KEAMANAN INFORMASI

TSI - 3763

Dosen Pengampu : Fidyatun Nisa, S.T., M.T.

TSI 3763 - KEAMANAN INFORMASI

Prinsip Keamanan Informasi

TSI 3763 - KEAMANAN INFORMASI

 Fisik
(Physical Security)

Manusia
(People/Personel
Biasanya orang
Security) terfokus kepada
Klasifikasi masalah data, media,
teknik
Keamanan Sistem Data, Media, Teknik
Komunikasi komunikasi. Padahal
Informasi kebijakan (policy)
sangat penting!
Kebijakan dan Prosedur
(Policy and Procedures)
[ menurut David Icove ]
  Network Security
 Fokus pada saluran (media) pembawa informasi

Klasifikasi  Application Security

 Fokus kepada aplikasinya sendiri, termasuk di
Berdasarkan dalamnya adalah database
Element Sistem  Computer Security
 Berfokus pada keamanan dari komputer (end
sistem), termasuk Operating System (OS)
Letak Potensi
Lubang
Keamanan
Security Control
 Confidentiality / Privacy
 Integrity
 Availability
Aspek / Prinsip
 Authentication
Keamanan
 Non-repudiation
 Access control
  Proteksi data [hak pribadi] yang sensitif :
Nama, tempat tanggal lahir, agama, hobby, penyakit yang
pernah diderita, status perkawinan, nama anggota
keluarga, nama orang tua
Data pelanggan  customer protection harus
Privacy / diperhatikan
Confidentiality Sangat sensitif dalam e-commerce, healthcare
 Serangan : sniffer (penyadap), keylogger (penyadap kunci),
social engineering, kebijakan yang tidak jelas
 Proteksi : firewall, kriptografi / enkripsi, policy
  Informasi tidak berubah tanpa izin
 (tampered, altered, modified)
 Serangan :
 Penerobosan pembatas akses, spoof
Integrity (pemalsuan), virus (mengubah berkas), trojan
horse, man-in-the-middle attack
 Proteksi :
 Message Authentication Code (MAC), (digital)
signature, (digital) certificate, hash function
  Meyakinkan keaslian data, sumber data, orang yang
mengakses data, server yang digunakan
 Bagaimana mengenali nasabah bank pada servis Internet
Banking? Lack of physical contact
 Menggunakan :
 what you have (identity card)
 what you know (password, PIN)
Authentication  what you are (biometric identity)
 Claimant is at a particular place (and time)
 Authentication is established by a trusted third party
 Serangan : identitas palsu, password palsu, terminal palsu,
situs web gadungan
 Proteksi : Digital certificates
  Informasi harus dapat tersedia ketika dibutuhkan
 Serangan terhadap server : dibuat hang, down, crash, lambat
 Biaya jika server web (transaction) down di Indonesia
 Menghidupkan kembali : Rp 25 juta

Availability  Kerugian (tangible) yang ditimbulkan : Rp 300 juta

 Serangan : Denial of Service (DoS) attack
 Proteksi : backup, redundancy, Disaster Recovery Center
(DRC), Bussiness Continuity Plan (BCP), Intrution Detection
System (IDS), filtering router, firewall untuk proteksi serangan
  Mekanisme untuk mengatur siapa boleh melakukan apa
 Biasanya menggunakan password, token
 Adanya kelas / klasifikasi pengguna dan data,
misalnya :
Access Control  Publik
 Private
 Confidential
 Top Secret
  Tidak dapat menyangkal (telah melakukan
transaksi)
 Menggunakan digital signature / certificates
Non -  Perlu pengaturan masalah hukum (bahwa
Repudiation digital signature sama seperti tanda tangan
konvensional)
Jenis Serangan
  Denial of Service (DoS) attack
 Menghabiskan bandwith, network flooding
 Memungkinkan untuk spoofed originating address
 Tools : ping broadcast, smurf, synk4, macof,
Interruption various flood utilities
 Proteksi :
Attack
 Sukar jika kita sudah diserang
 Filter pada router untuk pesan keluar (pesan yang
dikirim), filter serangan yang berasal suatu situs
tertentu.
  Sniffer untuk menangkap (capture) password dan
informasi sensitive lainnya

Interception  Tools : tcpdump, ngrep, linux sniffer, dsniff, trojan

(BO, Netbus, Subseven)
Attack
 Proteksi : segmentation, switched hub,
promiscuous detection (anti sniff)
  Melakukan modifikasi, perubahan
informasi/program

Modification  Contoh : Virus, Trojan, attached with email

or web sites
Attack
 Proteksi : anti virus, filter pada mail server,
integrity checker (eg. tripwire)
  Spoofing (melakukan penipuan) address  mudah
 Contoh :
 Fake mails : virus mengirimkan email dari fake
Fabrication users (biasa dikombinasi dengan DoS attack)
 spoofed packets
Attack
 Tools : various packet construction kit
 Proteksi : filter outgoing packets at router
  Tidak semua aspek keamanan dibutuhkan
 Berbeda untuk proses bisnis / aktivitas yang
berbeda
Security  Berbeda untuk industri yang berbeda
Requirement  Ada prioritas
 Perlu ditegaskan aspek mana yang harus
disediakan
  Perlu diidentifikasi acaman terhadap sistem
 Darimana saja ancaman tersebut?
 Dari dalam organisasi (pegawai)?
 Dari luar organisasi (crackers, kompetitor)?
Ancaman (Security
 Sumber : oleh manusia (sengaja, tidak sengaja)
Threats)
atau alam (bencana, musibah)?
 Tingkat kesulitan
 Probabilitas ancaman menjadi kenyataan
  Jumlah komputer, server, atau lebih sering disebut host yang
terdapat di Internet naik dengan angka yang fantastis.
 Sejak tahun 1985 sampai dengan tahun 1997 tingkat
perkembangan (growth rate) jumlah host setiap tahunnya adalah
2,176. Jadi setiap tahun jumlah host meningkat lebih dari dua kali.
 Data-data statistik tentang pertumbuhan jumlah host di Internet
Statistik Internet dapat diperoleh di “Matrix Maps Quarterly” yang diterbitkan oleh
MIDS1.
 Jumlah host di Internet Desember 1969: 4
 Jumlah host di Internet Agustus 1981: 213
 Jumlah host di Internet Oktober 1989: 159.000
 Jumlah host di Internet Januari 1992: 727.000
  Untuk Melihat keamanan Sistem Internet, perlu mengetahui cara
kerja sistem Internet
 Yang perlu diperhatikan antara lain hubungan antara komputer di
Internet dan protokol yang digunakan.
 Internet merupakan jalan raya yang dapat diakses semua orang
(publik)

Keamanan  Untuk mencapai server tujuan, paket informasi harus melalui

Sistem Internet beberapa sistem (router, gateway, hosts, atau perangkat-perangkat

komunikasi lainnya) yang kemungkinan besar berada di luar kontrol
dari kita.
 Setiap titik yang dilalui memiliki potensi untuk dibobol, disadap,
atau dipalsukan.
 Kelemahan sebuah sistem terletak kepada komponen yang paling
lemah.
  Mempelajari :
 Perilaku perusak
 Siapakah mereka?
 Apa motifnya?
Crackers  Bagaimana cara masuk?
 Apa yang dilakukan setelah masuk?
 Tools :
 honeypot, honeynet
  Target acquisition and information
gathering
 Initial access
Crackers SOP /  Privilege escalation
Methodology  Covering tracks
 Install backdoor
 Jika semua gagal, lakukan DoS attack
IT SECURITY FRAMEWORK
Security Policy
Framework
 • Awereness, skill
PEOPLE
• …

• Security as part of
PROCESS business process
Pengamanan •…
Menyeluruh
TECHNOLOG • Implementation
Y • …
Pengamanan
Berlapis
 Contoh
Implementasi :

 Osaka Bank