Keamanan
Komputer
Mengapa
Kemanan Komputer dibutuhkan ???
l “information-based society”
l Security Hole
Kejahatan
Komputer meningkat karena :
l Aplikasi bisnis berbasis TI dan
jaringan komputer meningkat
l Desentralisasi server.
l Transisi dari single vendor ke multi
vendor.
l Meningkatnya kemampuan pemakai (user).
l Kesulitan penegak hukum dan belum
adanya ketentuan yang pasti.
l Semakin kompleksnya system yang
digunakan, semakin besarnya source code program yang digunakan.
l Berhubungan dengan internet.
Klasifikasi
Kejahatan Komputer
l Keamanan yang bersifat fisik
l Wiretapping
l Denial of service
l Syn Flood Attack
l Keamanan yang berhubungan dengan
orang (personel)
l Identifikasi user
l Profil resiko dari orang yang
mempunyai akses
l Keamanan dari data dan media serta teknik
komunikasi
l Keamanan dalam operasi
Karakteristik
Penyusup
l The Curious (Si Ingin Tahu) - tipe
penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang anda
miliki.
l The Malicious (Si Perusak) - tipe
penyusup ini berusaha untuk merusak sistem anda, atau merubah web page anda,
atau sebaliknya membuat waktu dan uang anda kembali pulih.
l The High-Profile Intruder (Si Profil
Tinggi) - tipe penyusup ini berusaha menggunakan sistem anda untuk memperoleh
popularitas dan ketenaran. Dia mungkin menggunakan sistem profil tinggi anda untuk mengiklankan
kemampuannya.
l The Competition (Si Pesaing) - tipe
penyusup ini tertarik pada data yang anda miliki dalam sistem anda. Ia mungkin
seseorang yang beranggapan bahwa anda memiliki sesuatu yang dapat
menguntungkannya secara keuangan atau sebaliknya.
Istilah
bagi penyusup
l Mundane ; tahu mengenai hacking tapi tidak
mengetahui metode dan prosesnya.
l lamer (script kiddies) ; mencoba script2
yang pernah di buat oleh aktivis hacking, tapi tidak paham bagaimana cara
membuatnya.
l wannabe ; paham sedikit metode hacking,
dan sudah mulai berhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION.
l larva (newbie) ; hacker pemula, teknik
hacking mulai dikuasai dengan baik, sering bereksperimen.
l hacker ; aktivitas hacking sebagai
profesi.
l wizard ; hacker yang membuat komunitas
pembelajaran di antara mereka.
l guru ; master of the master hacker, lebih
mengarah ke penciptaan tools-tools yang powerfull yang salah satunya dapat
menunjang aktivitas hacking, namun lebih jadi tools pemrograman system yang
umum.
Aspek
Keamanan Komputer
Privacy / Confidentiality
l Defenisi : menjaga informasi dari orang
yang tidak berhak mengakses.
l Privacy
: lebih kearah data-data yang sifatnya privat , Contoh : e-mail seorang
pemakai (user) tidak boleh dibaca oleh administrator.
l Confidentiality : berhubungan dengan data yang diberikan ke pihak lain untuk
keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut.
l Contoh
: data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir,
social security number, agama, status perkawinan, penyakit yang pernah
diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam
penggunaan dan penyebarannya.
l Bentuk Serangan : usaha penyadapan (dengan
program sniffer).
l Usaha-usaha yang dapat dilakukan untuk
meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi
kriptografi.
Aspek
Keamanan Komputer
l Integrity
l Defenisi : informasi tidak boleh
diubah tanpa seijin pemilik informasi.
l Contoh : e-mail di intercept
di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
l Bentuk serangan : Adanya virus, trojan
horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the
middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan
menyamar sebagai orang lain.
Aspek
Keamanan Komputer
Authentication
l Defenisi : metoda untuk menyatakan
bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan
informasi adalah betul-betul orang yang dimaksud.
l Dukungan :
l
Adanya
Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi
watermarking(untuk menjaga “intellectual property”, yaitu dengan
menandai dokumen atau hasil karya dengan “tanda tangan” pembuat ) dan digital
signature.
l
Access
control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses
informasi. User harus menggunakan password, biometric (ciri-ciri khas orang),
dan sejenisnya.
Aspek
Keamanan Komputer
Availability
l Defenisi : berhubungan dengan
ketersediaan informasi ketika dibutuhkan.
l Contoh hambatan :
l “denial of service attack” (DoS attack), dimana server
dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang
diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan
sampai down, hang, crash.
l mailbomb, dimana seorang pemakai dikirimi e-mail
bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang
pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.
Aspek Keamanan
Komputer
Access Control
l Defenisi : cara pengaturan akses kepada informasi. berhubungan dengan masalah
l authentication dan juga privacy
l Metode : menggunakan kombinasi
userid/password atau dengan
l menggunakan mekanisme lain.
Non-repudiation
Security
Attack Models
Interruption: Perangkat sistem menjadi rusak atau tidak
tersedia. Serangan
ditujukan kepada ketersediaan (availability) dari sistem. Contoh
serangan adalah “denial of service attack”.
Interception: Pihak yang tidak berwenang berhasil mengakses
asset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
Modification: Pihak yang tidak berwenang tidak saja berhasil
mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan
ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang
merugikan pemilik web site.
Fabrication: Pihak yang tidak berwenang menyisipkan objek
palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan
pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer.
SECURITY
BREACH ACCIDENT
1996U.S. Federal Computer
Incident Response Capability (FedCIRC) melaporkan bahwa lebih dari 2500
“insiden” di system komputer atau jaringan komputer yang disebabkan oleh
gagalnya sistem keamanan atau adanya usaha untuk membobol sistem keamanan
Tidak ada komentar:
Posting Komentar