Pendahuluan. Keamanan Komputer mencakup:

Transkripsi

1 Keamanan Komputer

2 Pendahuluan Keamanan Komputer mencakup: Pencegahan (preventif) dari akses yang tidak berhak, penyadapan, pencurian, modifikasi, dan pengrusakan Penyidikan (detektif) terhadap tindakan-tindakan yang bisa membahayakan sistem komputer Perbaikan (korektif) pada kerusakan-kerusakan yang sudah terjadi

3 Keamanan Komputer: usaha untuk mengamankan sistem, komunikasi, operasional, serta fisik sehingga orang yang berhak dapat bekerja dengan aman, dan yang tidak berhak tidak dapat mengancam keamanan. Tingkatan ancaman keamanan: Disruption : sistem komputer tidak dapat difungsikan beberapa saat hingga gangguan bisa dihilangkan Destruction : terjadi kerusakan permanen, tidak dapat diperbaiki Disaster : marabahaya yang menghancurkan segala yang ada pada sistem

4 Aspek / servis dari security Garfinkel [11] mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan nonrepudiation.

5 Privacy / Confidentiality Usaha untuk menjaga informasi dari orang yang tidak berhak mengakses Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu.

6 Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah dapat saja ditangkap (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju.

7 Authentication Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan ianformasi adalah betul-betul orang yang dimaksud. Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital certificates.

8 Availability Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi

9 Access Control Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan masalah authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain.

10 Non Repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini.

11 Mengapa perlu? Data/informasi adalah aset organisasi, sehingga perlu dilindungi Kerugian bank akibat pemalsuan data 100 kali lebih besar dari akibat perampokan Jalur data sangat terbuka melalui internet Saluran komunikasi data kurang aman Dokumen dapat diubah tanpa bekas

12 Kebutuhan Pengamanan Data 1. Kerahasiaan Dokumen, agar dokumen tidak dapat dibaca/diakses oleh orang yang tidak berhak Enkripsi/Dekripsi 2. Integritas Data : memberi indikator keaslian data, sehingga bila pernah diganggu/diubah akan ketahuan, hashing 3. Keaslian sumber : memberi keyakinan pada penerima warta bahwa itu berasal dari sumber yang bisa dipercaya (digital signature, sertifikasi)

13 4. Otorisasi : memberi otorisasi pada suatu entitas untuk melakukan sesuatu kegiatan 5. Identifikasi : memberi suatu identifikasi (pin) pada suatu entitas agar bisa mendapat hak akses 6. Access Control : mengatur akses terhadap suatu sumber data/informasi 7. Timestamping : memberi tanda waktu pada suatu objek yang dipertukarkan 8. Otentikasi: menjamin keaslian suatu dokumen

14 9. Konfirmasi : bukti bahwa suatu layanan informasi telah diberikan kepada yang berhak 10. Non-repudiation : menjamin agar suatu entitas tidak mungkir terhadap komitmen yang telah diberikan

15 Beberapa Macam Ancaman Denial of Service (DoS): no service at all Back Door : installed software back door Spoofing : pemalsuan identitas Man in the Middle : penyadapan dari dua sisi Replay : mengirim kembali informasi yang disadap dan diubah. Session Hijacking : TCP session hijacking DNS Poisoning : server DNS tidak berfungsi Social Engineering Password Guessing

16 Brute Force: teknik matematis utk pemecahan kode Software Exploitation: eksploitasi bug / hot fix Trojan Horse : virus yang ikut pada objek lain War Dialing : pelacakan nomer2 dial-in SYN Flood : memutuskan komunikasi TCP/IP Smurfing : banjir echo pada saluran komunikasi Ping of Death : banjir ping utk mematikan service dari host Port Scanning : pelacakan port aktif Unicode : serangan pada web-server dgn kode tertentu SQL Injection : serangan pada SQL server dengan kode tertentu XSS (cross side scripting) : serangan melalui port 80 utk men-deface situs web Tugas 1. Cari Pengertian Dan Contoh Diatas

17 Network Security Model Trusted Third Party principal principal Security transformation Security transformation attacker Suarga, Keamanan Komputer 17

18 Attack Passive attacks Interception Release of message contents Traffic analysis Active attacks Interruption, modification, fabrication Masquerade Replay Modification Denial of service

19 Attack: Interception Wiring, eavesdrop Suarga, Keamanan Komputer 19

20

21 Attack: Interruption Cut wire lines, Jam wireless signals, Drop packets, 21

22 Attack: Modification intercept Replaced info 22

23 Attack: Fabrication Also called impersonation

24

25

26

27

28 Terminologi Keamanan Komputer Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. Crypto berarti secret (rahasia) dan graphy berarti writing (tulisan). cryptographers. Sebuah algoritma kriptografik (cryptographic algorithm), disebut cipher, merupakan persamaan matematik yang digunakan untuk proses enkripsi dan dekripsi.

29 Ciphertext Adalah pesan yang sudah tidak dapat dibaca dengan mudah. Menurut ISO , terminologi yang lebih tepat digunakan adalah encipher. Proses sebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut dekripsi (decryption). Menurut ISO , terminologi yang lebih tepat untuk proses ini adalah decipher.

30 Cryptanalysis Cryptanalysis adalah seni dan ilmu untuk memecahkan ciphertext tanpa bantuan kunci. Cryptanalyst adalah pelaku atau praktisi yang menjalankan cryptanalysis. Cryptology merupakan gabungan dari cryptography dan cryptanalysis.