• Tidak ada hasil yang ditemukan

Masalah-Masalah dalam Keamanan Informasi

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "Masalah-Masalah dalam Keamanan Informasi"

Copied!
5
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 5 Halaman )

Teks penuh

(1)

Masalah-Masalah dalam

Keamanan Informasi

Muhammad Sholeh Teknik Informatika Institut Sains & Teknologi AKPRIND

2

Informasi = Uang?

• Informasi memiliki nilai (value) yang dapat dijual belikan

– Data- data nasabah, mahasiswa

– Informasi mengenai perbankan, nilai tukar, saham – Soal ujian

– Password, PIN

• Nilai dari informasi dapat berubah dengan waktu

– Soal ujian yang sudah diujikan menjadi turun nilainya

3

• bagaimana Anda dapat menjelaskan

bahwa keamanan sistem informasi

sangat penting ?

– Hitung kerugian apabila sistem informasi anda tidak bekerja

– Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda. – Hitung kerugian apabila ada data yang hilang

4

• Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat, hal ini disebabkan apa ?

– Aplikasi bisnis yang berbasis TI dan jaringan makin berkembang dan meningkat

– Mudahnya diperoleh s/w u/ menyerang komp./jaringan – Semakin kompleksnya sistem yabg digunakan, sepert

makin besar source code

– Aparat dari penegak hukum ketinggalan dalam hal kejahatan ti

Security Incident Trend

Security Incident Trend

• Security incidents merupakan proses dan hasil pelanggaran sekuriti suatu sistem baik oleh penggunanya maupun entitas di luar sistem tersebut. Menurut Computer Security Institute (CSI;http://www.gocsi.com), trend terjadinya security incidents menjadi semakin tinggi pada tahun 2000 dan kerugian finansial yang diakibatkan mencapai US$ 377.828.700 pada quarter pertama tahun 2001.

(2)

7

Cuplikan statistik kejahatan

• 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN,

Amazon, ZDNet, E- Trade.

• 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya.

• 2004. Kejahatan “phising” (menipu orang melalui email

yang seolah- olah datang dari perusahaan resmi [bank

misalnya] untuk mendapatkan data- data pribadi seperti

nomor PIN internet banking) mulai marak

8

Contoh kejahatan kartu kredit

• Berdasarkan laporan terakhir (2004), Indonesia:

– Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu)

– Nomor #3 dalam volume

• Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika

9

Survey Dan Farmer (Dec96)

1700 web sites:

– 60% vulnerable.

– 9- 24% terancam jika satu bug dari service daemon

(ftpd, httpd / sendmail) ditemukan.

– Serangan pada 10- 20 % sites di netralisir

menggunakan denial-of- service

10

Aktifitas Serangan

Manipulasi Data 6.8% Backdoor Software 6.6% Password 5.6% Scanning 14.6% Trojan Horse 5.8% IP Spoofing 4.8% Virus 10.6% 11

Ilmu dan Seni Keamanan

Informasi

• Dimulai dari coba-coba. Merupakan sebuahseni.

• Mulai diformalkan dalam bentukilmu.

• Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya.

• Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini

12

Perhatian terhadap keamanan

informasi

• Mulai banyaknya masalah keamanan informasi

– Virus, worm, trojan horse, spam – Hacking & cracking

– Spyware, keylogger

– Fraud (orang dalam), penipuan, pencurian kartu kredit

• Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi

(3)

13

Hacker , cracker dan motif

• Security incidents merupakan hasil dari ancaman digital (digital thread) terhadap suatu sistem oleh entitas yang dinamakan ``Cracker''.

• cracker memanfaatkan hasil penemuan tersebut untuk melakukan eksploitasi dan mengambil manfaat dari hasilnya.

14

Hacker , cracker dan motif

• Hacker adalah entitas yang menemukan kelemahan (vunerability) sistem dalam konteks security incidents

• Seorang hacker bisa menjadi seorang cracker, tetapi seorang cracker belum tentu menguasai kemampuan yang dipunyai seorang hacker

15

Hacker , cracker dan motif

Motivasi para hacker untuk menemukan vunerability adalah untuk membuktikan

kemampuannya atau sebagai bagian dari kontrol sosial terhadap sistem. Sedangkan motivasi para cracker sangat beragam, diantaranya adalah untuk propaganda ( deface web site / email ), kriminal murni, penyerangan destruktif (akibat dendam atau ketidaksukaan terhadap suatu insitusi), dan lain-lain. Apapun motif dari cracker selalu ada pihak yang dirugikan akibat

tindakannya.

16

Hacker , cracker dan motif

• Saat ini banyak tersedia software untuk melakukan eksploitasi kelemahan sistem. Software tersebut dapat didownload secara bebas dari Internet dan disebut dengan

``automate exploit tools''. Berbekal software ini, seorang cracker dapat melakukan exploitasi di mana saja dan kapan saja, tanpa harus mempunyai pengetahuan khusus. Cracker jenis ini dikenal sebagai ``script kiddies''.

Beberapa kemungkinan serangan terhadap suatu sistem

Intrusion. Pada penyerangan ini seorang penyerang akan dapat menggunakan sistem

komputer yang kita miliki. Sebagian penyerang jenis ini menginginkan akses sebagaimana halnya pengguna yang memiliki hak untuk mengakses sisttem. • Denial of services. Penyerangan jenis ini mengakibatkan pengguna yang sah tak dapat

mengakses sistem. Sebagai contoh adalah Distributed Denial of Services (DDOS) yang mengakibatkan beberapa situs Internet tak bisa diakses. Seringkali orang melupakan jenis serangan ini dan hanya berkonsentrasi pada intrusion saja.

Joyrider. Pada serangan ini disebabkan oleh orang yang merasa iseng dan ingin

memperoleh kesenangan dengan cara menyerang suatu sistem. Mereka masuk ke sistem karena beranggapan bahwa mungkin data yang di dalamnya menarik. Rata-rata mereka karena rasa ingin tahu, tapi ada juga yang menyebabkan kerusakan atau kehilangan data. • Vandal. Jenis serangan ini bertujuan untuk merusak sistem. Seringkali ditujukan untuk

site-site besar.

Scorekeeper. jenis serangan in hanyalah bertujuan untuk mendapatkan reputasi dengan

cara mengcrack sistem sebanyak mungkin. Sebagian besar dari mereka tertarik pada situs-situs tertentu saja. Sebagian dari mereka tak begitu peduli dengan data yang ada di dalamnya. Saat ini jenis ini lebih dikenal dengan istilah script kiddies

Mata-mata. Jenis serangan ini bertujuan untuk memperoleh data atau informasi rahasia

dari pihak kompetitor. Saat ini semakin banyak perusahaan yang memanfaatkan jasa ini.

Jenis serangan sekuriti

• Gelombang pertama adalah serangan fisik . Serangan ini ditujukan kepada fasilitas jaringan, perangkat elektronis dan komputer. Sebagai pertahanan terhadap serangan jenis ini biasanya digunakan sistem backup ataupun sistem komputer yang terdistribusi, sehingga mencegah kesalahan di satu titik mengakibatkan seluruh sistem menjadi tak bekerja. Cara pemecahan terhadap serangan ini telah diketahui dengan baik. Jaringan Internet sendiri didisain untuk mengatasi permasalahan seperti ini.

(4)

19

Jenis serangan sekuriti

• Gelombang kedua adalah serangan sintatik . Serangan ini ditujukan terhadap keringkihan (vulnerability ) pada perangkat lunak, celah yang ada pada algoritma kriptografi atau protokol. Serangan Denial of Services (DoS) juga

tergolong pada serangan jenis ini. Serangan jenis inilah yang saat ini paling populer. Tetapi relatif cara penanganannya telah diketahui dan biasanya pihak administrator atau pengguna yang lalai menerapkannya.

20

Jenis serangan sekuriti

• Gelombang ketiga adalah serangan semantik . Serangan jenis ini memanfaatkan arti dari isi pesan yang dikirim. Dengan kata lain adalah menyebarkan disinformasi melalui jaringan, atau menyebarkan informasi tertentu yang

mengakibatkan timbulnya suatu kejadian. Pada dasarnya banyak pengguna cenderung percaya apa yang mereka baca. Seringkali keluguan mempercayai berita ini disalah-gunakan pihak tertentu untuk menyebarkan issue-issue yang menyesatkan

21

Contoh Ilmu Security

• Kriptografi (cryptography)

– Enkripsi & dekripsi: DES, AES, RSA, ECC – Berbasis matematika

• Protokol dan jaringan (network & protocols)

– SSL, SET

• Sistem dan aplikasi (system & applications) • Management, policy & procedures

22

Application Security

• Masalah yang sering dihadapi dalam pembuatan software

– Buffer overflow – Out of bound array

23

Security Lifecylce

24

Teori Jenis Serangan

• Interruption

DoS attack, network flooding

• Interception

Password sniffing

• Modification

Virus, trojan horse

• Fabrication

spoffed packets A B E A A A B B B E E

(5)

25

Klasifikasi: Dasar elemen sistem

• Network security

– fokus kepada saluran (media) pembawa informasi

• Application security

– fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database

• Computer security

– fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)

26

Topologi Lubang Keamanan

www.bank.co.id Internet Web Site Users ISP Network sniffed, attacked Network sniffed, attacked Network sniffed, attacked, flooded

Trojan horse - Applications (database, Web server) hacked -OS hacked 1. System (OS) 2. Network 3. Applications + db Holes Userid, Password, PIN, credit card #

27

Penutup

Tutorial ini diambil dari berbagai sumber diinternet, terutama tulisan dari

Referensi

Unduh sekarang ( PDF - 5 Halaman - 124.24 KB )

Dokumen terkait

PEDOMAN TATA KELOLA PERUSAHAAN

Metodologi yang dikembangkan dan diterapkan harus meliputi audit atas dasar resiko yang muncul ( risk based audit ) pada proses bisnis Perusahaan serta kepatuhan pada ketentuan

BAB IV UJI COBA DAN EVALUASI PROGRAM EPHEMERISAYA. A. Uji Coba Fungsionalitas Aplikasi EphemeriSaya

Ketika form input tidak diisi dengan angka apapun, kemudian proses perhitungan tetap dilakukan dengan meng-klik tombol hitung, proses perhitungan tetap berjalan

Pengembangan media pembelajaran berbasis multimedia interaktif pada tema berbagai pekerjaan subtema jenis-jenis pekerjaan kelas IV MI Yaspuri Malang

Lembar Penilaian No Butir Pertanyaan 1 Rumusan topik pada pengembangan multimedia interaktif autoplay 2 Relevansi indikator dengan kompetensi dasar pada multimedia interaktif autoplay

ASAS PERADILAN SEDERHANA, CEPAT DAN BIAYA RINGAN DALAM PENYELESAIAN PERKARA PERDATA MELALUI MEDIASI DI PENGADILAN NEGERI KUDUS

Tujuan penelitian ini adalah untuk memberikan perspektif yang benar mengenai nilai keadilan terhadap asas peradilan sederhana, cepat dan biaya ringan melalui mediasi dalam

BAB I PENDAHULUAN. pernikahan, yaitu akad yang sangat kuat atau miitsaaqan ghaliizhan untuk menaaati

22 Pembagian menurut hukum masing-masing ini yang akan menjadi benturan dalam penggunaan hukum yang berlaku yang dikenal dengan conflict of law karena pengaturan harta benda

BAB I PENDAHULUAN. Era sekarang dan mendatang disebut the age of complexity and. linier-konvensional dalam menghampiri persoalan.

Secara teoretik, hasil penelitian ini diharapkan berguna untuk memperkaya hasil-hasil kajian dan khazanah teori yang berkenaan dengan manajemen sumber daya

dlp2kimia - - BAHAN KIMIA - - Bahan Kimia 8204 Kimia

Sabun adalah bahan kimia yang terbuat dari bahan alam, seperti minyak dan lemak yang direaksikan dengan bahan kimia lain yang disebut basa.. Contoh bahan kimia basa, yaitu kalium