Pengamanan Digital Lukito Edi Nugroho
Transaksi Elektronis Transaction : “an action or activity involving two parties or things that reciprocally affect or influence each other” [Merriam-Webster’s Dictionary of Law] Biasanya melibatkan pertukaran atau perpindahan barang, jasa, atau uang Transaksi elektronis adalah transaksi yang menggunakan media elektronis Komputer sebagai alat pemroses Pertukaran atau perpindahan menggunakan jaringan komputer dan Internet
Transaksi Elektronis Transaksi elektronis pada umumnya bersifat: Tidak langsung pertukaran atau perpindahan melewati satu atau lebih pihak-pihak eksternal Kedua pihak yang terlibat tidak bertemu secara fisis Transaksi elektronis berpotensi menjadi obyek gangguan/ancaman keamanan karena: Data/informasi yang terlibat memiliki nilai “Jarak virtual” antara pihak-pihak yang terlibat memungkinkan terjadinya intervensi pihak eksternal
Jenis-Jenis Ancaman/Serangan Serangan untuk mendapatkan akses (access attacks) Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi Serangan untuk melakukan modifikasi (modification attacks) Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak sah Serangan untuk menghambat penyediaan layanan (denial of service attacks) Menghambat penyediaan layanan dengan cara mengganggu jaringan komputer
Access Attacks Dumpster diving – mencari informasi dari tumpukan kertas/dokumen yang telah dibuang Eavesdropping – “mendengarkan” percakapan/komunikasi antara dua pihak Snooping – “mengintip” isi file orang lain (baik secara fisis maupun elektronis) Interception – memonitor lalulintas data di jaringan komputer
Cara-Cara Melakukan Access Attacks Sniffing Memanfaatkan metode broadcasting dalam LAN “Membengkokkan” aturan Ethernet, membuat network interface bekerja dalam mode promiscuous Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer Mencegah efek negatif sniffing Pendeteksian sniffer (local & remote) Penggunaan kriptografi (mis: ssh sbg pengganti telnet)
Cara-Cara Melakukan Access Attacks Spoofing Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password) Logon Invalid logon ClientPenyerangServer Logon Logon berhasil ClientServer Pada saat ini, penyerang sudah mendapatkan username & password yang sah untuk bisa masuk ke server
Cara-Cara Melakukan Access Attacks Man-in-the-middle Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya) ClientMan-in-the-middleServer
Cara-Cara Melakukan Access Attacks Menebak password Dilakukan secara sistematis dengan teknik brute- force atau dictionary Teknik brute-force: mencoba semua kemungkinan password Teknik dictionary: mencoba dengan koleksi kata- kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb)
Modification Attacks Biasanya didahului oleh access attack untuk mendapatkan akses Dilakukan untuk mendapatkan keuntungan dari berubahnya informasi Contoh: Pengubahan nilai kuliah Penghapusan data utang di bank Mengubah tampilan situs web
Denial of Service Attacks Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi Biasanya ditujukan kepada pihak-pihak yang memiliki pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh politik, dsb) Teknik DoS Mengganggu aplikasi (mis: membuat webserver down) Mengganggu sistem (mis: membuat sistem operasi down) Mengganggu jaringan (mis: dengan TCP SYN flood)
Kriptografi Teknik untuk meningkatkan keamanan data/ informasi dengan cara menyamarkan data/ informasi ke dalam bentuk yang tidak dapat dimengerti dengan mudah Proses: enkripsi dan dekripsi Komponen kriptografi Fungsi enkripsi (dan dekripsi) Kunci Kekuatan metode kriptografi terletak pada kekuatan algoritmanya dan tingkat kerahasiaan kunci
Jenis-Jenis Kriptografi Kriptografi simetris Kunci enkripsi = kunci dekripsi Kelebihan: cepat (karena sederhana) Kelemahan: bagaimana mendistribusikan kunci secara rahasia ? Kriptografi asimetris (a.k.a. kriptografi kunci publik) Kunci enkripsi bersifat publik, kunci dekripsi bersifat privat Kelebihan: memungkinkan pertukaran data antar pihak yang tidak saling mengenal Kelemahan: lebih lambat daripada kriptografi simetris (karena algoritmanya lebih kompleks)
Jenis-Jenis Kriptografi Kriptografi hibrid Kunci sesi yang bersifat unik dan sekali pakai Teknik simetris enkripsi & dekripsi data/pesan Teknik asimetris enkripsi & dekripsi kunci sesi Teknik hibrid menggabungkan kelebihan dua teknik lainnya Teknik simetris untuk menangani data/pesan cepat Teknik asimetris mengijinkan pertukaran data dapat dilakukan secara aman dalam lingkungan publik
Sertifikat Digital Bukti otentik terhadap hak-hak untuk melakukan transaksi untuk layanan-layanan yang diberikan Penting untuk layanan-layanan on-line, untuk meyakinkan pemakai bahwa mereka mengakses layanan yang diinginkan Contoh kasus KlikBCA beberapa tahun yang lalu Sertifikat digital dikeluarkan oleh lembaga third-party yang dipercaya (trusted) yang disebut Certificate Authority
Protokol-Protokol Aman Secure Socket Layer (SSL) Dikembangkan oleh Netscape pengamanan pada lapisan transport Digunakan untuk mengamankan komunikasi antara client dan browser https (http over ssl) Secure HTTP (shttp) Secure shell (SSH) sebagai pengganti telnet