Ilmu dan Seni Keamanan Informasi

1
Ilmu dan SeniKeamanan Informasi
2
Informasi Uang?

• Informasi memiliki nilai (value) yang dapat
  dijual belikan
• Data-data nasabah, mahasiswa
• Informasi mengenai perbankan, nilai tukar, saham
• Soal ujian
• Password, PIN
• Nilai dari informasi dapat berubah dengan waktu
• Soal ujian yang sudah diujikan menjadi turun
  nilainya

3
Teknologi Informasi

• Teknologi yang terkait dengan pembuatan,
  pengolahan, distribusi, penyimpanan dari
  informasi
• Menghasilkan produk dan layanan yang sudah kita
  gunakan sehari-hari sebagai manusia moderen
• Mesin ATM di bank
• Telepon, handphone, SMS
• Games, PlayStation, on-line games

4
Perhatian terhadap keamanan informasi

• Mulai banyaknya masalah keamanan informasi
• Virus, worm, trojan horse, spam
• Hacking cracking
• Spyware, keylogger
• Fraud (orang dalam), penipuan, pencurian kartu
  kredit
• Masalah security dianggap sebagai penghambat
  penerimaan penggunaan infrastruktur teknologi
  informasi

5
Cuplikan statistik kejahatan

• 7 Februari 2000 s/d 9 Februari 2000. Distributed
  Denial of Service (Ddos) attack terhadap Yahoo,
  eBay, CNN, Amazon, ZDNet, E-Trade.
• 2001. Virus SirCam mengirimkan file dari harddisk
  korban. File rahasia bisa tersebar. Worm Code Red
  menyerang sistem IIS kemudian melakukan port
  scanning dan menyusup ke sistem IIS yang
  ditemukannya.
• 2004. Kejahatan phising (menipu orang melalui
  email yang seolah-olah datang dari perusahaan
  resmi bank misalnya untuk mendapatkan data-data
  pribadi seperti nomor PIN internet banking) mulai
  marak

6
Contoh kejahatan kartu kredit

• Berdasarkan laporan terakhir (2004), Indonesia
• Nomor 1 dalam persentase (yaitu perbandingan
  antara transaksi yang baik dan palsu)
• Nomor 3 dalam volume
• Akibatnya kartu kredit dan transaksi yang (nomor
  IP-nya) berasal dari Indonesia secara resmi
  diblokir di beberapa tempat di Amerika

7
Ilmu dan Seni Keamanan Informasi

• Dimulai dari coba-coba. Merupakan sebuah seni.
• Mulai diformalkan dalam bentuk ilmu.
• Tidak bisa selamanya mengandalkan kepada
  coba-coba saja. Harus menggabungkan keduanya.
• Catatan Ilmu komputer (computer science) pun
  muncul melalui jalur ini

8
Contoh Ilmu Security

• Kriptografi (cryptography)
• Enkripsi dekripsi DES, AES, RSA, ECC
• Berbasis matematika
• Protokol dan jaringan (network protocols)
• SSL, SET
• Sistem dan aplikasi (system applications)
• Management, policy procedures

9
Security Lifecylce
10
Klasifikasi Keamanan Sistem

• Menurut David Icove
• Keamanan yang bersifat fisik (physical security).
• Keamanan yang berhubungan dengan orang
  (personel).
• Keamanan dari data dan media serta teknik
  komunikasi.
• Keamanan dalam operasi (policy procedures)

11
Aspek Dari Security

• Confidentiality
• Integrity
• Availability
• Ketiga di atas sering disingkat menjadi CIA
• Ada tambahkan lain
• Non-repudiation
• Authentication
• Access Control
• Accountability

12
Confidentiality / Privacy

• Kerahasiaan data. Data hanya boleh diakses oleh
  orang yang berwenang
• Data-data pribadi
• Data-data bisnis daftar gaji, data nasabah
• Sangat sensitif dalam e-commerce dan healthcare
• Serangan penyadapan (teknis dengan sniffer /
  logger, man in the middle attack non-teknis
  dengan social engineering)
• Proteksi enkripsi

13
Integrity

• Informasi tidak boleh berubah (tampered, altered,
  modified) oleh pihak yang tidak berhak
• Serangan
• Pengubahan data oleh orang yang tidak berhak,
  spoofing
• Virus yang mengubah berkas
• Proteksi
• Message Authentication Code (MAC), digital
  signature / certificate, hash functions, logging

14
Availability

• Informasi harus tersedia ketika dibutuhkan
• Serangan
• Meniadakan layanan (Denial of Service / DoS
  attack) atau menghambat layanan (server dibuat
  lambat)
• Proteksi
• Backup, redundancy, DRC, BCP, firewall

15
Non-repudiation

• Tidak dapat menyangkal (telah melakukan
  transaksi)
• Menggunakan digital signature
• Logging

16
Authentication

• Meyakinkan keaslian data, sumber data, orang yang
  mengakses data, server yang digunakan
• what you have (identity card)
• what you know (password, PIN)
• what you are (biometric identity)
• Serangan identitas palsu, terminal palsu, situs
  gadungan

17
Access Control

• Mekanisme untuk mengatur siapa boleh melakukan
  apa
• Membutuhkan adanya klasifikasi datapublic,
  private, confidential, (top)secret
• Role-based access

18
Accountability

• Dapat dipertanggung-jawabkan
• Melalui mekanisme logging dan audit
• Adanya kebijakan dan prosedur (policy
  procedures)

19
Tujuan

• Dibaca dan diakses oleh yang diberi otoritas
• Jenis akses meliputi
• Mencetak
• Membaca
• Bentuk-bentuk lain (membuka suatu objek)

• Dimodifikasi oleh yang berhak, meliputi
• Menulis
• Mengubah
• Mengubah status
• Menghapus
• Membuat yang baru

Confidentiality

• Tersedia untuk pihak yang berwenang

Integrity
Avalaibility
20
Katergori serangan

• Serangan pasif gtgt sulit dideteksi
• Membuka isi file (release of message contents)
• Informasi rahasia dan sensitif gtgt mencegah
  penyerang mempelajari pentransmisian
• Menganalisis lalu lintas (traffic analysis)
• Teknik pengiriman dengan enskripsi
• Serangan aktif gtgt memodifikasi data / menciptakan
  aliran yang menyesatkan
• Penyamaran (masquerade)
• Suatu entitas berpura-pura sebagai entitas yang
  berbeda
• Menangkap yang asli gtgt dibalas setelah rangkaian
  asi yang valid diganti
• Jawaban (replay)
• Penangkapan secara pasif
• Mendapatkan efek yang tidak terotorisasi
• Modifikasi pesan (modification of message
  contents)
• Mengubah beberapa bagian yang asli
• Untuk menghasilkan efek tidak terotorisasi
• Penolakan layanan (denial of service)
• Mencegah dari yang normal atau manajemen
  fasilitas tertentu
• Memiliki tujuan tertentu
• Bentuk gtgt gangguan jaringan dengan cara
  melumpuhkan jaringan atau memenuhi jaringan
  sehingga mengurangi kinerjanya

21
Teori Jenis Serangan

• InterruptionDoS attack, network flooding
• InterceptionPassword sniffing
• ModificationVirus, trojan horse
• Fabricationspoffed packets

A
B
A
B
E
A
B
E
A
B
E
22
Klasifikasi Dasar elemen sistem

• Network security
• fokus kepada saluran (media) pembawa informasi
• Application security
• fokus kepada aplikasinya sendiri, termasuk di
  dalamnya adalah database
• Computer security
• fokus kepada keamanan dari komputer (end system),
  termasuk operating system (OS)

23
Topologi Lubang Keamanan
Networksniffed,attacked
Networksniffed,attacked,flooded
Networksniffed, attacked
Users
Trojan horse

• Applications (database,Web server) hacked
• OS hacked

Userid, Password,PIN, credit card
www.bank.co.id
24
Pelaku di bidang Security

• Information bandit
• Sekarang masih dipotretkan sebagai jagoan
• Akan tetapi akan berkurang
• the disappearance act of information bandits
• Information security professionals
• Masih kurang
• Lebih menyenangkan
• Keduanya menggunakan tools yang sama
• Perbedaannya sangat tipis itikad pandangan
• Jangan bercita-cita menjadi bandit!

25
source hacking exposed
26
INDOCISC Audit Checklist

1. evaluating (network) topology
2. penetration testing from outside and inside
   network
3. evaluating network devices, such as routers,
   switches, firewalls, IDS, etc.
4. evaluating server(s)
5. evaluating application(s)
6. evaluating policy and procedures

27
Prinsip-prinsip yang harus diperhatikan didalam
merancang sistem keamanan

• Menurut Saltzer, J Schroder, M The Protection
  of Information in Computer System Proceeding of
  the IEEE September 1975
• Least privilege? program dan user dari sistem
  harus beroperasi pada level terendah (tidak ada
  hak istimewa)
• Economy of mechanisms? mekanisme harus sederhana
  yang holistic tak terpisahkan
• Acceptability? mudah digunakan user
• Complete mediation? yang akses diperiksa kedalam
  kontrol informasi
• Open design? mekanisme keamanan sistem dapat
  disebarluaskan, umpan baliknya untuk perbaikan
  keamanan