diskusi publik rpm perangkat lunak sistem elektronik_i made wiryawan

http://www.gunadarma.ac.id

Dr. rer. nat. I Made Wiryana, SKom, SSi, MAppScKoordinator Kerjasama Internasional

Universitas Gunadarmahttp://www.gunadarma.ac.id

DependabilityDependabilitypada Perangkat Lunak pada Perangkat Lunak

ElektronikElektronik

● Ancaman Keamanan

● User titik terlemah

● Forensik

● Dependebilitas suatu sistem

● Membangun Sistem yang aman

● SDM dan Organisasi


Perkenalan diri● Dosen Universitas Gunadarma, Koordinator Kerjasama Internasional,

Pengelola UG-IBC, Incubator Business Centre

● Peneliti RVS Arbeitsgruppe – Bielefeld University),

● Konsultan teknis situs Presiden (masa SBY), Wapres (2 Wapres) dan Kemenpora (3 menteri) Cyberpaspampres→

● Pengembang: Sistem Barang Daerah (SIMBADA) [http://simbada.gunadarma.ac.id] dan Inventori Biodiversity [http://www.flora-indonesia.id]

● Wakil Indonesia untuk standardisasi profesi bidang TI untuk Asia Pacific (SEARCC), Pengurus IPKIN, PIKIN, MIKTI, YPLI, AOSI, APSICI

● Aktif pada penulisan standard. Standard Nasional Indonesia (SNI), Standard Kompetensi Kerja Nasional Indonesia (SKKNI), Badan Standard Nasional Pendidikan (BSNP)


Ancaman Keamanan Internet


Konsep security● Definisi umum :

– Sekuriti komputer menangani pencegahan dan pendeteksi dari akses yang tak berhak oleh pengguna dari suatu sistem komputer

– C : Confidentiality : Pencegahan terhadap akses informasi oleh orang yang tak berhak.

– I : Integrity: Pencegahan terhadap modifikasi informasi oleh orang yang tak berhak

– A : Accesibility: Pencegahan terhadap penguasaan informasi atau sumber daya oleh orang yang tak berhak.

● Definisi lebih luas :– EU : terkait ketergantungan pada pihak ke-3

Security is not a product but a process Bruce

Schneier


Pendekatan untuk security (ofensif dan defensif)

● Practical : antivirus, exploit and patch

● Theoretical : Security model etc

● Management: Security Policy, Risk Assesment

● User

● Sociological


3 gelombang ancaman● Fisik

● Menyadap saluran telfon/radio, memutus dan mengarahkan ke saluran palsu dsb

● Sintatik

● Melakukan remote exploit, DdoS dan sebagainya

● Semantik

● Memanfaatkan serangan terhadap pemberitaan


Identitas... asli atau palsu?

● Jenis kelamin (kasus Oca)

● Pekerjaan (penipuan pasangan)

● Penipuan perilaku kriminal

● Penipuan pencari jodoh


Perkembangan malware● Digunakan untuk mengubah perangkat mobile

menjadi perangkat penyadap suara. Menjadi penyadap aliran data. Spionase industri memanfaatkan virus u

● Menginfeksikan, dengan menggunakan social engineering. Menjadi zombie yang siap diperintah

● Teknik yang digunakan: ● Overlay Network● Fail-over● Encrypted link● Encrypted code

● Ada model business yang mendorongnya

● Untuk DdoS dan spam


Ancaman Cloudservices

● Cloudservices merubah pendekatan

● Membangun tools untuk brute-force attack lebih murah, cepat, dan mudah

● Tools tersedia online


Penerima● Nokia 3310/Ericsson/

● Universal Software Receiver Peripheral (USRP)

● Texas Instruments OMAP Dev Kit

● Commercial Interceptor


Scandec● Tanpa SIM

● Tanpa open Encryption

● Tanpa diverted call charges, tidak disadari orang

● Tanpa perlu tahu pengetahuan jaringan GSM

A5/1A5/2

A5(Kc,Frame) A5(Kc,Frame)

Plain-text Plain-text

+ +

Frame Frame

Conversation

Phone Sending to BTS


Attack pada mobil dari jauh


Ancaman gambar

● Mengunduh file secara tidak sah

● Mengunduh file secara berlebihan Denial of →services (sistem menjadi tak bekerja)

● Mengubah gambar dan memposting di media lain (media sosial, misalnya)

● Memasukkan gambar ke dalam sistem secara tidak sah


Life cycle of system security

Intr

usi

on

s

Discovery

Disclosure Patch released

Compromised

Vulnerable

HardenedTime

● Birth: kelahiran celah biasanya terjadi tanpa disadari

● Discovery: seseorang menemukan bahwa suatu produk memiliki permasalahan sekuriti

● Disclosure: permasalahan dikemukakan pada publik yang lebih luas

● Corrections: vendor atau pengembang memberitahu patch, atau modifikasi yang diperlukan

● Publicity: menjadi berita

● Scripting: perangkat bantu utk memudahkan serangan dibuat orang

● Death: ketika celah tersebut menjadi tak berarti


Neumann (1978)● Improper protection

● Improper choice of initial protection domain

● Improer isolation of implementation detail

● Improper change

● Impoper deallocation or deletion

● Improper validation

● Improper synchronization

● Improper indivisibility

● Improper sequencing

● Improper chice of operand or operation


Howard CERT Taxonomy


CVE● Common Vulnerabilities

and Exposure

● MITRE http://cve.mitre.org

● Kamus bukan database (1 nama dan deskripsi)● Vulnerability● Exposure

● Gerakan komunitas dan tersedia bebas

Intrusiondetection system

signaturesdatabase

Securityadvisories and

email list

Vulnerabilityscannerdatabase

Softwarevendoralerts

VulnerabilitiesWeb sites and

databases

Softwarevendor patches

and updates

CommonVulnerabilitiesand Exposure

Initiative


Web App. Vulnerabilities

● Web Application Security Consortium

● http://www.webappsec.org

● To clarify and organize threats to security of site

● Goal :

● Identifiy all known web application attack

● Naming of each class of attack

● Develop a structure of classes of atack

● Develop documentation of generic description of classes of attack


Vulnerable and Risk Assesment

● Attack Tree (Bruce Schneier) - Attack Graph

● WBA (Prof. Peter B Ladkin)


User titik terlemah


Kelemahan di sisi user● User sadar bahwa ada resiko

sekuriti, tapi kurang paham bagaimana resiko itu memiliki pengaruh terhadap mereka.

● User tak paham dengan teknologi sekuriti.

● Virus, Troyan, and Worm

● Phishing

● Spam (mail, messenger, blog etc)

● Vulnerabilities in audio file, image, browser, sandbox


Spam facebook● Dating spam

● Profile and IM lures

● Redirection to dangerous site

● Nigerian scam

● Fake jobs (steal identity)

● Competitor soc-network lure

● Religous based spam


Bagaimana di Indonesia ?● Pengguna smartphone begitu

besar

● Mobile services adalah revenue besar

● SMS telah diterima dalam berbagai penggunaan resmi dan transaksi. Penipuan SMS

● Masih banyak pihak yang tak peduli dengan kelemahan dari sisi sekuriti, termasuk badan negara.


Kasus SMS● Mengisi pulsa

Pak tolong isiin pulsa ke no Im3 ini ya 085789043331...sekarang ya penting...! ini pulsa terakhir...ditunggu

● Info transfer Tolong uangnya Di transfer sekarang aja ke bank BNI:022-741-3***. A/n FRISKA ANANDA dan sms reply saja kalau sudah diTransfer, trimkasih

● Tawaran menarik"Xpressive SMS Bonus. Kamu terpilih buat dptin UANG 3 JUTA, BB ONYX & Pulsa 50rb! Hub *123*2767# utk ambil kesempatanmu skrg! GRATIS WALLPAPER Romantis! 5rb/bln"

P


Mobile storage● USB Flash disk 4, 16 GB→

● External hard disk 1,5 TB→

● Apa yang terjadi bila jatuh ke pihak ke 3?

● Berapa yang menggunakan hard disk terenkripsi ?

● Versi mahal

● http://www.ironkey.com

● Menggunakan AED 256 bit encryption

● Selalu di enkripsi

● Versi murah

● Truecrypt

● Menggunakan USB biasa


Security software berguna

Jika user yang diharapkan menggunakannya:

● Menyadari aspek sekuriti dari tugas yang harus mereka lakukan

● Dapat mengkonfigurasi sehingga sukses melaksanakan tugasnya.

● Tidak membuat kesalahan yang berbahaya.

● Cukup nyaman dengan antar muka dan tetap menggunakannya.


User-centered security● Garfinkel and Spafford :

Suatu komputer aman bila pengguna dapat bergantung padanya dan perangkat lunak berperilaku seperti yang diharapkan

● Resiko keamanan terbesar adalah orang yang memakainya

● Sekuriti dan udsability pada dasarnya tidak berlawanan

● Menerapkan usability ke sistem aman

● Mengintegrasi layanan sekuriti dengan komponen software yang memiliki usability

● Mengembangkan model user-center sekuriti. Pengguna sebagai hal yang perlu dipertimbangkan paling utama dalam model sekuriti, antar muka dan fitur sistem.


PERKEMBANGAN MEDIA SOSIAL


Mengapa Social Media

● Dasar dari sistem sosial adalah komunikasi (Luhmann)

● Murah

● Saling terkoneksi antara ruang komunikasi

● “Anonim”

● Global


Untuk mencapai 50 juta

● Radio: 38 tahun

● TV: 13 tahun

● Internet: 4 tahun

● Facebook: menambah 100 juta pengguna di bawah 9 bulan

● 2/3 user Internet menggunakan Sosial Media

Sources: United Nations Cyberschoolbus Document and Mashable

Komunikasi

Kolaborasi

Multimedia

Hiburan

Ulasan dan opini

http://www0.un.org/cyberschoolbus/briefing/technology/tech.pdf



http://mashable.com/2009/04/08/facebook-from-100-to-200-million-users-in-8-months/


Interaksi di Social Media● 90 % percaya pada rekomendasi yang dikenalnya

● 70% percaya pada rekomendasi tak dikenal

● 2/3 global population access social media

● Demokritasasi komunikasi 1--> all, all--> all

● Komunikasi lebih terarah dan dapat diukur response


Pengguna mobile devices

● Mobile devices sering/selalu terkait dengan media sosial

● Entry point pengguna Media Sosial

● Pengguna menjadi siapa saja● Demografi● Tujuan

● Tantangan baru bidang forensik


Resiko Media Sosial● Ada lebih dari 175 situs media sosial

● Keuntungan:

● Menaikkan kerjasama dan hubungan bisnis

● Menaikkan produktivitas

● Resiko

● Masalah penurunan produktifitas

● Harrasment

● “image and branding”

● Terbukanya informasi rahasia, atau proprietary,, privacy and secrecy. Pekerja menjadi penerbit informasi

● Keselamatan dan keamanan


Forensik


Intrusion

Incident IncidentAnalysis

ForensicCourt Evidence

System Improvement

● Ketika sistem berada pada kondisi tidak aman (insecure state = melanggar kebijakan). Dapat terjadi karena :

● Tidak sengaja: algoritma salah, implementasi salah

● Sengaja : serangan, exploitasi

● Shutdown ? Disconnected ?

● Incident response procedures

● Is there any standard in the organization ?

● Is there any special person ?


Forensik“Forensik adalah penggunaan ilmu pengetahuan dan teknologi untuk menyelidiki dan menetapkan fakta-

fakta di pengadilan pidana atau perdata”

Pengetahuan forensik tidak saja dibutuhkan oleh penyidik, tetapi juga pengembang sistem. Sehingga memungkinkan sistem yang

dikembangkan dapat diforensik secara lebih mudah


Digital Forensik

● Investigasi : mengidenfikasi siapa, apa dan bagaimana

● Security Measure Implementation

● Memonitor jaringan : mengidentifikasi serangan lain

● Recovery : mengembalikan sistem ke kondisi awal

● Pelaporan dan tindak lanjut

● Menjaga ketersediaan dan integritas bukti

● Memilih bukti yang terkait dan menyimpan

● Me-rekonsutruksi aksi dan mensinkronkan dengan bukti

● Menangani komplekistasi sistem dan batasan geografis

● Menyediakan metoda yang dapat ditampilkan di pengadilan

Tantangan


Permasalahan yang ada● Minimnya jumlah SDM dengan pengetahuan TIK di

lembaga pemerintahan

● Kompleksnyanya materi digital forensik, sebagian besar membutuhkan dasar pengetahuan TIK

● Perangkat bantu yang beragam

● Bukti dengan ukuran yang besar

● Kasus yang kompleks

● SOP yang harus dipatuhi agar valid sebagai bukti


Case yang kompleks● Ragamnya sistem operasi

● Ragamnya media penyimpannan

● Ragamnya jenis filesystem dari sistem operasi

● Rekaman jejak via internet di lokasi berbeda

● Beragam teknologi


Teknik dasar ANTI forensik

● Menghindari deteksi

● Menyulitkan pengumpulan informasi

● Membuat waktu pemeriksaan lebih lama

● Membuat kepercayaan publik berkurang terhadap metoda penyidikan/forensik

● Membuat perangkat pencari bukti tak bekerja


Dependabilitas suatu sistem


Permasalahan → Persiapan● Definisi kebutuhan

● Tujuan dari sistem● Pengguna● Batasan dan hambatan● Informasi atau data yang diberikan

● Disain

● Implementasi

● Operasional (SDM dan organisasi)

● Perawatan

● Interoperabilitas

● Aspek legal

● Aspek non teknis

● Persiapan aspek teknis

● Persiapan aspek organisasi

● Persiapan aspek SDM


Permasalahan sistem sensitif

● Penerapan pada Pemilihan Umum (eVoting)● Bila ada incident (defacement, dispute).

– Bagaimana mencari data sistem

– Bagaimana bila log telah terhapus?

● Penerapan eKTP● Bila ada duplikasi data atau pengubahan

– Bagaimana mencari data padahal tempat tterpisah

– Bagaimana mengetahui siapa yang melakukan

● Internet Banking hm.......→


Situs pemerintah


Struktur minimal● Modsec Apache module [http://www.modsecurity.org]→

● Suhosin hardened PHP [http://www.hardened-php.net/suhosin]→

● Sanitize library di php→

● Dbasefirewall greenSQL [http://www.greensql.net]→

● IDS Snort, dsb→

● Integrity control Samhain [[http://www.la-samhna.de/samhain]→

Firewall IDS IPS Integrity control

Sanitize DBaseFirewallModSec

Apache CMS

Suhosin

Isolation and Virtualizationcccc


Struktur lebih lengkap

Firewall IDS IPS Integrity control

Sanitize DBaseFirewallModSec Apache CMS

Log monitoring

Alert system

Static Analyzer

Advisory monitor

Patch managementRecovery system

Incident handler

PRE OPERATION AFTER INCIDENTPRE

Threat analyzer

Isolation and Virtualization


Monitoring Situs● Secara terus menerus

memonitor situs dari berbagai lokasi (agent based)

● Mengukur:

● Speed (performance)● Reliabilitas● Availabilitas● Keamanan

(sederhana)


Diabaikannya forensik

● Sistem “sensitive” dibangun tanpa pertimbangan forensik

● Perbankan● EKTP, Sistem rumah sakit, dsb

● Permasalahan

● Ketika terjadi incident data bukti tidak tersimpan (log tidak disimpan)

● Ketika terjadi incident recovery sulit dilakukan tanpa membutuhkan waktu lama agar bukti dapat dipreservasi

● Ketika incident bukti untuk di'korelasi' menjadi sulit


Forensik titik belakang

● Kegiatan forensik hanya dilakukan SETELAH kejadian (incident)

● Tidak dimasukkan di dalam pertimbangan pengembangan sistem

● Serinkali proses forensik yang baik tidak dapat dilakukan karena memang sistem tidak mendukung penyimpanan bukti


Pertimbangan untuk sistem

● Pengelolaan log yang baik● Jenis log mengcover jenis transaksi● Log disimpan dengan baik● Proses signaturing diterapkan pada sistem log● Log server bila diperlukan (memudahkan recovery)

● Pencatatan lokasi (geolocation)

● Pencatatan waktu (time server kewajiban)


Sumber data


Perangkat lunak

● Microcode

● Firmware

● Operating System

● Library

● Application

● Application on the top application (web apps)


Karakteristik dan ujinya

● Fungsionalitas

● Usabilitas

● Performance

● Cost

● Dependabilitas

● Performance

● Usability

● Security

● Safety


Dependability

● The dependability of a system is its ability to deliver specified services to the end users so that they can justifiably rely on and trust the services provided by the system

● Service. ● The function of the system is what system is intended for and is

described by the system specification. ● The service delivered by a system is its behaviour as it is perceived by

users.

● Alternated definition: the ability of a system to avoid failure that are more frequent or more severe, and outge durations that are longer that is acceptable to users


Dependability


Atribute Dependability● Availability: readiness for correct service, availability of a system for a period (0,t) is the

probability that the system is available for use at any random time in (0,t).

● reliability: continuity of correct service,. The reliability of a system for a period (0,t) is the probability that the system is continuously operational (i.e., does not fail) in time interval (0,t) given that it is operational at time 0.

● safety: absence of catastrophic consequences on the user(s) and the environment, Safety. The safety of a system for a period (0,t) is the probability that the system will not incur any catastrophic failures in time interval (0,t).

● confidentiality: absence of unauthorized disclosure of information, Confidentiality: The confidentiality of a system is a measure of the degree to which the system can ensure that an unauthorized user will not be able to understand protected information in the system.

● integrity: absence of improper system state alterations; Integrity and Trustworthiness. The integrity of a system is the probability that errors or attacks will not lead to damages to the state of the system, including data, code, etc.

● maintainability: ability to undergo repairs and modifications, The maintainability of a system is a measure of the ability of the system to undergo maintenance or to return to normal operation after a failure.


Jaminan

● Security, Safety Sicherheit→● Jaminan atas beroperasinya sistem sesuai dengan

yang dirancang● Verifikasi tiap tahap sesuai dg yg dispesifikasikan→● Validasi keluaran sesuai dengan yang dikehendaki→

● Sistem yang lebih kritis membutuhkan verifikasi. Indonesia MINIM penelitian dan pengembangan di bidang verifikasi


Software quality (ISO 9126)


Usability

● ISO/IEC 9126-1, The capability of software product to understood, learned, used and attractive to user, when used under specific condition

● ISO 9241011, 1998 : The extent which a product can be used by specified users to achieve specified goals with effectiveness, efficiency, and satisfaction in a specified context of use

● Attributes :

● Effectiveness

● Efficiency

● Satisfaction


Normative usability


Developing Safety Critical


Pola organisasi


Pola Road Map

PENGEMBANGAN TEKNIS

PENGEMBANGAN SDM

PENGEMBANGAN ORGANISASI

● Capaian dan Indikatornya serta metoda assestment

● Adjustment pelaksanaan


Contoh masalah SDM dan Organisasi

● Perangkat banyak sistem banyak, tidak ada SDM pendukung 24x7

● Organisasi di posisi kurang tinggi untuk memberikan masukan yang penting bagi organisasi

● SDM sudah ditraining dan dilatih “rolling” ke bagian lain Jabatan →functional

● Mekanisme perekrutan tenaga dan pendampingan teknis

● SDM operator, admin, pengembang


Payung Hukum• UU No 43 Tahun 2007 tentang Perpustakaan

• UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UUITE)

• UU No. 14 tahun 2008 tentang Keterbukaan Informasi Publik

• UU No. 43 tahun 2009 tentang Kearsipan

• UU No. 18 tahun 2012 tentang Sistem Nasional tentang Penelitian, Pengembangan dan Penerapan Ilmu Pengetahuan dan Teknologi

• UU No. 4 tahun 2011 tentang Informasi Geospasial

• UU No. 25 Tahun 2009 tentang Pelayanan Publik

• SNI ISO 32000-1:2008, Portable Document Format

• SNI ISO 27001:2009, Sistem Manajemen Keamanan Informasi

• SNI ISO/IEC 26300:2011, Open Document Format

• Peraturan Pemerintah 82/2011 tentang Penyelenggaraan Sistem dan Transaksi Elektronis

• Kesepakatan 5 menteri IGOS, 30 Juni 2004

• Surat Edaran MenPAN No SE/01/M-PAN/3/2009, 31 Desember 2011 seluruh instansi sudah menerapkan perangkat lunak legal


Peraturan tentang SDM (PP 82)


Sertifikasi Kompetensi

● Pola yang umum● Sertifikasi melalui Asosiasi: contoh PII● Sertifikasi melalui vendor, contoh Cisco, CISA (?)

● Pola yang ditetapkan pemerintah (melibatkan asosiasi, vendor, dan publik)● Mendefinisikan kompetensi SKKNI→● Menjadikan skema profesi LSP →

Sistem Sertifikasi Profesi - TIK

STANDAR KOMPETENSI

STANDAR PROFESI

UJI KOMPETENSIPELATIHAN

KOMPETENSI

SKKNI

TNA

SERTIFIKASIPROFESI

ACUAN

INDUSTRI


Dunia Pendidikan Kerangka Kualifikasi Nasional (KKNI)

Standar Kompetensi Kerja Nasional Indonesia (SKKNI)

2005 Operators Programmer

2006 Systems Administrator and

Computer Network Technical Support

2007 – Multimedia 2008

Satellite Telecommunication Technician

2009 - Graphic Design

2011: IT Security 2012

IT Service Management Fiber Optic Technician IT Auditor Animation

2014 ICT Project Management Enterprise Architecture Design

(EAD) Data Center Management2015

Cloud computing

Mobile Computing


ASEAN Kompetensi


Kompetensidi

ASEAN


Pihak yang terlibat

SecurityBadanPemerintah

PerusahaanPengguna

PerusahaanPenyedia layanan

Publik

MiliterKomunitasProfesional

Komunitas“Hobbiest”

PenegakHukum


Organisasi bidang sekuritiTingkat Nasional

Bersifat KoordinatorPenentu Bakuan dsb

Forum antarPemerhati

(pemerintah, peneliti)

Response Team

Help DeskTingkat Nasional


Komunitas Sekuriti

● ID-CERT [http://www.cert.or.id]● community based but is not so active, contact person : Dr. Budi Rahardjo

● CERT – Community● ex underground group, [email protected]

● KKI [http://community.security-1st.net]● Komunitas Keamanan Informasi, Gildas Deograt

● MASINDO [http://www.ina-ciss.org]● Masyarakat Sandi dan Keamanan Informasi, J Maeran Sunarto

● ID-FIRST ● established on March 2003, by Indonesia Information Technology

Federation (industry). However, it is inactive.● Contact person : Idris Sulaeman Ph.D

● ID-SIRTII (Government bodies)● monitor and use log file for evidence. Salahudin.


Koordinator Nasional

● Melakukan koordinasi antara lembaga (Kemhan, Lemsaneg, antar Response Team dsb)

● Menentukan bakuan yang digunakan di tingkat nasional

● Memberikan guidance kepada lembaga pemerintah

● Mirip dengan fungsi BSI (Bundessicherheit fuer Information Technologi) →


CERT di Jerman

● BUND CERT Untuk badan negara→● BURGER CERT Untuk publik→● DFN CERT Untuk network akademik→● CORPORATE CERT Untuk perusahaan→● Contact Point

● Information point


CERT BUND

CERT-Bund (Computer Emergency Response Team for federal agencies) is the central point of contact for preventive and reactive measures regarding security-related computer incidents. With the intention of avoiding harm and limiting potential damage, CERT-Bund

● creates and publishes recommendations for preventive measures

● points out vulnerabilities in hardware and software products

● proposes measures to address known vulnerabilities

● supports public agencies efforts to respond to IT security incident

● recommends various mitigation measures

● Operates IT Situation Centre


Kendala aturan

● Belum ada keharusan melaporkan

● Belum ada ketentuan pihak yang menangani

● Belum ada struktur “wajib” untuk penanganan insiden

Thank you very much

diskusi publik rpm perangkat lunak sistem elektronik_i made wiryawan

Government & Nonprofit