Ilmu dan Seni Keamanan Informasi Theory and Practice Budi Rahardjo Surabaya, 8 Januari 2005

Budi Rahardjo - Ilmu & Seni Security2 Informasi = Uang? Informasi memiliki nilai (value) yang dapat dijual belikan –Data-data nasabah, mahasiswa –Informasi mengenai perbankan, nilai tukar, saham –Soal ujian –Password, PIN Nilai dari informasi dapat berubah dengan waktu –Soal ujian yang sudah diujikan menjadi turun nilainya

Budi Rahardjo - Ilmu & Seni Security3 Teknologi Informasi Teknologi yang terkait dengan pembuatan, pengolahan, distribusi, penyimpanan dari informasi Menghasilkan produk dan layanan yang sudah kita gunakan sehari-hari sebagai “manusia moderen” –Mesin ATM di bank –Telepon, handphone, SMS –Games, PlayStation, on-line games –P2P applications

Budi Rahardjo - Ilmu & Seni Security4 Technology Drivers Computer Technology –Moore’s law: complexity doubles every 18 months –Good enough Storage Technology –Increases 3 times / year –Good enough Network Technology –Increase in speed, lower in price –But … new bandwidth-hungry applications. The need for (more) speed!

Budi Rahardjo - Ilmu & Seni Security5 Perhatian terhadap keamanan informasi Mulai banyaknya masalah keamanan informasi –Virus, worm, trojan horse, spam –Hacking & cracking –Spyware, keylogger –Fraud (orang dalam), penipuan, pencurian kartu kredit Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi

Budi Rahardjo - Ilmu & Seni Security6 Cuplikan statistik kejahatan 7 Februari 2000 s/d 9 Februari Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya Kejahatan “phising” (menipu orang melalui yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak

Budi Rahardjo - Ilmu & Seni Security7

8 Contoh kejahatan kartu kredit Berdasarkan laporan terakhir (2004), Indonesia: –Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) –Nomor #3 dalam volume Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika

Budi Rahardjo - Ilmu & Seni Security9 Phising From: To: … Subject: USBank.com Account Update URGEgb Date: Thu, 13 May :56: USBank.com Dear US Bank Customer, During our regular update and verification of the Internet Banking Accounts, we could not verify your current information. Either your information has been changed or incomplete, as a result your access to use our services has been limited. Please update your information. To update your account information and start using our services please click on the link below: Note: Requests for information will be initiated by US Bank Business Development; this process cannot be externally requested through Customer Support.

Budi Rahardjo - Ilmu & Seni Security10 Ilmu dan Seni Keamanan Informasi Dimulai dari coba-coba. Merupakan sebuah seni. Mulai diformalkan dalam bentuk ilmu. Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya. Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini

Budi Rahardjo - Ilmu & Seni Security11 Contoh Ilmu Security Kriptografi (cryptography) –Enkripsi & dekripsi: DES, AES, RSA, ECC –Berbasis matematika Protokol dan jaringan (network & protocols) –SSL, SET Sistem dan aplikasi (system & applications) Management, policy & procedures

Budi Rahardjo - Ilmu & Seni Security12 DES: Data Encryption Standard

Budi Rahardjo - Ilmu & Seni Security13 Protokol SSL Client Hello / Connection Request Daftar algoritma / cipher suite Pemilihan cipher suite Sertifikat Digital Server Encrypted secret / key / nonce Decrypted secret Sertifikat Digital Client Encrypted secret / key / nonce Decrypted secret Kunci simteris disepakati Client Server Transfer data dengan enkripsi kunci simetris

Budi Rahardjo - Ilmu & Seni Security14 System Security: Secure From: Budi Subject: Kiriman Kiriman datang Senin pagi af005c0810eeca2d5 From: Budi Subject: Kiriman Kiriman datang Senin pagi hash Enkripsi (dg kunci privat pengirim) Keduanya disatukan dan dikirimkan Isi tidak dirahasiakan. Diinginkan terjaganya integritas dan non-repudiation

Budi Rahardjo - Ilmu & Seni Security15 Application Security Masalah yang sering dihadapi dalam pembuatan software –Buffer overflow –Out of bound array

Budi Rahardjo - Ilmu & Seni Security16 Security Lifecylce

Budi Rahardjo - Ilmu & Seni Security17 Contoh dari praktek (seni) security linux% host –t ns target.co.id linux% host –t mx target.co.id linux% nslookup > server > set type=any > ls –d itb.ac.id >> /tmp/zone_out > ctrl-D linux% nmap Starting nmap V by Fyodor Interesting ports on router ( ): Port State Protocol Service 22 open tcp ssh 25 open tcp smtp 53 open tcp domain 80 open tcp http 110 open tcp pop open tcp auth 143 open tcp imap open tcp ufsd 3128 open tcp squid-http 8080 open tcp http-proxy Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

Budi Rahardjo - Ilmu & Seni Security18 Aspek Dari Security Confidentiality Integrity Availability Ketiga di atas sering disingkat menjadi CIA Ada tambahkan lain –Non-repudiation –Authentication –Access Control –Accountability

Budi Rahardjo - Ilmu & Seni Security19 Confidentiality / Privacy Kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang –Data-data pribadi –Data-data bisnis; daftar gaji, data nasabah –Sangat sensitif dalam e-commerce dan healthcare Serangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) Proteksi: enkripsi

Budi Rahardjo - Ilmu & Seni Security20 Integrity Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak Serangan –Pengubahan data oleh orang yang tidak berhak, spoofing –Virus yang mengubah berkas Proteksi: –Message Authentication Code (MAC), digital signature / certificate, hash functions, logging

Budi Rahardjo - Ilmu & Seni Security21 Availability Informasi harus tersedia ketika dibutuhkan Serangan –Meniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat) Proteksi –Backup, redundancy, DRC, BCP, firewall

Budi Rahardjo - Ilmu & Seni Security22 Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi) –Menggunakan digital signature –Logging

Budi Rahardjo - Ilmu & Seni Security23 Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan –what you have (identity card) –what you know (password, PIN) –what you are (biometric identity) Serangan: identitas palsu, terminal palsu, situs gadungan

Budi Rahardjo - Ilmu & Seni Security24 Access Control Mekanisme untuk mengatur siapa boleh melakukan apa –Membutuhkan adanya klasifikasi data: public, private, confidential, (top)secret –Role-based access

Budi Rahardjo - Ilmu & Seni Security25 Accountability Dapat dipertanggung-jawabkan Melalui mekanisme logging dan audit Adanya kebijakan dan prosedur (policy & procedures)

Budi Rahardjo - Ilmu & Seni Security26 Teori Jenis Serangan Interruption DoS attack, network flooding Interception Password sniffing Modification Virus, trojan horse Fabrication spoffed packets AB E A A A B B B E E

Budi Rahardjo - Ilmu & Seni Security27 Klasifikasi: Dasar elemen sistem Network security –fokus kepada saluran (media) pembawa informasi Application security –fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security –fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)

Budi Rahardjo - Ilmu & Seni Security28 Topologi Lubang Keamanan Internet Web Site Users ISP Network sniffed, attacked Network sniffed, attacked, flooded Trojan horse - Applications (database, Web server) hacked - OS hacked 1.System (OS) 2.Network 3.Applications + db Holes Userid, Password, PIN, credit card #

Budi Rahardjo - Ilmu & Seni Security29 Pelaku di bidang Security Information bandit –Sekarang masih dipotretkan sebagai jagoan –Akan tetapi akan berkurang –the disappearance act of information bandits Information security professionals –Masih kurang –Lebih menyenangkan Keduanya menggunakan tools yang sama Perbedaannya sangat tipis: itikad & pandangan Jangan bercita-cita menjadi bandit!

Budi Rahardjo - Ilmu & Seni Security30 source: hacking exposed

Budi Rahardjo - Ilmu & Seni Security31 INDOCISC Audit Checklist 1.evaluating (network) topology 2.penetration testing from outside and inside network 3.evaluating network devices, such as routers, switches, firewalls, IDS, etc. 4.evaluating server(s) 5.evaluating application(s) 6.evaluating policy and procedures

Budi Rahardjo - Ilmu & Seni Security32 Penutup Mudah-mudahan presentasi yang singkat ini dapat memberikan gambaran mengenai ilmu security Masih banyak detail yang tidak dibahas pada presentasi ini Mudah-mudahan tertarik menjadi security professional bukan menjadi bandit