introduction to security - lkpp.go.id. materi pak budi rahardjo (pembahasan sop... ·...
TRANSCRIPT
Introduction toInformation Security
IP-based Network Security
Budi [email protected] - [email protected]
http://rahard.wordpress.com
IEEE Spectrum – Nov 2004
“Most important technology of the last 40 years”
Integrated CircuitsInternetComputers
Perangkat menjadi lebih kecil, lebih cepat, dan harganya lebih murah[wireless, IP]
Kisruh di Billing Operator
• Sebuah perusahaan menuntut bagi hasil kepada operator telepon seluler. Menjadi kasus legal– Operator tidak dapat menunjukkan data dari
billing system
– Jika data tersedia, bagaimana meyakinkan pihak ketiga bahwa data yang disediakan benar
– Harus diaudit oleh pihak ketiga yang independen
Masalah security terkini
• Fraud di dunia perbankan(skimmer di mesin ATM, kartu kredit, ...)
• Masalah di social network(pencurian identitas, penurunan produktivitas)
• Deface, spamming [mail server DPR terbuka?]
• Virus, malware
• Pencurian perangkat (physical security)
• Application security
Masalah (sebelum 2011)
• Kepatuhan terhadap aturan (regulatory compliance)– ISO 17799 / 27001, BASEL II, SOX, …– IT audit, IT alignment, …
• Ketergantungan kepada sistem IT makin tinggi sehingga ketersediaan (availability) menjadi sorotan– Bencana (tsunami, gempa, banjir), serangan
teroris, …– Disaster Recovery Center/Plan, Business
Continuity Planning (BCP), …
Terkait teknologi (sebelum 2011)
• Portable & Wireless
– Mobile devices: PDA, USB-based flash disk, digital camera
– Notebook+WiFi, Access Point murah, Bluetooth, GPRS, 3G, HSDPA
– Bagaimana membatasi penggunaannya?
• IP-based
– IP telephony: Skype, Yahoo Messanger with call, Google talk
– Padahal IP versi 4 masih rentan dengan masalah keamanan
• Less cash society
– Penggunaan kartu, smartcard, chipcard, RFID
– “Pulsa” sebagai alat bayar
– Munculnya pemain baru yang sebelumnya bukan institusi finansial
Terlupakan: Kelemahan dari dalam
• 1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan beberapa statistik yang menarik, seperti misalnya ditunjukkan bahwa “disgruntled worker” (orang dalam) merupakan potensi attack / abuse.
http://www.gocsi.com
Disgruntled workers 86%Independent hackers 74%US competitors 53%Foreign corporation 30%Foreign government 21%
Justifikasi Investasi Security
• Survey Information Week (USA), 1271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting.
Kesadaran akan masalah keamanan masih rendah!
• Bagaimana untuk meyakinkan management untuk melakukan investasi di bidang keamanan?
Security Goals / Aspek Security
• Confidentialty
• Integrity
• Availability
• Authentication
• Non-repudiaton
Aspek Keamanan
• People
• Process
• Technology
• Semuanya harus memiliki tingkat keamanan yang cukup
People
• Kurangnya wawasan (awareness) security
• Skill security masih sebagi ilmu baru, terpisah dari ilmu lain seperti pengembangan aplikasi
– Secure Software Development Life Cycle
• Cara padang yang berbeda / etika
Process
• Kebijakan, standar, prosedur, ..
• Sering dianggap sebagai penghambat– Ganti password secara
berkala
– Penggunaan kompleksitas password
Technology
• Kemajuan teknologi dapat meningkatkan kenyamanan tetapi membuat celah keamanan baru
– Portable devices
– Wireless
– Faster speed
Klasifikasi Berdasarkan Elemen Sistem
• Network security
– fokus kepada saluran (media) pembawa informasi
• Application security
– fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database
• Computer security
– fokus kepada keamanan dari komputer (end system), termasuk operating system (OS)
Prinsip Keamanan 29/31
Prinsip Keamanan 30/31
Letak potensi lubang keamanan
www.bank.co.id
Internet
Web SiteUsers
ISP
Network
sniffed, attacked
Network
sniffed,
attacked
Network
sniffed,
attacked
Virus,
trojan horse,
malware
- Applications
(database,
Web server)
attacked
-OS hacked
HOLES
• System (OS)
• Network
• Applications (db)
Userid, Password,
PIN, credit card #