Sistem Informasi - Unand Tujuan Belajar Memahami cakupan kejahatan dan masalah keamanan di e-commerce Jelaskan kunci dimensi e-commerce keamanan Memahami ketegangan antara keamanan dan nilai-nilai lain Mengidentifikasi kunci ancaman keamanan dalam lingkungan e-commerce Jelaskan bagaimana berbagai bentuk enkripsi membantu teknologi melindungi keamanan pesan yang dikirim melalui Internet Identifikasi alat digunakan untuk membangun Internet yang aman saluran komunikasi Identifikasi alat digunakan untuk melindungi jaringan, server, dan klien Keamanan Lingkungan E-commerce : Ruang Lingkup Masalah 2002 Keamanan Komputer survei Institut dari 503 personel keamanan di perusahaan-perusahaan AS dan pemerintah 80% responden telah mendeteksi pelanggaran keamanan komputer dalam 12 bulan terakhir dan menderita kerugian finansial sebagai akibat Hanya 44% bersedia atau mampu mengukur kerugian yang mencapai $ 456.000.000 dalam agregat 40% melaporkan serangan dari luar organisasi 40% mengalami penolakan serangan layanan 85% serangan virus terdeteksi Lingkungan Keamanan E-commerce Dimensi Keamanan E-commerce Integritas: kemampuan untuk memastikan bahwa informasi yang ditampilkan di situs Web atau dikirim / diterima melalui Internet belum diubah dengan cara apapun oleh pihak yang tidak berwenang Nonrepudiation: kemampuan untuk memastikan bahwa e-commerce peserta tidak mengingkari (menolak) tindakan secara online Keaslian: kemampuan untuk mengidentifikasi identitas orang atau badan dengan siapa Anda berurusan di Internet Dimensi Keamanan E-commerce (II) Kerahasiaan: kemampuan untuk memastikan bahwa pesan-pesan dan data yang tersedia hanya untuk mereka yang berwenang untuk melihatnya Privasi: kemampuan untuk mengendalikan penggunaan informasi pelanggan yang telah diberikan kepada pedagang Ketersediaan: kemampuan untuk memastikan bahwa situs e- commerce terus berfungsi sebagaimana dimaksud Ketegangan Antara Keamanan dan Nilai Lain Keamanan vs kemudahan penggunaan: langkah-langkah keamanan yang lebih yang ditambahkan, situs lebih sulit untuk digunakan, dan menjadi lebih lambat Keamanan vs Keinginan individu untuk bertindak secara anonim Ancaman Keamanan di Lingkungan E-commerce Tiga poin penting kerentanan: Klien Server Komunikasi saluran Paling umum ancaman: Kode berbahaya Hacking dan cybervandalism Kartu kredit penipuan / pencurian Spoofing Penolakan serangan layanan Sniffing Insider Jobs Sebuah Transaksi Khas E-commerce Poin Rentan dalam Lingkungan E-commerce Kode berbahaya Virus: program komputer yang sebagai kemampuan untuk mereplikasi dan menyebar ke file lain, sering juga membawa sebuah "payload" dari beberapa macam (mungkin merusak atau jinak); termasuk virus makro, menginfeksi file virus dan virus script Worm: dirancang untuk menyebarkan salinan dirinya sebagai program mandiri melalui jaringan Trojan horse: tampaknya jinak, tetapi kemudian melakukan sesuatu yang lain dari yang diharapkan Bad applet (kode mobile berbahaya): berbahaya Java applet atau kontrol ActiveX yang dapat didownload ke klien dan diaktifkan hanya dengan berselancar ke situs Web Hacking dan Cybervandalism Hacker: Individu yang bermaksud untuk mendapatkan akses tidak sah ke sistem komputer Cracker: Digunakan untuk menunjukkan hacker dengan maksud kriminal (dua istilah yang sering digunakan secara bergantian) Cybervandalism: Sengaja mengganggu, defacing atau menghancurkan situs Web Jenis hacker meliputi: Topi putih - Anggota "tim macan" yang digunakan oleh departemen keamanan perusahaan untuk menguji langkah-langkah keamanan mereka sendiri Topi hitam - Undang-Undang dengan maksud menyebabkan kerusakan Topi abu-abu - mengejar beberapa kebaikan yang lebih besar dengan melanggar dan mengungkapkan kelemahan sistem Penipuan Kartu Kredit Ketakutan bahwa informasi kartu kredit akan dicuri menghalangi pembelian online Hacker target file kartu kredit dan informasi lainnya file pelanggan pada server pedagang; menggunakan data curian untuk membangun kredit di bawah identitas palsu Solusi Baru : mekanisme baru verifikasi identitas untuk mengidentifikasi identitas pelanggan Spoofing, DoS and dDoS Attacks, Sniffing, Insider Jobs Spoofing: Menyalahartikan diri dengan menggunakan alamat e-mail palsu atau menyamar sebagai orang lain Denial of service (DoS) attack: Hackers flood Web site dengan traffic yang tidak berguna untuk membanjiri dan membanjiri jaringan Distributed denial of service (dDoS) attack: hacker menggunakan banyak komputer untuk menyerang jaringan target dari berbagai titik peluncuran Sniffing: jenis program penguping yang memantau informasi yang melewati suatu jaringan; memungkinkan peretas mencuri informasi eksklusif dari mana saja di jaringan Insider jobs: satu ancaman keuangan terbesar Solusi Teknologi Melindungi komunikasi internet (enkripsi) Mengamankan saluran komunikasi (SSL, S-HTTP, VPN) Melindungi jaringan (firewall) Melindungi server dan klien (kontrol OS, anti-virus) Tools Yang Tersedia Untuk Mengamankan Situs Melindungi Komunikasi Internet : Enkripsi Encryption: Proses mengubah teks biasa atau data menjadi teks sandi yang tidak dapat dibaca oleh siapa pun selain pengirim dan penerima Tujuan: Mengamankan Informasi yang disimpan Mengamankan Informasi yang dikirim Memberikan: Message integrity (Integritas pesan) Nonrepudiation (Tidak ada penolakan) Authentication (Otentikasi) Confidentiality (Kerahasiaan) Enkripsi Symetric Key Juga dikenal sebagai enkripsi kunci rahasia Baik pengirim dan penerima menggunakan kunci digital yang sama untuk mengenkripsi dan mendekripsi pesan Membutuhkan serangkaian kunci yang berbeda untuk setiap transaksi Data Encryption Standard (DES): Enkripsi kunci simetrik yang paling banyak digunakan saat ini; menggunakan kunci enkripsi 56-bit; jenis lainnya menggunakan kunci 128-bit hingga 2048 bit Enkripsi Public Key Kriptografi kunci publik memecahkan masalah enkripsi kunci simetrik karena harus bertukar kunci rahasia Menggunakan dua kunci digital yang berhubungan secara matematis - kunci publik (disebarkan secara luas) dan kunci pribadi (dirahasiakan oleh pemilik) Kedua kunci digunakan untuk mengenkripsi dan mendekripsi pesan Setelah kunci digunakan untuk mengenkripsi pesan, kunci yang sama tidak dapat digunakan untuk mendekripsi pesan Misalnya, pengirim menggunakan kunci publik penerima untuk mengenkripsi pesan; penerima menggunakan kunci pribadinya untuk mendekripsi Public Key Chryptography – Kasus Sederhana Enkripsi Public Key Menggunakan Digital Signature dan Hash Digests Penerapan fungsi hash (algoritma matematika) oleh pengirim sebelum enkripsi menghasilkan hash digest yang dapat digunakan penerima untuk memverifikasi integritas data Enkripsi ganda dengan kunci pribadi pengirim (tanda tangan digital) membantu memastikan keaslian dan nonrepudiation (Tidak ada penolakan) Kriptografi Public Key dengan Tanda Tangan Digital Amplop Digital Mengatasi kelemahan enkripsi kunci publik (komputasi lambat, mengurangi kecepatan transmisi, meningkatkan waktu pemrosesan) dan enkripsi kunci simetris (lebih cepat, tetapi lebih aman) Merupakan teknik kriptografi generik yang digunakan untuk mengenkripsi data dan mengirim kunci enkripsi beserta datanya. Umumnya, algoritma simetrik (kunci pribadi) digunakan untuk mendekripsi data, dan algoritma asimetris (kunci publik) digunakan untuk mengenkripsi kunci enkripsi. Kriptografi Public Key : Membuat Amplop Digital Sertifikat Digital dan Public Key Infrastructure (PKI) Sertifikat Digital : Dokumen digital yang mencakup: Nama subjek atau perusahaan Kunci publik subjek Nomor seri sertifikat digital Tanggal Kadaluarsa Tanggal Penerbitan Tanda tangan digital dari otoritas sertifikasi (pihak ketiga yang terpercaya (institusi) yang menerbitkan sertifikat Informasi identifikasi lainnya PublicKey Infrastructure (PKI): mengacu pada Certification Authorities (CAs) dan prosedur sertifikat digital yang diterima oleh semua pihak Sertifikat Digital dan Otoritas Sertfifikasi