EVALUASI KEAMANAN SISTEM INFORMASI

Pentingnya Evaluasi Lubang keamanan diketemukan hampir setiap hari. Kesalahan konfigurasi bisa terjadi. Penambahan perangkat baru yang mengubah konfigurasi yang sudah ada.

I. Sumber lubang keamanan Salah disain Salah konfigurasi Implementasi yang kurang baik Salah menggunakan program / sistem

1. Salah Disain (design flaw) Umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan dengan baik, kelemahan dari sistem akan tetap ada. Contoh : Lemah disainnya algoritma enkripsi ROT13 atau Caesar cipher, dimana karakter digeser 13 huruf atau 3 huruf. Meskipun diimplementasikan dengan programming yang sangat teliti, siapapun yang mengetahui algoritmanya dapat memecahkan enkripsi tersebut. Kesalahan disain urutan nomor (sequence numbering) dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul masalah yang dikenal dengan nama “IP spoofing” (sebuah host memalsukan diri seolah-olah menjadi host lain dengan membuat paket palsu setelah engamati urutan paket dari host yang hendak diserang).

2. Implementasi kurang baik Banyak program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean. Akibat tidak adanya cek atau testing implementasi suatu program yang baru dibuat. Contoh: Tidak memperhatikan batas (“bound”) dari sebuah “array” tidak dicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya). Kealpaan memfilter karakter-karakter yang aneh-aneh yang dimasukkan sebagai input dari sebuah program sehingga sang program dapat mengakses berkas atau informasi yang semestinya tidak boleh diakses.

3. Salah konfigurasi Contoh : Berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang keamanan. Kadangkala sebuah komputer dijual dengan konfigurasi yang sangat lemah. Adanya program yang secara tidak sengaja diset menjadi “setuid root” sehingga ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.

4. Salah menggunakan program atau sistem Contoh : Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal.

Penguji keamanan sistem Untuk memudahkan administrator dari sistem informasi membutuhkan “automated tools”, perangkat pembantu otomatis, yang dapat membantu menguji atau meng-evaluasi keamanan sistem yang dikelola

Contoh Tools Pengujian yang dibuat para hacker :

1. Salah disain * Algoritma enkripsi Salah mendisain algoritma enkripsi * Urutan nomor dari paket TCP/IP (masalah IP spoofing) sebuah host memalsukan diri menjadi host lain, kemudian membuat paket data palsu dan mengirimkan ke server.

2. Informasi yang kurang baik Out-of-bound array /buffer overflow Data keluar dari batas bound, sehingga membentuk variabel baru. Kealpaan memfilter karakter aneh. Tidak memfilter karakter aneh sehingga data yang terkirim salah.

3. Salah konfigurasi * Writeable : Berubahnya berkas secara tidak sengaja oleh pemakai, misalnya berkas itu adalah password.

4. Salah menggunakan program Kesalahan menggunakan program pada super user. Misalnya: menjalankan perintah C> del *.*

Port Port Perangkat keras Port perangkat lunak

Port perangkat keras. Pintu keluar masuk data dari dalam dan keluar komputer pada fisik. untuk printer : Lpt1, Lpt2 (jenis serial) Com1 dan Com2 (paralel)

Port perangkat lunak Pintu keluar masuk data dari dalam dan keluar komputer pada jaringan. nomor port pada jaringan: dari 1 s.d 4915

Port-port penting pada jaringan Port 80 untuk HTTP/WEB Port 443 untuk SSL

Konsep dasar yang berkaitan dengan keamanan jaringan kebijakan keamanan (Security Policy) Seperangkat aturan pengamanan yang diterapkan pada semua kegiatan sistem komunikasi pada komputer yang dimiliki oleh suatu organisasi.

2. Authorization Adalah bagian dari security policy, berupa pemberian kekuatan secara hukum kepada pengguna / user untuk melakukan segala aktivitas nya.

3. Accountability Adalah kemampuan untuk dapat diakses, dimana bila individu yang berhak ingin mengakses accountnya harus dijamin oleh securiy policy tsb. bahwa ia benar-benar bisa melakukan segala aktivitasnya.

4 a Threat Ancaman yang mungkin timbul, yang dapat membahayakan aset-aset yang berharga, khususnya yang berhubungan dengan confidientality, integrity, availability dan legitimate use yang disebabkan oleh banyak hal seperti: penetrasi atau kejadian yang tidak disengaja misalnya pesan dikirim kealamat yang salah.

5. An Attack Adalah ancaman yang telah terjadi menjadi kenyataan, ada 2 attack, yaitu: 1. Passive attack: misalnya monitoring data traffic 2. Active attack misalnya merusak informasi dgn sengaja.

6. Safeguard Adanya kontrol secara fisik, kemudian ada mekanisme dari kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman yang mungkin datang setiap saat.

7. Vulnerabilities Adanya selah-selah keamanan yang bisa tembus oleh karena mudah rusak atau karena serangan, atau bisa juga pada saat pengamanan sedang tidak aktif

8. Risk Adalah perkiraan nilai kerugian yg ditimbulkan oleh kemungkinan ada nya attack yang sukses, makin tinggi Vulnarablenya maka semakin tinggi pula tingkat risknya.

9. Risk Analysis Adalah proses yang menghasilkan suatu keputusan apakah pengeluar an yang dilakukan terhadap safeguard benar-benar bisa menjamin tingkat keamanan yang diinginkan.