Control ● Analisis Log ● DRP (Disaster
● dll ● Integrity Checking Recovery Planning)
● dll ● BCP (Business
continuity planning)
● dll
 Tujuan pengamanan sistem (1)
Tujuan utama, terjaminnya ...
1. Confidentiality (privacy)
Confidaentiality
Informasi (data) hanya bisa diakses
oleh pihak yang memiliki wewenang.
2. Integrity
Informasi hanya dapat diubah/dihapus
oleh pihak yang memiliki wewenang
3. Availability
Informasi tersedia untuk pihak yang
memiliki wewenang ketika dibutuhkan Integrity Availability
 Tujuan pengamanan sistem (2)
Tujuan pelengkap ….
4. Authenticity
Pihak yang terlibat dengan pertukaran
informasi dapat diidentifikasi dengan
benar dan ada jaminan bahwa identitas
yang didapat tidak palsu.
5. Non-repudiation
Pengirim maupun penerima informasi
tidak dapat menyangkal pengiriman dan
penerimaan pesan.
 Jenis-jenis serangan (1)
1. Dilihat dari perubahan sistem
● Passive, tidak merubah sistem/data, serangan pada
confidentiality. Contoh: Penyadapan pada jaringan
● Active sampai merubah sistem/data. Contoh: Buffer
over flow, SQL Injection, Brute Force Attack dll
 Jenis-jenis serangan (2)
2. Dilihat dari asal serangan
● Inside, serangan dari dalam jaringan.
Serangan paling berbahaya dilakukan oleh orang
●

dalam seperti karyawan yang sakit hati.

● Kebanyakan serangan melibatkan pihak dalam, baik

sengaja atau tidak

● Outside, serangan dari luar jaringan
 Jenis-jenis serangan (3)
3. Dilihat dari jenis gangguannya
● Kondisi transmisi normal:
● Informasi terkirim secara aman
● Terpenuhi seluruh (CIA) layanan keamanan
 Jenis-jenis serangan (4)
… Jenis gangguan (lanjutan)
● Interupsi:
● Asset dirusak/tidak tersedia/tidak dapat dipakai
● Serangan terhadap availability

● Contoh: Sabotase, DOS attack

Contoh kasus INTERUPSI
 Jenis-jenis serangan (4)
… Jenis gangguan (lanjutan)
● Intersepsi
● Pihak yang tidak berhak, mendapatkan akses ke asset
● Serangan thd confidentiality
● Contoh: penyadapan
Contoh kasus INTERSEPSI
 Jenis-jenis serangan (4)
… Jenis gangguan (lanjutan)
● Modifikasi
● Tidak hanya mendapatkan asset, bahkan memodifikasi
● Serangan terhadap integrity
● Contoh: Mengubah data atau pesan
Contoh kasus MODIFIKASI
 Jenis-jenis serangan (5)
… Jenis gangguan (lanjutan)
● Fabrikasi
● Memasukkan objek ke sistem
● Serangan pada autentifikasi
● Contoh: Menambahkan catatan pada sebuah file
Contoh kasus FABRIKASI

https://ektp.cektkp.com/
 Hacker vs Cracker (1)
HACKER CRACKER
Persepsi ● Konotasi positif ● Konotasi negatif
● Membangun ● Merusak
Nama lain ● White Hat ● Black Hat
● Security Professional
Cara kerja ● Dengan ijin/kontrak dengan ● Tanpa ijin
client
Skill dan ● Sama ● Sama
tools

Hasil ● Dilaporkan ke client disertai ● Tidak dilaporkan

advice ● Kadang dipublish
● Tidak mempublishnya
 Hacker vs Cracker (2)
● Menurut Eric Raymon:
“Hacker yang MEMBUAT dan
mengembangkan sistem.

Cracker tidak tahu kecuali cara

MERUSAKnya”
 Hacker vs Cracker (3)
● Jenis-jenis Hacker dan Cracker
● White Hat, disebut juga Ethical Hacker
● Black Hat, disebut juga Cracker
● Grey Hat, tergantung kondisi (kadang sebagai White Hat,
kadang sebagai Black Hat)
● Script Kiddies, Cracker yang hanya menggunakan tools
buatan orang lain tanpa tahu cara kerjanya
● Suicide Hackers, Cracker yang tidak peduli apakah
aksinya akan diketahui atau tidak
 Audit Keamanan (1)
● Jenis testing
● Black Box
● Tanpa pengetahuan awal sedikitpun
● Simulasi serangan dari luar, misalkan oleh cracker dari
luar
● Dibutuhkan waktu lama
● White Box
● Dengan pengetahuan penuh
● Simulasi serangan dari dalam, misalkan admin jaringan
yang sakit hati
● Waktu lebih singkat
 Audit Keamanan (3)
… jenis testing (lanjutan)
● Gray Box
● Dengan pengetahuan terbatas
● Simulasi serangan dari dalam dengan akses terbatas,
misalkan karyawan yang sakit hati dengan akses
terbatas berusaha mendapatkan akses ke sistem
secara penuh
 Audit Keamanan (4)
● Tahapan audit keamanan
● Kebutuhan user akan audit yang akan
dilaksanakan
● Penandatanganan NDA (nondisclosure
agreemen) mencakup:
● Ruang lingkup audit
● Asal serangan (inside, outside)
● Jenis testing (black box, white box, gray box)
● Konsolidasi dengan tim dan penentuan skedul
● Pelakasanaan audit
● Pembuatan laporan hasil audit
● Presentasi hasil audit dan advice kepada client
 Istilah-istilah penting (1)
● Bug
Kesalahan koding pada sistem
● Vulnerable
Kelemahan/cacat pada sistem
● Security hole
Lubang keamanan yang disebabkan oleh vulnerability
● Exploit
Tools atau mekanisme untuk melakukan serangan
dengan memanfaatkan vulnerability dan security hole
 Istilah-istilah (2)
● Zero Day
Kondisi dimana sebuah vulnerability ditemukan sampai
dengan vendor merilis patchnya.
● Rata-rata 2 bulan
● Pernah sampai 2 tahun
● Penetration Testing/Auidit keamanan
Teknik/mekanisme untuk menguji kemanan sistem dengan
cara melakukan serangan ke sistem tersebut