Informasi = Uang?
Masalah-Masalah dalam Keamanan Informasi Muhammad Sholeh Teknik Informatika Institut Sains & Teknologi AKPRIND
• Informasi memiliki nilai (value) yang dapat dijual belikan – – – –
Data - data nasabah, mahasiswa Informasi mengenai perbankan, nilai tukar, saham Soal ujian Password, PIN
• Nilai dari informasi dapat berubah dengan waktu – Soal ujian yang sudah diujikan menjadi turun nilainya
2
• Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat, hal ini disebabkan apa ?
• bagaimana Anda dapat menjelaskan bahwa keamanan sistem informasi sangat penting ? – Hitung kerugian apabila sistem informasi anda tidak bekerja – Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. – Hitung kerugian apabila ada data yang hilang
– Aplikasi bisnis yang berbasis TI dan jaringan makin berkembang dan meningkat – Mudahnya diperoleh s/w u/ menyerang komp./jaringan – Semakin kompleksnya sistem yabg digunakan, sepert makin besar source code – Aparat dari penegak hukum ketinggalan dalam hal kejahatan ti
3
4
Security Incident Trend
Security Incident Trend
• Security incidents merupakan proses dan hasil pelanggaran sekuriti suatu sistem baik oleh penggunanya maupun entitas di luar sistem tersebut. Menurut Computer Security Institute (CSI;http://www.gocsi.com), trend terjadinya security incidents menjadi semakin tinggi pada tahun 2000 dan kerugian finansial yang diakibatkan mencapai US$ 377.828.700 pada quarter pertama tahun 2001.
5
6
1
Cuplikan statistik kejahatan
Contoh kejahatan kartu kredit
• 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, -E Trade. • 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. • 2004. Kejahatan “phising” (menipu orang melalui email yang seolah - olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data - data pribadi seperti nomor PIN internet banking) mulai marak
• Berdasarkan laporan terakhir (2004), Indonesia: – Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) – Nomor #3 dalam volume
• Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika
7
8
Aktifitas Serangan
Survey Dan Farmer (Dec96) 1700 web sites: – 60% vulnerable. –9 - 24% terancam jika satu bug dari service daemon (ftpd, httpd / sendmail) ditemukan. – Serangan pada 10 - 20 % menggunakan denial-of- service
sites
di
netralisir
Manipulasi Data Backdoor Software Password Scanning Trojan Horse IP Spoofing Virus
6.8% 6.6% 5.6% 14.6% 5.8% 4.8% 10.6%
9
10
Ilmu dan Seni Keamanan Informasi
Perhatian terhadap keamanan informasi
• Dimulai dari coba-coba. Merupakan sebuah seni. • Mulai diformalkan dalam bentuk ilmu. • Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya. • Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini
11
• Mulai banyaknya masalah keamanan informasi – – – –
Virus, worm, trojan horse, spam Hacking & cracking Spyware, keylogger Fraud (orang dalam), penipuan, pencurian kartu kredit
• Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi
12
2
Hacker , cracker dan motif •
•
Hacker , cracker dan motif • Hacker adalah entitas yang menemukan kelemahan (vunerability) sistem dalam konteks security incidents • Seorang hacker bisa menjadi seorang cracker, tetapi seorang cracker belum tentu menguasai kemampuan yang dipunyai seorang hacker
Security incidents merupakan hasil dari ancaman digital (digital thread) terhadap suatu sistem oleh entitas yang dinamakan ``Cracker''. cracker memanfaatkan hasil penemuan tersebut untuk melakukan eksploitasi dan mengambil manfaat dari hasilnya.
13
Hacker , cracker dan motif
14
Hacker , cracker dan motif
Motivasi para hacker untuk menemukan vunerability adalah untuk membuktikan kemampuannya atau sebagai bagian dari kontrol sosial terhadap sistem. Sedangkan motivasi para cracker sangat beragam, diantaranya adalah untuk propaganda ( deface web site / email ), kriminal murni, penyerangan destruktif (akibat dendam atau ketidaksukaan terhadap suatu insitusi), dan lain-lain. Apapun motif dari cracker selalu ada pihak yang dirugikan akibat tindakannya.
• Saat ini banyak tersedia software untuk melakukan eksploitasi kelemahan sistem. Software tersebut dapat didownload secara bebas dari Internet dan disebut dengan ``automate exploit tools''. Berbekal software ini, seorang cracker dapat melakukan exploitasi di mana saja dan kapan saja, tanpa harus mempunyai pengetahuan khusus. Cracker jenis ini dikenal sebagai ``script kiddies''.
15
Beberapa kemungkinan serangan terhadap suatu sistem • •
•
• •
•
16
Jenis serangan sekuriti
Intrusion. Pada penyerangan ini seorang penyerang akan dapat menggunakan sistem komputer yang kita miliki. Sebagian penyerang jenis ini menginginkan akses sebagaimana halnya pengguna yang memiliki hak untuk mengakses sisttem. Denial of services. Penyerangan jenis ini mengakibatkan pengguna yang sah tak dapat mengakses sistem. Sebagai contoh adalah Distributed Denial of Services (DDOS) yang mengakibatkan beberapa situs Internet tak bisa diakses. Seringkali orang melupakan jenis serangan ini dan hanya berkonsentrasi pada intrusion saja. Joyrider. Pada serangan ini disebabkan oleh orang yang merasa iseng dan ingin memperoleh kesenangan dengan cara menyerang suatu sistem. Mereka masuk ke sistem karena beranggapan bahwa mungkin data yang di dalamnya menarik. Rata-rata mereka karena rasa ingin tahu, tapi ada juga yang menyebabkan kerusakan atau kehilangan data. Vandal. Jenis serangan ini bertujuan untuk merusak sistem. Seringkali ditujukan untuk site-site besar. Scorekeeper. jenis serangan in hanyalah bertujuan untuk mendapatkan reputasi dengan cara mengcrack sistem sebanyak mungkin. Sebagian besar dari mereka tertarik pada situs-situs tertentu saja. Sebagian dari mereka tak begitu peduli dengan data yang ada di dalamnya. Saat ini jenis ini lebih dikenal dengan istilah script kiddies Mata-mata. Jenis serangan ini bertujuan untuk memperoleh data atau informasi rahasia dari pihak kompetitor. Saat ini semakin banyak perusahaan yang memanfaatkan jasa ini.
17
• Gelombang pertama adalah serangan fisik . Serangan ini ditujukan kepada fasilitas jaringan, perangkat elektronis dan komputer. Sebagai pertahanan terhadap serangan jenis ini biasanya digunakan sistem backup ataupun sistem komputer yang terdistribusi, sehingga mencegah kesalahan di satu titik mengakibatkan seluruh sistem menjadi tak bekerja. Cara pemecahan terhadap serangan ini telah diketahui dengan baik. Jaringan Internet sendiri didisain untuk mengatasi permasalahan seperti ini. 18
3
Jenis serangan sekuriti
Jenis serangan sekuriti
• Gelombang kedua adalah serangan sintatik . Serangan ini ditujukan terhadap keringkihan (vulnerability ) pada perangkat lunak, celah yang ada pada algoritma kriptografi atau protokol. Serangan Denial of Services (DoS) juga tergolong pada serangan jenis ini. Serangan jenis inilah yang saat ini paling populer. Tetapi relatif cara penanganannya telah diketahui dan biasanya pihak administrator atau pengguna yang lalai menerapkannya.
• Gelombang ketiga adalah serangan semantik . Serangan jenis ini memanfaatkan arti dari isi pesan yang dikirim. Dengan kata lain adalah menyebarkan disinformasi melalui jaringan, atau menyebarkan informasi tertentu yang mengakibatkan timbulnya suatu kejadian. Pada dasarnya banyak pengguna cenderung percaya apa yang mereka baca. Seringkali keluguan mempercayai berita ini disalah-gunakan pihak tertentu untuk menyebarkan issue-issue yang menyesatkan
19
Contoh Ilmu Security
20
Application Security
• Kriptografi (cryptography)
• Masalah yang sering dihadapi dalam pembuatan software
– Enkripsi & dekripsi: DES, AES, RSA, ECC – Berbasis matematika
– Buffer overflow – Out of bound array
• Protokol dan jaringan (network & protocols) – SSL, SET
• Sistem dan aplikasi (system & applications) • Management, policy & procedures
21
Security Lifecylce
22
Teori Jenis Serangan • Interruption DoS attack, network flooding
• Interception Password sniffing
• Modification Virus, trojan horse
• Fabrication spoffed packets 23
A
B
A
B E
A
B E
A
E
B
24
4
Klasifikasi: Dasar elemen sistem
Topologi Lubang Keamanan
• Network security
Network sniffed, attacked
ISP
– fokus kepada saluran (media) pembawa informasi
Holes
• Application security – fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database
Internet Network sniffed, attacked
• Computer security – fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)
Users
System (OS) Network Applications + db
Web Site Trojan horse
Userid, Password, PIN, credit card # 25
Network sniffed, attacked, flooded
1. 2. 3.
www.bank.co.id
- Applications (database, Web server) hacked -OS hacked
26
Penutup Tutorial ini diambil dari berbagai sumber diinternet, terutama tulisan dari Bapak Dr. Budi Raharjo
27
5
