2. Masalah Keamanan Komputer
Keamanan (Sekuriti) Komputer :
Segala sesuatu yang mengenai keamanan bagi sistem komputer, baik
hardware, software maupun brainware. Contoh:
• Perangkat Keras (Hardware) misalnya : dari pencurian
• Perangkat Lunak (Software) misalnya : dari serangan virus, cracker
• Perangkat Manusia (Brainware) misalnya : pembajakan tenaga kerja
Filosofi (dasar pemikiran) Keamanan Komputer
Agar dapat mengamankan sistem komputer dengan
benar, maka kita harus tahu karakteristik pengganggu
yang akan mendatangi sistem komputer kita.
3. Masalah Keamanan Jaringan
Dalam internetworking beberapa jenis gangguan dikenal dengan istilah:
• Cracking, berupa pengrusakan pada infrastruktur jaringan yang sudah
ada, misalnya pengrusakan pada sistem dari suatu server. Cracking
adalah cara hacking dengan tujuan jahat.
• Spamming, pengiriman berita atau iklan lewat surat elektronik (e-mail)
yang tak dikehendaki seperti pengiriman e-mail dapat hadiah, lotere,
atau orang yang mengaku punya rekening di bank di Afrika atau Timur
Tengah, minta bantuan “netters” untuk mencairkan, dengan janji bagi
hasil. Spam sering disebut juga sebagai bulk email atau junk e-mail alias
“sampah”.
• Phreaking, mendapatkan sesuatu yang gratis dengan memanfaatkan
celah/bugs pada penggunaan teknologi telepon.
4. Masalah Keamanan Jaringan
• Defacing, kegiatan mengubah halaman situs/website pihak lain.
Tindakan deface ada yang semata-mata iseng, unjuk kebolehan, pamer
kemampuan membuat program, tapi ada juga yang jahat, untuk mencuri
data dan dijual kepada pihak lain.
• Phising adalah kegiatan memancing pemakai komputer di internet
(user) agar mau memberikan informasi data diri pemakai (username)
dan kata sandinya (password) pada suatu website yang sudah di-deface.
• Carding adalah berbelanja menggunakan nomor dan identitas kartu
kredit orang lain, yang diperoleh secara ilegal, biasanya dengan mencuri
data di internet.
5. Prinsip Keamanan Jaringan
Jaminan keamanan jaringan dapat mengacu pada apa yang disebut CIA
Security.
•Confidentiality (kerahasiaan), memastikan hanya individu yang
berwenang (authority) dapat melihat.
•Integrity (integritas), memastikan hanya individu yang berwenang
dapat merubah (create,delete,modify).
•Availability (ketersediaan), memastikan data / system ada saat
individu yang berwenang mengakses.
6. Prinsip Keamanan Jaringan
• Least Privilege artinya meminimalkan hak istimewa (privilege) user
seminimal mungkin sesuai dengan keperluannya yang spesifik, setiap
orang hanya diberi hak akses tidak lebih dari yang dibutuhkan untuk
menjalankan tugasnya.
Contoh seorang staf pemasaran hanya mendapat hak akses untuk
menjalankan aplikasi administrasi pemasaran dan penjualan, seorang
staf kepegawaian hanya mendapat hak akses untuk menjalankan
aplikasi administrasi kepegawaian. Seorang manajer mendapat hak
akses untuk membaca dan menjalankan aplikasi departemen yang
dibawahinya dan dapat membaca file yang dimiliki oleh stafnya.
Seorang direktur dapat memonitor seluruh pekerjaan yang dilakukan
oleh manajer yang ada dibawahnya.
7. Prinsip Keamanan Jaringan
• Defense in Depth, menggunakan berbagai perangkat keamanan untuk
saling membackup. Misalnya dapat dipergunakan multiple screening
router, mirroring harddisk pada server, dua CDRW untuk satu kali
backup data yaitu dua kali sehari (setiap pagi dan sore) pada masing-
masing departemen sehingga kalau satu dijebol, maka yang satu lagi
masih berfungsi.
• Choke Point, semua keluar masuk lewat satu (atau sedikit) gerbang.
Syaratnya tidak ada cara lain keluar masuk selain lewat gerbang
tersebut.
• Weakest link, memantau titik lemah jaringan. Kelemahan jaringan di
dalam sistem sekuriti organisasi yang perlu diawasi adalah bila ada virus
baru yang tidak terdeteksi. Oleh karena itu update anti virus pada server
dan client harus selalu dilakukan dan tidak boleh diabaikan.
8. Prinsip Keamanan Jaringan
• Fail-Safe Stance, maksudnya kalau suatu perangkat keamanan rusak,
maka secara default perangkat tersebut settingnya akan ke setting yang
paling aman. Misalnya packet filtering kalau rusak akan mencegah
semua paket keluar-masuk.
• Universal Participation, semua orang dalam organisasi harus terlibat
dalam proses sekuriti. Setiap tiga bulan sekali dilakukan pelatihan untuk
menyegarkan kembali ingatan akan pentingnya mengamankan
perangkat keamanan komputer. Di dalamnya dilakukan evaluasi untuk
peningkatan efisiensi kinerja proses keamanan komputer.
• Diversity of Defense, mempergunakan beberapa jenis sistem yang
berbeda untuk pertahanan. Maksudnya, kalau penyerang sudah
menyerang suatu jenis sistem pertahanan, maka dia tetap akan perlu
belajar sistem jenis lainnya.
9. Serangan Keamanan
Macam-macam serangan keamanan terhadap aset dinamis dapat
dibedakan menjadi:
1. Interuption
2. Interception
3. Modification
4. Fabrication
11. Serangan Keamanan
1. Interruption
Interruption (pencegatan) terjadi bila data yang dikirimkan dari A
tidak sampai pada orang yang berhak (B). Interruption merupakan
pola penyerangan terhadap sifat availability (ketersediaan data).
Perangkat sistem menjadi rusak atau tidak tersedia. Serangan
ditujukan kepada ketersediaan (availability). Misalnya memotong
jalur komunikasi dengan membanjiri data masuk (flooding) atau
membuat router sangat sibuk sehingga pengguna tidak dapat
menggunakan server dalam jaringan. Ini semua adalah serangan
“Denial of Service Attack”.
Sumber
informasi
Tujuan
informasi
Pencegatan (Interruption)
12. Serangan Keamanan
2. Interception
Serangan ini terjadi bila pihak ketiga C berhasil membaca data yang
dikirimkan. Tujuan serangan ini adalah mendapatkan informasi
yang sifatnya pribadi dan tidak boleh dibaca oleh orang lain tanpa
seizin pemilik data. Interception merupakan pola penyerangan
terhadap sifat confidentiality (kerahasiaan data). Pihak yang tidak
berwenang berhasil mengakses asset atau informasi. Contoh dari
serangan ini penyadapan paket-paket data (sniffing), penyalinan
files secara tidak sah atau perekaman percakapan (wiretapping).
Sumber
informasi
Tujuan
informasi
Penangkapan (Interception)
13. Serangan Keamanan
3. Modification
Pada serangan ini pihak ketiga C berhasil merubah pesan yang dikirimkan
dari A sebelum sampai ke B. Modification merupakan pola penyerangan
terhadap sifat integrity (keaslian data). Pihak yang tidak berwenang tidak
saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset.
Contoh dari serangan ini antara lain adalah mengubah isi dari web site
(deface) dengan pesan-pesan yang merugikan pemilik web site. Contoh
lain meyisipkan virus atau trojan horse pada attachment email. Berbagai
jenis serangan “man-in-the-middle” merupakan bagian dari jenis serangan
ini.
Sumber
informasi
Tujuan
informasi
Modifikasi (Modification)
14. Serangan Keamanan
4. Fabrication
Pada serangan ini, penyerang berhasil mengirimkan data ke tujuan
dengan memanfaatkan identitas orang lain. Fabrication merupakan
pola penyerangan terhadap sifat authenticity. Pihak yang tidak
berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari
serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-
mail palsu (fake emails) ke dalam jaringan computer dan juga data
palsu (spoofed packet).
Sumber
informasi
Tujuan
informasi
Pemalsuan (Fabrication)
15. Tool & Protection
• Interruption such as DoS attack, network flooding
Tools : ping broadcast, smurf, synk4, macof
Protection : filter at router for outgoing packet, filter attack
originiating from the site
• Interception such as Password sniffing
Tools : tcpdump, ngrep, linux sniffer, dsniff, trojan
(Netbus, Subseven)
Protection : segmentation, switched hub, promiscuous
detection (anti sniff)
16. Tool & Protection
• Modification such as Virus or Trojan horse attached with email or web
sites
Tools : Antivirus
Protection : filter at mail server, integrity checker (eg. tripwire)
• Fabrication such as spoofed packets, fake mails as virus sends emails
from fake users (often combined with DoS attack)
Tools : various packet construction kit
Protection : filter outgoing packets at router
18. Metode Pengamanan Komputer
Keamanan komputer memiliki cabang-cabang yang banyak. Dalam
masalah pengamanan sistem, banyak yang harus diperhatikan. Seperti
database, keamanan data, keamanan komputer, keamanan perangkat
komputer, keamanan aplikasi, keamanan jaringan, dan keamanan
informasi. Tingkat keamanan tersebut dapat digambarkan dalam bentuk
tingkatan piramida keamanan.
a. Keamanan level 0
Merupakan keamanan fisik (physical security) sebagai tahap awal dari
komputer security. Keamanan fisik merupakan jendela awal dari
keamanan selanjutnya. Jika fisik terjaga, maka data-data dan hardware
komputer otomatis akan dapat diamankan.
19. Metode Pengamanan Komputer
b. Keamanan Level 1
Terdiri dari database security, data, computer, device, dan application
security. Untuk mengamankan database, komponen lainnya memiliki
peran yang penting. Misal, jika kita ingin database aman, maka kita harus
memperhatikan dahulu apakah application yang dipakai untuk membuat
desain database tersebut merupakan application yang sdah diakui
keamanannya, misalnya seperti Oracle. Kemudian kita memperhatikan
data security.
Data security adalah cara mendesain database tersebut. Seorang desainer
database yang profesional memikirkan kemungkinan-kemungkinan yang
akan terjadi pada masalah keamanan dari database tersebut. Selanjutnya,
device security merupakan alat-alat yang dipakai agar keamanan dari
komputer terjaga, juga keamanan komputer tersebut. Keamanan
komputer disini merupakan keamanan dari orang-orang yang tidak
berhak untuk mengakses komputer tempat database tersebut.
20. Metode Pengamanan Komputer
c. Keamanan Level 2
Keamanan level 2 adalah network security, yang merupakan keamanan
dari komputer yang terhubung ke jaringan, seperti LAN, WAN, maupun
internet. Karena, komputer yang terhubung ke jaringan sangat rentan
terhadap serangan, karena komputer server bisa diakses menggunakan
komputer client.
Oleh karena itu, setelah keamanan level 1 selesai dikerjakan maka
keamanan level 2 harus dirancang supaya tidak terjadi kebocoran
jaringan, akses ilegal, dan perbuatan-perbuatan yang dapat merusak
keamanan tersebut.
21. Metode Pengamanan Komputer
d. Keamanan level 3
Keamanan level 3 adalah information security, yaitu keamanan iformasi-
informasi yang kadang kala tidak begitu dipedulikan oleh administrator
atau pegawai seperti memberikan password ke teman, kertas-kertas
bekas transaksi, dsb. Namun hal tersebut bisa menjadi sangat fatal jika
informasi tersebut diketahui oleh orang-orang yang tidak
bertanggungjawab.
e. Keamanan level 4
Keamanan level 4 merupakan keamanan secara keseluruhan dari
komputer. Jika level 1-3 sudah dikerjakan dengan baik, maka otomatis
keamanan untuk level 4 sudah terpenuhi. Jika salah satu dari level
tersebut belum bisa terpenuhi, maka masih ada lubang keamanan yang
bisa diakses. Meskipun seluruh level telah memenuhi syaratpun masih
belum menutup kemungkinan adanya penyusup atau user illegal.
22. Teknik Kriptografi
Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang
berhubungan dengan aspek keamanan informasi, seperti kerahasiaan
data, keabsahan data, integritas data serta autentikasi data [A. Menezes,
P. van Oorschot and S. Vanstone - Handbook of Applied Cryptography].
Pada prinsipnya, kriptografi memiliki 4 komponen utama yaitu:
• Plaintext, yaitu pesan yang dapat dibaca
• Ciphertext, yaitu pesan acak yang tidak dapat dibaca
• Key, yaitu kunci untuk melakukan teknik kriptografi
• Algorithm, yaitu metode untuk melakukan enkrispi dan dekripsi
23. Teknik Kriptografi
Dua proses dalam kriptografi yaitu:
1. Enkripsi, adalah sebuah proses menjadikan pesan yang dapat dibaca
(plaintext) menjadi pesan acak yang tidak dapat dibaca (ciphertext).
2. Dekripsi, merupakan proses kebalikan dari enkripsi dimana proses ini
akan mengubah ciphertext menjadi plaintext.
encryption protocol decryption
plaintext
message
sender media receiver
ciphertext ciphertext
original
message
Key E Key D
24. Teknik Kriptografi Simetris
Kriptografi Algoritma Simetris atau Algoritma Sandi Kunci Rahasia
adalah algoritma kriptografi yang menggunakan kunci enkripsi yang sama
dengan kunci dekripsinya. Algoritma ini mengharuskan pengirim dan
penerima menyetujui suatu kunci tertentu sebelum mereka saling
berkomunikasi. Keamanan algoritma simetris tergantung pada kunci,
membocorkan kunci berarti bahwa orang lain dapat mengenkripsi dan
mendekripsi pesan. Agar komunikasi tetap aman, kunci harus tetap
dirahasiakan.
25. Teknik Kriptografi Simetris
Sifat kunci yang seperti ini membuat pengirim harus selalu memastikan
bahwa jalur yang digunakan dalam pendistribusian kunci adalah jalur yang
aman atau memastikan bahwa seseorang yang ditunjuk membawa kunci
untuk dipertukarkan adalah orang yang dapat dipercaya. Masalahnya
akan menjadi rumit apabila komunikasi dilakukan secara bersama-sama
oleh sebanyak n pengguna dan setiap dua pihak yang melakukan
pertukaran kunci, maka akan terdapat sebanyak (n-1)/2 kunci rahasia yang
harus dipertukarkan secara aman.
Contoh dari algoritma kriptografi simetris adalah Cipher Permutasi, Cipher
Substitusi, Cipher Hill, OTP, RC6, Twofish, Magenta, FEAL, SAFER, LOKI,
CAST, Rijndael (AES), Blowfish, GOST, A5, Kasumi, DES dan IDEA
26. Teknik Kriptografi Asimetris
Kriptografi Algoritma Asimetris, sering juga disebut Algoritma Kunci
Publik yang merupakan bagian dari Modern Cryptography, menggunakan
dua jenis kunci, yaitu kunci publik (public key) dan kunci rahasia (private
key). Public key merupakan kunci yang digunakan untuk mengenkripsi
pesan. Sedangkan private key digunakan untuk mendekripsi pesan.
27. Teknik Kriptografi Asimetris
Kunci publik bersifat umum, artinya kunci ini bisa saja tidak dirahasiakan
sehingga dapat dilihat oleh siapa pun. Sedangkan kunci rahasia adalah
kunci yang dirahasiakan dan hanya orang-orang tertentu saja yang boleh
mengetahuinya. Keuntungan utama dari algoritma ini adalah memberikan
jaminan keamanan kepada siapa saja yang melakukan pertukaran
informasi meskipun di antara mereka tidak ada kesepakatan mengenai
keamanan pesan terlebih dahulu maupun saling tidak mengenal satu
sama lainnya.
Algoritma asimetris pertama kali dipublikasikan oleh Diffie dan Hellman
pada tahun 1976 dalam papernya yang berjudul “New Directions in
Cryptography”. Contoh dari algoritma asimetris adalah RSA, ElGamal,
McEliece, LUC dan DSA (Digital Signature Algorithm).
28. Teknik Kriptografi Asimetris
Contoh penerapan kriptografi dengan algoritma asimetris:
Mako dan Bolin hendak berkomunikasi bertukar pesan, maka Mako dan
Bolin masing-masing membuat 2 buah kunci. Mako membuat dua buah
kunci, kunci publik dan kunci privat Mako. Bolin juga membuat dua buah
kunci, kunci public dan kunci privat Bolin. Mereka berkomunikasi dengan
cara:
• Mako dan Bolin saling bertukar kunci-publik. Mako mendapatkan kunci
publik dari Bolin dan Bolin pun mendapatkan kunci public Mako.
• Mako mengirim pesan ke Bolin dan mengenkripsinya dengan fungsi
kunci publik Bolin.
• Lalu Bolin menerima pesan dari Mako dan membukanya dengan fungsi
kunci private Bolin.
• Begitu pun sebaliknya, hal yang sama terjadi apabila Bolin hendak
mengirimkan pesan ke Mako.
29. Tujuan Kriptografi
Ada empat tujuan mendasar dari ilmu kriptografi yang juga merupakan
aspek keamanan informasi yaitu :
a. Menjaga kerahasiaan (privacy) informasi terhadap akses pihak-pihak
yang tidak memiliki kewenangan terhadap informasi tersebut.
b. Menjaga keutuhan informasi (integrity) sehingga informasi yang
ditransmisikan tidak mengalami perubahan baik oleh pihak yang tidak
berhak ataupun sesuatu hal lain (misalnya transmisi yang buruk).
c. Memastikan identitas atau autentikasi (authenticity) baik orang, mesin,
program ataupun kartu bahwa memang pihak yang benar-benar
berhak/asli/yang dimaksud. Autentikasi dapat juga digunakan untuk
menyamarkan identitas (anonimity) terhadap yang tidak berhak.
d. Mencegah penyangkalan (non-repudiation) bahwa data tersebut
memang benar adalah data yang dikirimkan oleh pihak pengirim.
30. Jenis Autentikasi Password
Autentikasi merupakan proses pengenalan peralatan, sistem operasi,
kegiatan, aplikasi dan identitas user yang terhubung dengan jaringan
komputer. Autentikasi dimulai pada saat user login ke jaringan dengan
cara memasukkan password.
Macam-macam metode autentikasi dengan username & password yaitu:
• Tidak ada username/password
Pada sistem ini tidak diperlukan username atau password untuk
mengakses suatu jaringan. Pilihan ini merupakan pilihan yang paling
tidak aman.
• Statis username/password
Pada metode ini username/password tidak berubah sampai diganti
oleh administrator atau user. Rawan terkena playbacks attack,
eavesdropping, theft, dan password cracking program.
31. Jenis Autentikasi Password
• Expired username/password
Pada metode ini username/password akan tidak berlaku sampai batas
waktu tertentu (30-60 hari) setelah itu harus direset, biasanya oleh
user. Rawan terkena playback attacks dan password cracking program
tetapi dengan tingkat kerawanan yang lebih rendah dibanding dengan
statis username/password.
• One-Time Password (OTP)
Metode ini merupakan metode yang teraman dari semua metode
username/password. Kebanyakan sistem OTP berdasarkan pada
“secret passphrase”, yang digunakan untuk membuat daftar
password. OTP memaksa user jaringan untuk memasukkan password
yang berbeda setiap kali melakukan login. Sebuah password hanya
digunakan satu kali.
32. Ciri Password Yang Baik
Ciri-ciri dari password yang baik diantaranya:
• Bukan kata yang terdapat dalam kamus.
• Bukan termasuk kata yang sama dengan struktur huruf pada keyboard.
Misalnya “qwerty”, “asdf”, “zxcv”.
• Tidak mengandung data pribadi seseorang, seperti tanggal lahir, tanggal
jadian pacaran, NIM, nama istri atau anak, dan sebagainya.
• Bukan merupakan kata dengan struktur berulang-ulang, seperti “abc”,
“123456”, “abc123”, “aabbcc”, dan sejenisnya.
• Sebaiknya kombinasi huruf besar dan kecil. Misalnya “liNuX”.
• Sebaiknya kombinasi kata ditambah dengan angka, misal “uBunTu73”.
• Akan lebih baik lagi jika dikombinasikan dengan karakter khusus, seperti
~!@#$%^&*()_+, missal “@kU C1nT4 K@MO0”
34. Contoh Teknik Autentikasi
Contoh autentikasi yang bersifat biometric adalah :
a. Sinyal suara dikenal dengan Voice Verification
• Pada awalnya semua suara kita direkam terlebih dahulu. Diproses
lalu hasilnya disimpan
b. Sidik jari (Fingerprints) atau telapak tangan (Handprints)
• Pada awalnya sidik jari atau telapak tangan di scan. Diproses lalu
hasilnya disimpan
c. Retina mata (Retina Patterns)
• Pada awalnya mata kita direkam pola retinanya. Diproses lalu
hasilnya disimpan
d. Wajah (Facial Recognition)
• Pada awalnya wajah direkam terlebih dahulu. Diproses lalu
hasilnya disimpan
35. Contoh Teknik Autentikasi
Contoh autentikasi lainnya:
a. Tanda tangan (signature / writing patterns)
• Dilihat dari penekanan pada waktu tanda tangan
b. Kartu magnetik
• Dapat menyimpan data pada magnetic stripe
c. Barcode
• Berupa garis-garis, sering kali dipergunakan pada barang-barang
yang dijual
d. Kartu Chip
• Biasanya dipergunakan sebagai ATM Bank, Kartu Telpon, dll
e. Micro chip
• Dapat menyimpan identitas manusia
• (Rencananya) akan ditanam dalam tubuh manusia