Informasi = Uang? Masalah-Masalah dalam Keamanan Informasi Muhammad Sholeh Teknik Informatika Institut Sains & Teknologi KPRIND Informasi memiliki nilai (value) yang dapat dijual belikan Data- data nasabah, mahasiswa Informasi mengenai perbankan, nilai tukar, saham Soal ujian Password, PIN Nilai dari informasi dapat berubah dengan waktu Soal ujian yang sudah diujikan menjadi turun nilainya 2 bagaimana nda dapat menjelaskan bahwa keamanan sistem informasi sangat penting? Hitung kerugian apabila sistem informasi anda tidak bekerja Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. Hitung kerugian apabila ada data yang hilang Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat, hal ini disebabkan apa? plikasi bisnis yang berbasis TI dan jaringan makin berkembang dan meningkat Mudahnya diperoleh s/w u/ menyerang komp./jaringan Semakin kompleksnya sistem yabg digunakan, sepert makin besar source code parat dari penegak hukum ketinggalan dalam hal kejahatan ti 3 4 Security Incident Trend Security Incident Trend Security incidents merupakan proses dan hasil pelanggaran sekuriti suatu sistem baik oleh penggunanya maupun entitas di luar sistem tersebut. Menurut Computer Security Institute (CSI;http://www.gocsi.com), trend terjadinya security incidents menjadi semakin tinggi pada tahun 2000 dan kerugian finansial yang diakibatkan mencapai US$ 377.828.700 pada quarter pertama tahun 2001. 5 6 1
Cuplikan statistik kejahatan Contoh kejahatan kartu kredit 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eay, CNN, mazon, ZDNet, - Trade. 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. 2004. Kejahatan phising (menipu orang melalui email yang seolah- olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data- data pribadi seperti nomor PIN internet banking) mulai marak 7 erdasarkan laporan terakhir (2004), Indonesia: Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) Nomor #3 dalam volume kibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di merika 8 Survey Dan Farmer (Dec96) 1700 web sites: 60% vulnerable. 9-24% terancam jika satu bug dari service daemon (ftpd, httpd / sendmail) ditemukan. Serangan pada 10-20 % sites di netralisir menggunakan denial-of- service ktifitas Serangan Manipulasi Data 6.8% ackdoor Software 6.6% Password 5.6% Scanning 14.6% Trojan Horse 5.8% IP Spoofing 4.8% Virus 10.6% 9 10 Ilmu dan Seni Keamanan Informasi Dimulai dari coba-coba. Merupakan sebuah seni. Mulai diformalkan dalam bentuk ilmu. Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya. Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini Perhatian terhadap keamanan informasi Mulai banyaknya masalah keamanan informasi Virus, worm, trojan horse, spam Hacking & cracking Spyware, keylogger Fraud (orang dalam), penipuan, pencurian kartu kredit Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi 11 12 2
Security incidents merupakan hasil dari ancaman digital (digital thread) terhadap suatu sistem oleh entitas yang dinamakan ``Cracker''. cracker memanfaatkan hasil penemuan tersebut untuk melakukan eksploitasi dan mengambil manfaat dari hasilnya. Hacker adalah entitas yang menemukan kelemahan (vunerability) sistem dalam konteks security incidents Seorang hacker bisa menjadi seorang cracker, tetapi seorang cracker belum tentu menguasai kemampuan yang dipunyai seorang hacker 13 14 Motivasi para hacker untuk menemukan vunerability adalah untuk membuktikan kemampuannya atau sebagai bagian dari kontrol sosial terhadap sistem. Sedangkan motivasi para cracker sangat beragam, diantaranya adalah untuk propaganda ( deface web site / email ), kriminal murni, penyerangan destruktif (akibat dendam atau ketidaksukaan terhadap suatu insitusi), dan lain-lain. papun motif dari cracker selalu ada pihak yang dirugikan akibat tindakannya. Saat ini banyak tersedia software untuk melakukan eksploitasi kelemahan sistem. Software tersebut dapat didownload secara bebas dari Internet dan disebut dengan ``automate exploit tools''. erbekal software ini, seorang cracker dapat melakukan exploitasi di mana saja dan kapan saja, tanpa harus mempunyai pengetahuan khusus. Cracker jenis ini dikenal sebagai ``script kiddies''. 15 16 eberapa kemungkinan serangan terhadap suatu sistem Intrusion. Pada penyerangan ini seorang penyerang akan dapat menggunakan sistem komputer yang kita miliki. Sebagian penyerang jenis ini menginginkan akses sebagaimana halnya pengguna yang memiliki hak untuk mengakses sisttem. Denial of services. Penyerangan jenis ini mengakibatkan pengguna yang sah tak dapat mengakses sistem. Sebagai contoh adalah Distributed Denial of Services (DDOS) yang mengakibatkan beberapa situs Internet tak bisa diakses. Seringkali orang melupakan jenis serangan ini dan hanya berkonsentrasi pada intrusion saja. Joyrider. Pada serangan ini disebabkan oleh orang yang merasa iseng dan ingin memperoleh kesenangan dengan cara menyerang suatu sistem. Mereka masuk ke sistem karena beranggapan bahwa mungkin data yang di dalamnya menarik. Rata-rata mereka karena rasa ingin tahu, tapi ada juga yang menyebabkan kerusakan atau kehilangan data. Vandal. Jenis serangan ini bertujuan untuk merusak sistem. Seringkali ditujukan untuk site-site besar. Scorekeeper. jenis serangan in hanyalah bertujuan untuk mendapatkan reputasi dengan cara mengcrack sistem sebanyak mungkin. Sebagian besar dari mereka tertarik pada situs-situs tertentu saja. Sebagian dari mereka tak begitu peduli dengan data yang ada di dalamnya. Saat ini jenis ini lebih dikenal dengan istilah script kiddies Mata-mata. Jenis serangan ini bertujuan untuk memperoleh data atau informasi rahasia dari pihak kompetitor. Saat ini semakin banyak perusahaan yang memanfaatkan jasa ini. Jenis serangan sekuriti Gelombang pertama adalah serangan fisik. Serangan ini ditujukan kepada fasilitas jaringan, perangkat elektronis dan komputer. Sebagai pertahanan terhadap serangan jenis ini biasanya digunakan sistem backup ataupun sistem komputer yang terdistribusi, sehingga mencegah kesalahan di satu titik mengakibatkan seluruh sistem menjadi tak bekerja. Cara pemecahan terhadap serangan ini telah diketahui dengan baik. Jaringan Internet sendiri didisain untuk mengatasi permasalahan seperti ini. 17 18 3
Jenis serangan sekuriti Gelombang kedua adalah serangan sintatik. Serangan ini ditujukan terhadap keringkihan (vulnerability ) pada perangkat lunak, celah yang ada pada algoritma kriptografi atau protokol. Serangan Denial of Services (DoS) juga tergolong pada serangan jenis ini. Serangan jenis inilah yang saat ini paling populer. Tetapi relatif cara penanganannya telah diketahui dan biasanya pihak administrator atau pengguna yang lalai menerapkannya. Jenis serangan sekuriti Gelombang ketiga adalah serangan semantik. Serangan jenis ini memanfaatkan arti dari isi pesan yang dikirim. Dengan kata lain adalah menyebarkan disinformasi melalui jaringan, atau menyebarkan informasi tertentu yang mengakibatkan timbulnya suatu kejadian. Pada dasarnya banyak pengguna cenderung percaya apa yang mereka baca. Seringkali keluguan mempercayai berita ini disalah-gunakan pihak tertentu untuk menyebarkan issue-issue yang menyesatkan 19 20 Contoh Ilmu Security pplication Security Kriptografi (cryptography) nkripsi & dekripsi: DS, S, RS, CC erbasis matematika Protokol dan jaringan (network & protocols) SSL, ST Sistem dan aplikasi (system & applications) Management, policy & procedures Masalah yang sering dihadapi dalam pembuatan software uffer overflow Out of bound array 21 22 Security Lifecylce Teori Jenis Serangan Interruption DoS attack, network flooding Interception Password sniffing Modification Virus, trojan horse Fabrication spoffed packets 23 24 4
Klasifikasi: Dasar elemen sistem Topologi Lubang Keamanan security fokus kepada saluran (media) pembawa informasi pplication security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) ISP Users Userid, Password, PIN, credit card # sniffed, attacked sniffed, attacked Trojan horse Internet sniffed, attacked, flooded Holes Web Site www.bank.co.id 1. System (OS) 2. 3. pplications + db - pplications (database, Web server) hacked -OS hacked 25 26 Penutup Tutorial ini diambil dari berbagai sumber diinternet, terutama tulisan dari apak Dr. udi Raharjo 27 5