- Keamanan Komputer adalah perlindungan aset dari akses, penggunaan, penggantian, dan pembongkaran yang tidak sah.
- Ancaman adalah segala aksi atau objek yang membahayakan aset komputer.
Mengelola Risiko
Penanggulangan (countermeasure) adalah nama umum untuk sebuah prosedur, salah satunya secara fisik atau logical, yang mengenal, mengurangi, atau menyingkirkan ancaman. Besarnya biaya penanggulangan tergantung pada pentingnya aset yang berisiko.
- Empat tindakan organisasi secara umum, dampak (biaya) dan kemungkinan ancaman fisik.
- Juga diterapkan untuk melindungi aset internet dan e-commerce dari ancaman fisik dan elektronik.
- Contoh ancaman elektronik misalnya penipu, penyadap, pencuri.
- Penyadap (baik orang atau perangkat) yang mendengar dan menyalin transmisi internet.
- Para Cracker atau Hacker (orang) yang menulis program, memanipulasi teknologi untuk mendapatkan akses ke komputer atau jaringan secara tidak sah.
- Hacker bertopi putih dan bertopi hitam untuk membedakan hacker baik dan jahat.
- Implementasi Skema Keamanan yang Baik
- Mengidentifikasi resiko
- Menetapkan bagaimana melindungi aset yang terancam.
- Menghitung biaya untuk melindungi aset.
Elemen Keamanan Komputer
- Kerahasiaan, yaitu melindungi dari kebocoran data yang tidak sah, dan memastikan keaslian sumber data.
- Integritas, yaitu mencegah modifikasi data yang tidak sah, dan orang ditengah eksploitasi (Man-in-the-middle exploit), pesan e-mail dicegat, konten berubah sebelum diteruskan ke tujuan asli.
- Kebutuhan, yaitu mencegah keterlambatan atau penolakan/pemindahan data, menunda atau benar-benar menghancurkan pesan.
Kebijakan Keamanan dan Keamanan Terintegrasi
Kebijakan keamanan : dokumen hidup, yaitu aset untuk melindungi dan mengapa, tanggung jawab perlindungan, perilaku dapat diterima dan tidak dapat diterima. Diantaranya: keamanan secara fisik, keamanan jaringan, akses yang tidak sah, perlindungan terhadap virus, pemulihan bencana.
- Menentukan aset untuk dilindungi dari ancaman.
- Menentukan akses untuk berbagai bagian sistem.
- Menentukan sumber daya untuk melindungi aset yang teridentifikasi.
- Mengembangkan kebijakan keamanan yang ditulis.
- Mengikat sumber daya.
Kebijakan militer : menekankan pemisahan beberapa tingkat keamanan
Kebijakan klasifikasi informasi komersial : "publik" atau "rahasia perusahaan".
Tujuan rencana keamanan yang luas adalah untuk melindungi kerahasiaan, integritas, ketersediaan sistem yang mengotentikasi pengguna dan dipilih untuk memuaskan kebutuhan akan kerahasiaan, integritas, ketersediaan, manajemen kunci, tidak ditolak, dan otentikasi.
Kebijakan keamanan sumber informasi diantaranya jaringan keamanan perpustakaan dan kebijakan keamanan informasi situs web dunia.
Keamanan sepenuhnya sulit dicapai, misalnya membuat hambatan yang menghalangi pelanggar yang disengaja, dan mengurangi dampak bencana alam serta tindakan teroris.
Keamanan terintegrasi
Dengan keamanan yang terintegrasi dapat mencegah pengungkapan, perusakan dan modifikasi aset yang tidak sah.
Poin kebijakan keamanan situs e-commerce:
Poin kebijakan keamanan situs e-commerce:
- Otentikasi: Siapa yang mencoba mengakses situs?
- Kendali akses: Siapa yang diperbolehkan log on dan mengakses ke situs?
- Kerahasiaan: Siapa yang diizinkan melihat informasi yang dipilih?
- Integritas data: Siapa yang diperbolehkan mengubah data?
- Audit: Siapa atau apa yang menyebabkan peristiwa tertentu terjadi, dan kapan?
Keamanan Komputer Klien
Komputer klien harus terlindung dari ancaman. Ancaman dapat berasal dari software dan data yang didownload, situs dan server jahat menyamar sebagai situs web yang sah sehingga pengguna dan komputer klien mereka ditipu untuk mengungkap informasi.
Cookies
Koneksi internet antara klien dan server web. Misalnya koneksi kenegaraan yang didalamnya terdapat transmisi informasi independen, tidak ada koneksi terus-menerus (open session) yang dipertahankan antara klien maupun server.
Pada cookies, file teks kecil server web ditempatkan pada klien web, mengidentifikasi pengunjung yang kembali, memungkinkan sidang terbuka yang berkelanjutan, misalnya keranjang belanja dan proses pembayaran.
Waktu durasi kategori cookie (situs e-commerce menggunakan keduanya):
- Cookie sesi: ada sampai koneksi klien berakhir.
- Cookie tetap: tetap tanpa batas.
- Cookie pihak pertama: situs web server menempatkan mereka pada komputer klien.
- Cookie pihak ketiga: situs web yang berbeda menempatkan mereka pada komputer klien.
Fungsi manajemen cookie web browser:
- Hanya menolak cookie pihak ketiga.
- Meninjau cookie sebelum diterima.
- Disediakan oleh Microsoft Internet Explorer, Mozilla Firefox, Mozilla SeaMonkey, Opera.
Bugs Web
Bugs web adalah grafis kecil yang situs web pihak ketiga tempatkan pada halaman situs web lain. Tujuannya adalah:
Konten Aktif
Konten aktif adalah program yang tertanam secara transparan dalam halaman Web. Menyebabkan tindakan yang akan terjadi. Contohnya, menempatkan item pada keranjang belanja, menghitung pajak dan biaya. Keuntungannya dapat memperluas fungsi HTML, memindahkan tugas pemrosesan data ke komputer klien. Selain keuntungan ada juga kerugiannya, yaitu dapat merusak komputer klien, menimbulkan ancaman bagi komputer klien.
Modul konten aktif tertanam dalam halaman Web(transparan) sehingga cracker dapat menanamkan konten aktif yang berbahaya, misalnya saja Trojan Horse dan Zombie. Trojan Horse merupakan program yang bersembunyi dalam program lain (halaman web) untuk menutupi tujuan sebenarnya. Zombie secara diam-diam mengambil ahli komputer lain dan melakukan serangan terhadap komputer lain.
Java Applets
Java merupakan bahasa pemrograman platform-independen yang menyediakan konten aktif halaman web. Server mengirimkan applets dengan halaman yang diminta klien. Kebanyakan kasus operasinya dapat dilihat pengunjung. Kemungkinannya adalah fungsi tidak diperhatikan oleh pengunjung. Keuntungan dari Java Applets adalah dapat menambahkan fungsi untuk fungsionalitas aplikasi bisnis, dan mengurangi program di sisi server. Kekurangannya adalah pelanggaran keamanan mungkin terjadi.
JavaScript
JavaScript merupakan bahasa scripting yang dikembangkan oleh Netscape yang memungkinkan desainer halaman web untuk membangun konten aktif, dapat digunakan untuk menyerang, namun tidak dapat melakukan eksekusi sendiri.
ActiveX Controls
ActiveX Control adalah objek yang berisi program dan properti perancang web yang ditempatkan pada halaman web untuk melakukan tugas-tugas tertentu. Berjalan pada komputer bersistem operasi Windows. Pembangunan komponen menggunakan bahasa pemrograman yang berbeda, pada umumnya C++ dan Visual Basic (VB), dijalankan pada komputer klien setelah mendownload halaman web yang berisi ActiveX Control yang tertanam.
Graphics dan Plug-Ins
Gambar, browser plug-ins, dan lampiran e-mail dapat mengandung konten yang dieksekusi. Kode tertanam dalam gambar mungkin membahayakan komputer klien.
Plug-ins (program) meningkatkan kemampuan browser (biasanya menguntungkan) untuk menangani konten web browser yang tidak bisa ditangani. Plug-ins dapat menimbulkan ancaman keamanan, contohnya pada tahun 1999 plug-in RealPlayer, dimana plug-in tersebut mengeksekusi perintah yang dikubur dalam media.
Viruses, Worms, and Antivirus Software
Program yang menampilkan lampiran e-mail secara otomatis mengeksekusi program terkait, misalnya virus makro Word dan Excel dapat menyebabkan kerusakan.
Sertifikat Digital
Sertifikat digital adalah lampiran pesan e-mail (program) yang tertanam dalam halaman web untuk memverifikasi pengirim atau situs web. Berisi sarana untuk mengirim pesan terenkripsi. Pesan atau kode ditandatangani dengan tujuan untuk memberikan bukti bahwa pemegang adalah orang yang diidentifikasi oleh sertifikat. Ini digunakan untuk transaksi online seperti e-commerce, e-mail, dan transfer dana secara elektronik.
Enam elemen utama sertifikat digital:
Steganography
Steganography adalah proses menyembunyikan informasi dalam sepotong informasi. Hal ini dapat digunakan untuk tujuan jahat dengan menyembunyikan file yang dienkripsi dalam file lain. Pengamat biasa tidak dapat mendeteksi sesuatu yang penting dalam kontainer file. Dua langkah proses:
Keamanan Secara Fisik untuk Klien
Komputer klien mengendalikan fungsi bisnis yang penting. Keamanan fisik yang sama sebagai sistem awal. Contoh teknologi keamanan fisik yang baru adalah fingerprint reader, perlindungan yang lebih kuat daripada kata sandi. Alat keamanan biometrik mengidentifikasi menggunakan elemen makeup biologis seseorang, misalnya dengan pemindai mata, pemindai garis tangan, dan sebagainya.
Keamanan Saluran Komunikasi
Internet tidak dirancang untuk memberikan keamanan, namun dirancang untuk memberikan redudansi. Tidak berubah dari keadaan semula, pesan berjalan di internet sesuai dengan ancaman kerahasiaan, integritas dan kebutuhan.
Ancaman kerahasiaan:
Pada e-commerce yaitu ancaman terhadap informasi sensitif atau pribadi, misalnya pencurian data menggunakan Program Sniffer. Program ini merekam informasi lewat komputer atau router, membaca pesan e-mail dan lalu lintas pesan klien-server web yang tidak terenkripsi.
Selain itu juga ada istilah Backdoors: celah elektronik. Baik itu celah yang sengaja atau tidak sengaja dibuka, konten yang terancam kerahasiaannya. Contohnya program backdoor keranjang belanja Cart32.
Ancaman integritas:
Ancaman kebutuhan:
Dikenal sebagai ancaman keterlambatan, penolakan, denial-of-service(DoS). Mengganggu pengolahan komputer biasa. Menolak seluruh pemrosesan. Mentorerir kecepatan pemrosesan komputer yang lambat, menjadikan layanan tidak dapat digunakan atau tidak menarik.
Serangan DoS: menghapus seluruh informasi, menghapus informasi transmisi atau file.
Ancaman Bagi Keamanan Fisik Saluran Komunikasi Internet
Paket internet berbasis desain jaringan untuk menghindari shutdown dengan serangan pada link komunikasi tunggal, sehingga layanan internet pengguna individu dapat terganggu, misalnya kerusakan link internet pengguna. Pada perusahaan besar atau organisasi, mereka memiliki lebih dari satu link ke pusat utama internet.
Ancaman jaringan wireless:
Solusi Enkripsi
Memastikan Integritas Transaksi dengan Fungsi Hash
Pelanggaran integritas, ciri-cirinya yaitu pesan diubah saat transit antara pengirim dan penerima, sulit dan mahal untuk mencegahnya, teknik keamanan untuk mendeteksi, kelemahannya adalah perubahan pesan tidak sah tidak terdeteksi. Menggunakan dua algoritma untuk mengeleminasi penipuan dan penyalahgunaan. Yang pertama dengan function dan yang kedua dengan penyingkatan pesan.
Memastikan Integritas Transaksi dengan Tanda Tangan Digital
Penyingkatan pesan yang dienkripsi. Tanda tangan digital memberikan: integritas, nonrepudiaton, dan otentikasi sehingga memberikan transaksi sebuah kerahasiaan. Kekuatan hukum tanda tangan digital sama seperti tanda tangan secara tradisional.
Keamanan Komputer Server
Serangan Web Server
Serangan Database
Kontrol Akses dan Otentikasi
Kontrol akses dengan mengendalikan siapa dan apa yang sudah mengakses ke web server. Otentikasi adalah verifikasi identitas dari entitas yang meminta akses komputer.
Otentikasi pengguna server:
Firewall
Firewall merupakan software, kombinasi hardware dan software yang terinstal dalam sebuah jaringan untuk mengendalikan lalu lintas paket.
Prinsipnya:
Forensik Komputer dan Etika Hacking
Ahli forensik komputer (hacker yang beretika):
- Pengunjung situs membuka halaman.
- Bug web disampaikan oleh situs pihak ketiga.
- Cookie ditempatkan pada komputer pengunjung.
Konten Aktif
Konten aktif adalah program yang tertanam secara transparan dalam halaman Web. Menyebabkan tindakan yang akan terjadi. Contohnya, menempatkan item pada keranjang belanja, menghitung pajak dan biaya. Keuntungannya dapat memperluas fungsi HTML, memindahkan tugas pemrosesan data ke komputer klien. Selain keuntungan ada juga kerugiannya, yaitu dapat merusak komputer klien, menimbulkan ancaman bagi komputer klien.
Modul konten aktif tertanam dalam halaman Web(transparan) sehingga cracker dapat menanamkan konten aktif yang berbahaya, misalnya saja Trojan Horse dan Zombie. Trojan Horse merupakan program yang bersembunyi dalam program lain (halaman web) untuk menutupi tujuan sebenarnya. Zombie secara diam-diam mengambil ahli komputer lain dan melakukan serangan terhadap komputer lain.
Java Applets
Java merupakan bahasa pemrograman platform-independen yang menyediakan konten aktif halaman web. Server mengirimkan applets dengan halaman yang diminta klien. Kebanyakan kasus operasinya dapat dilihat pengunjung. Kemungkinannya adalah fungsi tidak diperhatikan oleh pengunjung. Keuntungan dari Java Applets adalah dapat menambahkan fungsi untuk fungsionalitas aplikasi bisnis, dan mengurangi program di sisi server. Kekurangannya adalah pelanggaran keamanan mungkin terjadi.
JavaScript
JavaScript merupakan bahasa scripting yang dikembangkan oleh Netscape yang memungkinkan desainer halaman web untuk membangun konten aktif, dapat digunakan untuk menyerang, namun tidak dapat melakukan eksekusi sendiri.
ActiveX Controls
ActiveX Control adalah objek yang berisi program dan properti perancang web yang ditempatkan pada halaman web untuk melakukan tugas-tugas tertentu. Berjalan pada komputer bersistem operasi Windows. Pembangunan komponen menggunakan bahasa pemrograman yang berbeda, pada umumnya C++ dan Visual Basic (VB), dijalankan pada komputer klien setelah mendownload halaman web yang berisi ActiveX Control yang tertanam.
Graphics dan Plug-Ins
Gambar, browser plug-ins, dan lampiran e-mail dapat mengandung konten yang dieksekusi. Kode tertanam dalam gambar mungkin membahayakan komputer klien.
Plug-ins (program) meningkatkan kemampuan browser (biasanya menguntungkan) untuk menangani konten web browser yang tidak bisa ditangani. Plug-ins dapat menimbulkan ancaman keamanan, contohnya pada tahun 1999 plug-in RealPlayer, dimana plug-in tersebut mengeksekusi perintah yang dikubur dalam media.
Viruses, Worms, and Antivirus Software
Program yang menampilkan lampiran e-mail secara otomatis mengeksekusi program terkait, misalnya virus makro Word dan Excel dapat menyebabkan kerusakan.
- Virus termasuk software yang menempel pada program lain sehingga menyebabkan kerusakan ketika program host diaktifkan.
- Worm termasuk virus yang mereplikasi dirinya sendiri pada komputer yang terinfeksi dan menyebar dengan cepat melalui internet.
- Virus makro adalah program kecil/makro yang tertanam dalam file.
- Software antivirus digunakan untuk mendeteksi virus dan worms, baik dihapus atau mengisolasi mereka pada komputer klien. Contohnya Symantec dan McAfee
Sertifikat Digital
Sertifikat digital adalah lampiran pesan e-mail (program) yang tertanam dalam halaman web untuk memverifikasi pengirim atau situs web. Berisi sarana untuk mengirim pesan terenkripsi. Pesan atau kode ditandatangani dengan tujuan untuk memberikan bukti bahwa pemegang adalah orang yang diidentifikasi oleh sertifikat. Ini digunakan untuk transaksi online seperti e-commerce, e-mail, dan transfer dana secara elektronik.
Enam elemen utama sertifikat digital:
- Informasi identitas pemilik sertifikat.
- Kunci publik pemilik sertifikat.
- Tanggal sertifikat masih berlaku.
- Nomor seri sertifikat.
- Nama penerbit sertifikat.
- Tanda tangan digital penerbit sertifikat.
Steganography
Steganography adalah proses menyembunyikan informasi dalam sepotong informasi. Hal ini dapat digunakan untuk tujuan jahat dengan menyembunyikan file yang dienkripsi dalam file lain. Pengamat biasa tidak dapat mendeteksi sesuatu yang penting dalam kontainer file. Dua langkah proses:
- Mengenkripsi file yang melindunginya dari terbaca.
- Steganography membuatnya terlihat.
Keamanan Secara Fisik untuk Klien
Komputer klien mengendalikan fungsi bisnis yang penting. Keamanan fisik yang sama sebagai sistem awal. Contoh teknologi keamanan fisik yang baru adalah fingerprint reader, perlindungan yang lebih kuat daripada kata sandi. Alat keamanan biometrik mengidentifikasi menggunakan elemen makeup biologis seseorang, misalnya dengan pemindai mata, pemindai garis tangan, dan sebagainya.
Keamanan Saluran Komunikasi
Internet tidak dirancang untuk memberikan keamanan, namun dirancang untuk memberikan redudansi. Tidak berubah dari keadaan semula, pesan berjalan di internet sesuai dengan ancaman kerahasiaan, integritas dan kebutuhan.
Ancaman kerahasiaan:
Pada e-commerce yaitu ancaman terhadap informasi sensitif atau pribadi, misalnya pencurian data menggunakan Program Sniffer. Program ini merekam informasi lewat komputer atau router, membaca pesan e-mail dan lalu lintas pesan klien-server web yang tidak terenkripsi.
Selain itu juga ada istilah Backdoors: celah elektronik. Baik itu celah yang sengaja atau tidak sengaja dibuka, konten yang terancam kerahasiaannya. Contohnya program backdoor keranjang belanja Cart32.
Ancaman integritas:
- Dikenal sebagai penyadapan aktif, yaitu aliran informasi pesan diubah oleh pihak yang tidak sah. Contoh pelanggaran integritas adalah Cybervandalism yang merusak halaman situs web.
- Menyamar (spoofing), yaitu berpura-pura menjadi orang lain. Situs web palsu merepresentasikan dirinya sebagai yang asli.
- Server nama domain (DNSs). Komputer internet mempertahankan direktori yang menghubungkan nama domain ke alamat IP. Pelaku menggunakan celah keamanan perangkat lunak dengan mengganti alamat situs Web mereka di tempat yang sebenarnya dan parodi pengunjung situs web.
- Phishing expeditions, yaitu menangkap informasi rahasia pelanggan, korbannya orang biasa, seperti perbankan online, dan pengguna sistem pembayaran.
Ancaman kebutuhan:
Dikenal sebagai ancaman keterlambatan, penolakan, denial-of-service(DoS). Mengganggu pengolahan komputer biasa. Menolak seluruh pemrosesan. Mentorerir kecepatan pemrosesan komputer yang lambat, menjadikan layanan tidak dapat digunakan atau tidak menarik.
Serangan DoS: menghapus seluruh informasi, menghapus informasi transmisi atau file.
Ancaman Bagi Keamanan Fisik Saluran Komunikasi Internet
Paket internet berbasis desain jaringan untuk menghindari shutdown dengan serangan pada link komunikasi tunggal, sehingga layanan internet pengguna individu dapat terganggu, misalnya kerusakan link internet pengguna. Pada perusahaan besar atau organisasi, mereka memiliki lebih dari satu link ke pusat utama internet.
Ancaman jaringan wireless:
- Wardriver: penyerang berkeliling di mobil. Menggunakan komputer yang dilengkapi wireless untuk mencari jaringan yang dapat diakses.
- Warchalking: Menempatkan tanda kapur pada bangunan. Mengidentifikasi jaringan wireless yang mudah masuk di dekatnya, situs web termasuk peta lokasi akses wireless.
Solusi Enkripsi
- Enkripsi adalah koding informasi menggunakan program berbasis matematis atau kunci rahasia yang menghasilkan karakter yang tidak dipahami string.
- Kriptografi adalah ilmu yang mempelajari enkripsi. Ilmu untuk membuat pesan hanya dapat dibaca pengirim dan penerima.
- Steganografi adalah membuat teks tidak dapat terdeteksi dengan mata telanjang.
Memastikan Integritas Transaksi dengan Fungsi Hash
Pelanggaran integritas, ciri-cirinya yaitu pesan diubah saat transit antara pengirim dan penerima, sulit dan mahal untuk mencegahnya, teknik keamanan untuk mendeteksi, kelemahannya adalah perubahan pesan tidak sah tidak terdeteksi. Menggunakan dua algoritma untuk mengeleminasi penipuan dan penyalahgunaan. Yang pertama dengan function dan yang kedua dengan penyingkatan pesan.
Memastikan Integritas Transaksi dengan Tanda Tangan Digital
Penyingkatan pesan yang dienkripsi. Tanda tangan digital memberikan: integritas, nonrepudiaton, dan otentikasi sehingga memberikan transaksi sebuah kerahasiaan. Kekuatan hukum tanda tangan digital sama seperti tanda tangan secara tradisional.
Keamanan Komputer Server
- Kerentanan server: dimanfaatkan oleh siapapun yang bertekad untuk merusak atau memperoleh informasi secara ilegal.
- Tidak ada sistem yang benar-benar aman.
Serangan Web Server
- Kompromi kerahasiaan dengan membiarkan daftar direktori otomatis. Solusinya adalah dengan mematikan fitur nama folder yang ditampilkan.
- File sensitif di web server. Menahan nama pengguna dan password web server. Solusinya dengan menyimpan informasi otentikasi dalam form yang terenkripsi.
- Password yang user pilih.
Serangan Database
- Username dan password: simpan dalam tabel yang tidak terenkripsi, database gagal menerapkan keamanan sama sekali.
- Pengguna yang tidak terotorisasi.
- Program pengendali trojan tersembunyi dalam sistem database.
Kontrol Akses dan Otentikasi
Kontrol akses dengan mengendalikan siapa dan apa yang sudah mengakses ke web server. Otentikasi adalah verifikasi identitas dari entitas yang meminta akses komputer.
Otentikasi pengguna server:
- Server harus bisa mendekripsi sertifikat tanda tangan digital pada sertifikat.
- Cek masa berlaku sertifikat server.
- Server menggunakan sistem callback.
Firewall
Firewall merupakan software, kombinasi hardware dan software yang terinstal dalam sebuah jaringan untuk mengendalikan lalu lintas paket.
Prinsipnya:
- Semua lalu lintas harus melaluinya.
- Hanya lalu lintas yang terotorisasi yang dibolehkan untuk lewat.
- Kebal terhadap penetrasi.
Forensik Komputer dan Etika Hacking
Ahli forensik komputer (hacker yang beretika):
- Detektif komputer disewa untuk menyelidiki PC.
- Cari informasi yang dapat digunakan dalam proses hukum.
- Pekerjaan membobol komputer klien.
No comments:
Post a Comment