Introduction to Information Security IP-based Network Security Budi Rahardjo
[email protected] -
[email protected] http://rahard.wordpress.com
IT = infrastruktur • Mesin ATM • Telekomunikasi – Handphone – Internet
IEEE Spectrum – Nov 2004
“Most important technology of the last 40 years” Integrated Circuits Internet Computers
Perangkat menjadi lebih kecil, lebih cepat, dan harganya lebih murah [wireless, IP]
IT core business
52,235,616 lessons delivered
Model bisnis baru?
... Freemium Long tail User-generated content ... apa lagi?
Chris Anderson, “Long Tail”
SECURITY STATISTICS
Kejahatan
Security Intro
10
Kejahatan ATM • Mesin ATM biasa?
Security Intro
• Perhatikan lebih baik: skimmer
12
Menyadap PIN dengan wireless camera
Security Intro
13
Kisruh di Billing Operator • Sebuah perusahaan menuntut bagi hasil kepada operator telepon seluler. Menjadi kasus legal – Operator tidak dapat menunjukkan data dari billing system – Jika data tersedia, bagaimana meyakinkan pihak ketiga bahwa data yang disediakan benar – Harus diaudit oleh pihak ketiga yang independen
Masalah security terkini • Fraud di dunia perbankan
(skimmer di mesin ATM, kartu kredit, ...)
• Masalah di social network
(pencurian identitas, penurunan produktivitas)
• Deface, spamming
[mail server DPR terbuka?]
• Virus, malware • Pencurian perangkat (physical security) • Application security
Masalah (sebelum 2011) • Kepatuhan terhadap aturan (regulatory compliance) – ISO 17799 / 27001, BASEL II, SOX, … – IT audit, IT alignment, …
• Ketergantungan kepada sistem IT makin tinggi sehingga ketersediaan (availability) menjadi sorotan – Bencana (tsunami, gempa, banjir), serangan teroris, … – Disaster Recovery Center/Plan, Business Continuity Planning (BCP), …
Terkait teknologi (sebelum 2011) • Portable & Wireless – Mobile devices: PDA, USB-based flash disk, digital camera – Notebook+WiFi, Access Point murah, Bluetooth, GPRS, 3G, HSDPA – Bagaimana membatasi penggunaannya?
• IP-based – IP telephony: Skype, Yahoo Messanger with call, Google talk – Padahal IP versi 4 masih rentan dengan masalah keamanan
• Less cash society – Penggunaan kartu, smartcard, chipcard, RFID – “Pulsa” sebagai alat bayar – Munculnya pemain baru yang sebelumnya bukan institusi finansial
Terlupakan: Kelemahan dari dalam • 1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan beberapa statistik yang menarik, seperti misalnya ditunjukkan bahwa “disgruntled worker” (orang dalam) merupakan potensi attack / abuse. http://www.gocsi.com
Disgruntled workers Independent hackers US competitors Foreign corporation Foreign government
86% 74% 53% 30% 21%
Justifikasi Investasi Security • Survey Information Week (USA), 1271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting. Kesadaran akan masalah keamanan masih rendah! • Bagaimana untuk meyakinkan management untuk melakukan investasi di bidang keamanan?
Security Goals / Aspek Security • • • • •
Confidentialty Integrity Availability Authentication Non-repudiaton
Security Life Cycle
Aspek Keamanan • People • Process • Technology
• Semuanya harus memiliki tingkat keamanan yang cukup
People • Kurangnya wawasan (awareness) security • Skill security masih sebagi ilmu baru, terpisah dari ilmu lain seperti pengembangan aplikasi – Secure Software Development Life Cycle
• Cara padang yang berbeda / etika
Process • Kebijakan, standar, prosedur, .. • Sering dianggap sebagai penghambat – Ganti password secara berkala – Penggunaan kompleksitas password
Technology • Kemajuan teknologi dapat meningkatkan kenyamanan tetapi membuat celah keamanan baru
– Portable devices – Wireless – Faster speed
Klasifikasi Berdasarkan Elemen Sistem • Network security – fokus kepada saluran (media) pembawa informasi
• Application security – fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database
• Computer security – fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) Prinsip Keamanan
29/31
Letak potensi lubang keamanan Network sniffed, attacked
ISP
HOLES • System (OS) • Network • Applications (db)
Internet Network sniffed, attacked
Network sniffed, attacked
Users
Web Site
Virus, trojan horse, malware Userid, Password, PIN, credit card #
Prinsip Keamanan
www.bank.co.id 30/31
- Applications (database, Web server) attacked -OS hacked
Penutup Mari kita terapkan security culture bersama-sama
