Anda di halaman 1dari 46

Keamanan Sistem Informasi

Oleh: Puji Hartono


Versi: 2016

Modul 1
Pengantar Keamanan Sistem Informasi
Overview
1. Mengapa perlu belajar keamanan?
2. Mengapa banyak insiden?
3. Statistik insiden keamanan di Indonesia
4. Contoh kasus insiden keamanan
5. Motif serangan
6. Strategi pengamanan
7. Tujuan pengamanan
8. Jenis-jenis serangan
9. Hacker vs Cracker
10. Audit keamanan
11. Istilah-istilah penting
Mengapa belajar keamanan (1)
● Perkembangan peradaban
● Teknologi mempermudah kehidupan manusia
● Manusia menjadi tergantung dengan IT

Tergantung  Ancaman

Barter Pasar Toko Online !


Mengapa belajar keamanan (2)
● Teknologi komputer masuk ke banyak aspek
kehidupan. Contoh: Perkembangan teknologi perang

Samuari Catapult Senjata api


Mengapa belajar keamanan (3)
Contoh: Perkembangan teknologi perang saat ini

CRACKER

Kekuatan militer saat ini tidak diukur dengan


kekuatan otot
Mengapa banyak insiden? (1)
1. Pengembangan teknologi lebih berorientasi pada
"Easy to use"
● Makin mudah penggunaan →makin tidak aman
● Makin banyak fungsinya →makin tidak aman
Mengapa banyak insiden? (2)
2. Berkembangnya aplikasi berbasis jaringan
Mengapa banyak insiden? (3)
3. Berkembangnya environment infrastruktur jaringan
Mengapa banyak insiden? (4)
4. Makin canggihnya teknik-teknik serangan
5. Makin lama, penyerang tidak musti ahli
Mengapa banyak insiden? (5)
6. Bertambahnya pengguna dengan motivasi yang
berbeda-beda
Mengapa banyak insiden? (6)
7. Meningkatnya kompleksitas pada software,
hardware, manajemen

http://en.wikipedia.org/wiki/Source_lines_of_c
ode
Mengapa banyak insiden? (7)
8. Trend jumlah vulnerability dan insiden bertambah
sangat pesat
Statistik Insiden di ID (1)
● Rata-rata jumlah serangan=116 ribu perhari
Statistik Insiden di ID (2)
● Serangan dengan severity high sebanyak 82%
Statistik Insiden di ID (3)
● Jenis serangan SQL mencapai 83%
Contoh kasus insiden (1)
Contoh kasus insiden (2)
Contoh kasus insiden (3)
Contoh kasus insiden (4)
Contoh kasus insiden (5)
Contoh kasus insiden (6)
Contoh kasus insiden (7)
Motif serangan
1. Politis, menjatuhkan lawan politik
2. Finansial, pencurian uang
3. Tujuan tertentu, dikenal dengan “Hacktivism”
4. Dendam (sakit hati), “Grudge attack”
5. Iseng, seperti banyak dilakukan oleh “Script kiddies”
6. Sebagai pekerjaan (cracker bayaran)
7. Dan lain sebagainya
Pengendalian Keamanan
Lapisan strategi pengamanan sistem

Preventive Detective Corrective

● Security Policy ● CCTV ● IPS (Intrussion


● Kriptografi ● Deteksi Penyusupan Preventing System)
● Access Control ● Analisis Log ● DRP (Disaster
● dll ● Integrity Checking Recovery Planning)
● dll ● BCP (Business
continuity planning)
● dll
Tujuan pengamanan sistem (1)
Tujuan utama, terjaminnya ...
1. Confidentiality (privacy)
Confidaentiality
Informasi (data) hanya bisa diakses
oleh pihak yang memiliki wewenang.
2. Integrity
Informasi hanya dapat diubah/dihapus
oleh pihak yang memiliki wewenang
3. Availability
Informasi tersedia untuk pihak yang
memiliki wewenang ketika dibutuhkan Integrity Availability
Tujuan pengamanan sistem (2)
Tujuan pelengkap ….
4. Authenticity
Pihak yang terlibat dengan pertukaran
informasi dapat diidentifikasi dengan
benar dan ada jaminan bahwa identitas
yang didapat tidak palsu.
5. Non-repudiation
Pengirim maupun penerima informasi
tidak dapat menyangkal pengiriman dan
penerimaan pesan.
Jenis-jenis serangan (1)
1. Dilihat dari perubahan sistem
● Passive, tidak merubah sistem/data, serangan pada
confidentiality. Contoh: Penyadapan pada jaringan
● Active sampai merubah sistem/data. Contoh: Buffer
over flow, SQL Injection, Brute Force Attack dll
Jenis-jenis serangan (2)
2. Dilihat dari asal serangan
● Inside, serangan dari dalam jaringan.
Serangan paling berbahaya dilakukan oleh orang

dalam seperti karyawan yang sakit hati.


● Kebanyakan serangan melibatkan pihak dalam, baik

sengaja atau tidak


● Outside, serangan dari luar jaringan
Jenis-jenis serangan (3)
3. Dilihat dari jenis gangguannya
● Kondisi transmisi normal:
● Informasi terkirim secara aman
● Terpenuhi seluruh (CIA) layanan keamanan
Jenis-jenis serangan (4)
… Jenis gangguan (lanjutan)
● Interupsi:
● Asset dirusak/tidak tersedia/tidak dapat dipakai
● Serangan terhadap availability

● Contoh: Sabotase, DOS attack


Contoh kasus INTERUPSI
Jenis-jenis serangan (4)
… Jenis gangguan (lanjutan)
● Intersepsi
● Pihak yang tidak berhak, mendapatkan akses ke asset
● Serangan thd confidentiality
● Contoh: penyadapan
Contoh kasus INTERSEPSI
Jenis-jenis serangan (4)
… Jenis gangguan (lanjutan)
● Modifikasi
● Tidak hanya mendapatkan asset, bahkan memodifikasi
● Serangan terhadap integrity
● Contoh: Mengubah data atau pesan
Contoh kasus MODIFIKASI
Jenis-jenis serangan (5)
… Jenis gangguan (lanjutan)
● Fabrikasi
● Memasukkan objek ke sistem
● Serangan pada autentifikasi
● Contoh: Menambahkan catatan pada sebuah file
Contoh kasus FABRIKASI

https://ektp.cektkp.com/
Hacker vs Cracker (1)
HACKER CRACKER
Persepsi ● Konotasi positif ● Konotasi negatif
● Membangun ● Merusak
Nama lain ● White Hat ● Black Hat
● Security Professional
Cara kerja ● Dengan ijin/kontrak dengan ● Tanpa ijin
client
Skill dan ● Sama ● Sama
tools

Hasil ● Dilaporkan ke client disertai ● Tidak dilaporkan


advice ● Kadang dipublish
● Tidak mempublishnya
Hacker vs Cracker (2)
● Menurut Eric Raymon:
“Hacker yang MEMBUAT dan
mengembangkan sistem.

Cracker tidak tahu kecuali cara


MERUSAKnya”
Hacker vs Cracker (3)
● Jenis-jenis Hacker dan Cracker
● White Hat, disebut juga Ethical Hacker
● Black Hat, disebut juga Cracker
● Grey Hat, tergantung kondisi (kadang sebagai White Hat,
kadang sebagai Black Hat)
● Script Kiddies, Cracker yang hanya menggunakan tools
buatan orang lain tanpa tahu cara kerjanya
● Suicide Hackers, Cracker yang tidak peduli apakah
aksinya akan diketahui atau tidak
Audit Keamanan (1)
● Jenis testing
● Black Box
● Tanpa pengetahuan awal sedikitpun
● Simulasi serangan dari luar, misalkan oleh cracker dari
luar
● Dibutuhkan waktu lama
● White Box
● Dengan pengetahuan penuh
● Simulasi serangan dari dalam, misalkan admin jaringan
yang sakit hati
● Waktu lebih singkat
Audit Keamanan (3)
… jenis testing (lanjutan)
● Gray Box
● Dengan pengetahuan terbatas
● Simulasi serangan dari dalam dengan akses terbatas,
misalkan karyawan yang sakit hati dengan akses
terbatas berusaha mendapatkan akses ke sistem
secara penuh
Audit Keamanan (4)
● Tahapan audit keamanan
● Kebutuhan user akan audit yang akan
dilaksanakan
● Penandatanganan NDA (nondisclosure
agreemen) mencakup:
● Ruang lingkup audit
● Asal serangan (inside, outside)
● Jenis testing (black box, white box, gray box)
● Konsolidasi dengan tim dan penentuan skedul
● Pelakasanaan audit
● Pembuatan laporan hasil audit
● Presentasi hasil audit dan advice kepada client
Istilah-istilah penting (1)
● Bug
Kesalahan koding pada sistem
● Vulnerable
Kelemahan/cacat pada sistem
● Security hole
Lubang keamanan yang disebabkan oleh vulnerability
● Exploit
Tools atau mekanisme untuk melakukan serangan
dengan memanfaatkan vulnerability dan security hole
Istilah-istilah (2)
● Zero Day
Kondisi dimana sebuah vulnerability ditemukan sampai
dengan vendor merilis patchnya.
● Rata-rata 2 bulan
● Pernah sampai 2 tahun
● Penetration Testing/Auidit keamanan
Teknik/mekanisme untuk menguji kemanan sistem dengan
cara melakukan serangan ke sistem tersebut

Anda mungkin juga menyukai