UTS Perbaikan Keamanan Dan Jarkom Dian Parikesit

UJIAN TENGAH SEMESTER PERBAIKAN KEAMANAN KOMPUTER DAN JARKOM

DOSEN NAMA NIM MATA KULIAH KELOMPOK

: : : : :

Hadi Syahrial, MM, M.Kom, CEH, CHFI DIAN PARIKESIT 1111600092 KEAMANAN KOMPUTER DAN JARKOM XA

MAGISTER ILMU KOMPUTER UNIVERSITAS BUDI LUHUR JAKARTA

Perbaikan UTS Keamanan Komputer dan Jarkom

Dian Parikesit (1111600092)

1. Perbedaan antara indentification, authtentification dan authrization Disebutkan oleh Dr. Michael E.Whitman dan Herbert J. Mattord dalam bukunya Management Of Information Security adalah: Identification Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID. Identifikasi dan Otentikasi Elemen user interface yang pertama kali ditemui kebanyakan subjek ketika mengakses sistem informasi adalah identifikasi dan otentikasi. Tahap identifikasi memperkenankan subjek mengklaim sebagai entitas tertentu dengan menunjukkan bukti-bukti identitas. Bukti-bukti tersebut dapat sesederhana user ID atau nomer PIN, atau yang lebih kompleks seperti atribut apakah fisik. user Setelah tersebut subjek terdaftar mengklaim dalam user suatu identitas, dan

sistemmemvalidasi Identifikasi:

database

membuktikanbahwa subjek tesebut adalah benar-benar sebagai entitas yang diklaimnya. Proses atau aksi yang dilakukan oleh user untuk membuktikan siapa (identitas) dirinya kepada sistem. Misalkan: log-on ke sistem

Authentication

Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benarbenar orang yang memiliki identitas yang mereka klaim.



Tahapotentikasi meminta subjek menujukkan informasi tambahan yang berkesesuaian denganinformasi tentang subjek tesebut yang telah disimpan. Dua tahap ini sering disebutdengan otentikasi dua faktor, yang memberikan proteksi terhadap subjek yang tidakmemiliki otoritas untuk mengakses sistem. Setelah subjek diotentikasi, sistem kontrol akses mengevaluasi hak dan izin subjek untuk mengabulkan atau menolak permintaanakses terhadap objek. Tahap ini disebut dengan tahap otorisasi.Ada tiga kategori/tipe umum dari informasi otentikasi. Pratek pengamanan yang baikbiasanya membuat tahap identifikasi dan otentikasinya memerlukan input setidaknyadari dua tipe berbeda. Tiga tipe umum data otentikasi dijelaskan dalam Tabel 2.6berikut ini.

Tipe otentikasi yang paling umum dan paling mudah untuk di implementasikan adalah otentikasi tipe 1. Yang dilakukan adalah meminta subjek membuat password, passphrase, atau nomer PIN. Alternatif lain adalah menyediakannya untuk user.Kesulitan dalam otentikasi tipe 1 adalah perlunya mendorong subjek untuk membuatfrase yang sangat sulit diterka oleh orang lain, namun tidak terlalu rumit sehingga sulituntuk diingat. Password (frase atau PIN) yang sulit diingat akan mengurangi nilai daripassword itu sendiri. Hal tersebut dapat terjadi bila administrator terlalu seringmmerlukan penggantian password sehingga user kesulitan untuk mengingat passwordterbaru. Jadi, yang disarankan adalah menjaga password secara rahasia dan aman.Aturan-aturan berikut ini adalah petunjuk yang baik untuk membuat password yangaman. Password setidak memiliki panjang 6 karakter. Password setidaknya mengandung sebuah angka atau karakter tanda baca. Tidak menggunakan kosakata atau kombinasi kosakata. Tidak menggunakan data pribadi, seperti tanggal kelahiran, nama anggotakeluarga atau binatang peliharaan, atau lagu atau hobi favorit. Tidak sesekali menuliskan password. Membuat password yang mudah diingat tetapi sulit diterka.Perbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

Data otentikasi tipe 2 lebih rumit untuk dilakukan karena subjek perlu membawa suatualat atau sejenisnya. Alat tersebut umumnya perangkat eleltronik yang menghasilkansuatu nilai yang bersifat sensitif terhadap waktu atau suatu jawaban untuk diinput.Meskipun otentikasi tipe 2 lebih rumit, tipe ini hampir selalu lebih aman dibandingkandengan otentikasi tipe 1. Otentikasi tipe 3, atau biometrics adalah yang paling canggih. Biometricmenggambarkan pendeteksian dan pengklasifikasian dari atribut fisik. Terdapat banyak teknik biometric yang berbeda, diantaranya : Pembacaan sidik jari/telapak tangan Geometri tangan Pembacaan retina/iris Pengenalan suara Dinamika tanda tangan Authorization

Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.

Otentikasi: Verifikasi user tersebut sesuai dengan identitas yang diberikan Logical access control akan dilakukan sesuai dengan hasil verifikasi tersebut. Berdasarkan tiga faktor: what you know (mis.: PIN, password), what you have (mis. Card), what you are (mis. Fingerprint) Authentication: Variant 1. Memasukkan kartu identifikasi (what you have) 2. Mengetikkan 12 digit angka rahasia (what you know) 3. Komputer secara acak akan memilihkan kata-kata yang harus diucapkan ulang (who you are)Perbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

Authentication: Factors Umum: otentikasi makin banyak faktor (kombinasi) makin baik Two-Factor Authentication: Diperlukan dua faktor otentikasi (dari 3 variant) yang ada Misalkan: ATM menggunakan two-faktor, yakni ATM card dan PIN yang rahasia yang hanya diketahui user 2. Jelaskan gambar di bawah ini.

Jawaban : Penjelasan dari gambar adalah :

Ketidak-kebalan keamanan data bisa menjadi kelemahan pada satu mekanisme dan itu dapat mengancam kerahasiaan, integritas atau availabilitas dari suatu program data. Itu menjadi kekurangan dari satu tindakan balasan yang harus diantisipasi dalam menyimpan suatu data. Ancaman maka seseorang akan bisa membongkar satu ketidak-kebalan dan ini bisa menjadi pemanfaatan risiko dalam suatu sistem program keamanan. Salah satu manajemen risiko yang dipunyai bagi perusahaan yaitu Mengurangi risiko ke satu tingkat bisa diterima Risiko tidak dapat dihilangkan, tapi harus diatur Analisa resiko dikelola dengan : Satu penilaian Mengidentifikasi komponen asset Berikan nilai ke asset Identifikasi ketidak-kebalannya asset dan ancaman Hitung risiko relasi Taksir rugi potensial dan yang merusak potensialassetPerbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

Sediakan solusi Satu tindakan yang bisa diantispasi/deteksi harus Mengurangi risiko yang diidentifikasi Bisa hemat biaya (Estimasi tindakan aset perangkat keras sebelum pengimplementasian) (Estimasi aset perangkat keras setelah menerapkan tindakan) (estimasi tindakan ongkos tahunan) = Nilai dari tindakan antisipasi ke perusahaan Kemungkinan adanya dari satu ancaman maka makin jelas yang sebenarnya dan sesuai banyaknya yang bisa merusak potensial yang ada dalam sebuah sistem data. Ketika satu agen ancaman memanfaatkan satu ketidak-kebalan makaperlu ada tindakan balasan sebagai antisipasi keamanan. Dan perlu adanya satu opsi kontrol ke dalam tempat untuk mengurangi kehilangan sistem data yang potensial. 3. Jelaskan perbedaan policy dengan prosedur. Jawaban : Policy Policy adalah pernyataan dari aturan keamanan yangteridentifikasi oleh manajemen sebagai cara untukmencapai obyektif. Contoh pernyataan: Semua sistem dan aplikasi yang menggunakan akun memerlukanpengguna untuk mengidentifikasikan serta mengotentifikasikan dirimereka Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu: Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi. Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet. System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.



Prosedur adalah cara spesifik yang dapat digunakan olehuser untuk tunduk (comply) pada policy dan standar. Contoh prosedur yang sejalan dengan policy: Bila pengguna lupa pada password-nya atau hendak melakukanperubahan maka perlu menghubungi Help Desk Prosedur dapat digunakan untuk mengklarifikasi policy danstandar 4. Jelaskan apa yang di maksud dengan CIA (Confidentiality, Integrity, Availability) dan sebutkan jenis ancaman yang bisa mengganggu CIA. Jawaban : Menurut Garfinkel [Simson Garfinkel, PGP: Pretty Good Privacy, OReilly & Associates, Inc.,1995. ] 1. Privacy / Confidentiality Defenisi : menjaga informasi dari orang yang tidak berhak mengakses. Privacy : lebih kearah datadata yang sifatnya privat , Contoh : email seorang pemakai (user) tidak boleh dibaca oleh administrator. Confidentiality : berhubungan dengan data yang diberikan ke pihak lain untukkeperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh : datadata yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartukredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya. Bentuk Serangan : usaha penyadapan (dengan program sniffer). Usahausaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi. CIA adalah standar yang digunakan banyak pihak untuk mengukur keamanan sebuah sistem. Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:Perbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity Defenisi : informasi tidak boleh diubah tanpa seijin pemilik informasi. Contoh : email di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. Bentuk serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, man in the middle attack dimana seseorang menempatkan diri di tengahpembicaraan dan menyamar sebagai orang lain.Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. 3. Availability Defenisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan. Contoh hambatan : - denial of service attack (DoS attack), dimana server dikirimi permintaan (biasanyapalsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapatmelayani permintaan lain atau bahkan sampai down, hang, crash. - mailbomb, dimana seorang pemakai dikirimi email bertubitubi (katakan ribuan email) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka emailnya atau kesulitan mengakses emailnya.

Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). Ancaman Atas CIA Kehancuran karena bencana Alam dan Politik? Kebakaran atau panas berlebih (fire or excessive heat) Banjir (floods) Gempa bumi (earthquakes) Badai Angin (high winds) Peperangan (war)

Error pada Software dan tidak berfungsinya peralatan? Kegagalan HadrwareDian Parikesit (1111600092)


Kesalahan atau kerusakan pada software Kegagalan sistem Operasi Gangguan dan Fluktuasi Listrik Kesalahan pengiriman data yg tidak terdeteksi

Tindakan yang tidak disengaja? Kecelakaan yang disebabkan oleh kesalahan manusia Kesalahan atau penghapusan karena ketidaktahuan Hilangnya atau salah letaknya data Kesalahan pada logika sistem System yang tidak memenuhi kebutuhan perusahaan atau tidak mampu menangani tugas yang diberikan. Tindakan sengaja (Kejahatan Komputer) Sabotase Penipuan melalui komputer Pencurian

Perkembangan teknologi yang dianggap memiliki resiko tinggi dan berpotensi sebagai jalan masuk tidak sah dalam ranah cyber adalah sebagai berikut: 1. Next Generation Network (NGN) yang mana lalu lintas paket data untuk telekomunikasi dan Internet tergabung dalam suatu protokol IP yang disebut Triple Play. 2. Mesin-mesin yang menggunakan RFID (Radio Frequency Identification) telah dapat melakukan komunikasi antar media menggunakan jalur Internet. 3. Remote kontrol dan maintenance dalam sektor industri telah menggunakan Industrial Control Systems (ICS) atau menggunakan Supervisory Control and Data Acquisition (SCADA) yang memungkinkan untuk melakukan komunikasi antar mesin-mesin industri melalui Internet. 4. Network-based atau Network-centric Warfare yang fokus pada yang berfokus pada C4ISR (Command, Control, Computers, Communications, Information for Intelligence, Surveillance and Reconnaissance) telah menjadi masalah baru di dunia militer karena bentuk komunikasi dan integrasi telah tersedia untuk jalur Internet. 5. Adanya teknologi terbaru di dunia komputer yaitu Grid Computing dan Cloud Computing telah menjadi isu baru dalam hal keamanan data dan informasi.



6.

Perkembangan mobile phone dengan akses Internet (smartphone) telah terintegrasi dengan fungsi navigasi atau Global Positioning System (GPS) yang mana menimbulkan isu baru terhadap dunia intelijen dan militer.

7.

Penyebaran akses Internet untuk individu telah sampai pada teknologi mobile broadband yang bisa diakses dengan biaya yang relatif terjangkau.

8.

Teknologi yang secara khusus dikembangkan untuk masalah keamanan belum sampai kepada teknologi yang secara presisi memiliki kemampuan untuk meramalkan (forecasting) terhadap adanya rencana serangan. Teknologi yang berkembang saat ini hanya mampu untuk membaca adanya gejala atau anomaly yang telah terjadi.

5. Jelaskan apa fungsi security awareness dan berikan contohnya. Jawaban : Security awareness adalah suatu fungsi dimana user maupun administrator di ingatkat akan pentingnya keamaan dari suatu sistem, dengan melakukan upaya upaya pencegahan dari kerusakan sistem yang mungkin terjadi. Security awareness bagi pengelola infrastruktur jaringan agar tidak terjebak oleh teknik social engineering, perlu dilakukan training secara regular dan direkomendasikan untuk memiliki sertifikasi professional sesuai bidang pekerjaannya. Seorang administrator data harus sadar akan masalah keamanan memiliki security awareness). Keamanan informasi data adalah proses melindungi data dari

penyalahgunaan atau perusakan yang dilakukan oleh orang-orang di dalam atau diluar sebuah organisasi, termasuk pegawai, konsultan dan hacker. Keamanan yang ditembus dapat berupa sebuah situs yang dideface (mencacati/mengotori) , virus komputer, pegawai yang secara sengaja atau tidak sengaja menyebarkan password-nya, mantan pegawai yang menyabotase database, atau bahkan mata-mata perusahaan lain yang mencuri data tentang banyak barang atau data keuangan barang yang dibeli pelanggan anda dari perusahan tempat anda bekerja. Seorang administrator data harus sadar akan masalah keamanan (memiliki security awareness). Keamanan informasi data adalah proses melindungi data dari penyalahgunaan atau perusakan yang dilakukan oleh orang-orang di dalam atau diluar sebuah organisasi, termasuk pegawai, konsultan dan hacker. Keamanan yang ditembus dapat berupa



sebuah situs yang dideface (mencacati/mengotori) , virus komputer, pegawai yangsecara sengaja atau tidak sengaja menyebarkan password-nya, mantan pegawai yang menyabotase database, atau bahkan mata-mata perusahaan lain yang mencuri data tentang banyak barang atau data keuangan barang yang dibeli pelanggan anda dari perusahan tempat anda bekerja. Pelatihan Security Awareness Ada banyak pelatihan yang dapat diberikan pada administrator data. Pelatihandiadakan dengan maksud memberi pengetahuan atau wawasan tentang hal terpentinguntuk dilakukan oleh seorang administrator data. Pelatihan dapat program sesuai dengantingkat pekerjaan yang menjadi tugas seorang administrator data, diantaranya pelatihan yang mungkin dilakukan adalah: 1. cara menggunakan dan memilih password. 2. pemakaian account dan password yang bertanggungjawab. 3. penggunaan logoff pada jaringan workstation komputer 4. cara mengunakan enkripsi pada data. 5. membuat peraturan tentang keamanan jaringan. 6. Jelaskan yang dimaksud dengan segregation of duties, last privilages dan single sign on. Jawaban : Segregation of duties :Custodial Functions Handling cash Handling assets Writing checks Receiving checks Recording Functions Preparing source documents Maintaining journals Preparing reconciliations Preparing performance reports

in mail

Authorization Functions Authorization of transactions

Pengawasan intern baik menuntut yang tidak ada sesorangtertentu sehingga terlalu banyak tanggungjawab. Seorang tidak boleh berada di dalam satu posisi untuk melakukan dan Merahasiakan penipuan atau kesalahan tak disengaja



Kalau dua diantara ini tiga fungsi adalah tanggungjawab dari orang tunggal, masalah dapat timbul. Maka bisa mencegah karyawan dari memalsukan rekaman supaya kerahasiaan pencurian dari asset bisa valid/terpercaya. Pencegahan otorisasi dari satu transaksi samaran atau tidak akurat seperti pencurian transaksi rahasia.Pencegahan seseorang dari memalsukan rekaman untuk menutupi satu transaksi ketidaktepatan atau salah yang ada adalah inappropriately memberikan haknya Least Privilege Filosofi dari least privilege adalah sebuah subyek hanya diberikan hak sesuai dengan keperluannya tidak lebih. Least privilege membantu menghindari authorization creep, yaitu sebuah kondisi dimana sebuah subyek memiliki hak akses lebih dari apa sebenarnya

dibutuhkan.Organisasi-organisasi menggunakan beberapa kebijakan dalam menerapkan peraturankontrol akses. Filosofi yang paling tidak aman (paling berbahaya) adalah memberikan hak akses kepada setiap orang secara default. Memang kelihatannya mudah akan tetapi hal ini mudah juga untuk di bobol. Jadi pada metode ini, kita harus memastikan bahhwa semua akses harus dibatasi, administrasi yang buruk bisa menyebabkan lubangkemanan. Pada perusahaan, mereka memberikan hak tertentukepada user yang memang memiliki tanggung jawab untuk menjaga semua operasiyang melibatkan database berjalan lancar tanpa gangguan. Sehingga orang tersebut diberikan userid dan password yang bisa dipakai untuk melakukan monitor terhadap beberapa server untuk keperluan operasional Single sign on Pengertian SSO adalah Sebuah sistem authentifikasi terhadap user dengan sekali login akan bisa mengakses beberapa aplikasi tanpa harus login di masing-masing aplikasi. Memiliki 2 bagian yaitu Single Sign On (login satu aplikasi, maka aplikasi lain yang didefinisikan ikut dalam SSO otomatis akan bisa diakses) dan Single Sign Out (log out di satu aplikasi, maka semua aplikasi yang didefinisikan ikut dalam SSO akan ikut logout secara otomatis. Semakin banyak informasi, atau faktor, yang diminta dari subjek, semakin menjaminbahwa subjek adalah benar-benar entitas yang diklaimnya. Oleh karenanya, otetikasidua faktor lebih aman dari otentikasi faktor tunggal. Masalah yang timbul adalah bila subjek ingin mengakses beberapa sumber daya pada sistem yang berbeda, subjektersebut mungkin diminta untuk memberikan informasi identifikasi dan otentikasi padamasing-masing sistem yang berbeda. Hal semacam ini dengan cepat menjadi sesuatuyang membosankan. Sistem Single SignPerbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

On(SSO) menghindari login ganda dengancara mengidentifikasi subjek secara ketat dan memperkenankan informasi otentikasiuntuk digunakan dalam sistem atau kelompok sistem yang terpercaya. User lebihmenyukai SSO, namun administrator memiliki banyak tugas tambahan yang harusdilakukan. Perlu perhatian ekstra untuk menjamin bukti-bukti otentikasi tidak tidaktersebar dan tidak disadap ketika melintasi jaringan. Beberapa sistem SSO yang baikkini telah digunakan. Tidak penting untuk memahami setiap sistem SSO secara detail. Konsep-konsep penting dan kesulitan-kesulitannya cukup umum bagi semua produkSSO. Berikut adalah salah satu produk SSO, Kerberos, yang akan dikaji bagaimanasistem ini bekerja. 7. Jelaskan pengertian dari false rejection rate dan false acceptance rate. Jawaban : Ukuran: a. b. False Rejection Rate (FRR): valid subject => but reject False Acception Rate (FAR): invalid subject => accepted

Karena

kerumitannya,

biometric

adalah

tipe

otentikasi

yang

paling

mahal

untukdiimplementasikan. Tipe ini juga lebih sulit untuk dipelihara karena sifat ketidaksempurnaan dari analisis biometric. Dianjurkan untuk berhati-hati beberapa masalahmasalah utama dari eror-eror biometric. Pertama, sistem mungkin menolak subjek yangmemiliki otoritas. Ukuran kesalahan semacam ini disebut dengan false rejection rate(FRR). Di sisi lain, sistem biometric mungkin menerima subjek yang salah. Ukurankesalahan semacam ini disebut dengan false acception rate (FAR). Yang menjadimasalah adalah ketika sensitifitas sistem biometric diatur untuk menurunkan FRR,maka FAR meningkat. Begitu juga berlaku sebaliknya. Posisi pengaturan yang terbaikadalah bila nilai FRR dan FAR seimbang, ini terjadi pada crossover error rate (CER).FAR menunjukan kesalahan system dalam menerima input yang seharusnya ditolak. Secara matematis dapat dihitung melalui persamaan berikut:

Suatu citra uji akan dicocokkan dengan citra lain yang sebelumnya telah tersimpan dalam database.Apabila sistem ternyata menerima citra uji tersebut padahal kenyataannya citra tersebut tidak ada atau tidak sesuai dengan citra yang tersimpan dalam database. Hal ini dinyatakan bahwa sistem melakukan kesalahan. Dari sisi akurasi, keakuratan sistem rendahPerbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

karena apabila diterapkan dalam sistem keamanan, maka ada kemungkingan sistem biometrik tersebut akan menerima siapa saja yang sebenarnya tidak berhak dan tidak memiliki akses terhadap data atau tempat tertentu. Dengan demikian sistem keamanan yang terbentuk menjadi rendah. Gambar 3-a memperlihatkan kurva FAR, dimana terlihat bahwa semakin besar nilai thresholdnya (batas ambang), nilai FAR semakin rendah dan sistem semakin aman.

FRR menunjukan kejadian dimana sistem melakukan kesalahan dalam menolak masukan. Hal ini berarti bahwa, citra uji yang seharusnya diterima oleh sistem karena citra tersebut telah diregistrasi dan ada di dalam database, ternyata ditolak oleh sistem. Persamaan dari FRR adalah:

Dari Gambar 3-b di atas terlihat bahwa semakin besar thresholdnya (batas ambang), nilai FRR semakin tinggi. Atau dengan kata lain, apabila nilai FRR mendekati 1, maka hampir semua citra uji yang ada di dalam database ditolak oleh sistem. Untuk mendapatkan hasil yang ideal dari sistem,perlu dilakukan pencarian nilai threshold yang paling sesuai. Nilai tersebut dapat diperoleh melaluiperpotongan FAR dan FRR. Perpotongan keduanya dikenal dengan ERR. 8. Jelaskan kenapa perusahaan perlu memebuat data clasification policy. Jawaban : Sebuah Organisasi mendesain pengendalian umum untuk memastikan bahwa lingkungan pengendalian berdasarkan komputer dari organisasi yang stabil dan dikelola dengan baik.Pengendalian Aplikasi digunakan untuk melindungi, mendeteksi dan mengkoreksi kesalahan dalam transaksi ketika mengalir melalui berbagai tahap program pemrosesan data.Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yangPerbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

disimpan, dikelola dan disharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan. Bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspose, melatarbelakangi disusunnya ISO 17799, standar untuk sistem manajemen keamanan informasi.Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

Gambar 2.4 Struktur dari kesepuluh wilayah standar (10 control clouse)

Aset dan aspek yang dinilai dalam ISO 17799 Information assets (aset informasi), Software assets (aset perangkat lunak yang dimiliki), Physical assets (aset fisik) dan Services (pelayanan).

9. Jelaskan apa yang di maksud dengan serangan social enginering dan phising. Jawaban Tujuan utama dalam melakukan social engineering mirip dengan tujuan hacking secara garis besar, yaitu untuk mendapatkan akses yang seharusnya tidak diperbolehkan ke dalam suatuPerbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)

sistem atau informasi untuk melakukan penipuan, penyusupan, pengintaian, pencurian identitas, atau untuk menghancurkan suatu sistem atau jaringan. Biasanya target dari social engineering di bidang jaringan ini adalah provider telepon, answering machine, perusahan besar, institusi keuangan, perusahaan pemerintah, dan rumah sakit. Serangan social engineering dibagi menjadi dua, yaitu serangan fisik dan psikologis. Pertama kita akan focus pada setting fisik penyerangan, seperti pada tempat kerja, telepon, tempat sampah, dan bahkan online. Di dalam tempat kerja, hacker dapat berjalan ke pintu, seperti pada film, dan berpura-pura menjadi pekerja maintenance atau konsultan untuk mendapatkan akses ke dalam perusahaan. Kemudian, penyusup masuk ke dalam kantornya sampai ia mendapatkan beberapa password yang dapat terlihat dan mencoba masuk ke dalam jaringannya dengan password-password yang telah ia dapatkan. Teknik lainnya adalah dengan mendapatkan informasi hanya dengan berdiri di sana dan menunggu ada karyawan yang tidak sadar menuliskan passwordnya.Secara statistik, ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu : 1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud; 2. Pendukung teknis dari divisi teknologi informasi khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis; 3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan; 4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan 5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan. Semua hal di atas dapat terjadi karena kelemahan manusianya dan bukan karena kelemahan sistemnya. Menurut definisi, social engineering adalah suatu teknik pencurian atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:



Rasa Takut jika seorang pegawai atau karyawan dimintai data atau informasi dari

atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan; Rasa Percaya jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga; dan Rasa Ingin Menolong jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu. Secara garis besar social engineering dapat dilakukan beberapa macam teknik, seperti :

Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan (sebuah dalih) yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi. Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita. Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb. Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya. Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan membantu menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target. Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akanDian Parikesit (1111600092)


menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku

manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut. Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama. Berlaku sebagai User penting Berlaku sebagai User yang sah Kedok sebagai Mitra Vendor Kedok sebagai Konsultan Audit Kedok sebagai Penegak Hukum

Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti :

Teknik phising melalui email Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. Email yang dimaksud berbunyi misalnya sebagai berikut: Pelanggan Yth. Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank ini, maka agar anda tetap mendapatkan pelayanan perbankan yang prima, mohon disampaikan kepada kami nomor rekening, username, dan password anda untuk kami perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini. Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami. Wassalam, Manajer Teknologi Informasi Bagaimana caranya si penjahat tahu alamat email yang bersangkutan? Banyak cara yang dapat diambil, seperti: melakukan searching di internet, mendapatkan keterangan dari kartu nama, melihatnya dari anggota mailing list, dan lain sebagainya.

Teknik phising melalui SMS Pengguna telepon genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor terjual pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau sejenisnya untuk melakukan social engineering seperti yang terlihat pada contoh SMS berikut ini: Selamat. Anda baru saja memenangkan hadiah sebesar Rp 25,000,000 dari Bank X yang bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai kemenangan ke rekening bank anda, mohon diinformasikan user name dan passoword internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X mengucapkan selamat atas kemenangan anda



Teknik phising melalui pop up window Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah pop up window yang bertuliskan sebagai berikut: Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol BERSIHKAN di bawah ini. Tentu saja para awam tanpa pikir panjang langsung menekan tombol BERSIHKAN yang akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait yang dapat dimasukkan virus atau program mata-mata lainnya.

10. Jelaskan langkah langkah dalam melakukan analisa kebutuhan keamanan ( security requerment analisis) dengan menggunakan metode SQUARE. Jawaban : a. Definisi, pada definisi kita mendeskripsikan perangkat lunak yang akan di bangun, membuatkan daftar istilah yang digunakan serta menjelaskan fitur dan technology yang di gunakan. b. Safety dan Security Goals, melihat dari sudut pandang yang memiliki system menyebutkan tujuannya apa, serta memaparkan keamanan sistem yang bisa mendeteksi penginputan data yang benar atau tidak termaksuk deface oleh hacker. c. Artifacts and InitialRequirements - use case, membuat diagram use case dan table - missuse case, membuatmissuse case dan diagram - Attack trees dan prioritization model , menginisiali requerement yang ada pada Aplikasi d. Architectural and PolicyRequirements - Mengkategorikan dan merekomendasikan detail solusi dari hasil analisa aplikasi / perangkat lunak yang akan di buat serta rencana biaya yang di butuhkan. - Budgeting dan analisa yaitu menganalisa pembiayaan maupun kecepatan aplikasi program data yang dijalankan sistem.Architechture, membuat gambar

Architechture serta Tampilan GUI, Inovatif dan kreatif



Documents

UTS Perbaikan Keamanan Dan Jarkom Dian Parikesit