1 / 40

Keamanan Komputer

Keamanan Komputer. Keamanan Sistem Informasi. -Aurelio Rahmadian -. Bahasan. Pentingnya Keamanan Sistem Statistik Gangguan Keamanan Aspek Keamanan SI Beberapa Jenis Serangan Terhadap SI Memahami Lingkup Menjaga Keamanan SI Standar Kualitas Keamanan SI

keanu
Download Presentation

Keamanan Komputer

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. KeamananKomputer KeamananSistemInformasi -Aurelio Rahmadian-

  2. Bahasan • PentingnyaKeamananSistem • StatistikGangguanKeamanan • AspekKeamanan SI • BeberapaJenisSeranganTerhadap SI • MemahamiLingkupMenjagaKeamanan SI • StandarKualitasKeamanan SI • KualifikasiProfesionalKeamanan SI

  3. PentingnyaKeamananSistem • Mengapa keamanan SI diperlukan? • Teknologi komunikasi modern (mis: Internet) membawa beragam dinamika dari dunia nyata ke dunia virtual • Dalambentuktransaksielektronis (mis: e‐banking) ataukomunikasi digital (mis: e‐mail, messenger) • Membawabaikaspekpositifmaupunnegatif (contohpencurian, pemalsuan, penggelapan, …) • Informasimemiliki “nilai” (ekonomis, politis) → obyekkepemilikan yang harusdijaga • Kartukredit • Laporankeuanganperusahaan • Dokumen‐dokumenrancanganprodukbaru • Dokumen‐dokumenrahasiakantor/organisasi/perusahaan

  4. PentingnyaKeamananSistem • Mengapa sistem informasi rentan terhadap gangguankeamanan? • Sistemygdirancanguntukbersifat “terbuka” (mis: Internet) • Tidakadabatasfisikdankontrolterpusat • Perkembanganjaringan (internetworking)yang amatcepat • Sikapdanpandanganpemakai • Aspek keamanan belum banyak dimengerti • Menempatkankeamanansistempadaprioritasrendah • Ketrampilan (skill) pengamanankurang

  5. StatistikGangguanKeamanan • Malware, worms, and Trojan horses • spread by email, instant messaging, malicious or infected websites • Botnets and zombies • improving their encryption capabilities, more difficult to detect • Scareware – fake/rogue security software • Attacks on client‐side software • browsers, media players, PDF readers, mobile software, etc. • Ransom attacks • malware encrypts hard drives, or DDOS attack • Social network attacks • Users’ trust in online friends makes these networks a prime target. • Cloud Computing ‐ growing use will make this a prime target for attack. • Web Applications ‐ developed with inadequate security controls • Budget cuts ‐ problem for security personnel and a boon to cyber criminals. Same list in Oklahoma Monthly Security Tips Newsletter

  6. StatistikGangguanKeamanan

  7. StatistikGangguanKeamanan • 1996. FBI National Computer Crime Squad, kejahatankomputer yang terdeteksikurangdari 15%, danhanya 10% dariangkaitu yang dilaporkan. • 1996. Di Inggris, NCC Information Security Breaches Survey: kejahatankomputernaik 200% dari 1995 ke 1996. • 1997. FBI: kasuspersidangan yang berhubungandengankejahatankomputernaik 950% daritahun 1996 ke 1997, dan yang masukdipengadilannaik 88%. • Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke Bugtraqmeningkatempat kali (quadruple) semenjaktahun 1998 sdtahun 2000. Dari 20 laporanperbulanmenjadi 80 laporanperbulan. • 1999. Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkanbeberapastatistik yang menarik, sepertimisalnyaditunjukkanbahwa “disgruntled worker” (orangdalam) merupakanpotensi attack / abuse. (http://www.gocsi.com)

  8. StatistikGangguanKeamanan • 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E‐Trade. • 2001. Virus SirCammengirimkan file dariharddiskkorban. File rahasiabisatersebar. Worm Code Red menyerangsistem IIS kemudianmelakukanport scanning dan menyusup ke sistem IIS yang ditemukannya. • 2004. Kejahatan “phising” (menipuorangmelalui email yang seolah‐olahdatang dari perusahaan resmi [bank misalnya] untuk mendapatkan datadata pribadisepertinomor PIN internet banking) mulaimarak ‐ 2004), • 2004 kejahatan kartu kredit, Indonesia : • Nomor #1 dalampersentase (yaituperbandinganantaratransaksi yang baikdanpalsu) • Nomor #3 dalam volume. • Akibatnyakartukreditdantransaksi yang (nomor IP‐nya) berasaldariIndonesia secara resmi diblokir di beberapa tempat di Amerika #Angkapasti, sulitditampilkankarenakendalabisnis. Negative publicity

  9. StatistikGangguanKeamanan

  10. StatistikGangguanKeamanan

  11. StatistikGangguanKeamanan

  12. StatistikGangguanKeamanan Threat Distribution - USA • Theft of proprietary info 20% • Sabotage of data or networks 15% • Telecom eavesdropping 10% • System penetration by outsider 24% • Insider abuse of net access 76% • Financial fraud 11% • Denial of service 25% • Virus contamination 70% • Unauthorized access to info by insider 43% • Telecom fraud 13% • Active wiretapping 2% • Laptop theft 54%

  13. StatistikGangguanKeamanan • Urutan Negara yang paling banyakmengalami Online fraud NirKshetri, “The Simple Economics of Cybercrimes,” IEEE Security & Privacy, January/February 2006

  14. AspekKeamanan SI • Confidentiality Informasi (data) hanyabisadiaksesolehpihak yang memilikiwewenang. • Integrity Informasi hanya dapat diubah oleh pihak yang memiliki wewenang. • Availability Informasitersediauntukpihak yang memilikiwewenangketikadibutuhkan. • Authentication Pihak yang terlibatdenganpertukaraninformasidapatdiidentifikasidenganbenardanadajaminanbahwaidentitas yang didapattidakpalsu. • Nonrepudiation Pengirimmaupunpenerimainformasitidakdapatmenyangkalpengirimandanpenerimaanpesan.

  15. BeberapaJenisSeranganTerhadap SI - Aspek • Interruption Suatuasetdarisuatusistemdiserangsehinggamenjaditidaktersediaatautidakdapatdipakaioleh yang berwenang. Contohnyaadalahperusakan/modifikasiterhadap piranti keras atau saluran jaringan. • Interception Suatupihak yang tidakberwenangmendapatkanaksespadasuatuaset. Pihak yang dimaksudbisaberupaorang, program, atausistem yang lain. Contohnyaadalahpenyadapanterhadap data dalamsuatujaringan.

  16. BeberapaJenisSeranganTerhadap SI - Aspek • Modification Suatupihak yang tidakberwenangdapatmelakukanperubahanterhadapsuatuaset. Contohnyaadalahperubahan nilai pada file data, modifikasi program sehinggaberjalandengantidaksemestinya, danmodifikasipesan yang sedangditransmisikandalamjaringan. • Fabrication Suatupihak yang tidakberwenangmenyisipkanobjekpalsukedalamsistem. Contohnyaadalahpengirimanpesanpalsukepadaorang lain.

  17. BeberapaJenisSeranganTerhadap SI • Serangan untuk mendapatkan akses (access attacks) • Berusahamendapatkanakseskeberbagaisumberdayakomputeratau data/informasi • Serangan untuk melakukan modifikasi (modification attacks) • Didahuluiolehusahauntukmendapatkanakses, kemudianmengubah data/informasisecaratidaksah • Seranganuntukmenghambatpenyediaanlayanan(denial of service attacks) • Menghambatpenyediaanlayanandengancaramengganggujaringankomputer

  18. BeberapaJenisSeranganTerhadap SI – Access Attack • Sniffing • Memanfaatkanmetode broadcasting dalam LAN • “Membengkokkan” aturan Ethernet, membuat network interface bekerjadalam mode promiscuous • Contoh‐contoh sniffer: Sniffit, TCP Dump, Linsniffer • Mencegahefeknegatif sniffing • Pendeteksian sniffer (local & remote) • Penggunaankriptografi (mis: sshsbgpengganti telnet)

  19. BeberapaJenisSeranganTerhadap SI – Access Attack • Spoofing • Memperolehaksesdenganacaraberpura‐puramenjadiseseorangatausesuatu yang memilikihakakses yang valid • Spoofermencobamencari data dari user yang sah agar bisamasukkedalam sistem (mis: username & password) • Padasaatini, penyerangsudahmendapatkan username & password yang sahuntukbisamasukke server

  20. BeberapaJenisSeranganTerhadap SI – Access Attack • Menebak password • Dilakukansecarasistematisdenganteknik brute‐force atau dictionary • Teknik brute‐force: mencoba semua kemungkinan password • Teknik dictionary: mencobadengankoleksikata‐kata yang umumdipakai, atau yang memilikirelasidengan user yang ditebak (tanggallahir, namaanak, dsb)

  21. BeberapaJenisSeranganTerhadap SI – Modification Attack • Biasanyadidahuluioleh access attack untukmendapatkanakses • Dilakukan untuk mendapatkan keuntungan dari berubahnyainformasi • Contoh: • Pengubahannilaikuliah • Penghapusan data utangdi bank • Mengubahtampilansitus web

  22. BeberapaJenisSeranganTerhadap SI – Denial of Service Attack • Berusahamencegahpemakai yang sahuntukmengaksessebuahsumberdayaatauinformasi • Biasanyaditujukankepadapihak‐pihak yang memilikipengaruh luas dan kuat (mis: perusahaan besar, tokoh‐tokoh politik, dsb) • TeknikDoS • Menggangguaplikasi (mis: membuatwebserver down) • Mengganggusistem (mis: membuatsistemoperasi down) • Mengganggujaringan (mis: dengan TCP SYN flood)

  23. BeberapaJenisSeranganTerhadap SI – Denial of Service Attack • Contoh: MyDoom worm email (beritadari F‐Secure, 28 Januari 2004) http://www.f‐secure.com/news/items/news_2004012800.shtml • Ditemukan pertama kali 26 Januari 2004 • Menginfeksikomputer yang diserangnya. Komputer yang terinfeksidiperintahkanuntukmelakukanDoSke www.sco.com padatanggal 1 Februari 2004 jam 16:09:18 • Padasaatitu, diperkirakan 20‐30% dari total lalulintas e‐mail diseluruhduniadisebabkanolehpergerakan worm ini • Penyebaran yang cepatdisebabkankarena: • Penyamaran” yang baik (tidakterlihatberbahayabagi user) • Penyebaranterjadisaat jam kantor • Koleksi alamat email sasaran yang agresif (selain mengambil dari address book di komputer korban, juga membuat alamat email sendiri)

  24. BeberapaJenisSeranganTerhadap SI – TipikologiLubangKeamanan

  25. MemahamiLingkupMenjagaKeamanan SI – SituasiResikoKeamanan Security ≠ Technological Security Keamananitu Socio-technical & Physical!

  26. MemahamiLingkupMenjagaKeamanan SI – PerspektifKeamanan • Strategi Keamanan = Preventif + Deteksi + Respon

  27. MemahamiLingkupMenjagaKeamanan SI – PerspektifKeamanan • Preventif • Melindungikomputeratauinformasidaripengganggudankesalahan. • Idealnyaprosedur & kebijakankeamanandapatmenutupkesempatanuntukdiserang, tapi paling tidakmeminimalisasiserangan yang berhasil • Deteksi • Dapatmengukurkapan, bagaimanadanolehsiapaasetdapatdirusak • Membutuhkanalat bantu yang rumitatausekedar file log sederhana yang dapatdianalisa. • Respon • Membangunstrategidanteknikuntukmenghadapiseranganataukehilangan • Lebihbaikmemilikirencanapemulihan (recovery plan) daripada ‘on the fly’ ataubagaimanananti

  28. MemahamiLingkupMenjagaKeamanan SI – PerspektifKeamanan • Example: Private Property • Prevention: locks at doors, window bars, walls round the property • Detection: stolen items are missing, burglar alarms, closed circuit TV • Reaction: call the police, replace stolen items, make an insurance claim … • Example: E‐Commerce • Prevention: encrypt your orders, rely on the merchant to perform checks on the caller, don’t use the Internet (?) …

  29. MemahamiLingkupMenjagaKeamanan SI • KeamananadalahSuatuProses

  30. MemahamiLingkupMenjagaKeamanan SI • Keamanan sistem sebagai satu konsep terpadu

  31. MemahamiLingkupMenjagaKeamanan SI

  32. MemahamiLingkupMenjagaKeamanan SI • FokusUtamaKeamanan SI • TigaFokusUtama • Physical Security • Operational Security • Management and Policies • SegitigaKemanan

  33. MemahamiLingkupMenjagaKeamanan SI • KeamananFisik • Perlindunganasetdaninformasidariakses fisik oleh personal yang tidak diizinkan (unauthorized personnel) • 3 Komponen : • Membuatlokasifisiktidakmenarikdijadikan target serangan • Deteksipenetrasiataupencuri • Pemulihan dari pencurian atau kehilangan informasikritisatausistem.

  34. MemahamiLingkupMenjagaKeamanan SI • KeamananOperasional • Bagaimanaorganisasimemperlakukankomputer, network, sistemkomunikasidanmanajemeninformasi • Termasukaccess control, authentication, security topologies, back up dan recovery plan • Hal efektifuntukmeningkatkan operational security → pelatihan keamanan SI (security training)

  35. MemahamiLingkupMenjagaKeamanan SI • ManajemendanKebijakanKeamanan • Akan menghasilkan tuntunan, aturan dan prosedur untukimplementasi • Kebijakan agar efektifharusmemilikidukunganpenuhdantidakdapatdikompromikandaritimmanajemen • Beberapacontohkebijakan : • Administrative policies • Design Requirement • Disaster Recovery Plan • Information Policies • Security Policies • Usage Policies • User Management Policies

  36. StandarKualitasKeamanan SI • ISO 17799 / 27001 / 27002 • Business Continuity Planning • System Access Control • System Development and Maintenance • Physical and Environmental Security • Compliance • Personnel Security • Security Organization • Computer & Network Management • Asset Classification and Control • Security Policy

  37. KualifikasiProfesionalKeamanan SI • SANS Institute Certified Engineers. • CISSP Certified and Trained Engineers. • ISO 27001:2005 Lead Auditors. • Certified Ethical Hackers. • Product related engineers with extensive knowledge of various security products. • …dan lain‐lain.

  38. KualifikasiProfesionalKeamanan SI • Modal dasar : • MengetahuiBahasaPemrograman • Menguasai pengetahuan perangkat keras dan perangkat lunak pengontrolnya (logika interfacing). • Menguasaipengelolaaninstalasikomputer. • Menguasaidenganbaikteorijaringankomputer ; protokol, infrastruktur, media komunikasi. • Memahami cara kerja sistem operasi. • Memiliki ‘pikiranjahat’ ;‐p

  39. KualifikasiProfesionalKeamanan SI • Cara belajar : • Memantauperkembanganteknologikeamanankomputer : • Caribuku‐bukumengenaikeamanankomputercetakan, e‐book, majalahmajalah/tabloid komputeredisicetakmaupunedisi online. • Akses ke situs‐situs review keamanan (contoh: www.cert.org ), situs‐situs underground (silahkancari via search engine). • Pelajari review atau manual book perangkatkerasdanperangkatlunakuntukmemahamicarakerjadenganbaikatauikutipelatihansertifikasi

  40. KualifikasiProfesionalKeamanan SI Is Certification for You? • Yes, if: • You’re a large corporation • You’re publicly owned • You offer IT-based services to clients • You have legal obligations • You’re comfortable with formal processes • No, if: • You have a small, manageable infrastructure • You’re only responsibility is to yourself • You have an informal culture and strong skills • You believe certification will make you secure

More Related