SlideShare a Scribd company logo

02 secure-prinsip

Wahyuni Rahmi
Wahyuni Rahmi
Technology
1 of 31
Download to read offline
Prinsip Keamanan -Security Principles-
Klasifikasi Keamanan Sisinfo [menurut David Icove] Fisik (physical security) Manusia (people / personel security) Biasanya orang terfokus kepada masalah data, Prinsip Keamanan 2/31 Data, media, teknik komunikasi Kebijakan dan prosedur (policy and procedures) masalah data, media, teknik komunikasi. Padahal kebijakan (policy) sangat penting!
• Network security – fokus kepada saluran (media) pembawa informasi • Application security – fokus kepada aplikasinya sendiri, termasuk di Klasifikasi Berdasarkan Elemen Sistem Prinsip Keamanan 3/31 – fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database • Computer security – fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)
Letak potensi lubang keamanan Internet ISP Network Network sniffed, attacked Network HOLES • System (OS) • Network • Applications (db) Prinsip Keamanan 4/31 www.bank.co.id Web Site Users Network sniffed, attacked Network sniffed, attacked Trojan horse - Applications (database, Web server) hacked -OS hackedUserid, Password, PIN, credit card #
• Confidentiality / Privacy • Integrity • Availability Authentication Aspek / Servis Keamanan (Security Control) Prinsip Keamanan 5/31 • Authentication • Non-repudiation • Access control
Privacy / confidentiality • Proteksi data [hak pribadi] yang sensitif – Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status perkawinan, nama anggota keluarga, nama orang tua – Data pelanggan. Customer Protection harus diperhatikan – Sangat sensitif dalam e-commerce, healthcare • Serangan: sniffer (penyadap), keylogger (penyadap kunci), Prinsip Keamanan 6/31 • Serangan: sniffer (penyadap), keylogger (penyadap kunci), social engineering, kebijakan yang tidak jelas • Proteksi: firewall, kriptografi / enkripsi, policy • Electronic Privacy Information Center http://www.epic.org Electronic Frontier Foundartion http://www.eff.org
Integrity • Informasi tidak berubah tanpa ijin – (tampered, altered, modified) • Serangan: – Penerobosan pembatas akses, spoof (pemalsuan), virus (mengubah berkas), trojan horse, man-in-the-middle Prinsip Keamanan 7/31 (mengubah berkas), trojan horse, man-in-the-middle attack • Proteksi: – message authentication code (MAC), (digital) signature, (digital) certificate, hash function
Availability • Informasi harus dapat tersedia ketika dibutuhkan – Serangan terhadap server: dibuat hang, down, crash, lambat – Biaya jika server web (transaction) down di Indonesia • Menghidupkan kembali: Rp 25 juta Prinsip Keamanan 8/31 • Kerugian (tangible) yang ditimbulkan: Rp 300 juta • Serangan: Denial of Service (DoS) attack • Proteksi: backup, redundancy, DRC, BCP, IDS, filtering router, firewall untuk proteksi serangan
Authentication • Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan – Bagaimana mengenali nasabah bank pada servis Internet Banking? Lack of physical contact Menggunakan: what you have (identity card) what you know (password, PIN) what you are (biometric identity) Prinsip Keamanan 9/31 what you are (biometric identity) Claimant is at a particular place (and time) Authentication is established by a trusted third party • Serangan: identitas palsu, password palsu, terminal palsu, situs web gadungan • Proteksi: digital certificates
On the Internet nobody knows you’re a dog Prinsip Keamanan 10/31
Authentication Terpadu Terlalu banyak authentication: membingungkan Prinsip Keamanan 11/31
Non-repudiation • Tidak dapat menyangkal (telah melakukan transaksi) – menggunakan digital signature / certificates – perlu pengaturan masalah hukum (bahwa digital signature sama seperti tanda tangan konvensional) Prinsip Keamanan 12/31 signature sama seperti tanda tangan konvensional)
Access Control • Mekanisme untuk mengatur siapa boleh melakukan apa – biasanya menggunakan password, token – adanya kelas / klasifikasi pengguna dan data, misalnya: Prinsip Keamanan 13/31 misalnya: • Publik • Private • Confidential • Top Secret
Jenis Serangan (attack) Menurut W. Stallings • Interruption DoS attack, network flooding • Interception Password sniffing A B E Prinsip Keamanan 14/31 Password sniffing • Modification Virus, trojan horse • Fabrication spoffed packets E
Interruption Attack • Denial of Service (DoS) attack – Menghabiskan bandwith, network flooding – Memungkinkan untuk spoofed originating address – Tools: ping broadcast, smurf, synk4, macof, various flood utilities Prinsip Keamanan 15/31 flood utilities • Proteksi: – Sukar jika kita sudah diserang – Filter at router for outgoing packet, filter attack orginiating from our site
Interception Attack • Sniffer to capture password and other sensitive information • Tools: tcpdump, ngrep, linux sniffer, dsniff, Prinsip Keamanan 16/31 • Tools: tcpdump, ngrep, linux sniffer, dsniff, trojan (BO, Netbus, Subseven) • Protection: segmentation, switched hub, promiscuous detection (anti sniff)
Modification Attack • Modify, change information/programs • Examples: Virus, Trojan, attached with email or web sites Prinsip Keamanan 17/31 email or web sites • Protection: anti virus, filter at mail server, integrity checker (eg. tripwire)
Fabrication Attack • Spoofing address is easy • Examples: – Fake mails: virus sends emails from fake users (often combined with DoS attack) Prinsip Keamanan 18/31 – spoofed packets • Tools: various packet construction kit • Protection: filter outgoing packets at router
More on Interruption Attack (cont.) • Distributed Denial of Service (DDoS) attack – Flood your network with spoofed packets from many sources – Based on SubSeven trojan, “phone home” via IRC once installed on a machine. Attacker knows how many agents ready to attack. Then, ready to exhaust your bandwidth Prinsip Keamanan 19/31 – Then, ready to exhaust your bandwidth – See Steve Gibson’s paper http://grc.com
Teknologi Kriptografi • Penggunaan enkripsi (kriptografi) untuk meningkatkan keamanan – Tidak semua dapat diamankan dengan enkripsi! Konsep: Private key vs public key Prinsip Keamanan 20/31 • Konsep: Private key vs public key – Contoh: DES, IDEA, RSA, ECC • Lebih detail, akan dijelaskan pada bagian terpisah
Security Requirement • Tidak semua aspek keamanan dibutuhkan – Berbeda untuk proses bisnis / aktivitas yang berbeda – Berbeda untuk industri yang berbeda Prinsip Keamanan 21/31 – Ada prioritas – Perlu ditegaskan aspek mana yang harus disediakan
Ancaman (Security Threats) • Perlu diidentifikasi acaman terhadap sistem – Darimana saja ancaman tersebut? • Dari dalam organisasi (pegawai)? • Dari luar organisasi (crackers, kompetitor)? Sumber: oleh manusia (sengaja, tidak sengaja) Prinsip Keamanan 22/31 – Sumber: oleh manusia (sengaja, tidak sengaja) atau alam (bencana, musibah)? – Tingkat kesulitan – Probabilitas ancaman menjadi kenyataan
Mempelajari crackers • Mempelajari: – Perilaku perusak – Siapakah mereka? – Apa motifnya? – Bagaimana cara masuk? – Apa yang dilakukan setelah masuk? Prinsip Keamanan 23/31 – Apa yang dilakukan setelah masuk? • Tools: – honeypot, honeynet
Crackers SOP / Methodology Dari “Hacking Exposed”: • Target acquisition and information gathering • Initial access • Privilege escalation • Covering tracks Prinsip Keamanan 24/31 • Install backdoor • Jika semua gagal, lakukan DoS attack
Prinsip Keamanan 25/31
IT SECURITY FRAMEWORK Prinsip Keamanan 26/31
Prinsip Keamanan 27/31
Pengamanan Menyeluruh • Harus menyeluruh - holistic approach PEOPLE • awareness, skill • ... • security as part of Prinsip Keamanan 28/31 PROCESS TECHNOLOGY • security as part of business process • ... • implementation • ...
Pengamanan Berlapis core Customer (with authentication device) IDS detect intrusions Prinsip Keamanan 29/31 Web server(s)Firewal protect access to web server Firewall protect access to SQL Internet banking gateway core banking applications Internet
Contoh Implementasi: Osaka Bank Prinsip Keamanan 30/31
Terima KasihTerima KasihTerima KasihTerima Kasih

Recommended

Materi 6-keamanan-komputer-keamanan-jringan-komputer
Materi 6-keamanan-komputer-keamanan-jringan-komputerMateri 6-keamanan-komputer-keamanan-jringan-komputer
Materi 6-keamanan-komputer-keamanan-jringan-komputersulaiman yunus
 
01. Keamanan Informasi
01. Keamanan Informasi01. Keamanan Informasi
01. Keamanan InformasiMuhammad Riza Nurtam
 
Digital Forensic
Digital ForensicDigital Forensic
Digital ForensicSofyan Thayf
 
Chapter 7 security web
Chapter 7 security webChapter 7 security web
Chapter 7 security webSetia Juli Irzal Ismail
 
Nii security (1)
Nii security (1)Nii security (1)
Nii security (1)Dimaz LawLiedth
 
Ns 1
Ns 1Ns 1
Ns 1Dadunk Day
 
Modul 2 - Jenis-Jenis Keamanan Jaringan
Modul 2 - Jenis-Jenis Keamanan JaringanModul 2 - Jenis-Jenis Keamanan Jaringan
Modul 2 - Jenis-Jenis Keamanan Jaringanjagoanilmu
 
01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_i01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_iratna yunita sari
 

Recommended

Materi 6-keamanan-komputer-keamanan-jringan-komputer
Materi 6-keamanan-komputer-keamanan-jringan-komputerMateri 6-keamanan-komputer-keamanan-jringan-komputer
Materi 6-keamanan-komputer-keamanan-jringan-komputersulaiman yunus
 
01. Keamanan Informasi
01. Keamanan Informasi01. Keamanan Informasi
01. Keamanan InformasiMuhammad Riza Nurtam
 
Digital Forensic
Digital ForensicDigital Forensic
Digital ForensicSofyan Thayf
 
Chapter 7 security web
Chapter 7 security webChapter 7 security web
Chapter 7 security webSetia Juli Irzal Ismail
 
Nii security (1)
Nii security (1)Nii security (1)
Nii security (1)Dimaz LawLiedth
 
Ns 1
Ns 1Ns 1
Ns 1Dadunk Day
 
Modul 2 - Jenis-Jenis Keamanan Jaringan
Modul 2 - Jenis-Jenis Keamanan JaringanModul 2 - Jenis-Jenis Keamanan Jaringan
Modul 2 - Jenis-Jenis Keamanan Jaringanjagoanilmu
 
01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_i01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_iratna yunita sari
 
Pertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiPertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiRoziq Bahtiar
 
Keamanan jaringan komputer
Keamanan jaringan komputerKeamanan jaringan komputer
Keamanan jaringan komputerseolangit2
 
Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2Ahmad Khaidir Ali Fullah
 
Aspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanAspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanFanny Oktaviarti
 
Secure Software Design
Secure Software DesignSecure Software Design
Secure Software Designbudi rahardjo
 
Tugas jarkom
Tugas jarkomTugas jarkom
Tugas jarkomrangersthita
 
Strategi dan cara hacker dalam menyerang keamanan internet
Strategi dan cara hacker dalam menyerang keamanan internetStrategi dan cara hacker dalam menyerang keamanan internet
Strategi dan cara hacker dalam menyerang keamanan internet19980913
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)elimyudha
 
Mengenal Hacker dan Cracker
Mengenal Hacker dan CrackerMengenal Hacker dan Cracker
Mengenal Hacker dan CrackerSofyan Thayf
 
Modul 8 - Keamanan Jaringan Komputer
Modul 8 - Keamanan Jaringan KomputerModul 8 - Keamanan Jaringan Komputer
Modul 8 - Keamanan Jaringan Komputerjagoanilmu
 
Jarkom - Jilid XIII
Jarkom - Jilid XIIIJarkom - Jilid XIII
Jarkom - Jilid XIIIrezarmuslim
 
Keamanan jaringan
Keamanan jaringanKeamanan jaringan
Keamanan jaringanShabrina Dewi
 
Cybersecurity for industry 4.0-part-1.pptx
Cybersecurity for industry 4.0-part-1.pptxCybersecurity for industry 4.0-part-1.pptx
Cybersecurity for industry 4.0-part-1.pptxmasadjie
 
552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdf552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdfFadlyBandit
 
E Business - Chp 10.pptx
E Business - Chp 10.pptxE Business - Chp 10.pptx
E Business - Chp 10.pptxKelvinSaputra12
 
2. security system attack
2. security system attack2. security system attack
2. security system attackimam damo
 
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxfile_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxirvaimuhammad
 
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...Ensign Handoko
 
PAGI-KSK 1.pptx
PAGI-KSK 1.pptxPAGI-KSK 1.pptx
PAGI-KSK 1.pptxTeguhSetiadiTGS
 
UTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxUTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxFIKUNIVAL
 
1 Aspek Keamanan Jaringan.pptx
1 Aspek Keamanan Jaringan.pptx1 Aspek Keamanan Jaringan.pptx
1 Aspek Keamanan Jaringan.pptxAhmadSyaifuddin33
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponsePanji Ramadhan Hadjarati
 

More Related Content

What's hot

Pertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiPertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiRoziq Bahtiar
 
Keamanan jaringan komputer
Keamanan jaringan komputerKeamanan jaringan komputer
Keamanan jaringan komputerseolangit2
 
Aspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanAspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanFanny Oktaviarti
 
Secure Software Design
Secure Software DesignSecure Software Design
Secure Software Designbudi rahardjo
 
Strategi dan cara hacker dalam menyerang keamanan internet
Strategi dan cara hacker dalam menyerang keamanan internetStrategi dan cara hacker dalam menyerang keamanan internet
Strategi dan cara hacker dalam menyerang keamanan internet19980913
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)elimyudha
 
Mengenal Hacker dan Cracker
Mengenal Hacker dan CrackerMengenal Hacker dan Cracker
Mengenal Hacker dan CrackerSofyan Thayf
 
Modul 8 - Keamanan Jaringan Komputer
Modul 8 - Keamanan Jaringan KomputerModul 8 - Keamanan Jaringan Komputer
Modul 8 - Keamanan Jaringan Komputerjagoanilmu
 
Jarkom - Jilid XIII
Jarkom - Jilid XIIIJarkom - Jilid XIII
Jarkom - Jilid XIIIrezarmuslim
 

What's hot (11)

Pertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiPertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasi
 
Keamanan jaringan komputer
Keamanan jaringan komputerKeamanan jaringan komputer
Keamanan jaringan komputer
 
Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2
 
Aspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanAspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan Jaringan
 
Secure Software Design
Secure Software DesignSecure Software Design
Secure Software Design
 
Tugas jarkom
Tugas jarkomTugas jarkom
Tugas jarkom
 
Strategi dan cara hacker dalam menyerang keamanan internet
Strategi dan cara hacker dalam menyerang keamanan internetStrategi dan cara hacker dalam menyerang keamanan internet
Strategi dan cara hacker dalam menyerang keamanan internet
 
Module6 bahasa (1)
Module6 bahasa (1)Module6 bahasa (1)
Module6 bahasa (1)
 
Mengenal Hacker dan Cracker
Mengenal Hacker dan CrackerMengenal Hacker dan Cracker
Mengenal Hacker dan Cracker
 
Modul 8 - Keamanan Jaringan Komputer
Modul 8 - Keamanan Jaringan KomputerModul 8 - Keamanan Jaringan Komputer
Modul 8 - Keamanan Jaringan Komputer
 
Jarkom - Jilid XIII
Jarkom - Jilid XIIIJarkom - Jilid XIII
Jarkom - Jilid XIII
 

Similar to 02 secure-prinsip

Cybersecurity for industry 4.0-part-1.pptx
Cybersecurity for industry 4.0-part-1.pptxCybersecurity for industry 4.0-part-1.pptx
Cybersecurity for industry 4.0-part-1.pptxmasadjie
 
552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdf552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdfFadlyBandit
 
E Business - Chp 10.pptx
E Business - Chp 10.pptxE Business - Chp 10.pptx
E Business - Chp 10.pptxKelvinSaputra12
 
2. security system attack
2. security system attack2. security system attack
2. security system attackimam damo
 
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxfile_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxirvaimuhammad
 
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...Ensign Handoko
 
UTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxUTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxFIKUNIVAL
 
1 Aspek Keamanan Jaringan.pptx
1 Aspek Keamanan Jaringan.pptx1 Aspek Keamanan Jaringan.pptx
1 Aspek Keamanan Jaringan.pptxAhmadSyaifuddin33
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponsePanji Ramadhan Hadjarati
 
BAB 8 Melindungi Sistem Informasi Perusahaan.pptx
BAB 8 Melindungi Sistem Informasi Perusahaan.pptxBAB 8 Melindungi Sistem Informasi Perusahaan.pptx
BAB 8 Melindungi Sistem Informasi Perusahaan.pptxAjiKTN
 
pembahasan kemanan komputer
pembahasan kemanan komputerpembahasan kemanan komputer
pembahasan kemanan komputerGisnu Gintara
 
Perlindungan keamanan informasi - Password
Perlindungan keamanan informasi - PasswordPerlindungan keamanan informasi - Password
Perlindungan keamanan informasi - Passwordradityamuhammad1
 
Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanBab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanStephen Setiawan
 
Materi Etika dan Hukum dalam penggunaan SI .ppt
Materi Etika dan Hukum dalam penggunaan SI .pptMateri Etika dan Hukum dalam penggunaan SI .ppt
Materi Etika dan Hukum dalam penggunaan SI .pptdesih3
 
Keamanan pada Sistem Terdistribusi
Keamanan pada Sistem TerdistribusiKeamanan pada Sistem Terdistribusi
Keamanan pada Sistem TerdistribusiYoshua Hanz
 
nii-security.PPTbshsjajahqjqkqkqkwhehehjjaj
nii-security.PPTbshsjajahqjqkqkqkwhehehjjajnii-security.PPTbshsjajahqjqkqkqkwhehehjjaj
nii-security.PPTbshsjajahqjqkqkqkwhehehjjajAnggaHermawan28
 

Similar to 02 secure-prinsip (20)

Keamanan jaringan
Keamanan jaringanKeamanan jaringan
Keamanan jaringan
 
Cybersecurity for industry 4.0-part-1.pptx
Cybersecurity for industry 4.0-part-1.pptxCybersecurity for industry 4.0-part-1.pptx
Cybersecurity for industry 4.0-part-1.pptx
 
552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdf552-P01 [Compatibility Mode].pdf
552-P01 [Compatibility Mode].pdf
 
E Business - Chp 10.pptx
E Business - Chp 10.pptxE Business - Chp 10.pptx
E Business - Chp 10.pptx
 
2. security system attack
2. security system attack2. security system attack
2. security system attack
 
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxfile_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
 
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...
Keamanan dan Privasi Data Pengguna di Bidang Fintech - Polines - Oktober 2020...
 
PAGI-KSK 1.pptx
PAGI-KSK 1.pptxPAGI-KSK 1.pptx
PAGI-KSK 1.pptx
 
UTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxUTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptx
 
1 Aspek Keamanan Jaringan.pptx
1 Aspek Keamanan Jaringan.pptx1 Aspek Keamanan Jaringan.pptx
1 Aspek Keamanan Jaringan.pptx
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
 
Keamanan Jaringan Komputer
Keamanan Jaringan KomputerKeamanan Jaringan Komputer
Keamanan Jaringan Komputer
 
BAB 8 Melindungi Sistem Informasi Perusahaan.pptx
BAB 8 Melindungi Sistem Informasi Perusahaan.pptxBAB 8 Melindungi Sistem Informasi Perusahaan.pptx
BAB 8 Melindungi Sistem Informasi Perusahaan.pptx
 
pembahasan kemanan komputer
pembahasan kemanan komputerpembahasan kemanan komputer
pembahasan kemanan komputer
 
Pertemuan 1.pptx
Pertemuan 1.pptxPertemuan 1.pptx
Pertemuan 1.pptx
 
Perlindungan keamanan informasi - Password
Perlindungan keamanan informasi - PasswordPerlindungan keamanan informasi - Password
Perlindungan keamanan informasi - Password
 
Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanBab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
 
Materi Etika dan Hukum dalam penggunaan SI .ppt
Materi Etika dan Hukum dalam penggunaan SI .pptMateri Etika dan Hukum dalam penggunaan SI .ppt
Materi Etika dan Hukum dalam penggunaan SI .ppt
 
Keamanan pada Sistem Terdistribusi
Keamanan pada Sistem TerdistribusiKeamanan pada Sistem Terdistribusi
Keamanan pada Sistem Terdistribusi
 
nii-security.PPTbshsjajahqjqkqkqkwhehehjjaj
nii-security.PPTbshsjajahqjqkqkqkwhehehjjajnii-security.PPTbshsjajahqjqkqkqkwhehehjjaj
nii-security.PPTbshsjajahqjqkqkqkwhehehjjaj
 

02 secure-prinsip

  • 2. Klasifikasi Keamanan Sisinfo [menurut David Icove] Fisik (physical security) Manusia (people / personel security) Biasanya orang terfokus kepada masalah data, Prinsip Keamanan 2/31 Data, media, teknik komunikasi Kebijakan dan prosedur (policy and procedures) masalah data, media, teknik komunikasi. Padahal kebijakan (policy) sangat penting!
  • 3. • Network security – fokus kepada saluran (media) pembawa informasi • Application security – fokus kepada aplikasinya sendiri, termasuk di Klasifikasi Berdasarkan Elemen Sistem Prinsip Keamanan 3/31 – fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database • Computer security – fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)
  • 4. Letak potensi lubang keamanan Internet ISP Network Network sniffed, attacked Network HOLES • System (OS) • Network • Applications (db) Prinsip Keamanan 4/31 www.bank.co.id Web Site Users Network sniffed, attacked Network sniffed, attacked Trojan horse - Applications (database, Web server) hacked -OS hackedUserid, Password, PIN, credit card #
  • 5. • Confidentiality / Privacy • Integrity • Availability Authentication Aspek / Servis Keamanan (Security Control) Prinsip Keamanan 5/31 • Authentication • Non-repudiation • Access control
  • 6. Privacy / confidentiality • Proteksi data [hak pribadi] yang sensitif – Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status perkawinan, nama anggota keluarga, nama orang tua – Data pelanggan. Customer Protection harus diperhatikan – Sangat sensitif dalam e-commerce, healthcare • Serangan: sniffer (penyadap), keylogger (penyadap kunci), Prinsip Keamanan 6/31 • Serangan: sniffer (penyadap), keylogger (penyadap kunci), social engineering, kebijakan yang tidak jelas • Proteksi: firewall, kriptografi / enkripsi, policy • Electronic Privacy Information Center http://www.epic.org Electronic Frontier Foundartion http://www.eff.org
  • 7. Integrity • Informasi tidak berubah tanpa ijin – (tampered, altered, modified) • Serangan: – Penerobosan pembatas akses, spoof (pemalsuan), virus (mengubah berkas), trojan horse, man-in-the-middle Prinsip Keamanan 7/31 (mengubah berkas), trojan horse, man-in-the-middle attack • Proteksi: – message authentication code (MAC), (digital) signature, (digital) certificate, hash function
  • 8. Availability • Informasi harus dapat tersedia ketika dibutuhkan – Serangan terhadap server: dibuat hang, down, crash, lambat – Biaya jika server web (transaction) down di Indonesia • Menghidupkan kembali: Rp 25 juta Prinsip Keamanan 8/31 • Kerugian (tangible) yang ditimbulkan: Rp 300 juta • Serangan: Denial of Service (DoS) attack • Proteksi: backup, redundancy, DRC, BCP, IDS, filtering router, firewall untuk proteksi serangan
  • 9. Authentication • Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan – Bagaimana mengenali nasabah bank pada servis Internet Banking? Lack of physical contact Menggunakan: what you have (identity card) what you know (password, PIN) what you are (biometric identity) Prinsip Keamanan 9/31 what you are (biometric identity) Claimant is at a particular place (and time) Authentication is established by a trusted third party • Serangan: identitas palsu, password palsu, terminal palsu, situs web gadungan • Proteksi: digital certificates
  • 10. On the Internet nobody knows you’re a dog Prinsip Keamanan 10/31
  • 12. Non-repudiation • Tidak dapat menyangkal (telah melakukan transaksi) – menggunakan digital signature / certificates – perlu pengaturan masalah hukum (bahwa digital signature sama seperti tanda tangan konvensional) Prinsip Keamanan 12/31 signature sama seperti tanda tangan konvensional)
  • 13. Access Control • Mekanisme untuk mengatur siapa boleh melakukan apa – biasanya menggunakan password, token – adanya kelas / klasifikasi pengguna dan data, misalnya: Prinsip Keamanan 13/31 misalnya: • Publik • Private • Confidential • Top Secret
  • 14. Jenis Serangan (attack) Menurut W. Stallings • Interruption DoS attack, network flooding • Interception Password sniffing A B E Prinsip Keamanan 14/31 Password sniffing • Modification Virus, trojan horse • Fabrication spoffed packets E
  • 15. Interruption Attack • Denial of Service (DoS) attack – Menghabiskan bandwith, network flooding – Memungkinkan untuk spoofed originating address – Tools: ping broadcast, smurf, synk4, macof, various flood utilities Prinsip Keamanan 15/31 flood utilities • Proteksi: – Sukar jika kita sudah diserang – Filter at router for outgoing packet, filter attack orginiating from our site
  • 16. Interception Attack • Sniffer to capture password and other sensitive information • Tools: tcpdump, ngrep, linux sniffer, dsniff, Prinsip Keamanan 16/31 • Tools: tcpdump, ngrep, linux sniffer, dsniff, trojan (BO, Netbus, Subseven) • Protection: segmentation, switched hub, promiscuous detection (anti sniff)
  • 17. Modification Attack • Modify, change information/programs • Examples: Virus, Trojan, attached with email or web sites Prinsip Keamanan 17/31 email or web sites • Protection: anti virus, filter at mail server, integrity checker (eg. tripwire)
  • 18. Fabrication Attack • Spoofing address is easy • Examples: – Fake mails: virus sends emails from fake users (often combined with DoS attack) Prinsip Keamanan 18/31 – spoofed packets • Tools: various packet construction kit • Protection: filter outgoing packets at router
  • 19. More on Interruption Attack (cont.) • Distributed Denial of Service (DDoS) attack – Flood your network with spoofed packets from many sources – Based on SubSeven trojan, “phone home” via IRC once installed on a machine. Attacker knows how many agents ready to attack. Then, ready to exhaust your bandwidth Prinsip Keamanan 19/31 – Then, ready to exhaust your bandwidth – See Steve Gibson’s paper http://grc.com
  • 20. Teknologi Kriptografi • Penggunaan enkripsi (kriptografi) untuk meningkatkan keamanan – Tidak semua dapat diamankan dengan enkripsi! Konsep: Private key vs public key Prinsip Keamanan 20/31 • Konsep: Private key vs public key – Contoh: DES, IDEA, RSA, ECC • Lebih detail, akan dijelaskan pada bagian terpisah
  • 21. Security Requirement • Tidak semua aspek keamanan dibutuhkan – Berbeda untuk proses bisnis / aktivitas yang berbeda – Berbeda untuk industri yang berbeda Prinsip Keamanan 21/31 – Ada prioritas – Perlu ditegaskan aspek mana yang harus disediakan
  • 22. Ancaman (Security Threats) • Perlu diidentifikasi acaman terhadap sistem – Darimana saja ancaman tersebut? • Dari dalam organisasi (pegawai)? • Dari luar organisasi (crackers, kompetitor)? Sumber: oleh manusia (sengaja, tidak sengaja) Prinsip Keamanan 22/31 – Sumber: oleh manusia (sengaja, tidak sengaja) atau alam (bencana, musibah)? – Tingkat kesulitan – Probabilitas ancaman menjadi kenyataan
  • 23. Mempelajari crackers • Mempelajari: – Perilaku perusak – Siapakah mereka? – Apa motifnya? – Bagaimana cara masuk? – Apa yang dilakukan setelah masuk? Prinsip Keamanan 23/31 – Apa yang dilakukan setelah masuk? • Tools: – honeypot, honeynet
  • 24. Crackers SOP / Methodology Dari “Hacking Exposed”: • Target acquisition and information gathering • Initial access • Privilege escalation • Covering tracks Prinsip Keamanan 24/31 • Install backdoor • Jika semua gagal, lakukan DoS attack
  • 28. Pengamanan Menyeluruh • Harus menyeluruh - holistic approach PEOPLE • awareness, skill • ... • security as part of Prinsip Keamanan 28/31 PROCESS TECHNOLOGY • security as part of business process • ... • implementation • ...
  • 29. Pengamanan Berlapis core Customer (with authentication device) IDS detect intrusions Prinsip Keamanan 29/31 Web server(s)Firewal protect access to web server Firewall protect access to SQL Internet banking gateway core banking applications Internet
  • 31. Terima KasihTerima KasihTerima KasihTerima Kasih