Pengantar Keamanan Sistem Informasi

0
292

Assalamualaikum..

Puji syukur kita panjat kan kepada Allah swt yang masih memberikan kesehatan dan nikmat sehingga kami masih bisa memposting materi tentang seputar keamanan sistem informasi.

 

Pada postingan kali ini kami akan membahas beberapa materi yaitu :

  1. Mengapa keamanan sistem penting ?
  2. Contoh-contoh gangguan/serangan/ancaman terhadap keamanan sistem informasi
  3. Pengamanan sistem
  4. Beberapa teknik dan tools untuk mengamankan sistem

Nah, pertama kita akan membahas tentang penting nya keamanan sistem. Pertanyaannya seperti ini “Mengapa keamanan sistem informasi diperlukan?”.

Teknologi komunikasi modern (mis: Internet) membawa beragam dinamika dari dunia nyata ke dunia virtual, contoh nya :
•Dalam bentuk transaksi elektronis (mis: e-banking) atau komunikasi digital (mis: e-mail, messenger)
•Membawa baik aspek positif maupun negatif (contoh: pencurian, pemalsuan, penggelapan, …)

Informasi memiliki “nilai” (ekonomis, politis)  obyek kepemilikan yang harus dijaga
•Kartu kredit
•Laporan keuangan perusahaan
•Dokumen-dokumen rancangan produk baru
•Dokumen-dokumen rahasia kantor/organisasi/perusahaan

Mengapa sistem informasi rentan terhadap gangguan keamanan?

Pertama, karena sistem yang dirancang bersifat “terbuka”, misal nya internet. Maksut nya karena internet itu tidak ada batasan fisik dan kontrol terpusat dan perkembangan jaringan (internetworking) yang amat cepat.

Kedua, sikap dan pandangan pemakai. Contoh, aspek keamanan belum banyak yang  dimegerti dan menempatkan keamanan sistem pada prioritas yang rendah

Ketiga, karena keterampilan (skill) pengamanan masih kurang di kuasai.

  • Beberapa Jenis serangan/ Gangguan.
  1. Serangan untuk mendapatkan akses (acces attacks). Di dahului dengan usaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi.
  2. Serangan untuk melakukan modifikasi (modification attacks). Di dahului dengan usaha mendapatkan akses, kemudian mengubah data/informasi secara tidak sah.
  3. Serangan untuk menghambat penyediaan layanan (denial of services attacks). Dengan menghambat penyedia layanan dengan cara mengganggu jaringan komputer.
  4. Sniffing. Yaitu dengan cara :
  • Memanfaatkan metode broadcasting dalam LAN
  • “Membengkokkan” aturan Ethernet, membuat network interface bekerja dalam mode promiscuous
  • Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer
  • Mencegah efek negatif sniffing
    -Pendeteksian sniffer (local & remote)
    -Penggunaan kriptografi (mis: ssh sebagai pengganti telnet)

5. Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid.
Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem (mis: username & password).

6. Man-in-the-middle
Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya).

7. Menebak password

  • Dilakukan secara sistematis dengan teknik brute-force atau dictionary
  • Teknik brute-force: mencoba semua kemungkinan password
  • Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dsb).

Modification Attacks

  • Biasanya didahului oleh access attack untuk mendapatkan akses
  • Dilakukan untuk mendapatkan keuntungan dari berubahnya informasi
  • Contoh:
    –Pengubahan nilai kuliah
    –Penghapusan data utang di bank
    –Mengubah tampilan situs web

Denial of Service Attacks

  • Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi
  • Biasanya ditujukan kepada pihak-pihak yang memiliki pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh politik, dsb)
  • Teknik DoS. Mengganggu aplikasi (mis: membuat webserver down), Mengganggu sistem (mis: membuat sistem operasi down), Mengganggu jaringan (mis: dengan TCP SYN flood)
  • Contoh: MyDoom worm email (berita dari F-Secure, 28 Januari 2004) http://www.f-secure.com/news/items/news_2004012800.shtml–Ditemukan pertama kali 26 Januari 2004–Menginfeksi komputer yang diserangnya. Komputer yang terinfeksi diperintahkan untuk melakukan DoS ke www.sco.com pada tanggal 1 Februari 2004 jam 16:09:18

    –Pada saat itu, diperkirakan 20-30% dari total lalulintas e-mail di seluruh dunia disebabkan oleh pergerakan worm ini

    –Penyebaran yang cepat disebabkan karena:

    • “Penyamaran” yang baik (tidak terlihat berbahaya bagi user)
    • Penyebaran terjadi saat jam kantor
    • Koleksi alamat email sasaran yang agresif (selain mengambil dari address book di komputer korban, juga membuat alamat email sendiri)

Pengamanan Sistem Informasi

Keamanan sistem sebagai satu konsep terpadu :

Kriptografi

  • Studi tentang enkripsi dan dekripsi data berdasarkan konsep matematis
  • Meningkatkan keamanan data dengan cara menyamarkan data dalam bentuk yang tidak dapat dibaca
    –enkripsi: data asli ke bentuk tersamar
    –dekripsi: data tersamar ke data asli
    •Komponen sistem kriptografi:
    –fungsi enkripsi & dekripsi
    –kunci

Kriptografi Simetris

•Kunci yang sama untuk enkripsi & dekripsi
•Problem
–Bagaimana mendistribusikan kunci secara rahasia ?
–Untuk n orang pemakai, diperlukan n(n-1)/2 kunci ke tidak praktis untuk pemakai dalam jumlah banyak.

Kriptografi Asimetris

  • Kunci enkripsi tidak sama dengan kunci dekripsi. Kedua kunci dibuat oleh penerima data
    –enkripsi ke kunci publik
    –dekripsi ke kunci privat

Kriptografi Hibrid

  • Menggabungkan antara kriptografi simetris dan asimetris  kemudian mendapatkan kelebihan kedua metode

Infrastruktur Kunci Publik

  • Pengamanan komunikasi data untuk keperluan publik (antar institusi, individu-institusi, individu-individu, dsb)
    –Kebutuhan komunikasi yang aman
    –Heterogenitas pemakai
    –Jaringan komunikasi yang kompleks
  • Komponen infrastruktur kunci publik:
    –Tandatangan digital (digital signature): untuk menjamin keaslian dokumen digital yang dikirim
    –Otoritas Sertifikat (certificate authority): lembaga yang mengeluarkan sertifikat digital sebagai bukti kewenangan untuk melakukan transaksi elektronis tertentu.
  • Mengapa diperlukan ?
    –Kasus KlikBCA beberapa tahun yang lalu. Ada orang yang meniru persis situs netbanking Bank BCA, dengan URL yang mirip. Situs tersebut menerima informasi login dari nasabah BCA (userID dan password). Apa yang terjadi jika informasi login nasabah disalahgunakan ? Semakin banyaknya transaksi elektronis yang memerlukan legalitas secara elektronis juga yaitu :
    •Dokumen kontrak
    •Perjanjian jual beli

Sekian dulu apabila ada kata kata yang salah atau kalimat yang kurang dimengerti bisa kita diskusikan melalui komentar. Dengan komentar dari anda kami bisa mengetahui apa yang salah atau kurang bagus sehingga bisa kami perbaiki kedepan nya.

Terimakasih..

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.