Ilmu dan Seni Keamanan Informasi

1
Ilmu dan SeniKeamanan Informasi

• Theory and Practice
• Budi Rahardjo
• http//budi.insan.co.id
• Surabaya, 8 Januari 2005

2
Informasi Uang?

• Informasi memiliki nilai (value) yang dapat
  dijual belikan
• Data-data nasabah, mahasiswa
• Informasi mengenai perbankan, nilai tukar, saham
• Soal ujian
• Password, PIN
• Nilai dari informasi dapat berubah dengan waktu
• Soal ujian yang sudah diujikan menjadi turun
  nilainya

3
Teknologi Informasi

• Teknologi yang terkait dengan pembuatan,
  pengolahan, distribusi, penyimpanan dari
  informasi
• Menghasilkan produk dan layanan yang sudah kita
  gunakan sehari-hari sebagai manusia moderen
• Mesin ATM di bank
• Telepon, handphone, SMS
• Games, PlayStation, on-line games
• P2P applications

4
Technology Drivers

• Computer Technology
• Moores law complexity doubles every 18 months
• Good enough
• Storage Technology
• Increases 3 times / year
• Good enough
• Network Technology
• Increase in speed, lower in price
• But new bandwidth-hungry applications.The need
  for (more) speed!

5
Perhatian terhadap keamanan informasi

• Mulai banyaknya masalah keamanan informasi
• Virus, worm, trojan horse, spam
• Hacking cracking
• Spyware, keylogger
• Fraud (orang dalam), penipuan, pencurian kartu
  kredit
• Masalah security dianggap sebagai penghambat
  penerimaan penggunaan infrastruktur teknologi
  informasi

6
Cuplikan statistik kejahatan

• 7 Februari 2000 s/d 9 Februari 2000. Distributed
  Denial of Service (Ddos) attack terhadap Yahoo,
  eBay, CNN, Amazon, ZDNet, E-Trade.
• 2001. Virus SirCam mengirimkan file dari harddisk
  korban. File rahasia bisa tersebar. Worm Code Red
  menyerang sistem IIS kemudian melakukan port
  scanning dan menyusup ke sistem IIS yang
  ditemukannya.
• 2004. Kejahatan phising (menipu orang melalui
  email yang seolah-olah datang dari perusahaan
  resmi bank misalnya untuk mendapatkan data-data
  pribadi seperti nomor PIN internet banking) mulai
  marak

7
Sapphire worm
8
Contoh kejahatan kartu kredit

• Berdasarkan laporan terakhir (2004), Indonesia
• Nomor 1 dalam persentase (yaitu perbandingan
  antara transaksi yang baik dan palsu)
• Nomor 3 dalam volume
• Akibatnya kartu kredit dan transaksi yang (nomor
  IP-nya) berasal dari Indonesia secara resmi
  diblokir di beberapa tempat di Amerika

9
Phising
From ltUSbank-Notification-Urgecq_at_UsBank.comgt
To Subject USBank.com Account Update
URGEgb Date Thu, 13 May 2004 175645
-0500 USBank.com
Dear US Bank Customer, During our regular update
and verification of the Internet Banking
Accounts, we could not verify your current
information. Either your information has
been changed or incomplete, as a result your
access to use our services has been limited.
Please update your information. To update your
account information and start using our services
please click on the link below http//www.usbank.
com/internetBanking/RequestRouter?requestCmdIdDis
playLoginPage Note Requests for information
will be initiated by US Bank Business
Development this process cannot be externally
requested through Customer Support.
10
Ilmu dan Seni Keamanan Informasi

• Dimulai dari coba-coba. Merupakan sebuah seni.
• Mulai diformalkan dalam bentuk ilmu.
• Tidak bisa selamanya mengandalkan kepada
  coba-coba saja. Harus menggabungkan keduanya.
• Catatan Ilmu komputer (computer science) pun
  muncul melalui jalur ini

11
Contoh Ilmu Security

• Kriptografi (cryptography)
• Enkripsi dekripsi DES, AES, RSA, ECC
• Berbasis matematika
• Protokol dan jaringan (network protocols)
• SSL, SET
• Sistem dan aplikasi (system applications)
• Management, policy procedures

12
DES Data Encryption Standard
13
Protokol SSL
1
Client Hello / Connection RequestDaftar
algoritma / cipher suite
Pemilihan cipher suite
2
Sertifikat Digital Server
Encrypted secret / key / nonce
Server
Client
Decrypted secret
3
Sertifikat Digital Client
Encrypted secret / key / nonce
Decrypted secret
4
Kunci simteris disepakati
Transfer data dengan enkripsi kunci simetris
14
System Security Secure Email
Isi email tidak dirahasiakan.Diinginkan
terjaganya integritasdan non-repudiation
Keduanya disatukan dan dikirimkan
From BudiSubject KirimanKirimandatangSenin
pagi
From BudiSubject KirimanKirimandatangSenin
pagi
ohx76_at_
af005c0810eeca2d5
hash
Enkripsi (dg kunci privat pengirim)
ohx76_at_
15
Application Security

• Masalah yang sering dihadapi dalam pembuatan
  software
• Buffer overflow
• Out of bound array

16
Security Lifecylce
17
Contoh dari praktek (seni) security

• linux host t ns target.co.id
• linux host t mx target.co.id
• linux nslookup
• gt server 167.205.21.82
• gt set typeany
• gt ls d itb.ac.id gtgt /tmp/zone_out
• gt ctrl-D

• linux nmap 192.168.1.10
• Starting nmap V. 2.12 by Fyodor (fyodor_at_dhp.com,
  www.insecure.org/nmap/)
• Interesting ports on router (192.168.1.11)
• Port State Protocol Service
• 22 open tcp ssh
• 25 open tcp smtp
• 53 open tcp domain
• 80 open tcp http
• 110 open tcp pop-3
• 113 open tcp auth
• 143 open tcp imap2
• 1008 open tcp ufsd
• 3128 open tcp squid-http
• 8080 open tcp http-proxy
• Nmap run completed -- 1 IP address

18
Aspek Dari Security

• Confidentiality
• Integrity
• Availability
• Ketiga di atas sering disingkat menjadi CIA
• Ada tambahkan lain
• Non-repudiation
• Authentication
• Access Control
• Accountability

19
Confidentiality / Privacy

• Kerahasiaan data. Data hanya boleh diakses oleh
  orang yang berwenang
• Data-data pribadi
• Data-data bisnis daftar gaji, data nasabah
• Sangat sensitif dalam e-commerce dan healthcare
• Serangan penyadapan (teknis dengan sniffer /
  logger, man in the middle attack non-teknis
  dengan social engineering)
• Proteksi enkripsi

20
Integrity

• Informasi tidak boleh berubah (tampered, altered,
  modified) oleh pihak yang tidak berhak
• Serangan
• Pengubahan data oleh orang yang tidak berhak,
  spoofing
• Virus yang mengubah berkas
• Proteksi
• Message Authentication Code (MAC), digital
  signature / certificate, hash functions, logging

21
Availability

• Informasi harus tersedia ketika dibutuhkan
• Serangan
• Meniadakan layanan (Denial of Service / DoS
  attack) atau menghambat layanan (server dibuat
  lambat)
• Proteksi
• Backup, redundancy, DRC, BCP, firewall

22
Non-repudiation

• Tidak dapat menyangkal (telah melakukan
  transaksi)
• Menggunakan digital signature
• Logging

23
Authentication

• Meyakinkan keaslian data, sumber data, orang yang
  mengakses data, server yang digunakan
• what you have (identity card)
• what you know (password, PIN)
• what you are (biometric identity)
• Serangan identitas palsu, terminal palsu, situs
  gadungan

24
Access Control

• Mekanisme untuk mengatur siapa boleh melakukan
  apa
• Membutuhkan adanya klasifikasi datapublic,
  private, confidential, (top)secret
• Role-based access

25
Accountability

• Dapat dipertanggung-jawabkan
• Melalui mekanisme logging dan audit
• Adanya kebijakan dan prosedur (policy
  procedures)

26
Teori Jenis Serangan

• InterruptionDoS attack, network flooding
• InterceptionPassword sniffing
• ModificationVirus, trojan horse
• Fabricationspoffed packets

A
B
A
B
E
A
B
E
A
B
E
27
Klasifikasi Dasar elemen sistem

• Network security
• fokus kepada saluran (media) pembawa informasi
• Application security
• fokus kepada aplikasinya sendiri, termasuk di
  dalamnya adalah database
• Computer security
• fokus kepada keamanan dari komputer (end system),
  termasuk operating system (OS)

28
Topologi Lubang Keamanan
Networksniffed,attacked
Networksniffed,attacked,flooded
Networksniffed, attacked
Users
Trojan horse

• Applications (database,Web server) hacked
• OS hacked

Userid, Password,PIN, credit card
www.bank.co.id
29
Pelaku di bidang Security

• Information bandit
• Sekarang masih dipotretkan sebagai jagoan
• Akan tetapi akan berkurang
• the disappearance act of information bandits
• Information security professionals
• Masih kurang
• Lebih menyenangkan
• Keduanya menggunakan tools yang sama
• Perbedaannya sangat tipis itikad pandangan
• Jangan bercita-cita menjadi bandit!

30
source hacking exposed
31
INDOCISC Audit Checklist

1. evaluating (network) topology
2. penetration testing from outside and inside
   network
3. evaluating network devices, such as routers,
   switches, firewalls, IDS, etc.
4. evaluating server(s)
5. evaluating application(s)
6. evaluating policy and procedures

32
Penutup

• Mudah-mudahan presentasi yang singkat ini dapat
  memberikan gambaran mengenai ilmu security
• Masih banyak detail yang tidak dibahas pada
  presentasi ini
• Mudah-mudahan tertarik menjadi security
  professional bukan menjadi bandit