+

Computer & Network Security : Information security

+

Outline

n 

Information security

n 

Attacks, services and mechanisms

n 

Security attacks

n 

Security services

n 

Methods of Defense

n 

Model for Internetwork Security

+

Protection of data

1. Keamanan Komputer:

n 

Timesharing sistem: beberapa pengguna

berbagi H / W dan S / W sumber daya pada

komputer.

n 

Remote login diperbolehkan melalui jaringan.

"

Langkah-langkah dan alat-alat untuk melindungi data

dan menggagalkan hacker disebut Keamanan Komputer".

+

2. Network Security:

Jaringan komputer banyak digunakan untuk

menghubungkan komputer di lokasi yang jauh.

Meningkatkan masalah keamanan tambahan:

n 

Data dalam transmisi harus dilindungi.

n 

Konektivitas jaringan menjadikan setiap

komputer lebih rentan.

+

Attacks, Services and Mechanisms

Tiga aspek Keamanan Informasi:

n Security Attack: Setiap tindakan yang menbahayakan

keamanan informasi.

n Security Mechanism: Sebuah mekanisme yang

dirancang untuk mendeteksi, mencegah, atau memulihkan dari serangan keamanan.

n Security Service: Sebuah layanan yang meningkatkan

keamanan sistem pengolahan data dan transfer informasi. Sebuah layanan keamanan yang

+

Security Attacks

Menurut W. Stallings [William Stallings, “Network and Internetwork Security,” Prentice Hall, 1995.] serangan (attack) n terdiri dari: n Interruption n Interception n Modification n Fabrication

+

+

Security Attacks:

Interruption Attack

Interruption: Aset sistem ini hancur atau menjadi

tidak tersedia atau tidak dapat digunakan. Ini adalah

serangan terhadap ketersediaan.

contoh:

n 

Menghancurkan beberapa H / W (disk atau line).

n 

Menonaktifkan sistem file.

n 

Membanjiri komputer dengan proses atau link

komunikasi dengan paket.

+

Security Attacks :

Interruption Attack

n Denial of Service (DoS) attack

n – Menghabiskan bandwith, network flooding

n – Memungkinkan untuk spoofed originating address

n Tools: ping broadcast, smurf, synk4, macof, various flood utilities

n Proteksi:

n Sukar jika kita sudah diserang

n Filter at router for outgoing packet, filter attack orginiating from our site

+

Security Attacks:

Interception

Interception: Sebuah akses yang tidak sah

untuk mendapatkan aset aset informasi.

Ini merupakan serangan terhadap kerahasiaan.

contoh:

n 

Penyadapan untuk menangkap data dalam

jaringan.

+

Security Attacks:

Interception

n Sniffer to capture password and other sensitive

information

n Tools: tcpdump, ngrep, linux sniffer, dsniff, trojan

(BO, Netbus, Subseven)

n Protection: segmentation, switched hub,

+

Security Attacks:

Modification

Modification:Sebuah akses yang tidak sah

untuk mencari keuntungan atau atau informasi

aset.

Ini merupakan serangan terhadap integritas.

contoh:

n 

Mengubah file data.

n 

Mengubah program.

+

Security Attacks:

Modification

n Examples: Virus, Trojan, attached with email or

web sites

n Protection: anti virus, filter at mail server, integrity

+

Security Attacks:

Fabrication

Fabrication: Sebuah pihak yang tidak berwenang

menyisipkan objek palsu ke dalam sistem.

Ini merupakan serangan terhadap keaslian /

authenticity

contoh:

n 

Penyisipan catatan dalam file data.

n 

Penyisipan pesan palsu dalam jaringan. (pesan

ulangan).

+

Security Attacks:

Fabrication

n Fake mails: virus sends emails from fake users

(often combined with DoS attack)

n Tools: various packet construction kit

+

Passive vs. Active Attacks

Secara garis besar, ancaman terhadap

teknologi sistem informasi terbagi dua 

Passive Attacks :

n 

Usaha untuk bisa mendapatkan informasi

dari sistem yang ada dengan menunggu

informasi-informasi itu dikirimkan di dalam

jaringan

+

Passive vs. Active Attacks

Active Attacks :

n 

Metode penyerangan yang dilakukan

dengan terlibat dalam modifikasi aliran

data

+

Passive Threats

n Serangan pasif adalah jenis serangan yang tidak

membahayakan terhadap sebuah sistem jaringan.

n Serangan ini tidak menyebabkan hilangnya

sumber daya dalam sebuah jaringan

n Tidak menyebabkan kerusakan terhadap sebuah

+

Passive Threats

n Serangan hanya melakukan pengamatan terhadap

semua sumber daya yang terdapat dalam sebuah sistem jaringan

n Serangan pasif ini sulit dideteksi karena

penyerang tidak melakukan perubahan data.

n Untuk mengatasi serangan pasif ini lebih

ditekankan pada pencegahan daripada pendeteksiannya

+

William Stalling menyatakan serangan pasif

bertujuan adalah untuk mendapatkan

informasi yang sedang di transmisikan. Ada

dua jenis serangan pasif yaitu

+

Passive Threats

n Release of message :

serangan yang bertujuan untuk mendapatkan informasi yang dikirim baik melalui percakapan telepon, email, ataupun transfer file dalam jaringan

n Traffic analysis :

Serangan yang dilakukan dengan mengambil

informasi yang telah diberi proteksi (misal enkripsi) dan dikirimkan dalam jaringan.

n menganalisa sistem proteksi informasi tersebut

untuk kemudian dapat memecahkan sistem proteksi informasi tersebut

+

Active Threats

n Active attacks adalah suatu metode penyerangan

yang dilakukan dengan terlibat dalam modifikasi aliran data

n Jenis serangan active attacks lebih berbahaya

dibanding dengan passive attacks

n Penyerang bertujuan untuk masuk ke jaringan, dan

akan berusaha mengambil data atau bahkan merusak jaringan

+

Active Threats

n Penyerang akan berusaha menembus sistem

sampai ke level admin jaringan, sehingga dapat melakukan perubahan konfigurasi seperti seorang admin

n Dibutuhkan perlindungan fisik untuk semua

fasilitas komunikassi dan jalur-jalurnya setiap saat

n Perlu mendeteksi dan memulihkan keadaan yang

+

Active Threats

Masquerade:

n Masquerading atau Impersonation yaitu penetrasi ke

sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam. Replay:

n Dilakukan dengan cara mengambil data secara pasif dan

kemudian mengirimkannya kembali ke dalam jaringan sehingga memunculkan efek yang tidak dapat diketahui.

+

Active Threats

Modification of messages:

n Sebagian dari pesan yang sah telah diubah untuk

menghasilkan informasi lain. Denial of service:

n Menghambat penggunaan normal dari komputer

dan komunikasi sumber daya.

n Membanjiri jaringan komputer dengan paket.

+

Dampak ancaman

Sulit untuk menilai dampak dari serangan yang dijelaskan di atas, tetapi dalam istilah generik berikut

jenis dampak yang bisa terjadi:

n Hilangnya pendapatan

n Peningkatan biaya pemulihan (mengoreksi

informasi dan jasa membangun kembali)

n Hilangnya informasi (data penting, informasi

kepemilikan, kontrak)

n Kerusakan reputasi

n Kinerja terdegradasi dalam sistem jaringan

+

Security Services

n Confidentiality (privacy)

n Authentication (yang dibuat atau mengirim data)

n Integrity (belum diubah)

n Non-repudiation (order adalah final)

n Access control (mencegah penyalahgunaan sumber

daya)

n Availability /Ketersediaan (permanen,

non-penghapusan)

n  Serangan Denial of Service

+

Confidentiality (Kerahasiaan)

n Defenisi : menjaga informasi dari orang yang tidak

berhak mengakses.

n Privacy : lebih kearah data-data yang sifatnya privat , 

informasi yang tepat terakses oleh mereka yang berhak ( dan bukan orang lain). Contoh : e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.

n Confidentiality atau kerahasiaan adalah pencegahan

bagi mereka yang tidak berkepentingan dapat

mencapai informasi,  berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu

+

Confidentiality (Kerahasiaan)

Cont

n Contoh : data-data yang sifatnya pribadi (seperti

nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya)

harus dapat diproteksi dalam penggunaan dan penyebarannya.

n Bentuk Serangan : usaha penyadapan (dengan

program sniffer).

n Usaha-usaha yang dapat dilakukan untuk

meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.

+

Authentication

n Adalah suatu langkah untuk menentukan atau

mengonfirmasi bahwa seseorang (atau sesuatu) adalah autentik atau asli. Melakukan autentikasi terhadap

sebuah objek adalah melakukan konfirmasi terhadap kebenarannya. Sedangkan melakukan autentikasi

terhadap seseorang biasanya adalah untuk memverifikasi identitasnya.

n Informasi tersebut benar-benar dari orang yang

+

Authentication

Cont…

n Dukungan :

n Adanya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk

menjaga “intellectual property” dan digital signature.

n  Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.

n Pada suatu sistem komputer, autentikasi biasanya terjadi

+

Integrity

n informasi tidak boleh diubah tanpa seijin pemilik

informasi,  keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak

berhak dalam perjalanan informasi tersebut.

n Contoh : e-mail di intercept di tengah jalan, diubah

isinya, kemudian diteruskan ke alamat yang dituju.

n Bentuk serangan : Adanya virus, trojan horse, atau

pemakai lain yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang

menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

+

Non-repudiation

n 

Merupakan hal yang yang bersangkutan dengan

sipengirim (seseorang yang telah melakukan

transaksi), Aspek ini menjaga agar seseorang

tidak dapat menyangkal telah melakukan sebuah

transaksi. Dukungan bagi electronic commerce.

+

Access Control

n 

Cara pengaturan akses kepada informasi.

berhubungan dengan masalah authentication

dan juga privacy

n 

Metode : Access control seringkali dilakukan

menggunakan kombinasi userid/password

atau dengan menggunakan mekanisme lain.

+

 Availability

n Upaya pencegahan ditahannya informasi atau sumber

daya terkait oleh mereka yang tidak berhak,

berhubungan dengan ketersediaan informasi ketika dibutuhkan.

n Contoh hambatan :

n “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.

n mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat

membuka mailnya atau kesulitan mengakses e-mailnya.

+

Availability

Cont…

n Dampak hambatan : sistem informasi yang

diserang atau dijebol dapat  menghambat atau meniadakan akses ke informasi.

+

Ancaman (Security Threats)

n Perlu diidentifikasi acaman terhadap sistem

n Darimana saja ancaman tersebut

n Dari dalam organisasi (pegawai)?

n Dari luar organisasi (crackers, kompetitor)?

n Sumber: oleh manusia (sengaja, tidak sengaja)

atau alam (bencana, musibah)?

n Tingkat kesulitan

+

Methods of Defence

n Encryption

n Software Controls (pembatasan akses dalam

database, dalam sistem operasi melindungi setiap pengguna dari pengguna lain)

n Hardware Controls (smartcard)

n Policies (sering mengubah password)

+

ANCAMAN CONTOH

Bencana alam dan politik Gempa bumi, banjir, kebakaran, perang.

Kesalahan manusia Kesalahan pemasukkan data. Kesalahan penghapusan data.

Kegagalan perangkat lunak dan

perangkat keras Gangguan listrik. Kegagalan peralatan.

Kegagalan fungsi perangkat lunak.

Kecurangan dan kejahatan komputer Penyelewengan aktivitas. Penyalahgunaan kartu kredit. Sabotase.

Pengaksesan oleh orang yang tidak berhak

+

Gangguan-gangguan terhadap

Tek. Sistem informasi

Gangguan terhadap teknologi sistem informasi

yang dilakukan

secara tidak sengaja

dapat

terjadi karena :

Kesalahan teknis (

technical errors

)

n Kesalahan perangkat keras (hardware problems)

n Kesalahan di dalam penulisan sintak perangkat lunak (syntax errors)

+

Gangguan-gangguan terhadap

Tek. Sistem informasi

Gangguan lingkungan (

environmental hazards

) 

n Kegagalan arus listrik

n Kegagalan karena petir

n Kegagalan karena gempa

n Kegagalan karena banjir

+

Gangguan-gangguan terhadap

Tek. Sistem informasi

Kegiatan yang disengaja untuk menganggu teknologi

sistem informasi termasuk dalam kategori :

n  Computer abuse : adalah kegiatan sengaja yang merusak

atau menggangu teknologi sistem informasi.

n  Computer crime (Computer fraud) : adalah kegiatan computer

abuse yang melanggar hukum, misalnya membobol sistem

komputer.

n  Computer related crime : adalah kegiatan menggunakan

teknologi komputer untuk melakukan kejahatan, misalnya dengan menggunakan internet untuk membeli barang dengan menggunakan kartu kredit.

+

Cara Melakukan

Gangguan-gangguan

Ada tiga cara untuk melakukan gangguan terhadap teknologi sistem informasi :

n Data Tampering

n Penyelewengan program