Ricky Akbar,

M.Kom

E-Marketplace

Fakultas Teknologi Informasi

Sistem Informasi - Unand
Tujuan Belajar
 Memahami cakupan kejahatan dan masalah keamanan di e-commerce
 Jelaskan kunci dimensi e-commerce keamanan
 Memahami ketegangan antara keamanan dan nilai-nilai lain
 Mengidentifikasi kunci ancaman keamanan dalam lingkungan e-commerce
 Jelaskan bagaimana berbagai bentuk enkripsi membantu teknologi
melindungi keamanan pesan yang dikirim melalui Internet
 Identifikasi alat digunakan untuk membangun Internet yang aman saluran
komunikasi
 Identifikasi alat digunakan untuk melindungi jaringan, server, dan klien
Keamanan Lingkungan E-commerce :
Ruang Lingkup Masalah
 2002 Keamanan Komputer survei Institut dari 503 personel keamanan di
perusahaan-perusahaan AS dan pemerintah
 80% responden telah mendeteksi pelanggaran keamanan komputer dalam
12 bulan terakhir dan menderita kerugian finansial sebagai akibat
 Hanya 44% bersedia atau mampu mengukur kerugian yang mencapai $
456.000.000 dalam agregat
 40% melaporkan serangan dari luar organisasi
 40% mengalami penolakan serangan layanan
 85% serangan virus terdeteksi
Lingkungan Keamanan
E-commerce
Dimensi Keamanan
E-commerce
 Integritas: kemampuan untuk memastikan bahwa informasi yang
ditampilkan di situs Web atau dikirim / diterima melalui Internet
belum diubah dengan cara apapun oleh pihak yang tidak berwenang
 Nonrepudiation: kemampuan untuk memastikan bahwa e-commerce
peserta tidak mengingkari (menolak) tindakan secara online
 Keaslian: kemampuan untuk mengidentifikasi identitas orang atau
badan dengan siapa Anda berurusan di Internet
Dimensi Keamanan
E-commerce (II)
 Kerahasiaan: kemampuan untuk memastikan bahwa pesan-pesan dan
data yang tersedia hanya untuk mereka yang berwenang untuk
melihatnya
 Privasi: kemampuan untuk mengendalikan penggunaan informasi
pelanggan yang telah diberikan kepada pedagang
 Ketersediaan: kemampuan untuk memastikan bahwa situs e-
commerce terus berfungsi sebagaimana dimaksud
Ketegangan Antara Keamanan
dan Nilai Lain
 Keamanan vs kemudahan penggunaan: langkah-langkah
keamanan yang lebih yang ditambahkan, situs lebih sulit
untuk digunakan, dan menjadi lebih lambat
 Keamanan vs Keinginan individu untuk bertindak secara
anonim
Ancaman Keamanan
di Lingkungan E-commerce
 Tiga poin penting kerentanan:
 Klien
 Server
 Komunikasi saluran
 Paling umum ancaman:
 Kode berbahaya
 Hacking dan cybervandalism
 Kartu kredit penipuan / pencurian
 Spoofing
 Penolakan serangan layanan
 Sniffing
 Insider Jobs
Sebuah Transaksi
Khas E-commerce
Poin Rentan dalam
Lingkungan E-commerce
Kode berbahaya
 Virus: program komputer yang sebagai kemampuan untuk mereplikasi
dan menyebar ke file lain, sering juga membawa sebuah "payload"
dari beberapa macam (mungkin merusak atau jinak); termasuk virus
makro, menginfeksi file virus dan virus script
 Worm: dirancang untuk menyebarkan salinan dirinya sebagai program
mandiri melalui jaringan
 Trojan horse: tampaknya jinak, tetapi kemudian melakukan sesuatu
yang lain dari yang diharapkan
 Bad applet (kode mobile berbahaya): berbahaya Java applet atau
kontrol ActiveX yang dapat didownload ke klien dan diaktifkan hanya
dengan berselancar ke situs Web
Hacking dan Cybervandalism
 Hacker: Individu yang bermaksud untuk mendapatkan akses tidak sah ke
sistem komputer
 Cracker: Digunakan untuk menunjukkan hacker dengan maksud kriminal
(dua istilah yang sering digunakan secara bergantian)
 Cybervandalism: Sengaja mengganggu, defacing atau menghancurkan situs
Web
 Jenis hacker meliputi:
 Topi putih - Anggota "tim macan" yang digunakan oleh departemen keamanan
perusahaan untuk menguji langkah-langkah keamanan mereka sendiri
 Topi hitam - Undang-Undang dengan maksud menyebabkan kerusakan
 Topi abu-abu - mengejar beberapa kebaikan yang lebih besar dengan melanggar dan
mengungkapkan kelemahan sistem
Penipuan Kartu Kredit
 Ketakutan bahwa informasi kartu kredit akan dicuri
menghalangi pembelian online
 Hacker target file kartu kredit dan informasi lainnya file
pelanggan pada server pedagang; menggunakan data curian
untuk membangun kredit di bawah identitas palsu
 Solusi Baru : mekanisme baru verifikasi identitas untuk
mengidentifikasi identitas pelanggan
Spoofing, DoS and dDoS
Attacks, Sniffing, Insider
Jobs
 Spoofing: Menyalahartikan diri dengan menggunakan alamat e-mail
palsu atau menyamar sebagai orang lain
 Denial of service (DoS) attack: Hackers flood Web site dengan traffic
yang tidak berguna untuk membanjiri dan membanjiri jaringan
 Distributed denial of service (dDoS) attack: hacker menggunakan
banyak komputer untuk menyerang jaringan target dari berbagai titik
peluncuran
 Sniffing: jenis program penguping yang memantau informasi yang
melewati suatu jaringan; memungkinkan peretas mencuri informasi
eksklusif dari mana saja di jaringan
 Insider jobs: satu ancaman keuangan terbesar
Solusi Teknologi
 Melindungi komunikasi internet (enkripsi)
 Mengamankan saluran komunikasi (SSL, S-HTTP, VPN)
 Melindungi jaringan (firewall)
 Melindungi server dan klien (kontrol OS, anti-virus)
Tools Yang Tersedia
Untuk Mengamankan
Situs
Melindungi Komunikasi Internet :
Enkripsi
 Encryption: Proses mengubah teks biasa atau data menjadi teks
sandi yang tidak dapat dibaca oleh siapa pun selain pengirim dan
penerima
 Tujuan:
 Mengamankan Informasi yang disimpan
 Mengamankan Informasi yang dikirim
 Memberikan:
 Message integrity (Integritas pesan)
 Nonrepudiation (Tidak ada penolakan)
 Authentication (Otentikasi)
 Confidentiality (Kerahasiaan)
Enkripsi Symetric Key
 Juga dikenal sebagai enkripsi kunci rahasia
 Baik pengirim dan penerima menggunakan kunci digital
yang sama untuk mengenkripsi dan mendekripsi pesan
 Membutuhkan serangkaian kunci yang berbeda untuk
setiap transaksi
 Data Encryption Standard (DES): Enkripsi kunci
simetrik yang paling banyak digunakan saat ini;
menggunakan kunci enkripsi 56-bit; jenis lainnya
menggunakan kunci 128-bit hingga 2048 bit
Enkripsi Public Key
 Kriptografi kunci publik memecahkan masalah enkripsi kunci simetrik
karena harus bertukar kunci rahasia
 Menggunakan dua kunci digital yang berhubungan secara matematis -
kunci publik (disebarkan secara luas) dan kunci pribadi (dirahasiakan oleh
pemilik)
 Kedua kunci digunakan untuk mengenkripsi dan mendekripsi pesan
 Setelah kunci digunakan untuk mengenkripsi pesan, kunci yang sama
tidak dapat digunakan untuk mendekripsi pesan
 Misalnya, pengirim menggunakan kunci publik penerima untuk
mengenkripsi pesan; penerima menggunakan kunci pribadinya untuk
mendekripsi
Public Key Chryptography – Kasus
Sederhana
Enkripsi Public Key Menggunakan
Digital Signature dan Hash Digests
 Penerapan fungsi hash (algoritma matematika) oleh
pengirim sebelum enkripsi menghasilkan hash digest
yang dapat digunakan penerima untuk memverifikasi
integritas data
 Enkripsi ganda dengan kunci pribadi pengirim (tanda
tangan digital) membantu memastikan keaslian dan
nonrepudiation (Tidak ada penolakan)
Kriptografi Public Key dengan Tanda
Tangan Digital
Amplop Digital
 Mengatasi kelemahan enkripsi kunci publik (komputasi
lambat, mengurangi kecepatan transmisi, meningkatkan
waktu pemrosesan) dan enkripsi kunci simetris (lebih cepat,
tetapi lebih aman)
 Merupakan teknik kriptografi generik yang digunakan untuk
mengenkripsi data dan mengirim kunci enkripsi beserta
datanya.
 Umumnya, algoritma simetrik (kunci pribadi) digunakan
untuk mendekripsi data, dan algoritma asimetris (kunci
publik) digunakan untuk mengenkripsi kunci enkripsi.
Kriptografi Public Key : Membuat
Amplop Digital
Sertifikat Digital dan Public Key
Infrastructure (PKI)
 Sertifikat Digital : Dokumen digital yang mencakup:
 Nama subjek atau perusahaan
 Kunci publik subjek
 Nomor seri sertifikat digital
 Tanggal Kadaluarsa
 Tanggal Penerbitan
 Tanda tangan digital dari otoritas sertifikasi (pihak ketiga yang terpercaya
(institusi) yang menerbitkan sertifikat
 Informasi identifikasi lainnya
 PublicKey Infrastructure (PKI): mengacu pada Certification Authorities
(CAs) dan prosedur sertifikat digital yang diterima oleh semua pihak
Sertifikat Digital dan Otoritas Sertfifikasi