1 / 32

Ilmu dan Seni Keamanan Informasi

Ilmu dan Seni Keamanan Informasi. Theory and Practice Budi Rahardjo http://budi.insan.co.id Surabaya, 8 Januari 2005. Informasi = Uang?. Informasi memiliki nilai (value) yang dapat dijual belikan Data-data nasabah, mahasiswa Informasi mengenai perbankan, nilai tukar, saham Soal ujian

kolya
Download Presentation

Ilmu dan Seni Keamanan Informasi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ilmu dan SeniKeamanan Informasi Theory and Practice Budi Rahardjo http://budi.insan.co.id Surabaya, 8 Januari 2005

  2. Informasi = Uang? • Informasi memiliki nilai (value) yang dapat dijual belikan • Data-data nasabah, mahasiswa • Informasi mengenai perbankan, nilai tukar, saham • Soal ujian • Password, PIN • Nilai dari informasi dapat berubah dengan waktu • Soal ujian yang sudah diujikan menjadi turun nilainya Budi Rahardjo - Ilmu & Seni Security

  3. Teknologi Informasi • Teknologi yang terkait dengan pembuatan, pengolahan, distribusi, penyimpanan dari informasi • Menghasilkan produk dan layanan yang sudah kita gunakan sehari-hari sebagai “manusia moderen” • Mesin ATM di bank • Telepon, handphone, SMS • Games, PlayStation, on-line games • P2P applications Budi Rahardjo - Ilmu & Seni Security

  4. Technology Drivers • Computer Technology • Moore’s law: complexity doubles every 18 months • Good enough • Storage Technology • Increases 3 times / year • Good enough • Network Technology • Increase in speed, lower in price • But … new bandwidth-hungry applications.The need for (more) speed! Budi Rahardjo - Ilmu & Seni Security

  5. Perhatian terhadap keamanan informasi • Mulai banyaknya masalah keamanan informasi • Virus, worm, trojan horse, spam • Hacking & cracking • Spyware, keylogger • Fraud (orang dalam), penipuan, pencurian kartu kredit • Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi Budi Rahardjo - Ilmu & Seni Security

  6. Cuplikan statistik kejahatan • 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. • 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. • 2004. Kejahatan “phising” (menipu orang melalui email yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak Budi Rahardjo - Ilmu & Seni Security

  7. Sapphire worm Budi Rahardjo - Ilmu & Seni Security

  8. Contoh kejahatan kartu kredit • Berdasarkan laporan terakhir (2004), Indonesia: • Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) • Nomor #3 dalam volume • Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika Budi Rahardjo - Ilmu & Seni Security

  9. Phising From: <USbank-Notification-Urgecq@UsBank.com> To: … Subject: USBank.com Account Update URGEgb Date: Thu, 13 May 2004 17:56:45 -0500 USBank.com Dear US Bank Customer, During our regular update and verification of the Internet Banking Accounts, we could not verify your current information. Either your information has been changed or incomplete, as a result your access to use our services has been limited. Please update your information. To update your account information and start using our services please click on the link below: http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage Note: Requests for information will be initiated by US Bank Business Development; this process cannot be externally requested through Customer Support. Budi Rahardjo - Ilmu & Seni Security

  10. Ilmu dan Seni Keamanan Informasi • Dimulai dari coba-coba. Merupakan sebuah seni. • Mulai diformalkan dalam bentuk ilmu. • Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya. • Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini Budi Rahardjo - Ilmu & Seni Security

  11. Contoh Ilmu Security • Kriptografi (cryptography) • Enkripsi & dekripsi: DES, AES, RSA, ECC • Berbasis matematika • Protokol dan jaringan (network & protocols) • SSL, SET • Sistem dan aplikasi (system & applications) • Management, policy & procedures Budi Rahardjo - Ilmu & Seni Security

  12. DES: Data Encryption Standard Budi Rahardjo - Ilmu & Seni Security

  13. Protokol SSL 1 Client Hello / Connection RequestDaftar algoritma / cipher suite Pemilihan cipher suite 2 Sertifikat Digital Server Encrypted secret / key / nonce Server Client Decrypted secret 3 Sertifikat Digital Client Encrypted secret / key / nonce Decrypted secret 4 Kunci simteris disepakati Transfer data dengan enkripsi kunci simetris Budi Rahardjo - Ilmu & Seni Security

  14. System Security: Secure Email Isi email tidak dirahasiakan.Diinginkan terjaganya integritasdan non-repudiation Keduanya disatukan dan dikirimkan From: BudiSubject: KirimanKirimandatangSeninpagi From: BudiSubject: KirimanKirimandatangSeninpagi ohx76@# hash af005c0810eeca2d5 Enkripsi (dg kunci privat pengirim) ohx76@# Budi Rahardjo - Ilmu & Seni Security

  15. Application Security • Masalah yang sering dihadapi dalam pembuatan software • Buffer overflow • Out of bound array Budi Rahardjo - Ilmu & Seni Security

  16. Security Lifecylce Budi Rahardjo - Ilmu & Seni Security

  17. linux% host –t ns target.co.id linux% host –t mx target.co.id linux% nslookup > server 167.205.21.82 > set type=any > ls –d itb.ac.id >> /tmp/zone_out > ctrl-D linux% nmap 192.168.1.10 Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on router (192.168.1.11): Port State Protocol Service 22 open tcp ssh 25 open tcp smtp 53 open tcp domain 80 open tcp http 110 open tcp pop-3 113 open tcp auth 143 open tcp imap2 1008 open tcp ufsd 3128 open tcp squid-http 8080 open tcp http-proxy Nmap run completed -- 1 IP address (1 host up) scanned in 1 second Contoh dari praktek (seni) security Budi Rahardjo - Ilmu & Seni Security

  18. Aspek Dari Security • Confidentiality • Integrity • Availability • Ketiga di atas sering disingkat menjadi CIA • Ada tambahkan lain • Non-repudiation • Authentication • Access Control • Accountability Budi Rahardjo - Ilmu & Seni Security

  19. Confidentiality / Privacy • Kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang • Data-data pribadi • Data-data bisnis; daftar gaji, data nasabah • Sangat sensitif dalam e-commerce dan healthcare • Serangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) • Proteksi: enkripsi Budi Rahardjo - Ilmu & Seni Security

  20. Integrity • Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak • Serangan • Pengubahan data oleh orang yang tidak berhak, spoofing • Virus yang mengubah berkas • Proteksi: • Message Authentication Code (MAC), digital signature / certificate, hash functions, logging Budi Rahardjo - Ilmu & Seni Security

  21. Availability • Informasi harus tersedia ketika dibutuhkan • Serangan • Meniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat) • Proteksi • Backup, redundancy, DRC, BCP, firewall Budi Rahardjo - Ilmu & Seni Security

  22. Non-repudiation • Tidak dapat menyangkal (telah melakukan transaksi) • Menggunakan digital signature • Logging Budi Rahardjo - Ilmu & Seni Security

  23. Authentication • Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan • what you have (identity card) • what you know (password, PIN) • what you are (biometric identity) • Serangan: identitas palsu, terminal palsu, situs gadungan Budi Rahardjo - Ilmu & Seni Security

  24. Access Control • Mekanisme untuk mengatur siapa boleh melakukan apa • Membutuhkan adanya klasifikasi data:public, private, confidential, (top)secret • Role-based access Budi Rahardjo - Ilmu & Seni Security

  25. Accountability • Dapat dipertanggung-jawabkan • Melalui mekanisme logging dan audit • Adanya kebijakan dan prosedur (policy & procedures) Budi Rahardjo - Ilmu & Seni Security

  26. InterruptionDoS attack, network flooding InterceptionPassword sniffing ModificationVirus, trojan horse Fabricationspoffed packets Teori Jenis Serangan A B A B E A B E A B E Budi Rahardjo - Ilmu & Seni Security

  27. Klasifikasi: Dasar elemen sistem • Network security • fokus kepada saluran (media) pembawa informasi • Application security • fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database • Computer security • fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) Budi Rahardjo - Ilmu & Seni Security

  28. ISP Holes • System (OS) • Network • Applications + db Internet Web Site Topologi Lubang Keamanan Networksniffed,attacked Networksniffed,attacked,flooded Networksniffed, attacked Users Trojan horse • Applications (database,Web server) hacked • OS hacked Userid, Password,PIN, credit card # www.bank.co.id Budi Rahardjo - Ilmu & Seni Security

  29. Pelaku di bidang Security • Information bandit • Sekarang masih dipotretkan sebagai jagoan • Akan tetapi akan berkurang • the disappearance act of information bandits • Information security professionals • Masih kurang • Lebih menyenangkan • Keduanya menggunakan tools yang sama • Perbedaannya sangat tipis: itikad & pandangan • Jangan bercita-cita menjadi bandit! Budi Rahardjo - Ilmu & Seni Security

  30. source: hacking exposed Budi Rahardjo - Ilmu & Seni Security

  31. INDOCISC Audit Checklist • evaluating (network) topology • penetration testing from outside and inside network • evaluating network devices, such as routers, switches, firewalls, IDS, etc. • evaluating server(s) • evaluating application(s) • evaluating policy and procedures Budi Rahardjo - Ilmu & Seni Security

  32. Penutup • Mudah-mudahan presentasi yang singkat ini dapat memberikan gambaran mengenai ilmu security • Masih banyak detail yang tidak dibahas pada presentasi ini • Mudah-mudahan tertarik menjadi security professional bukan menjadi bandit Budi Rahardjo - Ilmu & Seni Security

More Related