KEAMANAN SISTEM PENDAHULUAN DEFIANA ARNALDY, M.Si 0818 0296 4763 deff_arnaldy@yahoo.com KEAMANAN SISTEM PENDAHULUAN
OVERVIEW Keamanan dan Manajemen Perusahaan Beberapa Statistik Keamanan jaringan Klasifikasi kejahatan komputer Aspek / service dari security
PENDAHULUAN Computer Security is preventing attackers from achieving objectives through unauthorized access or unauthorized use of computers and networks. (John D. Howard, “An Analysis Of Security Incidents On The Internet 1989 - 1995”) Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Klasifikasi: Dasar elemen sistem Network security fokus kepada saluran (media) pembawa informasi Application security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) Budi Rahardjo - Ilmu & Seni Security
Keamanan dan Manajemen Perusahaan Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk management). Lawrie Brown dalam “Lecture Notes for Use with Cryptography and Network Security by William Stallings” menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats. No Nama Komponen Keterangan 1 Assets (aset) hardware, software, dokumentasi, data, komunikasi, lingkungan, manusia
No Nama Komponen Keterangan 2 Threats (ancaman) pemakai (users), teroris, kecelakaan (accidents), crackers, penjahat kriminal, nasib (acts of God), intel luar negeri (foreign intelligence) 3 Vulnerabilities (kelemahan) software bugs, hardware bugs, radiasi (dari layar, transmisi), tapping, crosstalk, unauthorized users cetakan, hardcopy atau print out, keteledoran (oversight), cracker via telepon, storage media
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat berupa: usaha untuk mengurangi Threat usaha untuk mengurangi Vulnerability usaha untuk mengurangi impak (impact) mendeteksi kejadian yang tidak bersahabat (hostile event) kembali (recover) dari kejadian
Beberapa Statistik Kemanan jaringan 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. 2004. Kejahatan “phising” (menipu orang melalui email yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak Budi Rahardjo - Ilmu & Seni Security
Sapphire worm Budi Rahardjo - Ilmu & Seni Security
Contoh kejahatan kartu kredit Berdasarkan laporan terakhir (2004), Indonesia: Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) Nomor #3 dalam volume Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika Budi Rahardjo - Ilmu & Seni Security
Phising From: <USbank-Notification-Urgecq@UsBank.com> To: … Subject: USBank.com Account Update URGEgb Date: Thu, 13 May 2004 17:56:45 -0500 USBank.com Dear US Bank Customer, During our regular update and verification of the Internet Banking Accounts, we could not verify your current information. Either your information has been changed or incomplete, as a result your access to use our services has been limited. Please update your information. To update your account information and start using our services please click on the link below: http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage Note: Requests for information will be initiated by US Bank Business Development; this process cannot be externally requested through Customer Support. Budi Rahardjo - Ilmu & Seni Security
Klasifikasi Kejahatan Komputer Menurut David Icove, berdasarkan lubang keamanan (security hole), keamanan dapat diklasifikasikan menjadi empat, yaitu: Keamanan yang bersifat fisik (physical security): termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Keamanan yang berhubungan dengan orang (personel): termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Keamanan dari data dan media serta teknik komunikasi (communications). termasuk juga kelemahan dalam software yang digunakan untuk mengelola data. Keamanan dalam operasi: termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
Aspek Dari Security Garfinkel dalam “Practical UNIX & Internet Security” mengemukakan bahwa keamanan komputer (computer security) melingkupi aspek Confidentiality Integrity Availability Ketiga di atas sering disingkat menjadi CIA Ada tambahkan lain Non-repudiation Authentication Access Control Accountability Budi Rahardjo - Ilmu & Seni Security
Confidentiality / Privacy Kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang Data-data pribadi Data-data bisnis; daftar gaji, data nasabah Sangat sensitif dalam e-commerce dan healthcare Serangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) Proteksi: enkripsi Budi Rahardjo - Ilmu & Seni Security
Integrity Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak Serangan Pengubahan data oleh orang yang tidak berhak, spoofing Virus yang mengubah berkas Proteksi: Message Authentication Code (MAC), digital signature / certificate, hash functions, logging Budi Rahardjo - Ilmu & Seni Security
Availability Informasi harus tersedia ketika dibutuhkan Serangan Meniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat) Proteksi Backup, redundancy, DRC, BCP, firewall Budi Rahardjo - Ilmu & Seni Security
Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi) Menggunakan digital signature Logging Budi Rahardjo - Ilmu & Seni Security
Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan what you have (identity card) what you know (password, PIN) what you are (biometric identity) Serangan: identitas palsu, terminal palsu, situs gadungan Budi Rahardjo - Ilmu & Seni Security
Access Control Mekanisme untuk mengatur siapa boleh melakukan apa Membutuhkan adanya klasifikasi data: public, private, confidential, (top)secret Role-based access Budi Rahardjo - Ilmu & Seni Security
Accountability Dapat dipertanggung-jawabkan Melalui mekanisme logging dan audit Adanya kebijakan dan prosedur (policy & procedures) Budi Rahardjo - Ilmu & Seni Security
Teori Jenis Serangan Interruption DoS attack, network flooding Menurut W. Stallings ada beberapa kemungkinan serangan (attack): Interruption DoS attack, network flooding Interception Password sniffing Modification Virus, trojan horse Fabrication spoffed packets A B A B E A B E A B E Budi Rahardjo - Ilmu & Seni Security
3. Modification: Pihak yang tidak berwenang tidak saja berhasil 1. Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. 2. Interception: Pihak yang tidak berwenang berhasil mengakses aset atau informasi. 3. Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. 4. Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.
Topologi Lubang Keamanan Network sniffed, attacked ISP System (OS) Network Applications + db Holes Internet Network sniffed, attacked, flooded Network sniffed, attacked Users Web Site Trojan horse Applications (database, Web server) hacked OS hacked Userid, Password, PIN, credit card # www.bank.co.id Budi Rahardjo - Ilmu & Seni Security
Pelaku di bidang Security Information bandit Sekarang masih dipotretkan sebagai jagoan Akan tetapi akan berkurang the disappearance act of information bandits Information security professionals Masih kurang Lebih menyenangkan Keduanya menggunakan tools yang sama Perbedaannya sangat tipis: itikad & pandangan Jangan bercita-cita menjadi bandit! Budi Rahardjo - Ilmu & Seni Security
Istilah-istilah keamanan jaringan Komputer Hacking adalah setiap usaha atau kegiatan di luar izin atau sepengetahuan pemilik jaringan untuk memasuki sebuah jaringan serta mencoba mencuri file seperti file password dan sebagainya. Pelakunya disebut hacker yang terdiri dari seorang atau sekumpulan orang yang secara berkelanjutan berusaha untuk menembus sistem pengaman kerja dari operating system suatu komputer. Cracker adalah Seorang atau sekumpulan orang yang memang secara sengaja berniat untuk merusak dan menghancurkan integritas di seluruh jaringan sistem komputer dan tindakannya dinamakan cracking.
Denial of service: Membanjiri suatu IP address dengan data sehingga menyebabkan crash atau kehilangan koneksinya ke internet. Distributed Denial of Service: Memakai banyak komputer untuk meluncurkan serangan DoS. Seorang hacker “menculik” beberapa komputer dan memakainya sebagai platform untuk menjalankan serangan, memperbesar intensitasnya dan menyembunyikan identitas si hacker. Theft of Information: Penyerang akan mencuri informasi rahasia dari suatu perusahaan. Hal ini dapat dilakukan dengan menggunakan program pembobol password, dan lain-lain.
Corruption of Data: Penyerang akan merusak data yang selama ini disimpan dalam harddisk suatu host. Spoofing, yaitu sebuah bentuk kegiatan pemalsuan di mana seorang hacker memalsukan (to masquerade) identitas seorang user hingga dia berhasil secara ilegal logon atau login ke dalam satu jaringan komputer seolah-olah seperti user yang asli. Sniffer adalah kata lain dari "network analyser" yang berfungsi sebagai alat untuk memonitor jaringan komputer. Alat ini dapat dioperasikan hampir pada seluruh tipe protokol seperti Ethernet, TCP/IP, IPX, dan lainnya. Password Cracker adalah sebuah program yang dapat membuka enkripsi sebuah password atau sebaliknya malah untuk mematikan sistem pengamanan password.
Destructive Devices adalah sekumpulan program virus yang dibuat khusus untuk melakukan penghancuran data-data, di antaranya Trojan Horse, Worms, Email Bombs, dan Nukes. Scanner adalah sebuah program yang secara otomatis akan mendeteksi kelemahan (security weaknesses) sebuah komputer di jaringan lokal (local host) ataupun komputer di jaringan dengan lokasi lain (remote host). Oleh karena itu, dengan menggunakan program ini, seorang hacker yang secara fisik berada di Inggris dapat dengan mudah menemukan security weaknesses pada sebuah server di Amerika ataupun di belahan dunia lainnya, termasuk di Indonesia, tanpa harus meninggalkan ruangannya!
source: hacking exposed Budi Rahardjo - Ilmu & Seni Security
INDOCISC Audit Checklist evaluating (network) topology penetration testing from outside and inside network evaluating network devices, such as routers, switches, firewalls, IDS, etc. evaluating server(s) evaluating application(s) evaluating policy and procedures Budi Rahardjo - Ilmu & Seni Security
DEFIANA ARNALDY, M.Si 0818 0296 4763 deff_arnaldy@yahoo.com Basic Security DEFIANA ARNALDY, M.Si 0818 0296 4763 deff_arnaldy@yahoo.com
Basic Security Networking threats Risks of Network Intrusion Information Theft Obtain confidential information Gather valuable research data Data Loss/Manipulation Destroying or altering data records Risiko gangguan jaringan Pencurian informasi Memperoleh informasi rahasia | mengumpulkan data penelitian yg berharga Kehilangan/manipulasi data Menghancurkan atau mengubah catatan data
Basic Security Networking threats Risks of Network Intrusion Activity 8.1.1 Identity Theft Personal information stolen Disruption of Service prevents legitimate users from accessing services Pencurian identitas Informasi pribadi dicuri Gangguan layanan Mencegah pengguna yang sah mengakses layanan
Basic Security Networking threats Sources of Network Intrusion External Threats done by individuals outside of the organization do no have authorized access Internal Threats hacker may have access to equipment knows what information is valuable or vulnerable Ancaman Eksternal dilakukan oleh individu-individu di luar organisasi tidak memiliki akses resmi Ancaman Internal hacker dapat memiliki akses ke peralatan tahu informasi apa yang berharga atau rentan
Basic Security Networking threats Sosial Engineering and Phising The ability of someone or something to influence behavior of a group of people Used to deceive internal users to get confidential information Hacker takes advantage of legitimate users Kemampuan seseorang atau sesuatu untuk mempengaruhi perilaku sekelompok orang Digunakan untuk menipu pengguna internal untuk mendapatkan informasi rahasia Hacker mengambil keuntungan dari pengguna yang sah
Basic Security Networking threats Sosial Engineering and Phising One of the more common methods of exploiting human weaknesses is called Social Engineering Pretexting typically accomplished over the phone scenario used on the victim to get them to release confidential information Phishing typically contacted via email attacker pretends to represent legitimate organization Vishing/Phone Phising user sends a voice mail instructing them to call a number which appears to be legitimate call intercepted by thief Salah satu metode yang lebih umum u/ memanfaatkan kelemahan manusia disebut Social Engineering Biasanya dilakukan lewat telpon Skenario digunakan pd korban u/ m’dptkan informasi rahasia Biasanya dihubungi lewat email Penyerang pura2 mewakili organisasi yg sah User mengirimkan pesan suara, menyuruh mereka utk memanggil nomor yg seolah2 sah Panggilan dicegat oleh pencuri
Basic Security Methods of attack Viruses, Worms, and Trojan Horses Activity 8.2.1 Virus runs or spreads by modifying other programs or files a virus cannot start by itself; it needs to be activated viruses can be transmitted via email attachments, downloaded files, instant messages or via diskette, CD or USB devices Worms a worm is similar to a virus, but unlike a virus does not need to attach itself to an existing program they do not necessarily require activation or human intervention Trojan Horse a Trojan horse is a non-self replicating program that is written to appear like a legitimate program, when in fact it is an attack tool trojans can also create a back door into a system allowing hackers to gain access.
Intended to deny services to users Basic Security Methods of attack Denial of Service and Brute Force Attacks Intended to deny services to users floods network with traffic disrupts connections between client and server Types of DoS Attacks SYN (synchronous) Flooding packets sent with invalid IP addresses server tries to respond Ping of Death larger packet size sent than allowed leads to system crashing Dimaksudkan untuk menolak layanan kepada pengguna mengganggu hubungan antara klien dan server ukuran yang lebih besar paket yang dikirim dari diperbolehkan menyebabkan sistem crash
DDoS (Distributed Denial of Service) Attack Basic Security Methods of attack Denial of Service and Brute Force Attacks DDoS (Distributed Denial of Service) Attack more sophisticated than DoS overwhelms networks with useless data simultaneously Brute Force fast PC used to try and guess passwords or decipher an encryption code attacker tries a large number of possibilities rapidly Lebih canggih dari ddos Membebani jaringan dengan data yang tidak berguna secara terus menerus PC cepat yang digunakan untuk mencoba menebak password atau memecahkan kode enkripsi Penyerang mencoba sejumlah besar kemungkinan cepat
Information sent to advertisers Basic Security Methods of attack Spyware, Tracking Cookies, Adware, and Pop-ups Spyware Program that gathers personal information from your PC without permission Information sent to advertisers Usually installed unknowingly when downloading a file Can slow down performance of the PC
Used to record information about the user when visiting web sites. Basic Security Methods of attack Spyware, Tracking Cookies, Adware, and Pop-ups Cookies Not always bad . . Used to record information about the user when visiting web sites. Adware collects information based on sites visited useful for target advertising Pop- ups additional ads displayed when visiting a site pop-ups – open in front of browser
Basic Security Methods of attack Spam Unwanted bulk e-mail Information sent to as many end users as possible Can overload servers, ISPs, etc. Estimated every Internet user receives over 3000 email per year E-mail massal yang tidak diinginkan Informasi dikirim ke pengguna akhir sebanyak mungkin Dapat membebani server, ISP, dll Perkiraan setiap pengguna internet menerima email lebih dari 3000 per tahun
Basic Security Security Policy Common Security Measures Identification and Authentication Policies only authorized persons should have access to network and its resources (including access to physical devices) Password Policies must meet minimum requirements change passwords regularly Remote Access Policies explanation of how remote users can access the network Network Maintenance Procedures explanation of update procedures Incident Handling Procedures how incidents involving security will be handled bagaimana insiden yang melibatkan keamanan akan ditangani
Basic Security Security Policy Updates and Patches Use of updates and patches makes it harder for the hacker to gain access. A patch is a small piece of code that fixes a specific problem OS (operating system, such as Linux, Windows, etc.) and application vendors continuously provide updates and security patches that can correct known vulnerabilities in the software In addition, vendors often release collections of patches and updates called service packs
Basic Security Security Policy Anti-virus Software Any device connected to a network is susceptible to viruses Warning signs of a virus: computer acts abnormal sends out large quantities of email high CPU usage Some Anti-virus programs Email checking Dynamic scanning checks files when accessed Scheduled scans Automatic updates
Terminologi Cryptography is the art and science of keeping messages secure. “Crypto” “secret” (rahasia) “graphy” “writing” (tulisan) Cryptographic algorithm cipher (Persamaan matematika untuk proses enkripsi dan dekripsi) Cryptographers praktisi kriptografi Kriptografi merupakan ilmu dan seni untuk menjaga pesan agar aman.
Istilah-istilah dalam kriptografi Plaintext pesan yang akan diamankan Ciphertext pesan yang telah disembunyikan (Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”) Enkripsi (encryption) Proses mengamankan pesan Dekripsi (decryption) Proses sebaliknya, mengubah ciphertext menjadi plaintext, Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini adalah “decipher”.
Enkripsi Enkripsi digunakan untuk menyandikan data- data atau informasi Dengan enkripsi data disandikan (encrypted) dengan menggunakan sebuah kunci (key) Decrypt Proses membuka data Private key cryptography kunci yang sama Public key cryptography kunci yang berbeda
Fungsi Enkripsi (E) adalah sebagai berikut: Fungsi Enkripsi (E) adalah sebagai berikut: M = Plaintext (message) C = Ciphertext Fungsi Dekripsi (D) adalah sebagai berikut :
Kekuatan dalam penyandian tergantung pada “kunci” yang digunakan. Panjang “kunci” umumnya dalam ukuran “bit” juga menentukan kekuatan penyandian. Kunci 128-bit akan lebih sukar dipecahkan dibandingkan dengan kunci 56-bit
Substitution Cipher dengan Caesar Cipher Salah satu contoh dari “substitution cipher” adalah Caesar Cipher (digunakan oleh Julius Caesar) Prinsipnya setiap huruf digantikan dengan huruf yang berada tiga (3) posisi dalam urutan alfabet
Latihan 1. Buat ciphertext dari kalimat berikut ini : PESAN SANGAT RAHASIA Latihan 2. Cari plaintext dari ciphertext berikut ini : NHDPDQDQ MDULQJDQ
Penutup Mudah-mudahan presentasi yang singkat ini dapat memberikan gambaran mengenai ilmu security Masih banyak detail yang tidak dibahas pada presentasi ini Mudah-mudahan tertarik menjadi security professional bukan menjadi bandit Budi Rahardjo - Ilmu & Seni Security