Keamanan Komputer
Pendahuluan • Keamanan Komputer mencakup: – Pencegahan (preventif) dari akses yang tidak berhak, penyadapan, pencurian, modifikasi, dan pengrusakan – Penyidikan (detektif) terhadap tindakan-tindakan yang bisa membahayakan sistem komputer – Perbaikan (korektif) pada kerusakan-kerusakan yang sudah terjadi
• Keamanan Komputer: usaha untuk mengamankan sistem, komunikasi, operasional, serta fisik sehingga orang yang berhak dapat bekerja dengan aman, dan yang tidak berhak tidak dapat mengancam keamanan.
• Tingkatan ancaman keamanan: – Disruption : sistem komputer tidak dapat difungsikan beberapa saat hingga gangguan bisa dihilangkan – Destruction : terjadi kerusakan permanen, tidak dapat diperbaiki – Disaster : marabahaya yang menghancurkan segala yang ada pada sistem
Aspek / servis dari security Garfinkel [11] mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan nonrepudiation.
Privacy / Confidentiality • Usaha untuk menjaga informasi dari orang yang tidak berhak mengakses • Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu.
Integrity • Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. • Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. • Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju.
Authentication • Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan ianformasi adalah betul-betul orang yang dimaksud. • Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital certificates.
Availability • Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. • Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi
Access Control • Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan masalah authentication dan juga privacy. • Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain.
Non Repudiation • Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. • Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. • Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini.
• Mengapa perlu? – Data/informasi adalah aset organisasi, sehingga perlu dilindungi – Kerugian bank akibat pemalsuan data 100 kali lebih besar dari akibat perampokan – Jalur data sangat terbuka melalui internet – Saluran komunikasi data kurang aman – Dokumen dapat diubah tanpa bekas
Kebutuhan Pengamanan Data 1. Kerahasiaan Dokumen, agar dokumen tidak dapat dibaca/diakses oleh orang yang tidak berhak Enkripsi/Dekripsi 2. Integritas Data : memberi indikator keaslian data, sehingga bila pernah diganggu/diubah akan ketahuan, hashing 3. Keaslian sumber : memberi keyakinan pada penerima warta bahwa itu berasal dari sumber yang bisa dipercaya (digital signature, sertifikasi)
4. Otorisasi : memberi otorisasi pada suatu entitas untuk melakukan sesuatu kegiatan 5. Identifikasi : memberi suatu identifikasi (pin) pada suatu entitas agar bisa mendapat hak akses 6. Access Control : mengatur akses terhadap suatu sumber data/informasi 7. Timestamping : memberi tanda waktu pada suatu objek yang dipertukarkan 8. Otentikasi: menjamin keaslian suatu dokumen
9. Konfirmasi : bukti bahwa suatu layanan informasi telah diberikan kepada yang berhak 10. Non-repudiation : menjamin agar suatu entitas tidak mungkir terhadap komitmen yang telah diberikan
Beberapa Macam Ancaman • • • • • • • • •
Denial of Service (DoS): no service at all Back Door : installed software back door Spoofing : pemalsuan identitas Man in the Middle : penyadapan dari dua sisi Replay : mengirim kembali informasi yang disadap dan diubah. Session Hijacking : TCP session hijacking DNS Poisoning : server DNS tidak berfungsi Social Engineering Password Guessing
• • • • • • • • • •
Brute Force: teknik matematis utk pemecahan kode Software Exploitation: eksploitasi bug / hot fix Trojan Horse : virus yang ikut pada objek lain War Dialing : pelacakan nomer2 dial-in SYN Flood : memutuskan komunikasi TCP/IP Smurfing : banjir echo pada saluran komunikasi Ping of Death : banjir ping utk mematikan service dari host Port Scanning : pelacakan port aktif Unicode : serangan pada web-server dgn kode tertentu SQL Injection : serangan pada SQL server dengan kode tertentu • XSS (cross side scripting) : serangan melalui port 80 utk men-deface situs web Tugas 1. Cari Pengertian Dan Contoh Diatas
Network Security Model Trusted Third Party
principal
principal
Security transformation
Security transformation attacker Suarga, Keamanan Komputer
17
Attack • Passive attacks – Interception • Release of message contents • Traffic analysis
• Active attacks – Interruption, modification, fabrication • • • •
Masquerade Replay Modification Denial of service
Attack: Interception
Wiring, eavesdrop
Suarga, Keamanan Komputer
19
Attack: Interruption
Cut wire lines, Jam wireless signals, Drop packets,
21
Attack: Modification
intercept
Replaced info
22
Attack: Fabrication
Also called impersonation
Terminologi Keamanan Komputer • Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. – “Crypto” berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan) .
• cryptographers. Sebuah algoritma kriptografik (cryptographic algorithm), disebut cipher, merupakan persamaan matematik yang digunakan untuk proses enkripsi dan dekripsi.
Ciphertext • Adalah pesan yang sudah tidak dapat dibaca dengan mudah. Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”. • Proses sebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut dekripsi (decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini adalah “decipher”.
Cryptanalysis • Cryptanalysis adalah seni dan ilmu untuk memecahkan ciphertext tanpa bantuan kunci. • Cryptanalyst adalah pelaku atau praktisi yang menjalankan cryptanalysis. • Cryptology merupakan gabungan dari cryptography dan cryptanalysis.