Pertemuan ke 2 Hendra Di Kesuma, S.Kom., M.Cs. Sistem Informasi STMIK BINA NUSANTARA JAYA

Transkripsi

1 Keamanan Komputer Pertemuan ke 2 Hendra Di Kesuma, S.Kom., M.Cs. Sistem Informasi STMIK BINA NUSANTARA JAYA

2 Mengapa Keamanan Komputer dibutuhkan? Information-Based Society menyebabkan nilai informasi menjadi sangat penting dan menuntut kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi Review

3 Mengapa Keamanan Komputer dibutuhkan? Infrastruktur Jaringan komputer, seperti LAN dan Internet, memungkinkan untuk menyediakan informasi secara cepat, sekaligus membuka potensi adanya lubang keamanan (security hole) Review

4 Dasar-dasar Keamanan pada Komputer Pengamanan secara fisik (sekuriti fisik) Pengamanan secara fisik dapat dilakukan dengan menempatkan sistem komputer pada tempat / lokasi yang mudah diawasi / dikontrol, hal ini dilakukan untuk mengantisipasi kelalaian / keteledoran User yang seringkali meninggalkan terminal komputer dalam keadaan Log On. Hal ini dapat mengakibatkan pihak lain dapat mengakses beberapa fasilitas sistem komputer Review

5 Dasar-dasar Keamanan pada Komputer Pengamanan akses (sekuriti akses) Pengamanan akses biasanya menjadi tanggung jawab dari administrator sistem dalam hal ini seorang administrator harus mampu mengontrol dan mendokumentasi seluruh akses terhadap sistem komputer Review

6 Dasar-dasar Keamanan pada Komputer Pengamanan data (sekuriti data) Pengamanan data dilakukan dengan menerapkan sistem tingkatan akses dimana seorang hanya dapat mengakses data tertentu saja yang menjadi haknya Review

7 Dasar-dasar Keamanan pada Komputer Pengamanan jaringan (sekuriti jaringan) Jaringan disini berkaitan erat dengan pemanfaatan jaringan umum seperti internet dan Ekstranet. Pengamanan jaringan dapat dilakukan dengan kriptografi dimana data yang sifatnya sensitif dienkrip / disandikan terlebih dahulu sebelum ditransmisikan melalui jaringan Review

8 Pada awalnya istilah kejahatan maya (cyber crime) = kejahatan komputer (computer crime). Namun dengan berkembangnya teknologi informasi dan telekomunikasi, cyber crime lebih luas maknanya. Kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal. Kejahatan Komputer (KK)

9 Beberapa Kejahatan Komputer Unauthorized Access to Computer Sistem and Service Illegal Contents Data Forgery Cyber Espionage Cyber Sabotage and Extortion Offense Against Intellectual Property Infringements of Privacy Kejahatan Komputer (KK)

10 Kejahatan yang dilakukan dengan memasuki/ menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. KK : Unauthorized Access to Computer Sistem and Service

11 Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. KK : Illegal Contents

12 Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi "salah ketik" yang pada akhirnya akan menguntungkan pelaku karena korban akan memasukkan data pribadi dan nomor kartu kredit yang dapat saja disalah gunakan. KK : Data Forgery

13 Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. KK : Cyber Espionage

14 Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet. KK : Cyber Sabotage and Extortion

15 Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain dan sebagainya. KK : Offense Against Intellectual Property

16 Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan seseorang pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain akan dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya. KK : Infringements of Privacy

17 Penyebab meningkatnya Kejahatan Komputer Aplikasi bisnis berbasis TI dan jaringan komputer meningkat : online banking, e- commerce, Electronic data Interchange (EDI). Desentralisasi server. Transisi dari single vendor ke multi vendor. Kejahatan Komputer (KK)

18 Penyebab meningkatnya Kejahatan Komputer Kesulitan penegak hokum dan belum adanya ketentuan yang pasti. Semakin kompleksnya system yang digunakan, semakin besarnya source code program yang digunakan. Berhubungan dengan internet. Kejahatan Komputer (KK)

19 Menurut David Icove, berdasarkan lubang keamanannya, keamanan dapat diklasifikasikan menjadi empat, yaitu: Keamanan yang bersifat fisik (physical security) Keamanan yang berhubungan dengan orang (personal) Keamanan dari data dan media serta teknik komunikasi (communications) Keamanan dalam operasi Klasifikasi KK

20 Akses orang ke gedung, peralatan, dan media yang digunakan. Contoh : Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of service, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang) Klasifikasi KK : physical security

21 Contohnya : Identifikasi user (username dan password) Profil resiko dari orang yang mempunyai akses (pemakai dan pengelola). Klasifikasi KK : personal

22 Lubang keamanan yang terletak pada media. Misalnya kelemahan software yang digunakan untuk mengelola data. Penggunaan Antivirus Klasifikasi KK : communications

23 Adanya prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery). Klasifikasi KK : Keamanan dalam Operasi

24 Network security: Fokus pada saluran pembawa informasi, seperti jaringan komputer. Application security: Fokus pada program aplikasi (software) dan database Computer security Fokus kepada keamanan dari komputer itu sendiri termasuk OS yg digunakan (end sistem) KK Berdasarkan fungsinya??

25 ISP Internet Network sniffed, attacked Network sniffed, attacked USERS Trojan Horse Holes : 1. System (OS) 2. Network 3. Applications (db) Website - Applications (db+ web server) hacked - OS hacked Hubungannya

26 Privacy / Confidentiality Integrity Authentication Availability Access Control Aspek Keamanan

27 Definisi : menjaga informasi dari orang yang tidak berhak mengakses Lebih kearah data bersifat privat Contoh : user tidak boleh dibaca administrator Bentuk serangan : usaha penyadapan (sniffer), virus (virus SirCam), Trojan Horse Remote Access (biasanya mengambil userid dan password) Pencegahan : dengan teknologi kriptografi Aspek Keamanan : Privacy

28 Kriptografi Shared (secret) key Encryption Decryption Plaintext Ciphertext Plaintext ATM PIN ATM PIN ZYXWVU ATM PIN Aspek Keamanan : Privacy

29 Defenisi : informasi tidak boleh diubah tanpa seijin pemilik informasi. Contoh : di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. Bentuk serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, man in the middle attack dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain. Aspek Keamanan : Integrity

30 Defenisi : metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Dukungan : Adanya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga intellectual property, yaitu dengan menandai dokumen atau hasil karya dengan tanda tangan pembuat ) dan digital signature. Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Aspek Keamanan : Authentication

31 Defenisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan. Contoh hambatan : denial of service attack (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. mailbomb, dimana seorang pemakai dikirimi e- mail bertubi-tubi (katakan ribuan ) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka nya atau kesulitan mengakses nya. Aspek Keamanan : Availability

32 Defenisi : cara pengaturan akses kepada informasi. Berhubungan dengan masalah authentication dan juga privacy Metode : menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain. Aspek Keamanan : Access Control

33 Temukan definisi dari istilah berikut: plaintext, ciphertext, cryptograpgy, cryptanalysis, cryptology, encryption, decryption protection, security, threat, attach, spoofing, poisoning, masquerading, intruder, hacker dan cracker Karakter dan istilah bagi penyusup Security Attack Models menurut W.Stallings Tugas