Pengamanan Digital    Lukito Edi Nugroho
Transaksi Elektronis Transaction : “an action or activity involving  two parties or things that reciprocally affect or  i...
Transaksi Elektronis Transaksi elektronis pada umumnya bersifat:    Tidak langsung  pertukaran atau perpindahan     mel...
Jenis-Jenis Ancaman/Serangan Serangan untuk mendapatkan akses (access  attacks)      Berusaha mendapatkan akses ke berba...
Access Attacks Dumpster diving – mencari informasi dari  tumpukan kertas/dokumen yang telah  dibuang Eavesdropping – “me...
Cara-Cara Melakukan Access Attacks Sniffing   Memanfaatkan metode broadcasting dalam LAN   “Membengkokkan” aturan Ether...
Cara-Cara Melakukan Access Attacks Spoofing    Memperoleh akses dengan acara berpura-pura menjadi seseorang     atau ses...
Cara-Cara Melakukan Access Attacks Man-in-the-middle   Membuat client dan server sama-sama mengira    bahwa mereka berko...
Cara-Cara Melakukan Access Attacks Menebak password   Dilakukan secara sistematis dengan teknik brute-    force atau dic...
Modification Attacks Biasanya didahului oleh access attack untuk  mendapatkan akses Dilakukan untuk mendapatkan keuntung...
Denial of Service Attacks Berusaha mencegah pemakai yang sah untuk  mengakses sebuah sumber daya atau informasi Biasanya...
Kriptografi Teknik untuk meningkatkan keamanan data/  informasi dengan cara menyamarkan data/  informasi ke dalam bentuk ...
Jenis-Jenis Kriptografi Kriptografi simetris   Kunci enkripsi = kunci dekripsi   Kelebihan: cepat (karena sederhana)  ...
Jenis-Jenis Kriptografi Kriptografi hibrid   Kunci sesi yang bersifat unik dan sekali pakai   Teknik simetris  enkrips...
Sertifikat Digital Bukti otentik terhadap hak-hak untuk  melakukan transaksi untuk layanan-layanan  yang diberikan Penti...
Protokol-Protokol Aman Secure Socket Layer (SSL)   Dikembangkan oleh Netscape  pengamanan    pada lapisan transport   ...
The Vision of Korean E-Government                             World‟s Foremost Open E-Government      Innovate Service De...
Requirements for good e-Gov services             Readiness                Convenience  - Service that everyone    - easy s...
A case of Phishing Phising = Private data + fishing                                                          The email co...
Attacking Objects are Generalized – From special target like internet banking to everything – Information systems are all ...
Need for e-Gov Security                                   G2B                    Gov & Industry                           ...
Security Measures for e-Government            Management                                                      Technology  ...
Solutions for Content Security - DRM    USER A                                                                           U...
Administrator                                            How it worksManages security policy, user’s authority and monitor...
Services to be Protected                                          e-                                        nationa       ...
A Standards-Based Framework for a SingleEuropean Electronic Market (SEEM)   Open, global standards, protocols & interface...
e-Gov Procurement (e-GP) Example Standards        Prevent failures        Increase efficiency of complex operations    ...
SOME STANDARDS FOR eGP DATA CENTER IT Service                                Site security (RFCManagement                 ...
SOME STANDARDS FOR eGP                      TRANSACTION SYSTEMS                                                           ...
KEY STANDARDS FOR eGP eTENDERING                        QUESTIONS & ANSWERS                    SYSTEM                     ...
Estonian ID card and PKIThe purpose of Estonian ID-card project was to use nation-wide electronicidentity and develop a ne...
eServicesThe set of facilities for the IS•Authentication (ID-card + 5 Internet bank services);•Authorization;•MISP (Mini I...
Functional scheme                                                              Authenti-                                  ...
Germany„s e-Gov Security as a key requirement for eGovernment Web Services     Paperless processes  Electronic Forms wi...
Upcoming SlideShare
Loading in …5
×

Es pengamanan digital

565 views

Published on

Materi Kuliah Layanan Elektronis

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
565
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Es pengamanan digital

  1. 1. Pengamanan Digital Lukito Edi Nugroho
  2. 2. Transaksi Elektronis Transaction : “an action or activity involving two parties or things that reciprocally affect or influence each other” [Merriam-Webster‟s Dictionary of Law] Biasanya melibatkan pertukaran atau perpindahan barang, jasa, atau uang Transaksi elektronis adalah transaksi yang menggunakan media elektronis  Komputer sebagai alat pemroses  Pertukaran atau perpindahan menggunakan jaringan komputer dan Internet
  3. 3. Transaksi Elektronis Transaksi elektronis pada umumnya bersifat:  Tidak langsung  pertukaran atau perpindahan melewati satu atau lebih pihak-pihak eksternal  Kedua pihak yang terlibat tidak bertemu secara fisik Transaksi elektronis berpotensi menjadi obyek gangguan/ancaman keamanan karena:  Data/informasi yang terlibat memiliki nilai  “Jarak virtual” antara pihak-pihak yang terlibat memungkinkan terjadinya intervensi pihak eksternal
  4. 4. Jenis-Jenis Ancaman/Serangan Serangan untuk mendapatkan akses (access attacks)  Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi Serangan untuk melakukan modifikasi (modification attacks)  Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak sah Serangan untuk menghambat penyediaan layanan (denial of service attacks)  Menghambat penyediaan layanan dengan cara mengganggu jaringan komputer
  5. 5. Access Attacks Dumpster diving – mencari informasi dari tumpukan kertas/dokumen yang telah dibuang Eavesdropping – “mendengarkan” percakapan/komunikasi antara dua pihak Snooping – “mengintip” isi file orang lain (baik secara fisis maupun elektronis) Interception – memonitor lalulintas data di jaringan komputer
  6. 6. Cara-Cara Melakukan Access Attacks Sniffing  Memanfaatkan metode broadcasting dalam LAN  “Membengkokkan” aturan Ethernet, membuat network interface bekerja dalam mode promiscuous  Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer  Mencegah efek negatif sniffing  Pendeteksian sniffer (local & remote)  Penggunaan kriptografi (mis: ssh sbg pengganti telnet)
  7. 7. Cara-Cara Melakukan Access Attacks Spoofing  Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid  Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password) Client Penyerang Server Logon Invalid logon Client Server Logon Logon berhasil Pada saat ini, penyerang sudah mendapatkan username & password yang sah untuk bisa masuk ke server
  8. 8. Cara-Cara Melakukan Access Attacks Man-in-the-middle  Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya) Client Man-in-the-middle Server
  9. 9. Cara-Cara Melakukan Access Attacks Menebak password  Dilakukan secara sistematis dengan teknik brute- force atau dictionary  Teknik brute-force: mencoba semua kemungkinan password  Teknik dictionary: mencoba dengan koleksi kata- kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb)
  10. 10. Modification Attacks Biasanya didahului oleh access attack untuk mendapatkan akses Dilakukan untuk mendapatkan keuntungan dari berubahnya informasi Contoh:  Pengubahan nilai kuliah  Penghapusan data utang di bank  Mengubah tampilan situs web
  11. 11. Denial of Service Attacks Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi Biasanya ditujukan kepada pihak-pihak yang memiliki pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh politik, dsb) Teknik DoS  Mengganggu aplikasi (mis: membuat webserver down)  Mengganggu sistem (mis: membuat sistem operasi down)  Mengganggu jaringan (mis: dengan TCP SYN flood)
  12. 12. Kriptografi Teknik untuk meningkatkan keamanan data/ informasi dengan cara menyamarkan data/ informasi ke dalam bentuk yang tidak dapat dimengerti dengan mudah Proses: enkripsi dan dekripsi Komponen kriptografi  Fungsi enkripsi (dan dekripsi)  Kunci Kekuatan metode kriptografi terletak pada kekuatan algoritmanya dan tingkat kerahasiaan kunci
  13. 13. Jenis-Jenis Kriptografi Kriptografi simetris  Kunci enkripsi = kunci dekripsi  Kelebihan: cepat (karena sederhana)  Kelemahan: bagaimana mendistribusikan kunci secara rahasia ? Kriptografi asimetris (a.k.a. kriptografi kunci publik)  Kunci enkripsi  bersifat publik, kunci dekripsi  bersifat privat  Kelebihan: memungkinkan pertukaran data antar pihak yang tidak saling mengenal  Kelemahan: lebih lambat daripada kriptografi simetris (karena algoritmanya lebih kompleks)
  14. 14. Jenis-Jenis Kriptografi Kriptografi hibrid  Kunci sesi yang bersifat unik dan sekali pakai  Teknik simetris  enkripsi & dekripsi data/pesan  Teknik asimetris  enkripsi & dekripsi kunci sesi  Teknik hibrid menggabungkan kelebihan dua teknik lainnya  Teknik simetris untuk menangani data/pesan  cepat  Teknik asimetris mengijinkan pertukaran data dapat dilakukan secara aman dalam lingkungan publik
  15. 15. Sertifikat Digital Bukti otentik terhadap hak-hak untuk melakukan transaksi untuk layanan-layanan yang diberikan Penting untuk layanan-layanan on-line, untuk meyakinkan pemakai bahwa mereka mengakses layanan yang diinginkan  Contoh kasus KlikBCA beberapa tahun yang lalu Sertifikat digital dikeluarkan oleh lembaga third-party yang dipercaya (trusted) yang disebut Certificate Authority
  16. 16. Protokol-Protokol Aman Secure Socket Layer (SSL)  Dikembangkan oleh Netscape  pengamanan pada lapisan transport  Digunakan untuk mengamankan komunikasi antara client dan browser  https (http over ssl) Secure HTTP (shttp) Secure shell (SSH) sebagai pengganti telnet
  17. 17. The Vision of Korean E-Government World‟s Foremost Open E-Government  Innovate Service Delivery mechanisms  Network based Government  Enhance efficiency and transparency of  Knowledge based Government public sector  Realize sovereignty of the people  Participatory Government Knowledge Government Sharing Agency Collective 1 Portal Resolution Opinion/ Internet petition Integrated Agency Civil Petition Processing 2 Mobile Center Petition through platform fax, e- Agency mail, Internet, etc. 3 Public Fax, Mail, Local Petition … Telephone Office Agency Information N and Service Visiting Agency Web Sites Link betweenTai M. Chung AgenciesInternet Management Technology Lab. Provide various information and integratedSungkyunkwan University services
  18. 18. Requirements for good e-Gov services Readiness Convenience - Service that everyone - easy services to use : can use : Whoever Whenever, wherever Reliability Security - Service that is always - Service that is secured usable : Whenever - make private information secure
  19. 19. A case of Phishing Phising = Private data + fishing The email comes with various attributes of the legitimate bank Involve Fabricated URL Card Number Fabricated E-mail The phish site indeed looks like a simple ligitimate survey, except the demand for user ID or a debit card number Fabricated Web site
  20. 20. Attacking Objects are Generalized – From special target like internet banking to everything – Information systems are all related the offline systems in life Homepage Internet banking fabrication Service denial Attacking special target Every system networked to information systems
  21. 21. Need for e-Gov Security G2B Gov & Industry Gov. Support Attacking Privacy Outsourcing G2G Attacking Multiple Targets Attacking Enterprise Information Information Sharing Targets networked Attacking Critical Infrastructure Networking Threats to Shared Information G2C Public Opinion E-Petition Service Public welfare
  22. 22. Security Measures for e-Government Management Technology Access Control Authentication Encryption Task Balance Access Control Human Resource Non-repudiation Integrity Education Lawa & Regulations National Collaboration Research & Development Physical Security Escort Service Backup & ER Gate Control Ubiquitous Government
  23. 23. Solutions for Content Security - DRM USER A USER B Encrypted (Packaged) Doc Encrypted Doc DRM DRM Client Client Original Doc Enterprise Applications EDMS, KMS, E-mail, … DRM SERVER Usage Data Packaging Server Licensing Manager Usage Tracing Directory Interface Policy Manager Server… DRM Module Control Flow Doc Flow Directory Server
  24. 24. Administrator How it worksManages security policy, user’s authority and monitors a robust audittrail using web-based management tool All documents are automatically encrypted according to user’s authority when user requests a document from User B is blocked from DMS Server approaching to DMS System Document Management System with Document Safer Server Authorized Unauthorized Internal User A Internal User B Unauthorized internal user B Outflow has no Illegal external user can’t authority to open any documents open document External User
  25. 25. Services to be Protected e- nationa e-finance e-gov l defens e e-commerce e-community e-education Secure World Circulation & Development Management of of SocialSecure Document atmosphere Secure e-petition & Implementation of Encryption e-commerce System
  26. 26. A Standards-Based Framework for a SingleEuropean Electronic Market (SEEM)  Open, global standards, protocols & interfaces  Interoperable applications and platforms  Trusted and sustainable infrastructure  Compatibility between business practices  Catalog information exchange  Payment methods  Security
  27. 27. e-Gov Procurement (e-GP) Example Standards  Prevent failures  Increase efficiency of complex operations  Introduce order and predictabi-lity in electronic exchanges  Reduce risk  Increase trust► Enhance B2G/G2G connectivity and interoperability► Generate trust in electronic experience► Enhance competition and inclusion► Enhance efficiency and flexibility of public procurement function► Enhance cooperation and transparency► Facilitate evolution and innovation► Increase return, reliability of investments► Avoid vendor lock-in
  28. 28. SOME STANDARDS FOR eGP DATA CENTER IT Service Site security (RFCManagement 2196) (ISO/IEC 20000) Network security (ISO/IEC 18028-1 ) eGP Data Processing Computer security Center ISO/IEC 15408 Directory Service (LDAP, DSML) Reliability (HTTP-R) eduardo@talero.name
  29. 29. SOME STANDARDS FOR eGP TRANSACTION SYSTEMS Information security management eGP System (ISO/IEC 27001) System integration/ Collaboration Facilities Information Security E-Catalog Purchasing Controls ` (ISO 17999) Reliability (HTTP-R) E-Reverse Auctions Information Security E-Tendering Testing (OSSTMM) eduardo@talero.nameMay 27, 2009
  30. 30. KEY STANDARDS FOR eGP eTENDERING QUESTIONS & ANSWERS SYSTEM Authentication (X509, XML DSig, XKMS) Supplier SUPPLIER Profiles Q&A S ROSTER Traceability U B (ISO 13335 ) P U P DOCUMENT Bid Bid Vault Y L STORE Documents E I Decrypted R E Encrypted Bids Bids S R S Encrypted Receipts PROCESSING Encryption TIMETABLE(SSL, XML Encryp) eduardo@talero.name
  31. 31. Estonian ID card and PKIThe purpose of Estonian ID-card project was to use nation-wide electronicidentity and develop a new personal identification card that would bea generally acceptable identification document and contain both visually andelectronically accessible information.The Estonian ID-card facilities: •The certificate inserted in the ID-card includes the personal identification code, which enables to identify the individual at once. • A certificate, which enables to sign documents according to the Digital Signatures Act, is inserted in the ID-card chip.There exists a lot of similar projects in other countries (Belgium, Finland,Italy etc.), but using of ID-card services at large you can find in Estonia asin pilot country.
  32. 32. eServicesThe set of facilities for the IS•Authentication (ID-card + 5 Internet bank services);•Authorization;•MISP (Mini Info System Portal) portal services;•Simple queries to Estonian national databases;•The facilities for developing complex business model queries (queries to different databases and registers);•The writing operation into databases;•The facility to send large amount of data (over 10Mb) from database to database over the Internet;•Secure data exchange, logs storing;•Queries surveillance possibility;•The integration with citizen portal for adding new services;•The integration with entrepreneurs portal for adding new services;•Central and local monitoring;•The special database for storing services WSDL descriptions.
  33. 33. Functional scheme Authenti- cation CA of Users servers CA of citizens Portal Citizen Central Central server server Internet Security SSL channels, SecurityAdapter- Security Security server digitaly signed server MISP server server server encrypted messages Civil servant Central monitoring Data- IS of an base Local Local monitoring monitoring organizat.Databaseprocessors
  34. 34. Germany„s e-Gov Security as a key requirement for eGovernment Web Services  Paperless processes  Electronic Forms with electronic Signatures  Encryption for confidentiality, PKI for authentification Development of OSCI-Transport 1.2 in 2002  Secure message exchange based on XML-Technologies  Implementing a Registry for OSCI-Transport bases Web-Services Interconnecting the Registries of Residents as Killer-application  Standardization at the application level (OSCI-XMeld)  Nation-wide in use since Jan. 1, 2007  Other applications followed (e. g. Interior, Justice, Finance) Next steps  Adopting international “web service security” in OSCI-Transport 2  New Projects at the European level

×