Ilmu dan Seni Keamanan Informasi

Informasi = Uang? Informasi memiliki nilai (value) yang dapat dijual belikan Data-data nasabah, mahasiswa Informasi mengenai perbankan, nilai tukar, saham Soal ujian Password, PIN Nilai dari informasi dapat berubah dengan waktu Soal ujian yang sudah diujikan menjadi turun nilainya

Teknologi Informasi Teknologi yang terkait dengan pembuatan, pengolahan, distribusi, penyimpanan dari informasi Menghasilkan produk dan layanan yang sudah kita gunakan sehari-hari sebagai “manusia moderen” Mesin ATM di bank Telepon, handphone, SMS Games, PlayStation, on-line games

Perhatian terhadap keamanan informasi Mulai banyaknya masalah keamanan informasi Virus, worm, trojan horse, spam Hacking & cracking Spyware, keylogger Fraud (orang dalam), penipuan, pencurian kartu kredit Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi

Cuplikan statistik kejahatan 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. 2004. Kejahatan “phising” (menipu orang melalui email yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak

Contoh kejahatan kartu kredit Berdasarkan laporan terakhir (2004), Indonesia: Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) Nomor #3 dalam volume Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika

Ilmu dan Seni Keamanan Informasi Dimulai dari coba-coba. Merupakan sebuah seni. Mulai diformalkan dalam bentuk ilmu. Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya. Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini

Contoh Ilmu Security Kriptografi (cryptography) Enkripsi & dekripsi: DES, AES, RSA, ECC Berbasis matematika Protokol dan jaringan (network & protocols) SSL, SET Sistem dan aplikasi (system & applications) Management, policy & procedures

Security Lifecylce

Klasifikasi Keamanan Sistem Menurut David Icove: Keamanan yang bersifat fisik (physical security). Keamanan yang berhubungan dengan orang (personel). Keamanan dari data dan media serta teknik komunikasi. Keamanan dalam operasi (policy & procedures)

Aspek Dari Security Confidentiality Integrity Availability Ketiga di atas sering disingkat menjadi CIA Ada tambahkan lain Non-repudiation Authentication Access Control Accountability

Confidentiality / Privacy Kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang Data-data pribadi Data-data bisnis; daftar gaji, data nasabah Sangat sensitif dalam e-commerce dan healthcare Serangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) Proteksi: enkripsi

Integrity Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak Serangan Pengubahan data oleh orang yang tidak berhak, spoofing Virus yang mengubah berkas Proteksi: Message Authentication Code (MAC), digital signature / certificate, hash functions, logging

Availability Informasi harus tersedia ketika dibutuhkan Serangan Meniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat) Proteksi Backup, redundancy, DRC, BCP, firewall

Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi) Menggunakan digital signature Logging

Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan what you have (identity card) what you know (password, PIN) what you are (biometric identity) Serangan: identitas palsu, terminal palsu, situs gadungan

Access Control Mekanisme untuk mengatur siapa boleh melakukan apa Membutuhkan adanya klasifikasi data: public, private, confidential, (top)secret Role-based access

Accountability Dapat dipertanggung-jawabkan Melalui mekanisme logging dan audit Adanya kebijakan dan prosedur (policy & procedures)

Tujuan Confidentiality Integrity Avalaibility Dibaca dan diakses oleh yang diberi otoritas Jenis akses meliputi: Mencetak Membaca Bentuk-bentuk lain (membuka suatu objek) Dimodifikasi oleh yang berhak, meliputi: Menulis Mengubah Mengubah status Menghapus Membuat yang baru Confidentiality Tersedia untuk pihak yang berwenang Integrity Avalaibility

Katergori serangan Serangan pasif >> sulit dideteksi Membuka isi file (release of message contents) Informasi rahasia dan sensitif >> mencegah penyerang mempelajari pentransmisian Menganalisis lalu lintas (traffic analysis) Teknik pengiriman dengan enskripsi Serangan aktif >> memodifikasi data / menciptakan aliran yang menyesatkan Penyamaran (masquerade) Suatu entitas berpura-pura sebagai entitas yang berbeda Menangkap yang asli >> dibalas setelah rangkaian asi yang valid diganti Jawaban (replay) Penangkapan secara pasif Mendapatkan efek yang tidak terotorisasi Modifikasi pesan (modification of message contents) Mengubah beberapa bagian yang asli Untuk menghasilkan efek tidak terotorisasi Penolakan layanan (denial of service) Mencegah dari yang normal atau manajemen fasilitas tertentu Memiliki tujuan tertentu Bentuk >> gangguan jaringan dengan cara melumpuhkan jaringan atau memenuhi jaringan sehingga mengurangi kinerjanya

Teori Jenis Serangan Interruption DoS attack, network flooding Interception Password sniffing Modification Virus, trojan horse Fabrication spoffed packets A B A B E A B E A B E

Klasifikasi: Dasar elemen sistem Network security fokus kepada saluran (media) pembawa informasi Application security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)

Topologi Lubang Keamanan Network sniffed, attacked ISP System (OS) Network Applications + db Holes Internet Network sniffed, attacked, flooded Network sniffed, attacked Users Web Site Trojan horse Applications (database, Web server) hacked OS hacked Userid, Password, PIN, credit card # www.bank.co.id

Pelaku di bidang Security Information bandit Sekarang masih dipotretkan sebagai jagoan Akan tetapi akan berkurang the disappearance act of information bandits Information security professionals Masih kurang Lebih menyenangkan Keduanya menggunakan tools yang sama Perbedaannya sangat tipis: itikad & pandangan Jangan bercita-cita menjadi bandit!

source: hacking exposed

INDOCISC Audit Checklist evaluating (network) topology penetration testing from outside and inside network evaluating network devices, such as routers, switches, firewalls, IDS, etc. evaluating server(s) evaluating application(s) evaluating policy and procedures

Prinsip-prinsip yang harus diperhatikan didalam merancang sistem keamanan Menurut Saltzer, J & Schroder, M “The Protection of Information in Computer System” Proceeding of the IEEE September 1975 Least privilege program dan user dari sistem harus beroperasi pada level terendah (tidak ada hak istimewa) Economy of mechanisms mekanisme harus sederhana yang holistic tak terpisahkan Acceptability mudah digunakan user Complete mediation yang akses diperiksa kedalam kontrol informasi Open design mekanisme keamanan sistem dapat disebarluaskan, umpan baliknya untuk perbaikan keamanan