Professional Documents
Culture Documents
Keamanan Informasi
Theory and Practice
Budi Rahardjo
http://budi.insan.co.id
Surabaya, 8 Januari 2005
Informasi = Uang?
Informasi memiliki nilai (value) yang dapat
dijual belikan
Teknologi Informasi
Teknologi yang terkait dengan pembuatan,
pengolahan, distribusi, penyimpanan dari
informasi
Menghasilkan produk dan layanan yang sudah kita
gunakan sehari-hari sebagai manusia moderen
Technology Drivers
Computer Technology
Moores law: complexity
doubles every 18 months
Good enough
Storage Technology
Increases 3 times / year
Good enough
Network Technology
Increase in speed, lower in price
But new bandwidth-hungry applications.
The need for (more) speed!
Budi Rahardjo - Ilmu & Seni Security
Perhatian terhadap
keamanan informasi
Mulai banyaknya masalah keamanan
informasi
Phising
From: <USbank-Notification-Urgecq@UsBank.com>
To:
Subject: USBank.com Account Update URGEgb
Date: Thu, 13 May 2004 17:56:45 -0500
USBank.com
Dear US Bank Customer,
During our regular update and verification of the Internet Banking Accounts, we
could not verify your current information. Either your information has been
changed or incomplete, as a result your access to use our services has been
limited. Please update your information.
To update your account information and start using our services please click on
the link below:
http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage
Note: Requests for information will be initiated by US Bank Business Development;
this process cannot be externally requested through Customer Support.
10
11
12
Protokol SSL
1
Client
Decrypted secret
Server
13
From: Budi
Subject: Kiriman
From: Budi
Subject: Kiriman
Kiriman
datang
Senin
pagi
Kiriman
datang
Senin
pagi
hash
af005c0810eeca2d5
ohx76@#
ohx76@#
Budi Rahardjo - Ilmu & Seni Security
14
Application Security
Masalah yang sering dihadapi dalam
pembuatan software
Buffer overflow
Out of bound array
15
Security Lifecylce
16
Port
22
25
53
80
110
113
143
1008
3128
8080
State
open
open
open
open
open
open
open
open
open
open
Protocol
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
Service
ssh
smtp
domain
http
pop-3
auth
imap2
ufsd
squid-http
http-proxy
17
Confidentiality
Integrity
Availability
Ketiga di atas sering disingkat menjadi CIA
Ada tambahkan lain
Non-repudiation
Authentication
Access Control
Accountability
Budi Rahardjo - Ilmu & Seni Security
18
Confidentiality / Privacy
Kerahasiaan data. Data hanya boleh
diakses oleh orang yang berwenang
Data-data pribadi
Data-data bisnis; daftar gaji, data nasabah
Sangat sensitif dalam e-commerce dan
healthcare
Serangan: penyadapan
(teknis dengan sniffer / logger, man in the middle
attack; non-teknis dengan social engineering)
Proteksi: enkripsi
Budi Rahardjo - Ilmu & Seni Security
19
Integrity
Informasi tidak boleh berubah (tampered,
altered, modified) oleh pihak yang tidak
berhak
Serangan
Pengubahan data oleh orang yang tidak berhak,
spoofing
Virus yang mengubah berkas
Proteksi:
Message Authentication Code (MAC), digital
signature / certificate, hash functions, logging
Budi Rahardjo - Ilmu & Seni Security
20
Availability
Informasi harus tersedia ketika dibutuhkan
Serangan
Meniadakan layanan (Denial of Service / DoS
attack) atau menghambat layanan (server
dibuat lambat)
Proteksi
Backup, redundancy, DRC, BCP, firewall
21
Non-repudiation
Tidak dapat menyangkal (telah melakukan
transaksi)
Menggunakan digital signature
Logging
22
Authentication
Meyakinkan keaslian data, sumber data,
orang yang mengakses data, server yang
digunakan
what you have (identity card)
what you know (password, PIN)
what you are (biometric identity)
23
Access Control
Mekanisme untuk mengatur siapa boleh
melakukan apa
Membutuhkan adanya klasifikasi data:
public, private, confidential, (top)secret
Role-based access
24
Accountability
Dapat dipertanggung-jawabkan
Melalui mekanisme logging dan audit
Adanya kebijakan dan prosedur (policy &
procedures)
25
Interception
Password sniffing
Modification
Virus, trojan horse
Fabrication
spoffed packets
26
Application security
fokus kepada aplikasinya sendiri, termasuk di
dalamnya adalah database
Computer security
fokus kepada keamanan dari komputer (end
system), termasuk operating system (OS)
27
ISP
Holes
Internet
Network
sniffed, attacked
Users
Network
sniffed,
attacked,
flooded
1.
2.
3.
System (OS)
Network
Applications + db
Web Site
Trojan horse
Userid, Password,
PIN, credit card #
www.bank.co.id
Budi Rahardjo - Ilmu & Seni Security
- Applications
(database,
Web server)
hacked
-OS hacked
28
29
30
31
Penutup
Mudah-mudahan presentasi yang singkat
ini dapat memberikan gambaran mengenai
ilmu security
Masih banyak detail yang tidak dibahas
pada presentasi ini
Mudah-mudahan tertarik menjadi security
professional bukan menjadi bandit
32