Pertemuan ke 2 Hendra Di Kesuma, S.Kom., M.Cs. Sistem Informasi STMIK BINA NUSANTARA JAYA

Keamanan Komputer Pertemuan ke 2

Hendra Di Kesuma, S.Kom., M.Cs.

Sistem Informasi STMIK “BINA NUSANTARA JAYA”

Mengapa Keamanan Komputer dibutuhkan?
Information-Based Society menyebabkan nilai informasi menjadi sangat penting dan menuntut kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi

Review

Mengapa Keamanan Komputer dibutuhkan?
Infrastruktur Jaringan komputer, seperti LAN dan Internet, memungkinkan untuk menyediakan informasi secara cepat, sekaligus membuka potensi adanya lubang keamanan (security hole)

Review

Dasar-dasar Keamanan pada Komputer
Pengamanan secara fisik (sekuriti fisik) Pengamanan secara fisik dapat dilakukan dengan menempatkan sistem komputer pada tempat / lokasi yang mudah diawasi / dikontrol, hal ini dilakukan untuk mengantisipasi kelalaian / keteledoran User yang seringkali meninggalkan terminal komputer dalam keadaan Log On. Hal ini dapat mengakibatkan pihak lain dapat mengakses beberapa fasilitas sistem komputer

Review

Dasar-dasar Keamanan pada Komputer
Pengamanan akses (sekuriti akses) Pengamanan akses biasanya menjadi tanggung jawab dari administrator sistem dalam hal ini seorang administrator harus mampu mengontrol dan mendokumentasi seluruh akses terhadap sistem komputer

Review

Dasar-dasar Keamanan pada Komputer
Pengamanan data (sekuriti data) Pengamanan data dilakukan dengan menerapkan sistem tingkatan akses dimana seorang hanya dapat mengakses data tertentu saja yang menjadi haknya

Review

Dasar-dasar Keamanan pada Komputer
Pengamanan jaringan (sekuriti jaringan) Jaringan disini berkaitan erat dengan pemanfaatan jaringan umum seperti internet dan Ekstranet. Pengamanan jaringan dapat dilakukan dengan kriptografi dimana data yang sifatnya sensitif dienkrip / disandikan terlebih dahulu sebelum ditransmisikan melalui jaringan

Review

Pada awalnya istilah kejahatan maya (cyber crime) = kejahatan komputer (computer crime). Namun dengan berkembangnya teknologi informasi dan telekomunikasi, cyber crime lebih luas maknanya.
Kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal.


Kejahatan Komputer (KK)

Beberapa Kejahatan Komputer
Unauthorized Access to Computer Sistem and Service
Illegal Contents
Data Forgery
Cyber Espionage
Cyber Sabotage and Extortion
Offense Against Intellectual Property
Infringements of Privacy

Kejahatan Komputer (KK)




Kejahatan yang dilakukan dengan memasuki/ menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya.

KK : Unauthorized Access to Computer Sistem and Service




Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum.

KK : Illegal Contents







Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi "salah ketik" yang pada akhirnya akan menguntungkan pelaku karena korban akan memasukkan data pribadi dan nomor kartu kredit yang dapat saja disalah gunakan.

KK : Data Forgery




Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran.

KK : Cyber Espionage




Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet.

KK : Cyber Sabotage and Extortion

Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di internet.
Sebagai contoh adalah peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain dan sebagainya.


KK : Offense Against Intellectual Property

Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia.
Kejahatan ini biasanya ditujukan terhadap keterangan seseorang pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain akan dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.


KK : Infringements of Privacy

Penyebab meningkatnya Kejahatan Komputer
Aplikasi bisnis berbasis TI dan jaringan komputer meningkat : online banking, ecommerce, Electronic data Interchange (EDI).
Desentralisasi server.
Transisi dari single vendor ke multi vendor.

Kejahatan Komputer (KK)

Penyebab meningkatnya Kejahatan Komputer
Kesulitan penegak hokum dan belum adanya ketentuan yang pasti.
Semakin kompleksnya system yang digunakan, semakin besarnya source code program yang digunakan.
Berhubungan dengan internet.

Kejahatan Komputer (KK)

Menurut David Icove, berdasarkan lubang keamanannya, keamanan dapat diklasifikasikan menjadi empat, yaitu:
Keamanan yang bersifat fisik (physical security)
Keamanan yang berhubungan dengan orang (personal)
Keamanan dari data dan media serta teknik komunikasi (communications)
Keamanan dalam operasi

Klasifikasi KK

Akses orang ke gedung, peralatan, dan media yang digunakan. Contoh :
Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini.
Denial of service, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan).
Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang)

Klasifikasi KK : physical security

Contohnya :
Identifikasi user (username dan password)
Profil resiko dari orang yang mempunyai akses (pemakai dan pengelola).

Klasifikasi KK : personal

Lubang keamanan yang terletak pada media. Misalnya kelemahan software yang digunakan untuk mengelola data.
Penggunaan Antivirus


Klasifikasi KK : communications




Adanya prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).

Klasifikasi KK : Keamanan dalam Operasi

Network security: Fokus pada saluran pembawa informasi, seperti jaringan komputer.
Application security: Fokus pada program aplikasi (software) dan database
Computer security Fokus kepada keamanan dari komputer itu sendiri termasuk OS yg digunakan (end sistem)


KK Berdasarkan fungsinya ??

ISP Internet Network sniffed, attacked

Network sniffed, attacked

Trojan Horse

USERS

Holes : 1. System (OS) 2. Network 3. Applications (db)

Hubungannya……

Website - Applications (db+ web server) hacked - OS hacked








Privacy / Confidentiality Integrity Authentication Availability Access Control

Aspek Keamanan










Definisi : menjaga informasi dari orang yang tidak berhak mengakses Lebih kearah data bersifat privat Contoh : email user tidak boleh dibaca administrator Bentuk serangan : usaha penyadapan (sniffer), virus (virus SirCam), Trojan Horse
Remote Access (biasanya mengambil userID dan password) Pencegahan : dengan teknologi kriptografi

Aspek Keamanan : Privacy




Kriptografi Shared (secret) key

Encryption

Decryption

Plaintext

Ciphertext

Plaintext

ATM PIN 123456

ATM PIN ZYXWVU

ATM PIN 123456

Aspek Keamanan : Privacy

Defenisi : informasi tidak boleh diubah tanpa seijin pemilik informasi.
Contoh : e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
Bentuk serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.


Aspek Keamanan : Integrity







Defenisi : metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Dukungan :  Adanya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga “intellectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat ) dan digital signature.  Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.

Aspek Keamanan : Authentication





Defenisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan. Contoh hambatan :  “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.  mailbomb, dimana seorang pemakai dikirimi email bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.

Aspek Keamanan : Availability

Defenisi : cara pengaturan akses kepada informasi. Berhubungan dengan masalah authentication dan juga privacy
Metode : menggunakan kombinasi userID/password atau dengan menggunakan mekanisme lain.


Aspek Keamanan : Access Control

Temukan definisi dari istilah berikut: – plaintext, ciphertext, cryptograpgy, cryptanalysis, cryptology, encryption, decryption – protection, security, threat, attach, spoofing, poisoning, masquerading, intruder, hacker dan cracker
Karakter dan istilah bagi penyusup
Security Attack Models menurut W.Stallings


Tugas