KEAMANAN INFORMASI

PRODI SISTEM INFORMASI

 Mungkinkah aman……?
• Sangat sulit mencapai 100% aman
• Ada timbal balik antara keamanan vs.
kenyamanan (security vs convenience)
– Semakin tidak aman, semakin nyaman
• Definisi computer security:
(Garfinkel & Spafford)
A computer is secure if you can depend on it and its
software to behave as you expect
(Komputer aman jika Anda dapat bergantung padanya dan perangkat lunaknya
untuk berperilaku seperti yang Anda harapkan)
 Penyebab peningkatan kejahatan……
• Aplikasi bisnis yang berbasis komputer / Internet
meningkat.
– Internet mulai dibuka untuk publik tahun 1995
– Electronic commerce (e-commerce)
• Statistik e-commerce yang semakin meningkat.
• Semakin banyak yang terhubung ke jaringan (seperti
Internet).
 Penyebab peningkatan kejahatan……
• Desentralisasi server.
– Terkait dengan langkanya SDM yang handal
– Lebih banyak server yang harus ditangani dan butuh lebih
banyak SDM dan tersebar di berbagai lokasi. Padahal susah
mencari SDM
– Server remote seringkali tidak terurus
– Serangan terhadap server remote lebih susah ditangani
(berebut akses dan bandwidth dengan penyerang)
 Penyebab peningkatan kejahatan……
• Transisi dari single vendor ke multi-vendor.
– Banyak jenis perangkat dari berbagai vendor yang harus
dipelajari. Contoh:
Untuk router: Cisco, Bay Networks, Nortel, 3Com, Juniper, Linux-
based router, …
Untuk server: Solaris, Windows NT/2000/XP, SCO UNIX, Linux,
*BSD, AIX, HP-UX, …
– Mencari satu orang yang menguasai semuanya sangat sulit.
Apalagi jika dibutuhkan SDM yang lebih banyak
 Penyebab peningkatan kejahatan……
• Pemakai makin melek teknologi dan kemudahan
mendapatkan software.
– Ada kesempatan untuk menjajal. Tinggal download
software dari Internet.
(Script kiddies)
– Sistem administrator harus selangkah di depan.
 Penyebab peningkatan kejahatan……
• Kesulitan penegak hukum untuk mengejar
kemajuan dunia telekomunikasi dan komputer.
– Cyberlaw belum matang
– Tingkat awareness (kesadaran) masih rendah
– Technical capability (kemampuan teknis) masih
rendah
 Penyebab peningkatan kejahatan……
• Meningkatnya kompleksitas sistem (teknis &
bisnis)
– Program menjadi semakin besar. Megabytes.
Gigabytes.
– Pola bisnis berubah: partners, alliance, inhouse
development, outsource, …
– Potensi lubang keamanan juga semakin besar.
 Contoh kompleksitas
Operating system Year Lines of
Code
Windows 3.1 1992 3 million
Windows NT 1992 4 million
Windows 95 1995 15 million
Wndows NT 4.0 1996 16.5 million
Windows 98 1998 18 millions
Windows 2000 2000 35-60
millions
 Kejahatan di bidang IT
• Kita sudah bergantung kepada Teknologi Informasi dalam
kehidupan sehari-hari
– Penggunaan ATM untuk banking, bahkan mulai meningkat
menjadi Internet Banking, Mobile Banking
– Komunikasi elektronik: telepon tetap, cellular, SMS
– Komunikasi via Internet: email, messaging, chatting
 IT dibidang bisnis
• IT merupakan komponen utama dalam bisnis
– Ada bisnis yang menggunakan IT sebagai basis utamanya: e-
commerce
– IT Governance
– Prioritas CIO 2003, 2004
– Menjadi concern utama dalam sistem online
– Business Continuity Planning – Disaster Recovery Plan
 IT Bidang Kepemerintahan
• E-government
– Penggunaan media elektronik untuk memberikan
layanan
– Meningkatkan transparansi
Kejahatan dibidang ATM

13
Menyadap PIN dengan
wireless camera

14
 Social Engineering
• Mencari informasi rahasia dengan menggunakan
teknik persuasif
– Membujuk melalui telepon dan SMS sehingga orang
memberikan informasi rahasia
– Contoh SMS yang menyatakan menang lotre kemudian
meminta nomor PIN
• Produk inovasi IT menjadi bagian dari kehidupan
sehari-hari
• Munculnya masalah (kejahatan)
• Masyarakat membutuhkan perlindungan terhadap
kejahatan-kejahatan yang mulai muncul
 Tujuan
– menjelaskan konsep keamanan dan kerahsiaan data
dalam system keamanan computer, jaringan /
internet
– menjelaskan aspek yang terkait dengan
permasalahan keamanan dan kerahasian data

– menjelaskan aspek layanan keamanan komputer

 Attack, Mechanism dan Serve
• Security Attack: Any action that compromises
the security of information.
• Security Mechanism: A mechanism that is
designed to detect, prevent, or recover from a
security attack.
• Security Service: A service that enhances the
security of data processing systems and
information transfers. A security service makes
use of one or more security mechanisms.
 Klasifikasi Keamanan Sistem
Menurut David Icove:
• Keamanan yang bersifat fisik (physical security).
• Keamanan yang berhubungan dengan orang
(personel).
• Keamanan dari data dan media serta teknik
komunikasi.
• Keamanan dalam operasi (policy & procedures)
 Klasifikasi berdasarkan elemen
• Network security
– fokus kepada saluran (media) pembawa informasi
• Application security
– fokus kepada aplikasinya sendiri, termasuk di
dalamnya adalah database
• Computer security
– fokus kepada keamanan dari komputer (end system),
termasuk operating system (OS)
 Aspek Layanan (Serve) Keamanan
• Privacy / confidentiality
• Integrity
• Authentication
• Availability
• Non-repudiation
• Access control
 Privacy / confidentiality
• Proteksi data [hak pribadi] yang sensitif
– Nama, tempat tanggal lahir, agama, hobby, penyakit yang
pernah diderita, status perkawinan
– Data pelanggan
– Sangat sensitif dalam e-commerce, healthcare
• Serangan: sniffer, SOP tidak jelas
• Proteksi: enkripsi
• Electronic Privacy Information Center http://www.epic.org
Electronic Frontier Foundartion http://www.eff.org
 Integrity
• Informasi tidak berubah tanpa ijin (tampered
dirusak, altered/modified/diubah)
• Serangan: spoof, virus, trojan horse, man in the
middle attack
• Proteksi: signature, certificate, hash
 Authentication
• Meyakinkan keaslian data, sumber data, orang
yang mengakses data, server yang digunakan
– penggunaan digital signature, biometrics
• Serangan: password palsu, terminal palsu, situs
web palsu
• Proteksi: certificates
 Availability
• Informasi harus dapat tersedia ketika dibutuhkan
– Serangan terhadap server: dibuat hang, down, crash,
lambat
• Serangan:
– Denial of Service (DoS) attack (mulai banyak)
– Virus yang menghancurkan / menghapus file
• Proteksi: backup, IDS, filtering router, firewall
 Non-repudiation
• Tidak dapat menyangkal (telah melakukan
transaksi)
– menggunakan digital signature / certificates
– perlu pengaturan masalah hukum (bahwa digital
signature sama seperti tanda tangan konvensional)
 Access Control
• Mekanisme untuk mengatur siapa boleh
melakukan apa
– biasanya menggunakan password, token
– adanya kelas / klasifikasi pengguna dan data
 • Dibaca dan diakses oleh yang diberi

Tujuan otoritas
• Jenis akses meliputi:
• Mencetak
• Membaca
• Bentuk-bentuk lain (membuka suatu
• Dimodifikasi oleh yang objek)
berhak, meliputi:
• Menulis
• Mengubah Confidentiality
• Mengubah status • Tersedia untuk
• Menghapus pihak yang
• Membuat yang baru berwenang

Integrity Avalaibility

28
 Katergori serangan
• Serangan pasif >> sulit dideteksi
– Membuka isi file (release of message contents)
• Informasi rahasia dan sensitif >> mencegah penyerang mempelajari pentransmisian
– Menganalisis lalu lintas (traffic analysis)
• Teknik pengiriman dengan enskripsi
• Serangan aktif >> memodifikasi data / menciptakan aliran yang menyesatkan
– Penyamaran (masquerade)
• Suatu entitas berpura-pura sebagai entitas yang berbeda
• Menangkap yang asli >> dibalas setelah rangkaian asi yang valid diganti
– Jawaban (replay)
• Penangkapan secara pasif
• Mendapatkan efek yang tidak terotorisasi
– Modifikasi pesan (modification of message contents)
• Mengubah beberapa bagian yang asli
• Untuk menghasilkan efek tidak terotorisasi
– Penolakan layanan (denial of service)
• Mencegah dari yang normal atau manajemen fasilitas tertentu
• Memiliki tujuan tertentu
• Bentuk >> gangguan jaringan dengan cara melumpuhkan jaringan atau memenuhi
jaringan sehingga mengurangi kinerjanya
 Jenis Serangan (menurut Stalling)
• Ancaman Availabiliti • Ancaman secrecy /
• DoS Attack, Network confidentially
Fooding • Yang tidak berhak
• Memotong jalur mendapatkan informasi
komunikasi • Password sniffing

• Ancaman authentication
• Yang tidak berhak dapat
• Ancaman integritas
memalsukan / menirukan
• Yang tidak berhak mendapatkan informasi
suatu objek kedalam
• Dapat melakukan perubahan Virus, trojan 30
sistem
Terima Kasih