Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
Diterbitkan olehIzzy Edward Telah diubah "9 tahun yang lalu
1
KEAMANAN SEBUAH PROSES Pertemuan 3
2
Tujuan Setelah perkuliahan ini selesai mahasiswa dapat :Setelah perkuliahan ini selesai mahasiswa dapat : –menjelaskan siklus pengembangan sebuah sistem –menjelaskan SDLC –menerapakan tindakan kewaspadaan pengamanan data / informasi
5
Pelajarilah cara kerja crackers! Ada baiknya mengerti prilaku perusak.Ada baiknya mengerti prilaku perusak. Siapakah mereka?Siapakah mereka? Apa motifnya?Apa motifnya? Bagaimana cara masuk?Bagaimana cara masuk? Apa yang dilakukan setelah masuk?Apa yang dilakukan setelah masuk?
6
HACKER Hacker adalah sebutan untuk mereka yang memberikan sumbangan yang bermanfaat kepada jaringan komputer, membuat program kecil dan membagikannya dengan orang-orang di Internet. Hacker disini artinya, mencari, mempelajari dan mengubah sesuatu untuk keperluan hobi dan pengembangan dengan mengikuti legalitas yang telah ditentukan oleh developer.
7
HACKER Para hacker biasanya melakukan penyusupan-penyusupan dengan maksud memuaskan pengetahuan dan teknik. Rata - rata perusahaan yang bergerak di dunia jaringan global (internet) juga memiliki hacker. Tugasnya yaitu untuk menjaga jaringan dari kemungkinan perusakan pihak luar "cracker", menguji jaringan dari kemungkinan lobang yang menjadi peluang para cracker mengobrak - abrik jaringannya, Perusahaan asuransi dan auditing "Price Waterhouse". Mereka memiliki team hacker yang disebut dengan Tiger Team. Mereka bekerja untuk menguji sistem sekuriti client mereka.
8
CRACKER Cracker adalah sebutan untuk mereka yang masuk ke sistem orang lain, biasanya di jaringan komputer, mem- bypass password atau lisensi program komputer, secara sengaja melawan keamanan komputer, men-deface (merubah halaman muka web) milik orang lain bahkan hingga men-delete data orang lain, mencuri data dan umumnya melakukan cracking untuk keuntungan sendiri, maksud jahat, atau karena sebab lainnya karena ada tantangan. Beberapa proses pembobolan dilakukan untuk menunjukan kelemahan keamanan sistem.
9
TINGKATAN HACKER 1. Elite Mengerti sistem operasi luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global, melakukan pemrogramman setiap harinya, effisien & trampil, menggunakan pengetahuannya dengan tepat, tidak menghancurkan data-data, dan selalu mengikuti peraturan yang ada. Tingkat Elite ini sering disebut sebagai ‘suhu’. 2. Semi Elite Lebih muda dari golongan elite, mempunyai kemampuan & pengetahuan luas tentang komputer, mengerti tentang sistem operasi (termasuk lubangnya), kemampuan programnya cukup untuk mengubah program eksploit.
10
TINGKATAN HACKER 3. Developed Kiddie Umurnya masih muda (ABG) & masih sekolah, mereka membaca tentang metoda hacking & caranya di berbagai kesempatan, mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya, umumnya masih menggunakan Grafik User Interface (GUI) & baru belajar basic dari UNIX tanpa mampu menemukan lubang kelemahan baru di sistem operasi. 4. Script Kiddie Hanya mempunyai pengetahuan teknis networking yang sangat minimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.
11
TINGKATAN HACKER 5. Lamer Tidak mempunyai pengalaman & pengetahuan tapi ingin menjadi hacker sehingga lamer sering disebut sebagai ‘wanna-be’ hacker, penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software
12
KODE ETIK HACKER 1.Mampu mengakses komputer tak terbatas dan totalitas. 2.Semua informasi haruslah FREE. 3.Tidak percaya pada otoritas, artinya memperluas desentralisasi. 4.Tidak memakai identitas palsu, seperti nama samaran yang konyol, umur, posisi, dll. 5.Mampu membuat seni keindahan dalam komputer. 6.Komputer dapat mengubah hidup menjadi lebih baik. 7.Pekerjaan yang di lakukan semata-mata demi kebenaran informasi yang harus disebar luaskan.
13
KODE ETIK HACKER 8. Memegang teguh komitmen tidak membela dominasi ekonomi industri software tertentu. 9. Hacking adalah senjata mayoritas dalam perang melawan pelanggaran batas teknologi komputer. 10. Baik Hacking maupun Phreaking adalah satu- satunya jalan lain untuk menyebarkan informasi pada massa agar tak gagap dalam komputer.
14
KODE ETIK CRACKER Cracker tidak memiliki kode etik apapun..
15
ATURAN MAIN HACKER Di atas segalanya, hormati pengetahuan & kebebasan informasi. Memberitahukan sistem administrator akan adanya pelanggaran keamanan / lubang di keamanan yang anda lihat. Jangan mengambil keuntungan yang tidak fair dari hack. Tidak mendistribusikan & mengumpulkan software bajakan. Tidak pernah mengambil resiko yang bodoh – selalu mengetahui kemampuan sendiri. Selalu bersedia untuk secara terbuka / bebas / gratis memberitahukan & mengajarkan berbagai informasi & metoda yang diperoleh.
16
ATURAN MAIN HACKER Tidak pernah meng-hack sebuah sistem untuk mencuri uang. Tidak pernah memberikan akses ke seseorang yang akan membuat kerusakan. Tidak pernah secara sengaja menghapus & merusak file di komputer yang dihack. Hormati mesin yang di hack, dan memperlakukan dia seperti mesin sendiri. Hacker sejati akan selalu bertindak berlandaskan kode etik dan aturan main sedang cracker tidak mempunyai kode etik ataupun aturan main karena cracker sifatnya merusak.
17
JENIS KEGIATAN HACKING 1. Social Hacking Informasi tentang system apa yang dipergunakan oleh server, siapa pemilik server, siapa Admin yang mengelola server, koneksi yang dipergunakan jenis apa lalu bagaimana server itu tersambung internet, mempergunakan koneksi siapa lalu informasi apa saja yang disediakan oleh server tersebut, apakah server tersebut juga tersambung dengan LAN di sebuah organisasi dan informasi lainnya
18
JENIS KEGIATAN HACKING 2.Technical Hacking Merupakan tindakan teknis untuk melakukan penyusupan ke dalam system, baik dengan alat bantu (tool) atau dengan mempergunakan fasilitas system itu sendiri yang dipergunakan untuk menyerang kelemahan (lubang keamanan) yang terdapat dalam system atau service. Inti dari kegiatan ini adalah mendapatkan akses penuh kedalam system dengan cara apapun dan bagaimana pun.
19
Pengamanan Menyeluruh Harus menyeluruh - holistic approachHarus menyeluruh - holistic approach PEOPLE PROCESS TECHNOLOGY awareness, skill... security as part of business process... implementation...
20
Prinsip dalam sekuriti Repetition with recursion (pengulangan dengan mengulang kejadian yang pernah terjadi)Repetition with recursion (pengulangan dengan mengulang kejadian yang pernah terjadi) –Sistem memerlukan sifat dinamis menjalan proses sekuriti secara kontinu (berkesinambungan) Lakukanlah selalu analisa sistemLakukanlah selalu analisa sistem
21
Siklus hidup pengembangan sistem SDLC (System Development Life Cycle) Siklus pengembangan perangkat lunakSiklus pengembangan perangkat lunak –Diantaranya yang digunakan oleh developer dan programer –Model yang sering digunakana Water fallWater fall Linear / sequentialLinear / sequential SpiralSpiral –Langkah diantaranya: System planningSystem planning System analysisSystem analysis System designSystem design System selectionSystem selection System implementationSystem implementation System maintenanceSystem maintenance
22
Contoh untuk sistem keamanan InisiasiInisiasi –Pendefenisian konseptual –Penentuan kebutuhan –Pengembangan spesifikasi –Review disain Pengembangan dan akuisisiPengembangan dan akuisisi –Review komponen dan kode –Review pengujian sistem –Sertifikasi ImplementasiImplementasi MaintenanceMaintenance PembuanganPembuangan
23
Inisiasi Awal sebuah proses keamananAwal sebuah proses keamanan Diintegrasikan dan diimplementasikan dengan sistem TI secara penuhDiintegrasikan dan diimplementasikan dengan sistem TI secara penuh
24
Defenisi konseptual Memahami ruang lingkup proses keamanan tanggung jawab sistem keamananMemahami ruang lingkup proses keamanan tanggung jawab sistem keamanan Tujuan:Tujuan: –Tanggung jawab dan ruang lingkup individu yang terlibat didalam sistem keamanan –Contoh sistem akedemik di STMIK MDP membedakan tanggung jawab dan ruang lingkup admin, dosen, manejer dllsistem akedemik di STMIK MDP membedakan tanggung jawab dan ruang lingkup admin, dosen, manejer dll
25
Penentuan kebutuhan Menspesifikasikan secara detail sebuah objekMenspesifikasikan secara detail sebuah objek Aktivitas:Aktivitas: –Interview Mengklarifikasikan dan mengidentifikasi secara spesifik yang perlu diproteksi data maupun pemrosesan dataMengklarifikasikan dan mengidentifikasi secara spesifik yang perlu diproteksi data maupun pemrosesan data –Review ekstrenal Mengacu kearah enviroment (lingkungan sekuritas)Mengacu kearah enviroment (lingkungan sekuritas) Ancaman dan dukungan enviroment kemampuan teknologiAncaman dan dukungan enviroment kemampuan teknologi –Analisis Gap Gabungan review internal dan eksternal dan mencocokkan dengan objekGabungan review internal dan eksternal dan mencocokkan dengan objek Apa yang harus dilakukan wilayah teknologi, proses bisnis, budaya organisasi, pengetahuan end user, dllApa yang harus dilakukan wilayah teknologi, proses bisnis, budaya organisasi, pengetahuan end user, dll
26
Pengembangan spesifikasi proteksi Sistem dimodelkan dan dibandingkan dengan objektif dan resiko yang didefenisikan;Sistem dimodelkan dan dibandingkan dengan objektif dan resiko yang didefenisikan; –meliputi teknologi tertentu, konfigurasi, prosedur dan perubahan yang diizinkan
27
Review disain Pemeriksaan secara realitaPemeriksaan secara realita Kesempatan untuk mempresentasikan disain dan implikasi terhadap pengambil keputusanKesempatan untuk mempresentasikan disain dan implikasi terhadap pengambil keputusan
28
Pengembangan dan akuisi Menyusun dan menciptakan tool, prototipe, sistem pengujian dan verifikasi bahwa konfigurasi btelah benar dan tepatMenyusun dan menciptakan tool, prototipe, sistem pengujian dan verifikasi bahwa konfigurasi btelah benar dan tepat –melakukan review terhadap kode atau aplikasi yang akan diinstalkan, dan –menguji sistem sekuriti didalam konteks jaringan secara holistik
29
Review komponen dan kode Mengembangkan tool sekuriti, program atau komponen spesifikMengembangkan tool sekuriti, program atau komponen spesifik –mengevaluasinya didalam sebuah enviroment lab atao prototipe untuk mencari perilaku atau akibat yang tidak diharapkan Yang diperhatikanYang diperhatikan –Fungsionalitas komponen teknologi sekuriti bekerja sesuai harapan dan sesuai dengan kebutuhan sekurititeknologi sekuriti bekerja sesuai harapan dan sesuai dengan kebutuhan sekuriti –Konfigurasi komponen menguji konfigurasi yang bervariasi untuk sebuah komponen untuk memastikan konfigurasi bekerja sesuai harapanmenguji konfigurasi yang bervariasi untuk sebuah komponen untuk memastikan konfigurasi bekerja sesuai harapan –Pemeliharaan komponen menyiapkan individu / kelompok yang bertanggung jawab untuk memelihara komponenmenyiapkan individu / kelompok yang bertanggung jawab untuk memelihara komponen menetapkan prosedur operasional dan metode pemeliharaan, updating, trouble shooting terhadap komponenmenetapkan prosedur operasional dan metode pemeliharaan, updating, trouble shooting terhadap komponen –Mereview terhadap kode mengekplorasi bagian sensitif / kritis dari kode program mencari bug dan masalah fundamental disain programmengekplorasi bagian sensitif / kritis dari kode program mencari bug dan masalah fundamental disain program
30
Review pengujian sistem Fungsional sistemFungsional sistem –diasumsikan setiap komponen berfungsi secara individu –verifikasi dilakukan untuk menngungkapkan efek negatif yang belum diperkirakan sebelumnya Konfigurasi sistemKonfigurasi sistem –mengubah konfigurasi konfigurasi komponen ketika berinteraksi dengan sistem menemukanproblem dan kelemahan tersembunyi
31
Review pengujian sistem Pemeliharaan sistemPemeliharaan sistem –implikasi dari interaksi komponen membantu untuk pemeliharaan, upgrade, trouble shooting Training sistemTraining sistem –meningkatkan kemampuan individu untuk berinteraksi dengan sistem Implementasi sistemImplementasi sistem –prototipe sistem sekuriti untuk mempelajati kendala yang mungkin dapat ditemui saat implementasi sebenarnya –membuat dokumentasi problem implementasi
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.