Anti cybercrimeavinantatayangan

Antisipasi Cybercrime Dalam Bidang
Keuangan
Avinanta Tarigan
Pusat Studi Keamanan Sistem Informasi
Universitas Gunadarma
Seminar Nasional AAMAI
1 Avinanta Tarigan Antisipasi Cybercrime Dalam Bidang Keuangan

Outline
1 Pendahuluan
2 Konsep Keamanan Informasi
3 Akuntabilitas Elektronik & Permasalahannya
4 Social Engineering
5 Analysis Tools
6 Penutup

Pendahuluan
Outline
1 Pendahuluan
5 Analysis Tools
6 Penutup

Pendahuluan
Latar Belakang I
Dulu Sekarang

Pendahuluan
Latar Belakang II
CSI’s Computer Security Survey (2008)

Konsep Keamanan Informasi
Outline
1 Pendahuluan
5 Analysis Tools
6 Penutup

Pengertian Dasar

Pengertian Dasar
Vulnerability (Kelemahan)
Security Violation (Pelanggaran)
* Unauthorized
Access (Cracked)
* Password Stolen
* Unauthenticated Sites
* Sensible Information
Sniffed
Attacker who attacks
State
(Keadaan)
State
Transition

Pengertian Dasar I
Keadaan-keadaan Sistem dalam konteks keamanan
1 Aman
2 Tidak Aman (terjadi pelanggaran keamanan)
3 Berbahaya (hazard - dapat masuk ke dalam keadaan Tidak
Aman)
Keadaan Berbahaya → Kelemahan sistem (Vulnerability)
Tujuan Kemanan Sistem Informasi:
agar sistem selalu dalam keadaan Aman dan tidak akan
pernah dalam keadaan berbahaya atau bahkan sampai
terjadi insiden / pelanggaran keamanan

Pengertian Dasar II
Langkah2 Keamanan Sistem :
Prevention: mencegah agar sistem tidak sampai ke dalam
keadaan bahaya
Detection: mendeteksi terjadinya pelanggaran keamanan
Revocery: memulihkan sistem jika terlanjur terjadi
pelanggaran keamanan

Kebijakan Keamanan (Security Policy) I
Dasar: definisi keadaan Aman danTidak Aman
Mendefinisikan juga kebijakan2 dan prosedur2 untuk
mencapai tujuan sistem keamanan
Perbedaan konteks dan cakupan organisasi, contoh:
Sebuah UKM mengharuskan penggunaan sistem operasi
Linux untuk melindungi data dari virus
Bank Federal mengharuskan pemakaian
tanda-tangan-digital untuk semua transaksi elektronik di
negara tersebut
Sebuah negara mendefinisikan penyebaran konten
anti-pemerintah melalui media elektronik sebagai
Cybercrime

Kebijakan Keamanan (Security Policy) II
Kebijakan keamanan dapat juga tidak membatasi “Sistem”
hanya pada sistem komputer yang terimplementasi dalam
suatu institusi, misalnya
Bank A mendeﬁnisikan bahwa PC yang digunakan
nasabah internet banking masuk ke dalam sistem, oleh
karena itu Bank A mensyaratkan semua PC nasabah harus
bebas virus / trojan horse / keylogger
Bank B mendeﬁnisikan Website Phising dan Online-Scam
sebagai ancaman terhadap reputasi, oleh karena itu perlu
dilakukan edukasi terhadap pihak yang berkepentingan

Dimensi Serangan / Attack I
Pelanggaran Keamanan: eksploitasi kelemahan dalam
sistem oleh penyerang (attacker)
Serangan:
serangan fisik
mencuri data penting di flashdisk, memutuskan aliran listrik,
anti-tampering-proof
serangan sintatik
SQL injection, buffer-overflow, man-in-the-middle (MTM)
Kesalahan Algoritma ( Software / Programmable Hardware )
Kesalahan Operasi / Prosedur ( Manusia )
serangan semantik
social engineering, site phising
Bias persepsi / komunikasi
Kurangnya Edukasi

Dimensi Serangan / Attack II
Tujuan serangan tidak hanya ditujukan pada sistem
komputer:
Menjatuhkan Reputasi
deface, email spoofing, domain
Penipuan
website phising, online-scams lewat SPAM
Pelanggaran hak atas kekayaan intelektual
pembajakan film dijital, digital plagiarism
Pelanggaran privasi
hidden cam, penyadapan email
Cybercrime lebih luas daripada Serangan dan mengacu
kepada Cyberthreat
penggunaan chatting untuk menjerat korban dalam
kejahatan seksual
penggunaan email/blog untuk fitnah

Konsep Dalam Gambar

Akuntabilitas Elektronik & Permasalahannya
Outline
1 Pendahuluan
5 Analysis Tools
6 Penutup

Sistem Yang Mendukung Akuntabilitas I
Transaksi elektronik: setiap perubahan yang signifikan
dalam sistem berbasikan komputer
login dan logout, menghapus file, menambah file
transfer elektronik antar rekening
pembayaran dengan kartu kredit
Akuntabilitas elektronik: sistem mendukung
pertanggungjawaban terhadap setiap transaksi elektronik
Untuk itu diperlukan:
Autentikasi (Authentication)
pihak yang berkomunikasi dapat mengidentifikasi dan
membuktikan keaslian identitas
Otorisasi (authorization)
sistem dapat menyaring transaksi yang “fahih” berdasarkan
kebijakan keamanan dan hasil autentikasi

Sistem Yang Mendukung Akuntabilitas II
Selain itu, juga dibutuhkan:
Integritas (Integrity)
sistem dapat mengetahui atau mencegah modiﬁkasi oleh
yang tidak berhak
Kerahasiaan (Secrecy / Conﬁdentiality)
sistem melindungi informasi agar tidak jatuh atau diketahui
oleh yang tidak berhak
Beberapa juga mementingkan:
Non-Repudiation
sistem memungkinkan pelaku transaksi tidak dapat
mengelak dari perbuatannya
Dukungan sistem terhadap akuntabilitas elektronik
memudahkan pembuktian hukum dan proses komputer
forensik

Autentikasi
Hal yang mendasar dan harus ada dalam sistem
keamanan untuk membuktikan keaslian identitas pihak
yang terlibat dalam transaksi elektronik
Beberapa tingkat autentikasi:
1 Username & Password
2 One-time-pad Password
3 Shared-Key Cryptography (misalnya: Pretty-Good-Privacy
[PGP])
4 Public-Key Cryptography dalam framework Public Key
Infrastructure (PKI)
5 Penggunaan SmartCard / Secure-Token untuk menyimpan
dan melindungi Key
6 Penggunaan Biometric Sistem untuk identiﬁkasi atau
mengaktifkan Smartcard

TTD-Dijital & PKI I

TTD-Dijital & PKI II

TTD-Dijital & PKI III
PKI dan TTDD merupakan implementasi Kriptograﬁ untuk
solusi:
Autentikasi
Kerahasiaan dan integritas data
Non-Repudiation
Implementasi TTDD dalam protokol keamanan:
SSL (Secure Socket Layer) / TLS dan turunannya
mis: HTTPS, SSH, SMTPS, IMAPS, POP3S, dll
XML-Sig: Keamanan Interoperabilitas Data

Security is not just Cryptography
Mengapa masih terjadi pelanggaran keamanan meskipun
Kriptografi digunakan ?
Schneier: A Chain of Trust is only strong as the weakest
link
Anderson: Vulnerabilities raise between two protected
technologies
Shamir: Cryptography is not broken, it is circumvented
Needham & Lampson: If you think that cryptography is the
answer to your problem then you don’t understand
cryptography and you don’t understand your problem.
Kriptografi = Keamanan Informasi
Tetapi implementasi Kriptografi dalam Keamanan Informasi
sangat signifikan

Kelemahan MD5 dalam PKI

Kelemahan Pada Perangkat Lunak I
Perilaku sistem komputer berdasar pada:
Algoritma (Perangkat Lunak / Program / Software)
Perintah Pengguna (user input, user decision)
Penyerang memanfaakan kelemahan (vulnerabilty) akibat
BUGS pada program / perangkat lunak:
SQL Injection
Buffer Overﬂow (Stack Smashing)
Langkah-langkah penyerangan
Penyerang terlebih dahulu harus mengetahui kelemahan
program
Penyerang mengirimkan input string yang panjang berisi
kode “nakal”

Kelemahan Pada Perangkat Lunak II
String yang panjang “membanjiri” memori (buffer),
sehingga “luapan” string mengisi memory tempat perintah
seharusnya berada
Kode “nakal” dieksekusi oleh sistem
Bagaimana mengatasinya ? Tidak ada solusi tunggal !
Programmer: memeriksa user input / bound checking
OpenSource: Kolaborasi antara programmer, user, &
peer-review (Security by Obscurity)
Software Project Manager: Secure Programming Best
Practice
Computer Scientist: Hardening Language / Compiler
Anda tergantung dengan vendor ?:
Kontrak kerjasama / pengkinian / maintenance keamanan
Selalu update terhadap perkembangan dan melakukan
patching berkala
Eling & Waspodo (Stay Alert)

Kelemahan Perangkat Keras I
Transaksi elektronik membutuhkan sistem perangkat keras
dalam autentikasi dan otorisasi
Contoh:
Magnetic Card & Smartcard
ATM System
EDC (Electronic Data Capture) + PIN-PAD
Sebagian besar dilengkapi dengan anti-Tampering:
Mekanisme yang dapat mendeteksi “kenakalan /
keisengan” terhadap alat tsb
dan (jika lebih canggih) memusnahkan informasi sensitif
yang dikandung alat tsb
Problem:
Kelemahan pada anti-tampering
Kelemahan pada pengguna sistem

Kelemahan Perangkat Keras II
“Kenakalan” Thd Anti-Tampering

Kelemahan Perangkat Keras III
Menakali User (ATM Skimming)

Kelemahan Perangkat Keras IV
Bagaimana cara mengatasinya ?
Hardware Designer: veriﬁkasi desain & peer-reviews
Service Provider: evaluasi & re-evaluasi
Regulator: sertiﬁkasi & audit secara berkala
Pengguna: (lagi-lagi) edukasi + Eling & Waspodo
Komunitas: incident response team & publikasi

Social Engineering
Outline
1 Pendahuluan
5 Analysis Tools
6 Penutup

Social Engineering
Phising I
Memanfaatkan kelemahan pengguna
Mengapa Phising terjadi ?
Kelemahan TCP/IP (IP Spooﬁng, Mystipo Attack, Email
Scam)
Kurangnya pengetahuan pengguna terhadap konsep
keamanan informasi
Problem User-Interface: kesulitan dalam melakukan
veriﬁkasi
[Damija et.al.] :
Kurangnya pengetahuan tentang sekuriti indikator dan
implikasinya
Tipuan visual dari website yang meyakinkan
Pengguna tidak tahu jika sekuriti indikator muncul
Pengguna tidak bisa membedakan sekuriti indikator
browser dan sekuriti indikator “nakal” dari website

Social Engineering
Phising II
Indikator Keamanan

Social Engineering
Phising III
Keadaan Kritis

Social Engineering
Beberapa Alternatif Solusi I
Membatasi opsi keputusan pengguna .vs. kenyamanan
Edukasi terhadap pengguna (suatu keharusan)
Pemanfaatan penuh PKI, Digital Signature, dan SSL (tidak
mudah & murah):
Two Factors authentication
Memerlukan :
Smartcard-Crypto System
Sistem national-ID & CA yang terpercaya
Regulasi
Sekali lagi: tidak ada solusi tunggal

Social Engineering
Beberapa Alternatif Solusi II
Dynamic Security Skins
[Damija et.al., 2005]
Browser & Server agree on
a key (cryptographic
protocol)
Key → Image
Image tsb digunakan sbg
skin browser + web-element
Pengguna melakukan
veriﬁkasi dg pencocokan
antara skin browser &
web-elements

Analysis Tools
Outline
1 Pendahuluan
5 Analysis Tools
6 Penutup

Analysis Tools
Analisis Keamanan Sistem
Untuk melakukan analisis terhadap keamanan sebuah
sistem diperlukan pisau analisis yang bekerja pada domain
masing-masing
Analisis Serangan ke dalam suatu Sistem :
Contoh: Attack Tree [Schneier]
Analisis Protokol Keamanan :
Contoh: Formal Methods (Spi Calculus, BAN Logic, etc)
Analisis Insiden Keamanan :
Why-Because-Analysis [Ladkin et.al.]

Analysis Tools
Attack Tree

Analysis Tools
Analisis Insiden Keamanan
1.3
the using of Internet
Banking
1.3.1
assumption to use .com
is a must rather than
local domain
1.1
unexpected user action
1.1.3
misinterpretation of
user interface information
1.1.1
mistyping probability
1.1.2
user overconfidence,
less in considering
the risk
1.1.3.2
language problem
1.1.3.3
cultural problem in
understanding instruction
1.1.3.1
insuficient symbol
to represent threat
1.2
the impersonations of
Internet Banking site
1.2.1
Someone intention
1.2.2
lack of naming regulation
in domain name registration
1.1.2.2.1.1.3
time to market pressure
1.1.2.1
marketing hype
1.1.2.2.1.1
insufficient preparation
& registration process
1.1.2.2.1.1.1
lack of awareness
in Bank’s management
1.1.2.2.1.1.2
inadequate ebanking regulation
1.1.2.2.1.1.2.1
lack of regulator awareness
1.1.2.2
lack of
user awareness
1.1.2.2.1
lack of user education
1.3.1.1
hype of .com as
a brand image
1
Mistypo incident and
its consequences

Penutup
Outline
1 Pendahuluan
5 Analysis Tools
6 Penutup

Penutup
Penutup
Dimensi keamanan komputer / informasi tidak dibatasi
hanya pada teknologi
Luas dan dalamnya kebijakan keamanan menentukan
gerak dan proses keamanan sebuah sistem
Membangun sistem dengan kemampuan akuntabilitas
elektronik tidak mudah
Tidak ada “single solution” dalam mengatasi keamanan
sistem informasi
Kesadaran dan pengetahuan akan keamanan informasi
sangat penting bagi semua pihak
Memerlukan kerjasama semua pihak yang berkepentingan
terutama dalam Security Information Sharing

Penutup
TERIMAKASIH
Materi ini dapat diunduh dari:
http://avinanta.staff.gunadarma.ac.id

Anti cybercrimeavinantatayangan

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to Anti cybercrimeavinantatayangan

Similar to Anti cybercrimeavinantatayangan (20)

Anti cybercrimeavinantatayangan