KEAMANAN SEBUAH PROSES Pertemuan 3
Tujuan Setelah perkuliahan ini selesai mahasiswa dapat : menjelaskan siklus pengembangan sebuah sistem menjelaskan SDLC menerapakan tindakan kewaspadaan pengamanan data / informasi
Kenalilah musuh anda!
HACKER DAN CRACKER
Pelajarilah cara kerja crackers! Ada baiknya mengerti prilaku perusak. Siapakah mereka? Apa motifnya? Bagaimana cara masuk? Apa yang dilakukan setelah masuk?
HACKER Hacker adalah sebutan untuk mereka yang memberikan sumbangan yang bermanfaat kepada jaringan komputer, membuat program kecil dan membagikannya dengan orang-orang di Internet. Hacker disini artinya, mencari, mempelajari dan mengubah sesuatu untuk keperluan hobi dan pengembangan dengan mengikuti legalitas yang telah ditentukan oleh developer .
HACKER Para hacker biasanya melakukan penyusupan-penyusupan dengan maksud memuaskan pengetahuan dan teknik. Rata - rata perusahaan yang bergerak di dunia jaringan global (internet) juga memiliki hacker. Tugasnya yaitu untuk menjaga jaringan dari kemungkinan perusakan pihak luar "cracker", menguji jaringan dari kemungkinan lobang yang menjadi peluang para cracker mengobrak - abrik jaringannya, Perusahaan asuransi dan auditing "Price Waterhouse". Mereka memiliki team hacker yang disebut dengan Tiger Team. Mereka bekerja untuk menguji sistem sekuriti client mereka.
CRACKER Cracker adalah sebutan untuk mereka yang masuk ke sistem orang lain, biasanya di jaringan komputer, mem-bypass password atau lisensi program komputer, secara sengaja melawan keamanan komputer, men-deface (merubah halaman muka web) milik orang lain bahkan hingga men-delete data orang lain, mencuri data dan umumnya melakukan cracking untuk keuntungan sendiri, maksud jahat, atau karena sebab lainnya karena ada tantangan. Beberapa proses pembobolan dilakukan untuk menunjukan kelemahan keamanan sistem.
TINGKATAN HACKER 1. Elite Mengerti sistem operasi luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global, melakukan pemrogramman setiap harinya, effisien & trampil, menggunakan pengetahuannya dengan tepat, tidak menghancurkan data-data, dan selalu mengikuti peraturan yang ada. Tingkat Elite ini sering disebut sebagai ‘suhu’. 2. Semi Elite Lebih muda dari golongan elite, mempunyai kemampuan & pengetahuan luas tentang komputer, mengerti tentang sistem operasi (termasuk lubangnya), kemampuan programnya cukup untuk mengubah program eksploit.
TINGKATAN HACKER 3. Developed Kiddie Umurnya masih muda (ABG) & masih sekolah, mereka membaca tentang metoda hacking & caranya di berbagai kesempatan, mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya, umumnya masih menggunakan Grafik User Interface (GUI) & baru belajar basic dari UNIX tanpa mampu menemukan lubang kelemahan baru di sistem operasi. 4. Script Kiddie Hanya mempunyai pengetahuan teknis networking yang sangat minimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.
TINGKATAN HACKER 5. Lamer Tidak mempunyai pengalaman & pengetahuan tapi ingin menjadi hacker sehingga lamer sering disebut sebagai ‘wanna-be’ hacker, penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software
KODE ETIK HACKER Mampu mengakses komputer tak terbatas dan totalitas. Semua informasi haruslah FREE. Tidak percaya pada otoritas, artinya memperluas desentralisasi. Tidak memakai identitas palsu, seperti nama samaran yang konyol, umur, posisi, dll. Mampu membuat seni keindahan dalam komputer. Komputer dapat mengubah hidup menjadi lebih baik. Pekerjaan yang di lakukan semata-mata demi kebenaran informasi yang harus disebar luaskan.
KODE ETIK HACKER 8. Memegang teguh komitmen tidak membela dominasi ekonomi industri software tertentu. 9. Hacking adalah senjata mayoritas dalam perang melawan pelanggaran batas teknologi komputer. 10. Baik Hacking maupun Phreaking adalah satu-satunya jalan lain untuk menyebarkan informasi pada massa agar tak gagap dalam komputer.
KODE ETIK CRACKER Cracker tidak memiliki kode etik apapun..
ATURAN MAIN HACKER Di atas segalanya, hormati pengetahuan & kebebasan informasi. Memberitahukan sistem administrator akan adanya pelanggaran keamanan / lubang di keamanan yang anda lihat. Jangan mengambil keuntungan yang tidak fair dari hack. Tidak mendistribusikan & mengumpulkan software bajakan. Tidak pernah mengambil resiko yang bodoh – selalu mengetahui kemampuan sendiri. Selalu bersedia untuk secara terbuka / bebas / gratis memberitahukan & mengajarkan berbagai informasi & metoda yang diperoleh.
ATURAN MAIN HACKER Tidak pernah meng-hack sebuah sistem untuk mencuri uang. Tidak pernah memberikan akses ke seseorang yang akan membuat kerusakan. Tidak pernah secara sengaja menghapus & merusak file di komputer yang dihack. Hormati mesin yang di hack, dan memperlakukan dia seperti mesin sendiri. Hacker sejati akan selalu bertindak berlandaskan kode etik dan aturan main sedang cracker tidak mempunyai kode etik ataupun aturan main karena cracker sifatnya merusak.
JENIS KEGIATAN HACKING 1. Social Hacking Informasi tentang system apa yang dipergunakan oleh server, siapa pemilik server, siapa Admin yang mengelola server, koneksi yang dipergunakan jenis apa lalu bagaimana server itu tersambung internet, mempergunakan koneksi siapa lalu informasi apa saja yang disediakan oleh server tersebut, apakah server tersebut juga tersambung dengan LAN di sebuah organisasi dan informasi lainnya
JENIS KEGIATAN HACKING Technical Hacking Merupakan tindakan teknis untuk melakukan penyusupan ke dalam system, baik dengan alat bantu (tool) atau dengan mempergunakan fasilitas system itu sendiri yang dipergunakan untuk menyerang kelemahan (lubang keamanan) yang terdapat dalam system atau service. Inti dari kegiatan ini adalah mendapatkan akses penuh kedalam system dengan cara apapun dan bagaimana pun.
Pengamanan Menyeluruh Harus menyeluruh - holistic approach PEOPLE awareness, skill ... PROCESS security as part of business process ... implementation ... TECHNOLOGY
Prinsip dalam sekuriti Repetition with recursion (pengulangan dengan mengulang kejadian yang pernah terjadi) Sistem memerlukan sifat dinamis menjalan proses sekuriti secara kontinu (berkesinambungan) Lakukanlah selalu analisa sistem
Siklus hidup pengembangan sistem SDLC (System Development Life Cycle) Siklus pengembangan perangkat lunak Diantaranya yang digunakan oleh developer dan programer Model yang sering digunakana Water fall Linear / sequential Spiral Langkah diantaranya: System planning System analysis System design System selection System implementation System maintenance
Contoh untuk sistem keamanan Inisiasi Pendefenisian konseptual Penentuan kebutuhan Pengembangan spesifikasi Review disain Pengembangan dan akuisisi Review komponen dan kode Review pengujian sistem Sertifikasi Implementasi Maintenance Pembuangan
Inisiasi Awal sebuah proses keamanan Diintegrasikan dan diimplementasikan dengan sistem TI secara penuh
Defenisi konseptual Memahami ruang lingkup proses keamanan tanggung jawab sistem keamanan Tujuan: Tanggung jawab dan ruang lingkup individu yang terlibat didalam sistem keamanan Contoh sistem akedemik di STMIK MDP membedakan tanggung jawab dan ruang lingkup admin , dosen, manejer dll
Penentuan kebutuhan Menspesifikasikan secara detail sebuah objek Aktivitas: Interview Mengklarifikasikan dan mengidentifikasi secara spesifik yang perlu diproteksi data maupun pemrosesan data Review ekstrenal Mengacu kearah enviroment (lingkungan sekuritas) Ancaman dan dukungan enviroment kemampuan teknologi Analisis Gap Gabungan review internal dan eksternal dan mencocokkan dengan objek Apa yang harus dilakukan wilayah teknologi, proses bisnis, budaya organisasi, pengetahuan end user, dll
Pengembangan spesifikasi proteksi Sistem dimodelkan dan dibandingkan dengan objektif dan resiko yang didefenisikan; meliputi teknologi tertentu, konfigurasi, prosedur dan perubahan yang diizinkan
Review disain Pemeriksaan secara realita Kesempatan untuk mempresentasikan disain dan implikasi terhadap pengambil keputusan
Pengembangan dan akuisi Menyusun dan menciptakan tool, prototipe, sistem pengujian dan verifikasi bahwa konfigurasi btelah benar dan tepat melakukan review terhadap kode atau aplikasi yang akan diinstalkan, dan menguji sistem sekuriti didalam konteks jaringan secara holistik
Review komponen dan kode Mengembangkan tool sekuriti, program atau komponen spesifik mengevaluasinya didalam sebuah enviroment lab atao prototipe untuk mencari perilaku atau akibat yang tidak diharapkan Yang diperhatikan Fungsionalitas komponen teknologi sekuriti bekerja sesuai harapan dan sesuai dengan kebutuhan sekuriti Konfigurasi komponen menguji konfigurasi yang bervariasi untuk sebuah komponen untuk memastikan konfigurasi bekerja sesuai harapan Pemeliharaan komponen menyiapkan individu / kelompok yang bertanggung jawab untuk memelihara komponen menetapkan prosedur operasional dan metode pemeliharaan, updating, trouble shooting terhadap komponen Mereview terhadap kode mengekplorasi bagian sensitif / kritis dari kode program mencari bug dan masalah fundamental disain program
Review pengujian sistem Fungsional sistem diasumsikan setiap komponen berfungsi secara individu verifikasi dilakukan untuk menngungkapkan efek negatif yang belum diperkirakan sebelumnya Konfigurasi sistem mengubah konfigurasi konfigurasi komponen ketika berinteraksi dengan sistem menemukanproblem dan kelemahan tersembunyi
Review pengujian sistem Pemeliharaan sistem implikasi dari interaksi komponen membantu untuk pemeliharaan, upgrade, trouble shooting Training sistem meningkatkan kemampuan individu untuk berinteraksi dengan sistem Implementasi sistem prototipe sistem sekuriti untuk mempelajati kendala yang mungkin dapat ditemui saat implementasi sebenarnya membuat dokumentasi problem implementasi