Introduction to Information Security IP-based Network Security Budi Rahardjo budi@indocisc.com - br@paume.itb.ac.id http://rahard.wordpress.com
IT = infrastruktur Mesin ATM Telekomunikasi Handphone Internet
IEEE Spectrum Nov 2004 Most important technology of the last 40 years Integrated Circuits Internet Computers Perangkat menjadi lebih kecil, lebih cepat, dan harganya lebih murah [wireless, IP]
IT core business
52,235,616 lessons delivered
... Model bisnis Freemium Long tail baru? User-generated content... apa lagi?
Chris Anderson, Long Tail
SECURITY STATISTICS
Kejahatan
Security Intro 10
Kejahatan ATM Mesin ATM biasa? Perhatikan lebih baik: skimmer Security Intro 12
Menyadap PIN dengan wireless camera Security Intro 13
Kisruh di Billing Operator Sebuah perusahaan menuntut bagi hasil kepada operator telepon seluler. Menjadi kasus legal Operator tidak dapat menunjukkan data dari billing system Jika data tersedia, bagaimana meyakinkan pihak ketiga bahwa data yang disediakan benar Harus diaudit oleh pihak ketiga yang independen
Masalah security terkini Fraud di dunia perbankan (skimmer di mesin ATM, kartu kredit,...) Masalah di social network (pencurian identitas, penurunan produktivitas) Deface, spamming [mail server DPR terbuka?] Virus, malware Pencurian perangkat (physical security) Application security
Masalah (sebelum 2011) Kepatuhan terhadap aturan (regulatory compliance) ISO 17799 / 27001, BASEL II, SOX, IT audit, IT alignment, Ketergantungan kepada sistem IT makin tinggi sehingga ketersediaan (availability) menjadi sorotan Bencana (tsunami, gempa, banjir), serangan teroris, Disaster Recovery Center/Plan, Business Continuity Planning (BCP),
Terkait teknologi (sebelum 2011) Portable & Wireless Mobile devices: PDA, USB-based flash disk, digital camera Notebook+WiFi, Access Point murah, Bluetooth, GPRS, 3G, HSDPA Bagaimana membatasi penggunaannya? IP-based IP telephony: Skype, Yahoo Messanger with call, Google talk Padahal IP versi 4 masih rentan dengan masalah keamanan Less cash society Penggunaan kartu, smartcard, chipcard, RFID Pulsa sebagai alat bayar Munculnya pemain baru yang sebelumnya bukan institusi finansial
Terlupakan: Kelemahan dari dalam 1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan beberapa statistik yang menarik, seperti misalnya ditunjukkan bahwa disgruntled worker (orang dalam) merupakan potensi attack / abuse. http://www.gocsi.com Disgruntled workers 86% Independent hackers 74% US competitors 53% Foreign corporation 30% Foreign government 21%
Justifikasi Investasi Security Survey Information Week (USA), 1271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting. Kesadaran akan masalah keamanan masih rendah! Bagaimana untuk meyakinkan management untuk melakukan investasi di bidang keamanan?
Security Goals / Aspek Security Confidentialty Integrity Availability Authentication Non-repudiaton
Security Life Cycle
Aspek Keamanan People Process Technology Semuanya harus memiliki tingkat keamanan yang cukup
People Kurangnya wawasan (awareness) security Skill security masih sebagi ilmu baru, terpisah dari ilmu lain seperti pengembangan aplikasi Secure Software Development Life Cycle Cara padang yang berbeda / etika
Process Kebijakan, standar, prosedur,.. Sering dianggap sebagai penghambat Ganti password secara berkala Penggunaan kompleksitas password
Technology Kemajuan teknologi dapat meningkatkan kenyamanan tetapi membuat celah keamanan baru Portable devices Wireless Faster speed
Klasifikasi Berdasarkan Elemen Sistem Network security fokus kepada saluran (media) pembawa informasi Application security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) Prinsip Keamanan 29/31
Letak potensi lubang keamanan ISP Users Network sniffed, attacked Network sniffed, attacked Internet Network sniffed, attacked HOLES System (OS) Network Applications (db) Web Site Userid, Password, PIN, credit card # Virus, trojan horse, malware www.bank.co.id - Applications (database, Web server) attacked -OS hacked Prinsip Keamanan 30/31
Penutup Mari kita terapkan security culture bersama-sama