Dokumen tersebut membahas tentang keamanan komputer yang mencakup pengertian kejahatan komputer, keamanan komputer, dan model manajemen risiko keamanan komputer. Dokumen ini juga menjelaskan berbagai ancaman keamanan komputer seperti virus, trojan, worm, dan cara-cara pencegahannya seperti kebijakan keamanan, kontrol akses, firewall, dan enkripsi.
2. Computer Crime
Kejahatan komputer
Kejahatan yang dilakukan dengan pengetahuan atau teknologi
komputer.
Keamanan komputer
Tindakan pencegahan terjadinya kejahatan komputer.
Risk management Model
Asset : hardware, software, data, jaringan
Vulnerabilities : bugs, keteledoran,
Threats : bencana alam, crackers, user
Mengurangi kelemahan dan ancaman
Era Informasi Informasi adalah aset
3. Management & Kakom…
Keamanan perlu ada perencanaan
Sulit membujuk management untuk berinvestasi
Keamanan intangible(tidak dapat diukur langsung dengan uang)
Namun sebenarnya dapat diukur tangible
Hitung kerugian apabila sistem informasi anda tidak bekerja
selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan
Misalnya web site anda mengumumkan harga sebuah
barang yang berbeda dengan harga yang ada di toko anda
Perencanaan tepat = Penilaian resiko tepat + Teknologi tepat
4. Fakta keamanan…
2004, situs KPU (http://tnp.kpu.go.id) dicrak sehingga content situs berubah
2001, Nasabah klickbca.com disadap identitas accountnya
2000, Web terkemuka dunia diserang DoS (Yahoo, eBay, Amazon.com,CNN
2000, Fabian Clone menjebol web bank lippo dan Bali
1999, Domain Timor Timur hilang
Cracker Indonesia (hc) tertangkap saat menjebol web perusahaan Singapura
Hacker dari Massachusetts mematikan sistem telekomunikasi bandara lokal
Penipuan user Indonesia dengan accout eBay
Warnet digrebeg karena menggunakan account curian dari ISP Centrin
Website Indonesia diacak-acak cracker naisenodni (BEJ, BCA)
Kerugian : finansial, kerahasian dan harga diri
Motif : politis, finansial, dendam, pekerjaan(cracker bayaran)
5.
6. Peningkatan kejahatan komputer
Beberapa sebab :
Aplikasi bisnis berbasis IT meningkat
E-banking
E-Commerce
Electronic Data Interchange
Jaringan Internet semakin meningkat
Desentralisasi server
Pengguna yang semakin pandai
Lemahnya cyberlaw
Kompleksitas sistem
7. Aspek Keamanan
Confidentiality (Kerahasiaan) : boleh diakses oleh yang berhak saja
: spoofing(pencurian password)
Integrity (Keutuhan) : boleh diubah oleh yang berhak
: informasi dimodifikasi (misal : virus, trojan horse)
Availability (Ketersediaan) : tersedia ketika dibutuhkan
: membuat server hang, down, crash (misal : DoS)
Authentication (Pembuktian) : keaslian data orang yang mengakses data
: password palsu
Norepudition (Tanpa penyangkalan) : tidak dapat menyangkal transaksi
Access control : pengaturan akses pada informasi
: Social engineering
8. Aspek Ketidakamanan
Interruption
sistem rusak tidak dapat menyediakan layanan
perusakan pada hardware/ software hingga sistem berhenti bekerja
Interception
informasi dapat diakses oleh pihak yang tidak berhak (penyadapan)
penyadapan terhadap data melalui jaringan
Modification
informasi dapat diubah oleh pihak yang tidak berhak
perubahan file/ pesan yang ditransmisikan
Febrication
pemalsuan informasi oleh pihak tidak bertanggungjawab
pengiriman pesan palsu pada orang lain
9. Security Methodology
Keamanan fisik
Keamanan data
Keamanan database
Keamanan jaringan
Keamanan aplikasi
10. Keamanan fisik
Ancaman :
Pencurian/ perusakan insfrastruktur (kabel, PC, laptop, router dll)
Penyalahgunaan account yang aktif
Pembobolan ruang sistem komputer
Bencana alam (banjir, gempa, dll)
Solusi :
Laptop pakai pengunci, kabel conduit
Menggunakan screen saver
Ruangan dikunci atau memiliki akses kontrol (fingerprint)
Konstruksi bangunan yang kokoh
11. Keamanan data & database
Ancaman :
Dokumen hilang, terbakar, kebanjiran
Database terkena virus
Diakses oleh orang yang tidak berhak
: Social engineering : mengaku user yang sah pada sistem
(mencuri/ mendapatkan account orang lain)
Solusi :
Meletakkan dokumen ditempat yang aman
Melakukan backup secara rutin
Mendidik semua staff akan pentingnya keamanan
12. Keamanan jaringan
Ancaman :
Sniffing (penyadapan)
Spoofing (pemalsuan)
Session hijacking (pembajakan)
DoS attack (Denial of service attack)
Solusi :
Enkripsi
Gunakan Firewall
Pasang IDS
13. Keamanan aplikasi
Ancaman :
Aplikasi berbasis web : SQL Injection
Out of bound array
Solusi :
Desain sistem dengan memperhatikan keamanan
14. Malicious Code
Kode program atau script yang bertujuan untuk merusak sistem
Malware Malicious Software
Namun e-mail bohong tidak terkategori sehingga dipakailah
“Malcode” bukan “Malware”
Dikategorikan menjadi
Virus
Trojan
Worm
Gunakan antivirus
15. Malicious Code
Virus : program yang dapat memodifikasi kode program lain
dapat memperbanyak diri
memodifikasi code program lain : interface dan fungsi berubah
Trojan : sejenis virus namun tidak bisa memproduksi dirinya sendiri
dibawa/ menyusup di program atau utility lain
memodifikasi code program lain
Worm : program yang mencopikan dirinya ke hanya memory saja
tidak memodifikasi code target
hanya membebani kerja memory
16. Hacker, Cracker, Carder
Hacker sebutan untuk orang yang masuk ke dalam sistem/ probing
untuk tujuan konstruktif
Penelitihan, testing terhadap keamanan sistem
Cracker sebutan untuk orang sebutan untuk orang yang masuk ke
dalam sistem/ probing untuk tujuan destruktif
Mendeface halaman web, mendelete/ mengambil data orang lain
Carder adalah sebutan untuk mereka yang memanfaatkan data kartu
kredit orang lain untuk kepentingan sendiri
Etika, moral dan integritas pelaku sendiri
18. Kebijakan keamanan
Kebijakan penggunaan komputer
Tidak boleh meminjamkan account kepada orang lain
Tidak boleh mengambil/menaruh file dari komputer kantor, dll
Kebijakan penggunaan Installasi program
Tidak boleh menginsall program tanpa seijin staff IT
Tidak boleh menginsall program ilegal, dll
Kebijakan penggunaan Internet
Tidak boleh menggunakan internet untuk kegiatan carding,hacking, dkk
Tidak boleh mengakses situs yang berpotensi menyebarkan virus, dll
Kebijakan penggunaan Email
Tidak boleh menggunakan email kantor untuk kegiatan milis, dll
19. Kontrol Akses
KONTROL AKSES
Metode Contoh Kekuatan Alasan
Dengan informasi yang Password, username Lemah Identitas user masih
diberikan pada user diragukan.
Dengan peralatan yang Magnetic card Lemah Identitas user masih
diberikan pada user diragukan.
Enkripsi Blowfish, RC6, DES Sedang Identitas user masih
diragukan.
Biometric Scan retina/ sidik jari Kuat Fiturnya unik untuk
setiap user.
Password yang baik :
Minimal terdiri dari satu simbol dan satu angka (e.g s@c17 bukan sac)
Panjang minimal terdiri dari delapan {8} karakter tanpa spasi.
Menggunakan bentuk yang berbeda (e.g. biUvnT bukan of biuvnt)
Kata bukan identitas diri
20. Firewall
Perangkat yang diletakkan antara jaringan Internet dan internal
Bisa berupa hardware yang dilengkapi software tertentu
Bisa juga software yang ditambahkan pada sebuah server
yang berfungsi sebagai firewall
Fungsinya :
Mengamati paket IP yang dilewatkan boleh atau tidak (IP
address, port, dan arah informasinya)
Menolak paket yang akan keluar atau masuk jika diperlukan
Memantau paket yang lalu lalang
21. Intrusion Detection System
Sistem pemantau untuk mengetahui penyusup atau adanya
serangan
Caranya :
Mengenali anomali (penyimpangan) sistem
Mengenali signature dari penyerang
22. Kriptografi
Ilmu dan seni untuk menjaga pesan tetap aman
Enkripsi : pesan (plainntext) pesan tersembunyi (chipertext)
Dekripsi : chipertext plaintext
Chiper : persamaan matematis yang dipakai saat enkripsi dan
dekripsi
Contoh : PESAN SANGAT RAHASIA
PHHW PH DIWHU WKH WRJD SDUWB
23. Backup & Audit
Backuplah secara rutin sebelum menyesal!
Sistem operasi, Database, Aplikasi ,Data penting lainnya
Backuplah ke…
CD/ DVD/ Tape
Hardisk yang diperuntukkan untuk backup
Auditlah sistem anda!!!
Memonitoring aktivitas sistem melalui log
Jika ada kejanggalan segera lakukan tindakan
24. Next...
Materi
Pemanfaatan TI diberbagai bidang
Tugas :
Progress website
Tutorial :
Download dan share
24