Ilmu dan Seni

Keamanan Informasi
Theory and Practice
Budi Rahardjo
http://budi.insan.co.id
Surabaya, 8 Januari 2005

Informasi = Uang?
Informasi memiliki nilai (value) yang dapat
dijual belikan

Data-data nasabah, mahasiswa

Informasi mengenai perbankan, nilai tukar, saham
Soal ujian
Password, PIN

Nilai dari informasi dapat berubah dengan

waktu
Soal ujian yang sudah diujikan menjadi turun
nilainya
Budi Rahardjo - Ilmu & Seni Security

Teknologi Informasi
Teknologi yang terkait dengan pembuatan,
pengolahan, distribusi, penyimpanan dari
informasi
Menghasilkan produk dan layanan yang sudah kita
gunakan sehari-hari sebagai manusia moderen

Mesin ATM di bank

Telepon, handphone, SMS
Games, PlayStation, on-line games
P2P applications

Budi Rahardjo - Ilmu & Seni Security

Technology Drivers
Computer Technology
Moores law: complexity
doubles every 18 months
Good enough

Storage Technology
Increases 3 times / year
Good enough

Network Technology
Increase in speed, lower in price
But new bandwidth-hungry applications.
The need for (more) speed!
Budi Rahardjo - Ilmu & Seni Security

Perhatian terhadap
keamanan informasi
Mulai banyaknya masalah keamanan
informasi

Virus, worm, trojan horse, spam

Hacking & cracking
Spyware, keylogger
Fraud (orang dalam), penipuan, pencurian kartu
kredit

Masalah security dianggap sebagai

penghambat penerimaan penggunaan
infrastruktur teknologi informasi
Budi Rahardjo - Ilmu & Seni Security

Cuplikan statistik kejahatan

7 Februari 2000 s/d 9 Februari 2000. Distributed
Denial of Service (Ddos) attack terhadap Yahoo, eBay,
CNN, Amazon, ZDNet, E-Trade.
2001. Virus SirCam mengirimkan file dari harddisk
korban. File rahasia bisa tersebar. Worm Code Red
menyerang sistem IIS kemudian melakukan port
scanning dan menyusup ke sistem IIS yang
ditemukannya.
2004. Kejahatan phising (menipu orang melalui
email yang seolah-olah datang dari perusahaan resmi
[bank misalnya] untuk mendapatkan data-data pribadi
seperti nomor PIN internet banking) mulai marak
Budi Rahardjo - Ilmu & Seni Security

Budi Rahardjo - Ilmu & Seni Security

Contoh kejahatan kartu

kredit
Berdasarkan laporan terakhir (2004),
Indonesia:
Nomor #1 dalam persentase (yaitu
perbandingan antara transaksi yang baik dan
palsu)
Nomor #3 dalam volume

Akibatnya kartu kredit dan transaksi yang

(nomor IP-nya) berasal dari Indonesia
secara resmi diblokir di beberapa tempat di
Amerika
Budi Rahardjo - Ilmu & Seni Security

Phising

From: <USbank-Notification-Urgecq@UsBank.com>
To:
Subject: USBank.com Account Update URGEgb
Date: Thu, 13 May 2004 17:56:45 -0500
USBank.com
Dear US Bank Customer,
During our regular update and verification of the Internet Banking Accounts, we
could not verify your current information. Either your information has been
changed or incomplete, as a result your access to use our services has been
limited. Please update your information.
To update your account information and start using our services please click on
the link below:
http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage
Note: Requests for information will be initiated by US Bank Business Development;
this process cannot be externally requested through Customer Support.

Budi Rahardjo - Ilmu & Seni Security

Ilmu dan Seni Keamanan

Informasi
Dimulai dari coba-coba. Merupakan sebuah
seni.
Mulai diformalkan dalam bentuk ilmu.
Tidak bisa selamanya mengandalkan
kepada coba-coba saja. Harus
menggabungkan keduanya.
Catatan: Ilmu komputer (computer science)
pun muncul melalui jalur ini

Budi Rahardjo - Ilmu & Seni Security

10

Contoh Ilmu Security

Kriptografi (cryptography)
Enkripsi & dekripsi: DES, AES, RSA, ECC
Berbasis matematika

Protokol dan jaringan (network & protocols)

SSL, SET

Sistem dan aplikasi (system & applications)

Management, policy & procedures

Budi Rahardjo - Ilmu & Seni Security

11

DES: Data Encryption

Standard

Budi Rahardjo - Ilmu & Seni Security

12

Protokol SSL
1

Client Hello / Connection Request

Daftar algoritma / cipher suite
Pemilihan cipher suite

Sertifikat Digital Server

Encrypted secret / key / nonce

Client

Decrypted secret

Server

Sertifikat Digital Client

Encrypted secret / key / nonce
Decrypted secret

Kunci simteris disepakati

Transfer data dengan enkripsi kunci simetris
Budi Rahardjo - Ilmu & Seni Security

13

System Security: Secure

Email
Isi email tidak dirahasiakan.
Diinginkan terjaganya integritas
dan non-repudiation

Keduanya disatukan dan dikirimkan

From: Budi
Subject: Kiriman

From: Budi
Subject: Kiriman

Kiriman
datang
Senin
pagi

Kiriman
datang
Senin
pagi

hash

af005c0810eeca2d5

ohx76@#

Enkripsi (dg kunci privat pengirim)

ohx76@#
Budi Rahardjo - Ilmu & Seni Security

14

Application Security
Masalah yang sering dihadapi dalam
pembuatan software
Buffer overflow
Out of bound array

Budi Rahardjo - Ilmu & Seni Security

15

Security Lifecylce

Budi Rahardjo - Ilmu & Seni Security

16

Contoh dari praktek (seni)

security
linux% host t ns target.co.id
linux% host t mx target.co.id
linux% nslookup
> server 167.205.21.82
> set type=any
> ls d itb.ac.id >> /tmp/zone_out
> ctrl-D

linux% nmap 192.168.1.10

Starting nmap V. 2.12 by Fyodor
(fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on router (192.168.1.11):

Port
22
25
53
80
110
113
143
1008
3128
8080

State
open
open
open
open
open
open
open
open
open
open

Protocol
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp

Service
ssh
smtp
domain
http
pop-3
auth
imap2
ufsd
squid-http
http-proxy

Nmap run completed -- 1 IP address

(1 host up) scanned in 1 second

Budi Rahardjo - Ilmu & Seni Security

17

Aspek Dari Security

Confidentiality
Integrity
Availability
Ketiga di atas sering disingkat menjadi CIA
Ada tambahkan lain

Non-repudiation
Authentication
Access Control
Accountability
Budi Rahardjo - Ilmu & Seni Security

18

Confidentiality / Privacy
Kerahasiaan data. Data hanya boleh
diakses oleh orang yang berwenang
Data-data pribadi
Data-data bisnis; daftar gaji, data nasabah
Sangat sensitif dalam e-commerce dan
healthcare

Serangan: penyadapan
(teknis dengan sniffer / logger, man in the middle
attack; non-teknis dengan social engineering)

Proteksi: enkripsi
Budi Rahardjo - Ilmu & Seni Security

19

Integrity
Informasi tidak boleh berubah (tampered,
altered, modified) oleh pihak yang tidak
berhak
Serangan
Pengubahan data oleh orang yang tidak berhak,
spoofing
Virus yang mengubah berkas

Proteksi:
Message Authentication Code (MAC), digital
signature / certificate, hash functions, logging
Budi Rahardjo - Ilmu & Seni Security

20

Availability
Informasi harus tersedia ketika dibutuhkan
Serangan
Meniadakan layanan (Denial of Service / DoS
attack) atau menghambat layanan (server
dibuat lambat)

Proteksi
Backup, redundancy, DRC, BCP, firewall

Budi Rahardjo - Ilmu & Seni Security

21

Non-repudiation
Tidak dapat menyangkal (telah melakukan
transaksi)
Menggunakan digital signature
Logging

Budi Rahardjo - Ilmu & Seni Security

22

Authentication
Meyakinkan keaslian data, sumber data,
orang yang mengakses data, server yang
digunakan
what you have (identity card)
what you know (password, PIN)
what you are (biometric identity)

Serangan: identitas palsu, terminal palsu,

situs gadungan

Budi Rahardjo - Ilmu & Seni Security

23

Access Control
Mekanisme untuk mengatur siapa boleh
melakukan apa
Membutuhkan adanya klasifikasi data:
public, private, confidential, (top)secret
Role-based access

Budi Rahardjo - Ilmu & Seni Security

24

Accountability
Dapat dipertanggung-jawabkan
Melalui mekanisme logging dan audit
Adanya kebijakan dan prosedur (policy &
procedures)

Budi Rahardjo - Ilmu & Seni Security

25

Teori Jenis Serangan

Interruption
DoS attack, network
flooding

Interception
Password sniffing

Modification
Virus, trojan horse

Fabrication
spoffed packets

Budi Rahardjo - Ilmu & Seni Security

26

Klasifikasi: Dasar elemen

sistem
Network security
fokus kepada saluran (media) pembawa
informasi

Application security
fokus kepada aplikasinya sendiri, termasuk di
dalamnya adalah database

Computer security
fokus kepada keamanan dari komputer (end
system), termasuk operating system (OS)

Budi Rahardjo - Ilmu & Seni Security

27

Topologi Lubang Keamanan

Network
sniffed,
attacked

ISP

Holes

Internet
Network
sniffed, attacked

Users

Network
sniffed,
attacked,
flooded

1.
2.
3.

System (OS)
Network
Applications + db

Web Site
Trojan horse

Userid, Password,
PIN, credit card #

www.bank.co.id
Budi Rahardjo - Ilmu & Seni Security

- Applications
(database,
Web server)
hacked
-OS hacked

28

Pelaku di bidang Security

Information bandit
Sekarang masih dipotretkan sebagai jagoan
Akan tetapi akan berkurang
the disappearance act of information bandits

Information security professionals

Masih kurang
Lebih menyenangkan

Keduanya menggunakan tools yang sama

Perbedaannya sangat tipis: itikad &
pandangan
Jangan bercita-cita menjadi bandit!
Budi Rahardjo - Ilmu & Seni Security

29

source: hacking exposed

Budi Rahardjo - Ilmu & Seni Security

30

INDOCISC Audit Checklist

1. evaluating (network) topology
2. penetration testing from outside and
inside network
3. evaluating network devices, such as
routers, switches, firewalls, IDS, etc.
4. evaluating server(s)
5. evaluating application(s)
6. evaluating policy and procedures
Budi Rahardjo - Ilmu & Seni Security

31

Penutup
Mudah-mudahan presentasi yang singkat
ini dapat memberikan gambaran mengenai
ilmu security
Masih banyak detail yang tidak dibahas
pada presentasi ini
Mudah-mudahan tertarik menjadi security
professional bukan menjadi bandit

Budi Rahardjo - Ilmu & Seni Security

32