Sistem Keamanan Komputer(Computer Security System)

Computer (General)

Network (Specific)

Internetwork (More

Security

Posisi Security

ServiceNot OwnerOwnerRequest

Server ClientSecurity Convenienc

e

Beberapa Statistik tentang Computer/Information Security Survey Information Week (USA), 1271 system or network manager, hanya

22% yang menganggap keamanan sistem informasi sebagai komponen penting.

Kesadaran akan masalah keamanan masih rendah! Bagaimana untuk membujuk management untuk melakukan invest di bidang

keamanan? Membutuhkan justifikasi perlunya investment infrastruktur keamanan

Angka pasti, sulit ditampilkan karena kendala bisnis, Negative publicity.- 1996. FBI National Computer Crime Squad, kejahatan komputer yang terdeteksi

kurang dari 15%, dan hanya 10% dari angka itu yang dilaporkan.- 1996. American Bar Association: dari 1000 perusahaan, 48% telah mengalami

computer fraud dalam kurun 5 tahun terakhir.- 1996. Di Inggris, NCC Information Security Breaches Survey: kejahatan komputer naik

200% dari 1995 ke 1996.- 1997. FBI: kasus persidangan yang berhubungan dengan kejahatan komputer naik

950% dari tahun 1996 ke 1997, dan yang convicted di pengadilan naik 88%. 1988. Sendmail dieksploitasi oleh R.T. Morris sehingga melumpuhkan Internet. Diperkirakan kerugian mencapai $100 juta. Morris dihukum denda $10.000.

- 10 Maret 1997. Seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi sebuah

- airport lokal (Worcester, Mass.) sehingga memutuskan komunikasi di control tower dan menghalau pesawat yang hendal mendarat.

Mungkinkah aman? Sangat sulit mencapai 100% aman Ada timbal balik antara keamanan vs. kenyamanan (security vs

convenience) Definisi computer security:

A computer is secure if you can depend on it and its software to behave as you expect(Garfinkel & Spafford)

Beberapa Sebab Peningkatan Kejahatan Komputer : Aplikasi bisnis yang berbasis komputer / Internet meningkat

– Electronic commerce (e-commerce)– Electronic Data Interchange (EDI)

Statistik e-commerce yang semakin meningkat. Semakin banyak yang terhubung ke jaringan (seperti Internet).

Desentralisasi server.– Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM

yang handal dan tersebar. Padahal susah mencari SDM. Transisi dari single vendor ke multi-vendor.

– Banyak jenis perangkat dari berbagai vendor yang harus dipelajari. Pemakai makin melek teknologi.

– Ada kesempatan untuk menjajal. Tinggal download software. (Script kiddies)

– Sistem administrator harus selangkah di depan.

Kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer– Cyberlaw– Awareness

Meningkatnya kompleksitas sistem.– Program menjadi semakin besar.– Potensi lubang keamanan semakin besar.

Klasifikasi Keamanan Sistem Info : Keamanan yang bersifat fisik (physical security) Keamanan yang berhubungan dengan orang (personel) Keamanan dari data dan media serta teknik komunikasi Keamanan dalam operasi.

Klasifikasi berdasarkan fungsi : Network security

fokus kepada saluran pembawa info Application security

fokus kepada aplikasinya sendiri PC security

fokus kepada keamanan dari komputer (end system)

Aspek/servis dari keamanan

Privacy / confidentiality Integrity Authentication Availability Non-repudiation Access control

Privacy / confidentiality Proteksi data [pribadi] yang sensitif

– Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status perkawinan

– Data pelanggan– Sangat sensitif dalam e-commerce, healthcare

Serangan: sniffer

Integrity Informasi tidak berubah tanpa ijin (tampered, altered, modified) Serangan: spoof, virus, trojan horse

Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data,

server yang digunakan– Penggunaan digital signature, biometrics

Serangan: password palsu

Availability Informasi harus dapat tersedia ketika dibutuhkan

– server dibuat hang, down, crash Serangan: Denial of Service (DoS) attack

Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi)

– menggunakan digital signature– peru pengaturan masalah hukum

Access Control Mekanisme untuk mengatur siapa boleh melakukan apa

– biasanya menggunakan password– adanya kelas / klasifikasi

Jenis Ancaman(Konsep)

Interruption Interception Modification Fabrication Sumber tujuan

Informasi

NORMAL

INTERCEPTION INTERRUPTION

MODIFICATION FABRICATION

Jenis Serangan(Teknis)

a. Physical Access Attacks, yaitu : serangan yang mencoba mendapatkan akses melalui jalur fisik, contoh :- Wiretapping, yaitu : usaha untuk

dapat mengakses data melalui media transmisi (kabel)

- Server hacking, usaha untuk mengakses resource server langsung secara fisik

- Vandalism, serangan dengan tujuan rusaknya sistem secara fisik

b. Dialog Attacks, yaitu serangan yang dilakukan saat pihak pengirim dan penerima men-transmisi-kan datanya, contoh :- Eavesdropping, yaitu menguping dan

mengintip data yang sedang ditransmisikan

- Impersonation, yaitu serangan dengan cara berpura-pura (menipu) mengaku sebagai orang lain

- Message Alteration, yaitu serangan dengan cara mengubah data yang dikirim pihak lain sebelum sampai ke tujuannya

c. Penetration Attacks, yaitu serangan yang mencoba menembus pertahanan

- Scanning(Probing) , yaitu serangan dengan cara pelacakan kemungkinan mendapatkan celah kelemahan suatu sistem yang akan diserang

- Denial of Service (DoS), yaitu serangan dengan tujuan men-down-kan server dengan cara meminta /me-request service terus-menerus

- Brute Force, usaha penembusan dengan cara coba-coba, misalnya mencoba semua kemungkinan password

d. Maliciuos Code Attacks, yaitu serangan yang dilakukan melalui suatu kode program yang diselipkan ke program lain, contoh :- Viruses, yaitu kode program yang menumpang

ke program lain, yang dapat memperbanyak dirinya sendiri ke program lain, dan melakukan hal yang tidak diinginkan

- Trojan horse, yaitu kode yang menumpang ke program lain secara rahasia (sulit diketahui) dan melakukan hal-hal yang tidak diinginkan

- Worm, yaitu program yang dapat meng-copy dirinya sendiri dan mengirimkannya dari satu komputer ke komputer lain melalui jaringan

- …..e. Social Enggineering, yaitu serangan yang

dilakukan melalui aktivitas sosial, contoh :- Password Theft, yaitu mencuri password

seseorang yang memiliki account- Information Theft, yaitu mencuri informasi dari

seseorang/orang dalam

Penanganan keamanan : Prosedur kerja Fisik/lokasi Teknis

Teknologi Sistem Keamanan :

Letak Fasilitas Keamanan pada Sistem Komputer : User : Management, Administrator, programmer, End-user,…

Access Card Biometric

Authentication System Password Cryptography Digital Signature Firewall

SSL SSH IDS AntiVirus tools Backup Recovery Hardening Host ……

Hardware : Biometric Authentication, Access card,… BIOS : password BIOS,… Sistem Operasi : windows Desktop, NT/200X Server, Unix/Linux, Novel,

… Format file : ASCII (text), biner, terkompress, terenkripsi, FAT, NTFS,

EXT,… Bahasa/tool Pemrograman : C/C++, Java, … Aplikasi : security tools, … Database : Oracle, DB2, SQL server, My SQL, …

Keamanan pada level protokol komunikasi (OSI Model :ISO) :

Application Layer : Presentasion Layer : Session Layer : Transport Layer : Network Layer : Data Link Layer : Physical Layer :

Keamanan PC sebaiknya memperhatikan aspek-aspek berikut :

Aspek fisik , misalnya dimana PC diletakkan, apakah ruangan aman dari pencurian, apakah perlu menggunakan perangkat pengaman semacam UPS, Smart card dan sebagainya.

Policy atau aturan tentang siapa-siapa yang boleh mengakses PC dan resource apa saja yang boleh diaksesnya

Mekanisme penggunaan password, misalnya password untuk login ke PC, password aplikasi, password file data, dan sebagainya

Penggunaan teknik enkripsi untuk kerahasiaan data, misalnya data-data penting dalam penyimpanannya di-enkripsi sehingga jika orang lain yang tidak berhak mengakses maka ia tidak bisa memahami isinya.

Backup data dan prosedur Recovery, data apa yang harus dibackup, bagaimana, kapan dan kemana data tersebut di-backup. Perangkat atau software apa yang digunakan untuk fasilitas Recovery jika sewaktu-waktu data rusak/hilang

Pengaman dari serangan virus, bagaimana virus dapat diatasi, jika virus berhasil menyusup(meng-infeksi) perangkat apa yang digunakan untuk menghilangkannya (men-disfeksinya).

…………..

Security Management

Security is a primarily a Management Issue, not a Technologi Issue

Top to Buttom Commitment

Comprehensive Security : o Closing All avenues of attacko Asymetrical warfare : attacker only has to find one

openingoDefense in depth : attecker must get past several

defenses to succeedo Security audits : run attacks against your own

network

General Security Goals : CIA (Confidentialitiy, Integrity, Availability)

Cycle : Plan – Protect – RespondSecurity Policy

A security policy is a formal statement of the rules by which people who are given access to an organization's technology and information assets must abide.

The main purpose of a security policy is to inform users, staff and managers of their obligatory requirements for protecting technology and information assets. The policy should specify the mechanisms through which these requirements can be met. Another purpose is to provide a baseline from which to acquire, configure and audit computer systems and networks for compliance with the policy. Therefore an attempt to use a set of security tools in the absence of at least an implied security policy is meaningless.

List of individuals who should be involved in the creation and review of security policy documents:

1) Site security administrator 2) Information technology technical staff (e.g., staff from computing center)3) Administrators of large user groups within the organization (e.g., business

divisions, computer science department within a university, etc.) 4) Security incident response team 5) Representatives of the user groups affected by the security policy6) Rresponsible management7) Legal counsel (if appropriate)

The characteristics of a good security policy are: (1) It must be implementable through system administration procedures, publishing of

acceptable use guidelines, or other appropriate methods.

(2) It must be enforcible with security tools, where appropriate, and with sanctions, where actual prevention is not technically feasible.

(3) It must clearly define the areas of responsibility for the users, administrators, and management.

The components of a good security policy include: (1) Computer Technology Purchasing Guidelines which specify required, or preferred,

security features. These should supplement existing purchasing policies and guidelines.

(2) A Privacy Policy which defines reasonable expectations of privacy regarding such issues as monitoring of electronic mail, logging of keystrokes, and access to users' files.

(3) An Access Policy which defines access rights and privileges to protect assets from loss or disclosure by specifying acceptable use guidelines for users, operations staff, and management. It should provide guidelines for external connections, data communications, connecting devices to a network, and adding new software to systems. It should also specify any required notification messages (e.g., connect messages should provide warnings about authorized usage and line monitoring, and not simply say "Welcome").

(4) An Accountability Policy which defines the responsibilities of users, operations staff, and management. It should specify an audit capability, and provide incident handling guidelines (i.e., what to do and who to contact if a possible intrusion is detected).

(5) An Authentication Policy which establishes trust through an effective password policy, and by setting guidelines for remote location authentication and the use of authentication devices (e.g., one-time passwords and the devices that generate them).

(6) An Availability statement which sets users' expectations for the availability of resources. It should address redundancy and recovery issues, as well as specify operating hours and maintenance down-time periods. It should also include contact information for reporting system and network failures.

(7) An Information Technology System & Network Maintenance Policy which describes how both internal and external maintenance people are allowed to handle and access technology. One important topic to be addressed here is whether remote maintenance is allowed and how such access is controlled. Another area for consideration here is outsourcing and how it is managed.

(8) A Violations Reporting Policy that indicates which types of violations (e.g., privacy and security, internal and external) must be reported and to whom the reports are made. A non- threatening atmosphere and the possibility of anonymous reporting will result in a greater probability that a violation will be reported if it is detected.

(9) Supporting Information which provides users, staff, and management with contact information for each type of policy violation; guidelines on how to handle outside queries about a security incident, or information which may be considered confidential or proprietary; and cross-references to security procedures and related information, such as company policies and governmental laws and regulations.

Istilah-istilah umum :

Access ControlAttack

PassiveActive

AuthenticationAuthorizationAvailabilityBack-upBiometric-AuthenticationBrute-forceChipertextConfidentialityCrackingCryptographyDecryptionDigital SignatureEncryptionExploitHackingHardening Host/Server

IntegrityIntruderNon-repudiationPatchPenetrationPlaintextPolicyPortPrivacyPrivilegeRecoveryServiceSocketTrojan horseTrusted SystemTrustee assigmentVulnerability………………

DoS (Denial of Service)DES (Data Encryption

Standard)RSA (Rivest Shanir Adelman)SHA (Secure Hash Algorithm)IDEA (International Data

Encryption Algorithm)MD5 (Massage Digest,

version 5)PGP (Pretty Good Privacy)SSL (Secure Socket Layer)SSH( Secure Shell)IDS (Intrusion Detection

System)………………