Dosen : Nanang Pradita, S.Kom., M.

Kom
 Pengertian Keamanan Komputer
 Alasan Mengapa Keamanan Komputer
dibutuhkan
 Tujuan Keamanan Komputer
 Masalah keamanan sistem komputer secara
umum.
 Dasar-dasar gangguan keamanan komputer.
 Aspek-aspek keamanan komputer
 Keamanan komputer atau dalam Bahasa
Inggris computer security atau dikenal juga dengan
sebutan cybersecurity atau IT security adalah
keamanan infromasi yang diaplikasikan kepada
komputer dan jaringannya. Computer security
atau keamanan komputer bertujuan membantu
user agar dapat mencegah penipuan atau
mendeteksi adanya usaha penipuan di sebuah
sistem yang berbasis informasi
 “information-based society”, menyebabkan nilai
informasi menjadi sangat penting dan menuntut
kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat
esensial bagi sebuah organisasi,

 Infrastruktur Jaringan komputer, seperti LAN dan

Internet, memungkinkan untuk menyediakan
informasi secara cepat, sekaligus membuka potensi
adanya lubang keamanan (security hole)
 Aplikasi bisnis berbasis TI dan jaringan komputer
meningkat : online banking, e-commerce, Electronic data
Interchange (EDI).
 Desentralisasi server.
 Transisi dari single vendor ke multi vendor.
 Meningkatnya kemampuan pemakai (user).
 Kesulitan penegak hukum dan belum adanya ketentuan
yang pasti.
 Semakin kompleksnya system yang digunakan, semakin
besarnya source code program yang digunakan.
 Berhubungan dengan internet.
Menurut David Icove diklasifikasikan menjadi 4:
1. Keamanan yang bersifat fisik (physical security): termasuk akses orang
ke gedung, peralatan, dan media yang digunakan. Contoh :
 Wiretapping atau hal-hal yang ber-hubungan dengan akses ke kabel
atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas
ini.
 Denial of service, dilakukan misalnya dengan mematikan peralatan atau
membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi
apa saja karena yang diuta-makan adalah banyaknya jumlah pesan).
 Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh
permintaan sehingga dia menjadi ter-lalu sibuk dan bahkan dapat
berakibat macetnya sistem (hang).
2. Keamanan yang berhubungan dengan orang (personel), Contoh :
 Identifikasi user (username dan password)
 Profil resiko dari orang yang mempunyai akses (pemakai dan pengelola).

3. Keamanan dari data dan media serta teknik komunikasi

(communications) Contoh : Trojan Horse.

4. Keamanan dalam operasi: Adanya prosedur yang digunakan untuk

mengatur dan mengelola sistem keamanan, dan juga ter-masuk
prosedur setelah serangan (post attack recovery).
 Privacy / Confidentiality
 Integrity
 Authentication
 Availability
 Access Control
 Non-Repudiation
 Perbedaan Privacy Integrity Authentica Availability Acces control Non repudiation
tion
Definisi Menjaga informasi Informasi tidak Menyatakan Upaya Sistem yang di Aspek menjaga
dari orang yang boleh diubah tanpa bahwa pencegahan rancang utk agar seorang
tidak berhak seizin pemilik informasi ditahannya memungkinkan tidak dapat
mengakses informasi benar”nasli, org informasi wewenang menyangkal telah
yg mengakses membatasi melakukan
benar” org yg pnguna utk sebuah transaksi
dimaksud mengakses
Bentuk serangan Usaha penyadapan Adanya virus trojan, Data dapat Pemakai diirimi Masuk kedalam Usaha penipuan
pemakai lain yang dimanupulasi permintaan yg suatu sistem Carding
mengubah bertubi2 tanpa diketahui
informasi tanpa izin admin,
Contoh Data data yang Email di intercept di Data Tidak dapat Pembatasan Seorang
sifatnya pribadi tengah jalan, di dikonfirmasi membuka email orang yang dapat mengirimkan
harus dapat di ubah isinya ulang dgn atau kesulitan mengakses email untuk
proteksi dlm kemudian captcha (kode) mengakses informasi dan memesan barang
penggunaan dan diteruskan ke emailnya user harus tidak dapat
penyebarannya alamat yang di tuju menggunakan menyangkal
password bahwa dia telah
mengirim email
tersebut padahal
dia tidak
memesan barang
apapun
Usaha Dengan Menginstall anti 1. Adanya Kinerja sistem Memberikan hak Jangan asal
menggunakan virus, jangan tools yg harus selalu akses kepada menyuruh orang
Teknologi menyebarkan membuktik memadai tanpa orang orang lain untuk
Kriptografi, jangan informasi kita ke an keaslian menghiraukan terpercaya menfoto copy
memberikan data orang lain dokumen. jumlah user dengan id kartu kredit atau
akun kepada orang 2. 2. akses atau proses yg identitas
lain contrl harus
 Perbedaan Privacy iIntegrity Authentica Availability Acces control Non repudiation
tion

Definisi Pencegahan agar Informasi tidak Metode untuk Upaya Mengacu pada Merupakan hal
suatu informasi boleh diubah tanpa menyatakan pencegahan sistem yang yang
tidah dapat diakses seizin pemilik bahwa diitahannya dapat bersangkutan
oleh orang yang informasi informasi asli, informasi yang mengkontrol, dengan si
tidak berhak atau orang berlebihan oleh memantau dan pengirim, agar
yang yg tidak berhak membatasi sesorg tdk
mengakses pergerakan menyangkal telah
melakukan
transaksi
Bentuk serangan Usaha pembajakan, Adanya virus, trojan Pencurian DOS ( Denial Of Masuk kedalam Adanya akun
penyadapan, horse, atau user lain informasi Service) & suatu sistem palsu/ email yang
pencurian informasi yang mengubah Mailbomb tanpa diketahui sengaja
tanpa izin admin, tanpa hak memesan barang
izin akses
Contoh Mengubah Email di intercept di Terjadi pada Membanjiri Login website Seseorg yang
status/identitas diri tengah jalan, saat login email korban Database mengirim email
pada suatu akun diubah isinya, dengan data / untuk memesan
data pribadi, kemudian di kiriman email tdk dpt
pencurian pada teruskan ke alamat yg banyak menyangkal
kartu kredit yang di tuju bahwa sudah
mengirim
Usaha Menggunakan Pemasangan Watermarking Email firewall & -Menambahkan Melakukan
teknologi enkskripsi antivirus, (teknik Tarpitting alat keamanan, mengkornfirmasi
untuk mengenkripsi data penyembunyia ( mencegah seperti RFID, agar
meningkatkan & digital signature. n data atau spam ) Voice menggunakan
privacy informasipada -- kombinasi identitas Asli/KTP
suatu media angka dan huruf
sebagai password
-- firewall
Untuk menyakinkan
 Ketersediaan (Availabity)
 Keutuhan (Integrity)
 Kerahasian (Confidentiality)
 Akuntabilitas (Accountablity)
 Jaminan/Kepastian (Assurance)
 Ketersediaan adalah persyaratan untuk
menjamin sistem bekerja dengan cepat dan
pelayanan tidak ditolak bagi pemakai yang
berhak.
 Tujuan ini melindungi ancaman dari:
 Yang bermaksud / Kecelakaan melakukan
penghapusan data / melakukan hal lain yang
mengakibatkan penolakan pelayanan atau data
 Berusaha memakai sistem atau data untuk tujuan
yang tidak diotorisasi.
 Keutuhan data (data tidak berubah karena
akses tidak sah ketika penyimpanan, proses
atau ketika pengangkutan/pemidahan)
 Keutuhan sistem (kualitas sistem ketika
melakukan fungsi yang yang diinginkan
dalam keadaan tidak terhalang dan bebas
dari manipulasi yang tidak sah).
 Keutuhan merupakan yang penting dalam
tujuan keamanan setelah ketersediaan.
 Kerahasiaan adalah persyaratan yang
menunjukkan bahwa informasi tidak dibuka
oleh orang yang tidak berhak / tidak
diotorisasikan
 Ditujukan untuk level perorangan.
 Akuntabilitas adalah persyaratan aksi entitas
yang bisa dilacak secara unik terhadap
entitas itu.
 Menjadi persyaratan kebijakan organisasi
dan secara langsung mendukung
pencegahan penolakan, isolasi kesalahan,
pendeteksian penyusupan, recovery dan
tindakan hukum.
 Untuk mamantapkan empat tujuan yang
dicapai.
 Merupakan dasar untuk meyakinkan bahwa
ukuran keamanan secara teknik dan
operasional bekerja dengan baik dalam
melindungi sistem dan pemrosesan
informasi.
 Jaminan merupakan sesuatu yang penting
karena tanpa hal ini tujuan tidak akan
dicapai.
 Fungsionalitas yang ada diterapkan dengan
benar.
 Terdapat perlindungan terhadap kesalahan
oleh pemakai atau perangkat lunak.
 Terdapat penahan untuk penertralisasi atau
by-pass yang disengaja.
 KERAHASIAN KEUTUHAN

KEUTUHAN KERAHASIAN

KETERSEDIAAN Akuntabilitas

KERAHASIAN KEUTUHAN KERAHASIAN KEUTUHAN

JAMINAN/KEPASTIAN
 Kerahasian tergantung pada keutuhan, sehingga
jika keutuhan dalam sistem hilang maka tidak ada
lagi harapan yang masuk akal bahwa mekanisme
kerahasian masih valid.
 Keutuhan tergantung pada kerahasian sehingga,
jika kerahasian hilang atas informasi maka
mekanisme keutuhan kemungkinan besar telah
ditembus.
 Ketersediaan dan Akuntabilitas tergantung pada
kerahasian dan keutuhan sehingga
 Jika kerahasian hilang untuk informasi tertentu,
mekanisme yang diterapkan untuk tujuan ini dengan
mudah di tembus (by-pass), dan
 Jika keutuhan hilang, maka kepercayaan dalam validitas
mekanisme penerapan pada tujuan itu juga telah hilang.
 Semua tujuan itu memiliki hubungan interdepensi
dengan suatu jaminan.
Menurut W. Stallings [William Stallings, “Network and Internetwork Security,”
Prentice Hall, 1995.] serangan (attack) terdiri dari :
 Interruption: Perangkat sistem menjadi rusak atau tidak tersedia.
Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh
serangan adalah “denial of service attack”.
 Interception: Pihak yang tidak berwenang berhasil mengakses asset atau
informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
 Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses,
akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini
antara lain adalah mengubah isi dari web site dengan pesan-pesan yang
merugikan pemilik web site.
 Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke
dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-
pesan palsu seperti e-mail palsu ke dalam jaringan komputer
Jenis Ancaman Penjelasan

Virus program komputer yang dapat menggandakan atau menyalin dirinya

sendiri, dapat merusak perangkat lunak komputer.
adware Iklan produk atau penawaran layanan yang merupakan bagian dari sebuah
situs atau aplikasi.
Backdoor trojan Program TCPWrapper yang dimodifikasi oleh orang yang tidak
bertanggung jawab
bluejacking Kerjanya mirip spam pada e-mail komputer
Spyware Program yang bertindak sebagai mata-mata untuk mengetahui kebiasaan
pengguna komputer dan mengirimkan informasi tersebut ke pihak lain.

Dialers Mengubah halaman web, yang dikenal sebagai istilah deface

Browser hijackers Mengetahui bagaimana session hijacking dapat dilakukan, sehingga sejauh
mana kelemahan dari situs web dapat digunakan untuk melakukan
komunikasi
 Pelaku menghentikan dan merusak/
memanfaatkan informasi
 Informasi tidak disampaikan pada yang
berhak

Sumber Tujuan

Pelaku
 Merupakan ancaman terhadap kerahasian
(secrecy). Informasi yang disadap atau orang
yang tidak berhak mendapatkan akses ke
komputer di mana informasi tersebut
disimpan.
Sumber Tujuan

Penyadap
 Merupakan ancaman terhadap integritas.
Orang yang tidak berhak berhasil menyadap
lalu lintas informasi yang sedang dikirim dan
diubah sesuai keinginan orang tersebut.

Sumber Tujuan

Perpetrator
Fabrikasi (Fabrication)

 Merupakan ancaman terhadap integritas. Orang yang

tidak berhak berhasil meniru suatu informasi yang ada
sehingga orang menerima informasi tersebut
menyangka informasi tersebut berasal dari orang yang
dikehendaki oleh si penerima informasi.

Sumber Tujuan

Masquerader: from
S
 Worm
 Trojan
 Overwrite
 Macro virus
 Companion virusses
 Direct Acction Viruses
 Shortcut.exe
 Polymorphic virus
 FAT Virus
 Boot Sector Virus
HACKER
-Orangyang secara diam-diam mempelajari sistem
yang biasanya sukar dimengerti untuk kemudian
mengelolanyadan men-share hasil ujicoba yang
dilakukannya.
- Hacker tidak merusak sistem
CRACKER
- Orang yang secara diam-diam mempelajari sistem
dengan maksud jahat
– Muncul karena sifat d asar manusia yang selalu
ingin membangun (salah satunya merusak)
 Kesalahan dan Penghilangan
 Disebabkan oleh para pemakai yang membuat
dan mengedit data.
 Penipuan dan Pencurian
 Dengan komputer dapat dilakukan oleh orang
dalam atau orang luar.
 Sabotase oleh Karyawan
 Melakukan kerusakan h/w, fasilitas, penanaman
bom logika untuk menghancurkan program/data,
dll.
 Hilangnya Pendukung dan Infrastruktur Fisik
• Karena terjadinya gangguan daya listrik,
kebakaran, banjir, dll.
 Malicious Hackers
• Mengacu pada mereka yang menerobos
komputer tanpa otoritas.
 Spionase Industri
 Tindakan mengumpulkan data perusahaan swasta
/ pemerintah untuk kepentingan tertentu.
 Malicious Code (Kode Jahat)
 Mengacu pada virus, cacing, kuda trojan,
pengeboman logika, dll perangkat lunak yang
“tidak diudang”.
 Mata-Mata oleh Pemerintah Asing
 Informasi tentang kebijakan ekonomi, politik dan
pertahanan menjadi Barang sensitif dan harus
dilindungi.
 Ancaman terhadap kerahasian Pribadi
 Terorisme Komputer
 Mencegah hilangnya data
 Mencegah masuknya penyusup
 Enkripsi adalah sebuah proses yang melakukan
perubahan sebuah kode yang bisa dimengerti
menjadi sebuah kode yang tidak bisa dimengerti
(tidak terbaca). Enkripsi dapat diartikan sebagai
kode atau chiper.
 Dekripsi adalah proses dengan algoritma yang sama
untuk mengembalikan informasi teracak menjadi
bentuk aslinya.
 Metode enkripsi yang lebih umum adalah
menggunakan sebuah algoritma dan sebuah kunci.
Kunci harus diletakkan terpisah dari pesan yang
terenkripsi dan dikirimkan secara rahasia. Teknik
semacam ini disebut sebagai symmetric (single key)
atau secret key cryptography.