pti-keamanan sistem informasi

5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com

http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 1/46

Oleh :

M. Mahaputra Hidayat, S. Kom

• Mengapa keamanan sistem penting ?

• Contoh-contoh gangguan/serangan/ancaman

terhadap keamanan sistem

• Pengamanan sistem

• Beberapa teknik dan tools untuk mengamankan sistem

• Algoritma kriptografi

Mengapa keamanan sistem informasi diperlukan ?• Teknologi komunikasi modern (mis: Internet) membawa

beragam dinamika dari dunia nyata ke dunia virtual

• Dalam bentuk transaksi elektronis (mis: e-banking) atau

komunikasi digital (mis: e-mail, messenger)• Membawa baik aspek positif maupun negatif (contoh:

pencurian, pemalsuan, penggelapan, …)

• Informasi memiliki “nilai” (ekonomis, politis) obyek

kepemilikan yang harus dijaga• Kartu kredit

• Laporan keuangan perusahaan

• Dokumen-dokumen rancangan produk baru

• Dokumen-dokumen rahasia kantor/organisasi/perusahaan

• Mengapa sistem informasi rentan terhadap gangguan

keamanan

• Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet)

Tidak ada batas fisik dan kontrol terpusat• Perkembangan jaringan (internetworking) yang amat

• Sikap dan pandangan pemakai

•Aspek keamanan belum banyak dimengerti

• Menempatkan keamanan sistem pada prioritas rendah

• Ketrampilan (skill) pengamanan kurang

• Serangan untuk mendapatkan akses (access attacks)

• Berusaha mendapatkan akses ke berbagai sumber daya

komputer atau data/informasi

Serangan untuk melakukan modifikasi (modification attacks)• Didahului oleh usaha untuk mendapatkan akses, kemudian

mengubah data/informasi secara tidak sah

• Serangan untuk menghambat penyediaan layanan (denial of

service attacks)• Menghambat penyediaan layanan dengan cara

mengganggu jaringan komputer

• Sniffing

• Memanfaatkan metode broadcasting dalam LAN

• “Membengkokkan” aturan Ethernet, membuat network

interface bekerja dalam mode promiscuous• Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer

• Mencegah efek negatif sniffing

• Pendeteksian sniffer (local & remote)

• Penggunaan kriptografi (mis: ssh sbg pengganti telnet)

• Spoofing• Memperoleh akses dengan cara berpura-pura menjadi seseorang atau

sesuatu yang memiliki hak akses yang valid

• Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke

dalam sistem (mis: username & password)

Invalid logon

Client Penyerang Server

Logon berhasil

Client Server

Pada saat ini, penyerang sudah mendapatkan username & password

yang sah untuk bisa masuk ke server

• Man-in-the-middle

• Membuat client dan server sama-sama mengira bahwa mereka

berkomunikasi dengan pihak yang semestinya (client mengira sedang

berhubungan dengan server, demikian pula sebaliknya)

Client Man-in-the-middle Server

• Menebak password

• Dilakukan secara sistematis dengan teknik brute-force atau dictionary

• Teknik brute-force: mencoba semua kemungkinan password

• Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai,

atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, namaanak, dsb)

• Biasanya didahului oleh access attack untuk mendapatkan akses

• Dilakukan untuk mendapatkan keuntungan dari berubahnya

informasi

Contoh:• Pengubahan nilai kuliah

• Penghapusan data utang di bank

• Mengubah tampilan situs web

• Berusaha mencegah pemakai yang sah untuk mengakses

sebuah sumber daya atau informasi

• Biasanya ditujukan kepada pihak-pihak yang memiliki

pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh

politik, dsb)

• Teknik DoS

• Mengganggu aplikasi (mis: membuat webserver down)

• Mengganggu sistem (mis: membuat sistem operasi down)

• Mengganggu jaringan (mis: dengan TCP SYN flood)

• Contoh: MyDoom worm email (berita dari F-Secure, 28 Januari

2004) http://www.f-secure.com/news/items/news_2004012800.shtml

• Ditemukan pertama kali 26 Januari 2004

• Menginfeksi komputer yang diserangnya. Komputer yang terinfeksi

diperintahkan untuk melakukan DoS ke www.sco.com pada tanggal 1Februari 2004 jam 16:09:18

• Pada saat itu, diperkirakan 20-30% dari total lalulintas e-mail di seluruh

dunia disebabkan oleh pergerakan worm ini

• Penyebaran yang cepat disebabkan karena:

• “Penyamaran” yang baik (tidak terlihat berbahaya bagi user)

• Penyebaran terjadi saat jam kantor

• Koleksi alamat email sasaran yang agresif (selain mengambil dari address

book di komputer korban, juga membuat alamat email sendiri)

Layer 5Auditing, monitoring, and investigating

Layer 4

Information security technologies and products

Layer 3Information security awareness and training

Layer 2Information security architecture and processes

Layer 1Information security policies and s tandards

L a y e r 6

V a l i d a t i o n

Keamanan sistem sebagai satu konsep terpadu

• Studi tentang enkripsi dan dekripsi data berdasarkan konsep

matematis

• Meningkatkan keamanan data dengan cara menyamarkan

data dalam bentuk yang tidak dapat dibaca

• enkripsi: data asli bentuk tersamar

• dekripsi: data tersamar data asli

• Komponen sistem kriptografi:

• fungsi enkripsi & dekripsi

• kunci

• Bruce Schneier : Ilmu dan seni untuk menjaga kerahasiaan

berita

• A. Menez dkk : Ilmu yang mempelajari teknik-teknik

matematika yang berhubungan dengan aspek keamanan

informasi seperti kerahasiaan data, keabsahan data, integritas

data serta autentikasi data

Kerahasiaan, adalah layanan yang digunakan untuk menjaga

isi dari informasi dari siapapun kecuali yang memiliki otoritas

Integritas data, adalah berhubungan dengan penjagaan dari

perubahan data secara tidak sah.

Autentikasi, adalah berhubungan dengan

identifikasi/pengenalan, baik secara kesatuan sistem maupun

informasi itu sendiri.

Non repudiasi, atau nirpenyangkalan adalah usaha untuk

mencegah terjadinya penyangkalan terhadap

pengiriman/terciptanya suatu informasi oleh yang

mengirimkan/membuat.

• plaintext – pesan asli

• ciphertext – pesan tersandi

• cipher - algoritma untuk mentransformasikan plaintext keciphertext

• key – kunci informasi yang digunakan oleh sender untukmengacak pesan dan juga digunakan receiver untukmendapatkan kembali pesan tersebut.

• enkrip – mengkonversikan plaintext ke ciphertext

• dekrip – menemukan kembali plaintext dari ciphertext

• Kriptografi – metodologi enkripsi

• Kriptanalisis (cryptanalysis) – studi tentang metodologibagaimana mendekrip ciphertext tanpa mengetahui kunci

• Kriptografi Klasik

• Subsitusi

• Blocking

Permutasi• Eskpansi

• Pemampatan

• Kriptografi Modern

• Simetris

• Asimetris

• Caesar : mengganti setiap huruf dengan huruf ke n dari huruftersebut

Contoh:1. meet me after the toga party

PHHW PH DIWHU WKH WRJD SDUWB

2. ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890

BF1KQGATPJ6HYD2X5MV7C84I9NREU3LSWOZ0

Vigenere : pergeseran alfabetyang berlainan disesuaikandengan kata kuncinyaContoh :kata kunci :

ALABASTERpesan asli :ENCRYPTION ROCKS

kata kunci:ALABASTERA LABAS

pesan tersandi :EYCSYHMMFN CODKK

• Plaintext dibagi menjadi blok-blok yang terdiri dari beberapa

karakter yang kemudian dienkripsikan secara independen.

• Dipilih jumlah baris dan kolom untuk penulisan pesan. Jumlahbaris atau kolom menjadi kunci bagi kriptografi dengan teknikini.

• Plaintext dituliskan secara vertikal ke bawah berurutan

pada baris, dan dilanjutkan pada kolom berikutnya sampaiseluruhnya tertulis.

• Ciphertext-nya adalah hasil pembacaan plaintext secarahorizontal berurutan sesuai dengan blok-nya.

• Jadi ciphertext yang dihasilkan dengan teknik ini adalah "5K GKRTDRAEAIFKSPINAT IRO". Plaintext dapat pula ditulis secarahorizontal dan ciphertextnya adalah hasil pembacaan secaravertikal.

• Sering juga disebut transposisi.• Teknik ini memindahkan atau merotasikan karakter

dengan aturan tertentu.

• Prinsipnya adalah berlawanan dengan tekniksubstitusi. Dalam teknik substitusi, karakter beradapada posisi yang tetap tapi identitasnya yang diacak.Pada teknik permutasi, identitas karakternya tetap,namun posisinya yang diacak.

Sebelum dilakukan permutasi, umumnya plaintextterlebih dahulu dibagi menjadi blok-blok denganpanjang yang sama.

• Suatu metode sederhana untuk mengacak pesanadalah dengan memelarkan pesan itu dengan aturantertentu.

• Salah satu contoh penggunaan teknik ini adalahdengan meletakkan huruf konsonan atau bilanganganjil yang menjadi awal dari suatu kata di akhirkata itu dan menambahkan akhiran "an".

Bila suatu kata dimulai dengan huruf vokal ataubilangan genap, ditambahkan akhiran "i".

5 TEKNIK DASAR KRIPTOGRAFI

5AN EKNIKTAN ASARDAN RIPTOGRAFIKAN

• Mengurangi panjang pesan atau jumlah bloknyaadalah cara lain untuk menyembunyikan isi pesan.

• Contoh sederhana ini menggunakan caramenghilangkan setiap karakter ke-tiga secaraberurutan.

• Karakter-karakter yang dihilangkan disatukankembali dan disusulkan sebagai "lampiran" dari pesan

utama, dengan diawali oleh suatu karakter khusus,dalam contoh ini digunakan "&".

Ciri Kriptografi Modern

• Harga/cost. Biaya untuk menjebol algoritma lebih besar

daripada nilai informasi yang akan dibuka

• Waktu. Waktu yang dibutuhkan untuk membobol algoritma

lebih lama daripada waktu sebuah informasi harus tetap aman

• Jumlah data. Jumlah data yang dienkrip dengan kunci dan

algoritma yang sama lebih sedikit dari jumlah data yang

diperlukan untuk menembus algoritma tersebut

• Simetris (private key)Contoh

• DES (Data Encryption Standard)

• AES (Advance Encryption Standard)

IDEA• Asimetris (public key)

Contoh

• RSA (Rivert-Shamir-Adelman)

• DSA

• DH• Quntum

• ECC

• Kriptografi dengan menggunakan satu private/secret/singlekey

• Key dishare antara sender dan receiver

• Disebut symmetric, karena receiver dan sender memiliki key

yang sama• Tidak melindungi sender dari receiver yang memalsukan

message dan mengatakan bahwa message dikirim oleh sender

• Kunci yang sama untuk enkripsi & dekripsi

• Problem

• Bagaimana mendistribusikan kunci secara rahasia ?

• Untuk n orang pemakai, diperlukan n(n-1)/2 kunci tidak praktis untuk

pemakai dalam jumlah banyak

enkripsi dekripsi

data asli data aslicyphertext cyphertext

pengirim penerima

• Kelemahan

• Pengiriman kunci membutuhkan saluran khusus

• Jumlah kunci meledak secara eksponensial:

n (n-1)/2

• Kriptografi dengan menggunakan public-key/two-

key/asymmetric

• Menggunakan two keys:•

public-key,yang diketahui oleh semua orang, dan dapat digunakan untukmengenkripsi message, dan memverifikasi tanda tangan

• private-key, diketahui oleh recipient, digunakan untuk mendekripsi

message, dan membuat tanda tangan

• disebut asymmetric karena• Orang yang mengenkripsi messages atau memverifikasi tanda tangan

tidak dapat mendekripsi messages atau membuat tanda tangan

• Kunci enkripsi tidak sama dengan kunci dekripsi. Kedua kunci

dibuat oleh penerima data

• enkripsi kunci publik

• dekripsi kunci privat

enkripsi dekripsi

pengirim penerima

kunci publik kunci privat

• Keuntungan

• Pengiriman kunci tidak membutuhkan saluran khusus

• Jumlah kunci sejumlah 2n

• Pengamanan komunikasi data untuk keperluan publik (antar

institusi, individu-institusi, individu-individu, dsb)

• Kebutuhan komunikasi yang aman

• Heterogenitas pemakai

• Jaringan komunikasi yang kompleks

• Komponen infrastruktur kunci publik:

• Tandatangan digital (digital signature): untuk menjamin keaslian dokumen

digital yang dikirim

Otoritas Sertifikat (certificate authority): lembaga yang mengeluarkansertifikat digital sebagai bukti kewenangan untuk melakukan transaksi

elektronis tertentu

• Mengapa diperlukan ?

• Kasus KlikBCA beberapa tahun yang lalu

• Ada orang yang meniru persis situs netbanking Bank BCA, dengan URL

yang mirip

• Situs tersebut menerima informasi login dari nasabah BCA (userID danpassword)

• Apa yang terjadi jika informasi login nasabah disalahgunakan ?

• Semakin banyaknya transaksi elektronis yang memerlukan legalitas

secara elektronis juga

• Dokumen kontrak

• Perjanjian jual beli

• Menggabungkan antara kriptografi simetris dan asimetris

mendapatkan kelebihan kedua metode

enkripsi dekripsi

pengirim penerima

kunci sesi

enkripsi dekripsi

kunci publik kunci publik

Any Questions??

• Tentukan chipertext dari :

• Plaintext = PTIINFORMATIKA

• Plaintext = 01010101100 1010000 1010100 1001001

• Jika diketahui kunci = TBFRGFARFM

• Dan (A=0,B=1,C=2........,Z=25)

• Tentukan plaintext dari :• Chipertext = XMZVH

• Kunci tidak diketahui !

Dengan Ilmu, Hidup ini lebih Bermutu

Dengan Agama, Hidup ini lebih BermaknaDan Dengan Seni, Hidup ini terasa lebih

Syahdu

pti-keamanan sistem informasi

Documents

sistem manajemen keamanan informasi...

sistem keamanan informasi (spam)

04. regulasi keamanan informasi penjaminan informasi

tugas 1 sistem informasi unidha pti

tugas besar pti (pengantar teknologi informasi)

kebijakan keamanan informasi

pengenalan tehnologi informasi (pti)

modul 4 keamanan informasi & penjaminan informasi

pengantar teknologi informasi (pti) -...

pentingnya tata kelola keamanan informasi · keamanan...

konsep dasar keamanan informasi...

keamanan informasi dan interoperabilitas sistem informasi

kkpi keamanan informasi

7144 keamanan sistem informasi

keamanan informasi

modul pti 1 - pengertian informasi

draft sistem keamanan informasi

keamanan informasi & penjaminan informasi - ft...

01. keamanan informasi

chapter2 pti pengenalan teknologi informasi