PENGELOLAAN &

PENGENDALIAN

Pengertian

„

Suatu kegiatan untuk mengatur segala

sesuatu yang berhubungan dengan kerja

komputer agar bekerja sebagai mana

mestinya dan tehindar dari berbagai

macam gangguan yang dapat merusak

serta menghancurkan sistem.

„

Dua faktor penting

1. pengelolaan data

Macam Gangguan Sistem

„

Kesalahan internal sistem

„

Serangan sistem dari luar

Kesalahan pada Sistem

Klafikasi kesalahan

1. Kesalahan pada user( pengguna)

- faktor kesengajaan

- faktor kelalaian

2. Kesalahan pada sistem itu sendiri

-pengaruh lingkungan

Serangan Terhadap Sistem(1/3)

Pada prakteknya suatu pembentukan sistem yang

aman akan mencoba melindungi adanya beberapa

kemungkinan serangan yang dapat dilakukan pihak

lain terhadap kita antara lain :

„

Intrusion

Pada penyerangan ini seorang penyerang akan dapat

menggunakan sistem komputer yang kita miliki. Sebagian

penyerang jenis ini menginginkan akses sebagaimana halnya

pengguna yang memiliki hak untuk mengakses sistem

.

Serangan Terhadap Sistem(2/3)

„

Denial of services.

Penyerangan jenis ini mengakibatkan pengguna yang sah

tak dapat mengakses sistem. Sebagai contoh adalah

Distributed Denial of Services (DDOS) yang mengakibatkan

beberapa situs Internet tak bisa diakses. Seringkali orang

melupakan jenis serangan ini dan hanya berkonsentrasi pada

intrusion saja

„

Joyrider

Pada serangan ini disebabkan oleh orang yang merasa iseng

dan ingin memperoleh kesenangan dengan cara menyerang

suatu sistem. Mereka masuk ke sistem karena beranggapan

bahwa mungkin data yang di dalamnya menarik. Rata-rata

mereka karena rasa ingin tahu, tapi ada juga yang

Serangan Terhadap Sistem(3/3)

„

Vandal.

Jenis serangan ini bertujuan untuk merusak sistem.

Seringkali ditujukan untuk site-site besar

.

„

Scorekeeper.

jenis serangan in hanyalah bertujuan untuk mendapatkan

reputasi dengan cara mengcrack sistem sebanyak mungkin.

Sebagian besar dari mereka tertarik pada situs-situs tertentu

saja. Sebagian dari mereka tak begitu peduli dengan data

yang ada di dalamnya. Saat ini jenis ini lebih dikenal dengan

istilah script kiddies

„

Mata-mata.

Jenis serangan ini bertujuan untuk memperoleh data atau

informasi rahasia dari pihak kompetitor. Saat ini semakin

banyak perusahaan yang memanfaatkan jasa ini.

Pelaku Penetrasi

Menurut James O'Brien dalam bukunya Management

Information System (McGraw-Hill, 1999) :

„

hacking didefinisikan sebagai sebuah perilaku

obsesif

dan atau tanpa otorisasi yang sah dalam

menggunakan komputer atau sistem jaringan

komputer dan pelakunya disebut dengan istilah

hacker.

„

Cracker didefinisikan sebagai hacker ilegal, yang

kerap mencuri dan atau merusak data atau

program, mencuri kartu kredit hingga mengganti

tampilan

suatu situs di Internet dan aktifitasnya

disebut

cracking.

Mengapa Perlu Tahu Teknik

Hacking?

„

mengetahui sudut pandang hackers terhadap

security

‰know your enemies

„

meningkatkan kewaspadaan staff IT

‰kita tidak pernah tahu kapan hackers akan menyerang

„

meningkatkan respon terhadap insiden

Aktivitas Hacking terhadap Protokol

TCP/IP

„

Target spoofing

‰X adalah sahabat Y, dan Z berpura-pura menjadi X

„

Session hijacking

‰X menelpon Y, dan Z mengambil-alih percakapan

Dapat dimanipulasi

‰Y kirim parsel ke X, dan Z mengganti isi parsel dengan bom

„

Denial of Service (DoS)

‰Jalan ke rumah Y hanya muat 1 mobil, Z memarkirkan 4 mobil memenuhi jalan agar X tidak dapat berkunjung ke rumah Y

Metodologi Hacking (1/4)

„

Buffer Overflow Attacks

‰ Victim adalah aplikasi yang ditulis dengan tidak baik

‰ Memanfaatkan kesalahan programming untuk mengeksekusi sisipan code

‰ Dapat dieksploitasi secara remote atau local, tergantung aplikasi

‰ Spesifik pada Processor & Operating System tertentu

„

Denial of Service

‰ Menjadikan service tidak dapat dipergunakan

‰ Target DoS:

„koneksi jaringan penghubung antar service dan user

„sistim operasi yang digunakan

Metodologi Hacking (2/4)

„

Distributed Denial of Service (DDos) Attacks

‰Sama seperti DoS, namun menggunakan banyak hosts untuk menyerang satu target

‰Hosts yang digunakan untuk menyerang biasanya hosts yang telah berhasil dikuasai

‰Eksekusi DDoS dilakukan secara bersama-sama (menggunakan master hosts)

‰Efek yang ditimbulkan lebih berbahaya

Metodologi Hacking (3/4)

„

Brute Force Attacks

‰Secara berulang melakukan percobaan otentifikasi

‰Menebak username dan password

‰Mengcrack shadow password file

„

Backdoors & Trojans

‰Memperdayai user atau sysadmin untuk memberikan password mereka tanpa diketahui

‰Dapat berupa program yang umum dikenal dan sering digunakan sehingga tidak menimbulkan kecurigaan

Hacking Tools(1/1)

„

Virus

‰ Pengertian

sebuah program komputer yang memiliki kemampuan untuk

meng-copy kode programnya pada program lain apabila program tersebut diaktifkan, serta memiliki kemampuan untuk mengambil alih kontrol terhadap komputer yang ditularinya atau melakukan perubahan atas program yang ada didalamnya.

‰ Pertama kali istilah “virus” digunakan oleh Fred Cohen pada

tahun 1984 di Amerika Serikat. Virus komputer dinamakan

“Virus” karena memiliki beberapa persamaan mendasar dengan virus pada istilah kedokteran(biological viruses).

Hacking Tools(2/2)

„

Scanners

‰mengidentifikasi sistim target

‰mencari vulnerability holes

„

Exploits

‰memanfaatkan vulnerability holes

‰mendapatkan akses penuh (UNIX: root)

„

Backdoors, Trojan Horses, dan Rootkits

‰membuat jalan masuk tersembunyi

‰menghapus jejak

‰mengelabui sistim administrator

„

Password Crackers

Aspek Internet Security

„

Penetration testing

„

Certificate Authority / PKI

„

Vulnerability Testing

Penetration Testing(1/5)

„

Active Content Monitoring / Filtering.

„

Intrusion Detection – Host Based.

„

Firewall.

„

Intrusion Detection – Network Based.

„

Authorization.

„

Air Gap Technology

„

Network Authentication.

„

Security Appliances.

„

Security Services: Penetration Testing.

„

Authentication.

Penetration Testing(2/5)

„

Active Content Monitoring / Filtering.

‰

Pada saat anda tersambung ke Internet, anda

mengambil resiko dari virus komputer, java / Active-X

script jahat dll.

‰

Tool ini akan memeriksa semua content yang masuk

ke jaringan / komputer, secara kontinu mengupdate

library-nya

„

Intrusion Detection – Host Based.

‰

Intrusion detection host based akan memonitor file

log. Dia akan meresponds dengan alarm atau serangan

balasan jika ada usaha user untuk mengakses data, file

atau servis yang tidak di ijinkan

Penetration Testing(3/5)

„

Firewall.

‰ Firewall adalah sebuah sistem atau group dari beberapa sistem yang melaksanakan kebijakan akses control antara dua jaringan.

„

Intrusion Detection – Network Based.

‰ Network based intrusion detection akan memonitor jaringan dan akan meresponds dengan alarm pada saat dia

mengidentifikasi adanya pola traffic yang tidak baik, seperti scanning, usaha denial of service maupun serangan lainnya.

Penetration Testing(4/5)

„

Authorization.

‰ Authentication, bertanya “siapa anda?”

‰ Authorization, bertanya “apakah anda berhak?”

‰ Dengan mekanisme authorization setiap pengguna yang

akan mengakses resource harus memohon ke authorization server untuk memperoleh ijin.

„

Air Gap Technology

‰ Hardware/software jenis ini memungkinkan transfer data secara real-time antara Internet dengan back-end tanpa membuka lubang di firewall.

‰ Kadang solusi Air Gap mengharuskan secara fisik terjadi pemutusan sambungan ke jaringan luar.

‰ Air Gap memutuskan semua protokol jaringan, membatasi akses ke data di lapisan aplikasi saja, serta melakukan

Penetration Testing(5/5)

„

Network Authentication.

‰ Tool ini menggunakan beberapa pendekatan untuk

memperbaiki kemampuan sistem untuk membedakan orang antara yang berhak dan yang tidak berhak memperoleh

akses

„

Security Appliances.

‰ Kombinasi hardware/software yang memberikan servis terbatas, seperti firewall, network load management dll. ‰ Karena sistem operasi-nya sangat terbatas, lebih mudah di

manage & tidak menjadi sasaran serangan hacker seperti di general purpose UNIX atau Windows NT.

Certificate Authority(1/4)

„

Certificate Authority.

„

File & Session Encryption.

„

VPN & Cryptographic Communications.

„

Secure Web Servers.

„

Single Sign On

Certificate Authority(2/4)

„

Certificate Authority.

‰ Certificate Authority (CA) adalah organisasi yang

memberikan dan memanage security credential dan public keys untuk enkripsi & dekripsi berita.

‰ Sertifikat yang di manage termasuk public keys yang memperkuat authentikasi & privacy

„

File & Session Encryption.

‰ Enkripsi adalah sebuah proses yang mana data di ubah

bentuknya sehingga sulit di buka dan di mengerti oleh orang yang tidak mempunyai authoritas untuk itu.

‰ Algoritma komputer yang canggih digunakan dalam proses enkrip & dekrip pada saat di butuhkan.

Certificate Authority(3/4)

„

VPN & Cryptographic Communications.

‰ Virtual Private Network (VPN) memungkinkan komunikasi aman melalui jaringan publik Internet.

‰ Hal ini sangat menghemat biaya untuk perusahaan dengan mobile worker atau cabang perusahaan, sehingga

komunikasi dapat dilakukan tanpa perlu menggunakan jaringan telepon private yang mahal.

„

Secure Web Servers.

‰ Tool yang memungkinkan kita memberikan servis web dalam sebuah lingkungan yang di rekayasa supaya lubang

Certificate Authority(4/4)

„

Single Sign On

‰ Paket software yang membantu pengguna agar dapat

mengakses ke beberapa komputer tanpa perlu mengingat banyak password.

‰ Single Sign On pada dasarnya tidak mengubah proses di bawahnya, tapi menyembunyikan perbedaan yang ada melalui sebuah lapisan software tambahan

„

Web Application Security.

‰ Web application security akan memproteksi aplikasi web dan resource yang ada dari ancaman di Internet, seperti, mencuri aset perusahaan, pencurian kartu kredit, deface situs dll.

‰ Hal ini dilakukan degangn mendeteksi / menghalangi teknik hacking pada wilayah ini

Vulnerability Testing(1/2)

„

Vulnerability Scanners – Host Based

„

Real-Time Security Awareness, Response &

Threat Management.

Vulnerability Testing(2/2)

„

Vulnerability Scanners – Host Based

‰

Tool untuk mengecek setting dari system untuk

menentukan apakah sesuai / konsisten dengan kebijakan keamanan perusahaan.

‰

Tool ini biasa digunakan oleh auditor.

„

Real-Time Security Awareness, Response &

Threat Management

‰ RTSA memungkinkan seorang security manager untuk melihat apa yang terjadi di perusahaan yang

menggunakan banyak peralatan dari multiple vendor secara real-time melalui sebuah konsol.

‰ RTSA menolong mengurangi jumlah personel yang dibutuhkan untuk memonitor banyak peralatan.

„

Vulnerability Scanners – Network Based.

‰ Software yang dapat mensimulasikan tabiat penyerang dan mempelajari sampai sekitar 600 kemungkinan

Managed Security Services(1/4)

„

Enterprise Security Policy Implementation.

„

Managed Security Services.

„

Enterprise Security Administration.

„

Security Services: Policy Development.

„

Trusted Operating Systems.

Managed Security Services(2/4)

„

Enterprise Security Policy Implementation.

‰ ESPI memungkinkan manager security untuk mengautomasi setiap

langkah keamanan dari console pusat, mulai dari creating, editing, approving, publishing, distribution, education, compliance,

reporting dan maintenance.

‰ Tool ini akan memaksa sosialisasi, menchek pengertian pegawai,

mencatat kejadian, dan mengukur compliance, yang pada akhirnya akan menolong manajemen resiko IT tanpa memberikan banyak beban ke staff yang terbatas.

„

Managed Security Services

.

‰ Vendor yang menawarkan managed security services berasumsi

bahwa mereka akan memperoleh beberapa persen kerjaan sebagai outsource.

‰ Dengan cara tsb. administrator dapat mengerjakan kerjaan yang

Managed Security Services(3/4)

„

Enterprise Security Administration.

‰ Tool ini mengadministrasi security tingkat enterprise, memastikan bahwa semua user di sebuah enterprise memperoleh hak dan kewajiban yang sama.

‰ Sistem ini terutama sangat bermanfaat untuk memberikan akses bagi user baru, dan, yang penting, menghilangkan semua akses bagi pegawai yang sudah keluar.

„

Security Services: Policy Development.

‰ Konsultan yang membantu pengembangan kebijakan keamanan secara cepat.

‰ Mereka umumnya sudah mempunyai template agar

kebijakan security dapat di implementasikan dengan cepat, seperti penggunaan e-mail yang baik hingga extranet

Managed Security Services(4/4)

„

Trusted Operating Systems.

‰ Karena semua mekanisme ke amanan sangat tergantung pada sistem operasi, teknologi trusted O/S memberikan

mekanisme satu-satunya pada O/S untuk bertahan terhadap serangan.

„

Anti D.D.O.D Tools.

‰ Tool anti Ddos akan mengidentifikasi ketidak beresan penggunaan di jaringan.

‰ Jika terjadi ketidak beresan, tool akan berusaha mencek legitimasi akses dan merekomendasikan beberapa langkah preventif-nya.

Pentingnya Audit Sistem

Ron Weber, Dekan Fakultas Teknologi Informasi, Monash

University , dalam salah satu bukunya: Information System

Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa

alasan penting mengapa audit TI perlu dilakukan, antara lain:

„

Kerugian akibat kehilangan data

„

Kesalahan dalam pengambilan keputusan

„

Risiko kebocoran data

„

Penyalahgunaan Komputer

„

Kerugian akibat kesalahan proses perhitungan

„

Tingginya nilai investasi perangkat keras dan

Yang Harus Diaudit

Audit sistem mencakup sedikitnya enam komponen

yang sangat esensial. Yakni, pendefinisian tujuan;

penentuan isu, tujuan dan perspektif bisnis antara

penanggung jawab bagian dengan bagian TI; review

terhadap pengorganisasian bagian TI yang meliputi

perencanaan

proyek, status dan

prioritasnya,

staffing levels, belanja TI dan IT change process

management; assessment infrastruktur teknologi,

assessment aplikasi bisnis; serta temuan-temuan,

dan laporan rekomendasi. Sedang sukyek yang

perlu

diaudit

mencakup, aspek

keamanan,

keandalan, kinerja dan manageability.

Sumber Daya Manusia

„

Auditor TI sendiri dibutuhkan untuk memberikan

rekomendasi

penyempurnaan

sistem

dan

juga

reasonable assurance bahwa pengendalian internal

terhadap suatu sistem TI efektif dalam mencapai

sasaran dari sistem tersebut.

„

Suatu tim audit TI, melibatkan kalangan profesional

yang berasal dari berbagai disiplin ilmu, yaitu

Auditing, Pengendalian

Internal dan

sistem

Informasi serta Teknologi Informasi.