Ilmu dan Seni Keamanan Informasi

Presentasi berjudul: "Ilmu dan Seni Keamanan Informasi"— Transcript presentasi:

1 Ilmu dan Seni Keamanan Informasi
Theory and Practice Budi Rahardjo Surabaya, 8 Januari 2005

2 Budi Rahardjo - Ilmu & Seni Security
Informasi = Uang? Informasi memiliki nilai (value) yang dapat dijual belikan Data-data nasabah, mahasiswa Informasi mengenai perbankan, nilai tukar, saham Soal ujian Password, PIN Nilai dari informasi dapat berubah dengan waktu Soal ujian yang sudah diujikan menjadi turun nilainya Budi Rahardjo - Ilmu & Seni Security

3 Budi Rahardjo - Ilmu & Seni Security
Teknologi Informasi Teknologi yang terkait dengan pembuatan, pengolahan, distribusi, penyimpanan dari informasi Menghasilkan produk dan layanan yang sudah kita gunakan sehari-hari sebagai “manusia moderen” Mesin ATM di bank Telepon, handphone, SMS Games, PlayStation, on-line games P2P applications Budi Rahardjo - Ilmu & Seni Security

4 Budi Rahardjo - Ilmu & Seni Security
Technology Drivers Computer Technology Moore’s law: complexity doubles every 18 months Good enough Storage Technology Increases 3 times / year Network Technology Increase in speed, lower in price But … new bandwidth-hungry applications. The need for (more) speed! Budi Rahardjo - Ilmu & Seni Security

5 Perhatian terhadap keamanan informasi
Mulai banyaknya masalah keamanan informasi Virus, worm, trojan horse, spam Hacking & cracking Spyware, keylogger Fraud (orang dalam), penipuan, pencurian kartu kredit Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi Budi Rahardjo - Ilmu & Seni Security

6 Cuplikan statistik kejahatan
7 Februari 2000 s/d 9 Februari Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. 2004. Kejahatan “phising” (menipu orang melalui yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak Budi Rahardjo - Ilmu & Seni Security

7 Budi Rahardjo - Ilmu & Seni Security
Sapphire worm Budi Rahardjo - Ilmu & Seni Security

8 Contoh kejahatan kartu kredit
Berdasarkan laporan terakhir (2004), Indonesia: Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) Nomor #3 dalam volume Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika Budi Rahardjo - Ilmu & Seni Security

9 Budi Rahardjo - Ilmu & Seni Security
Phising From: To: … Subject: USBank.com Account Update URGEgb Date: Thu, 13 May :56: USBank.com Dear US Bank Customer, During our regular update and verification of the Internet Banking Accounts, we could not verify your current information. Either your information has been changed or incomplete, as a result your access to use our services has been limited. Please update your information. To update your account information and start using our services please click on the link below: Note: Requests for information will be initiated by US Bank Business Development; this process cannot be externally requested through Customer Support. Budi Rahardjo - Ilmu & Seni Security

10 Ilmu dan Seni Keamanan Informasi
Dimulai dari coba-coba. Merupakan sebuah seni. Mulai diformalkan dalam bentuk ilmu. Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya. Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini Budi Rahardjo - Ilmu & Seni Security

11 Budi Rahardjo - Ilmu & Seni Security
Contoh Ilmu Security Kriptografi (cryptography) Enkripsi & dekripsi: DES, AES, RSA, ECC Berbasis matematika Protokol dan jaringan (network & protocols) SSL, SET Sistem dan aplikasi (system & applications) Management, policy & procedures Budi Rahardjo - Ilmu & Seni Security

12 DES: Data Encryption Standard
Budi Rahardjo - Ilmu & Seni Security

13 Budi Rahardjo - Ilmu & Seni Security
Protokol SSL 1 Client Hello / Connection Request Daftar algoritma / cipher suite Pemilihan cipher suite 2 Sertifikat Digital Server Encrypted secret / key / nonce Client Server Decrypted secret 3 Sertifikat Digital Client Encrypted secret / key / nonce Decrypted secret 4 Kunci simteris disepakati Transfer data dengan enkripsi kunci simetris Budi Rahardjo - Ilmu & Seni Security

14 System Security: Secure Email
Isi tidak dirahasiakan. Diinginkan terjaganya integritas dan non-repudiation Keduanya disatukan dan dikirimkan From: Budi Subject: Kiriman Kiriman datang Senin pagi From: Budi Subject: Kiriman Kiriman datang Senin pagi hash af005c0810eeca2d5 Enkripsi (dg kunci privat pengirim) Budi Rahardjo - Ilmu & Seni Security

15 Budi Rahardjo - Ilmu & Seni Security
Application Security Masalah yang sering dihadapi dalam pembuatan software Buffer overflow Out of bound array Budi Rahardjo - Ilmu & Seni Security

16 Budi Rahardjo - Ilmu & Seni Security
Security Lifecylce Budi Rahardjo - Ilmu & Seni Security

17 Contoh dari praktek (seni) security
linux% host –t ns target.co.id linux% host –t mx target.co.id linux% nslookup > server > set type=any > ls –d itb.ac.id >> /tmp/zone_out > ctrl-D linux% nmap Starting nmap V by Fyodor Interesting ports on router ( ): Port State Protocol Service open tcp ssh open tcp smtp open tcp domain open tcp http open tcp pop-3 open tcp auth open tcp imap2 open tcp ufsd open tcp squid-http open tcp http-proxy Nmap run completed -- 1 IP address (1 host up) scanned in 1 second Budi Rahardjo - Ilmu & Seni Security

18 Budi Rahardjo - Ilmu & Seni Security
Aspek Dari Security Confidentiality Integrity Availability Ketiga di atas sering disingkat menjadi CIA Ada tambahkan lain Non-repudiation Authentication Access Control Accountability Budi Rahardjo - Ilmu & Seni Security

19 Confidentiality / Privacy
Kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang Data-data pribadi Data-data bisnis; daftar gaji, data nasabah Sangat sensitif dalam e-commerce dan healthcare Serangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering) Proteksi: enkripsi Budi Rahardjo - Ilmu & Seni Security

20 Budi Rahardjo - Ilmu & Seni Security
Integrity Informasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhak Serangan Pengubahan data oleh orang yang tidak berhak, spoofing Virus yang mengubah berkas Proteksi: Message Authentication Code (MAC), digital signature / certificate, hash functions, logging Budi Rahardjo - Ilmu & Seni Security

21 Budi Rahardjo - Ilmu & Seni Security
Availability Informasi harus tersedia ketika dibutuhkan Serangan Meniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat) Proteksi Backup, redundancy, DRC, BCP, firewall Budi Rahardjo - Ilmu & Seni Security

22 Budi Rahardjo - Ilmu & Seni Security
Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi) Menggunakan digital signature Logging Budi Rahardjo - Ilmu & Seni Security

23 Budi Rahardjo - Ilmu & Seni Security
Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan what you have (identity card) what you know (password, PIN) what you are (biometric identity) Serangan: identitas palsu, terminal palsu, situs gadungan Budi Rahardjo - Ilmu & Seni Security

24 Budi Rahardjo - Ilmu & Seni Security
Access Control Mekanisme untuk mengatur siapa boleh melakukan apa Membutuhkan adanya klasifikasi data: public, private, confidential, (top)secret Role-based access Budi Rahardjo - Ilmu & Seni Security

25 Budi Rahardjo - Ilmu & Seni Security
Accountability Dapat dipertanggung-jawabkan Melalui mekanisme logging dan audit Adanya kebijakan dan prosedur (policy & procedures) Budi Rahardjo - Ilmu & Seni Security

26 Budi Rahardjo - Ilmu & Seni Security
Teori Jenis Serangan Interruption DoS attack, network flooding Interception Password sniffing Modification Virus, trojan horse Fabrication spoffed packets A B A B E A B E A B E Budi Rahardjo - Ilmu & Seni Security

27 Klasifikasi: Dasar elemen sistem
Network security fokus kepada saluran (media) pembawa informasi Application security fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database Computer security fokus kepada keamanan dari komputer (end system), termasuk operating system (OS) Budi Rahardjo - Ilmu & Seni Security

28 Topologi Lubang Keamanan
Network sniffed, attacked ISP System (OS) Network Applications + db Holes Internet Network sniffed, attacked, flooded Network sniffed, attacked Users Web Site Trojan horse Applications (database, Web server) hacked OS hacked Userid, Password, PIN, credit card # Budi Rahardjo - Ilmu & Seni Security

29 Pelaku di bidang Security
Information bandit Sekarang masih dipotretkan sebagai jagoan Akan tetapi akan berkurang the disappearance act of information bandits Information security professionals Masih kurang Lebih menyenangkan Keduanya menggunakan tools yang sama Perbedaannya sangat tipis: itikad & pandangan Jangan bercita-cita menjadi bandit! Budi Rahardjo - Ilmu & Seni Security

30 Budi Rahardjo - Ilmu & Seni Security
source: hacking exposed Budi Rahardjo - Ilmu & Seni Security

31 INDOCISC Audit Checklist
evaluating (network) topology penetration testing from outside and inside network evaluating network devices, such as routers, switches, firewalls, IDS, etc. evaluating server(s) evaluating application(s) evaluating policy and procedures Budi Rahardjo - Ilmu & Seni Security

32 Budi Rahardjo - Ilmu & Seni Security
Penutup Mudah-mudahan presentasi yang singkat ini dapat memberikan gambaran mengenai ilmu security Masih banyak detail yang tidak dibahas pada presentasi ini Mudah-mudahan tertarik menjadi security professional bukan menjadi bandit Budi Rahardjo - Ilmu & Seni Security