pti-keamanan sistem informasi
DESCRIPTION
Ini Soft copy pertemuan ke 11 PTITRANSCRIPT
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 1/46
Oleh :
M. Mahaputra Hidayat, S. Kom
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 2/46
• Mengapa keamanan sistem penting ?
• Contoh-contoh gangguan/serangan/ancaman
terhadap keamanan sistem
• Pengamanan sistem
• Beberapa teknik dan tools untuk mengamankan sistem
• Algoritma kriptografi
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 3/46
•
Mengapa keamanan sistem informasi diperlukan ?• Teknologi komunikasi modern (mis: Internet) membawa
beragam dinamika dari dunia nyata ke dunia virtual
• Dalam bentuk transaksi elektronis (mis: e-banking) atau
komunikasi digital (mis: e-mail, messenger)• Membawa baik aspek positif maupun negatif (contoh:
pencurian, pemalsuan, penggelapan, …)
• Informasi memiliki “nilai” (ekonomis, politis) obyek
kepemilikan yang harus dijaga• Kartu kredit
• Laporan keuangan perusahaan
• Dokumen-dokumen rancangan produk baru
• Dokumen-dokumen rahasia kantor/organisasi/perusahaan
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 4/46
• Mengapa sistem informasi rentan terhadap gangguan
keamanan
• Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet)
•
Tidak ada batas fisik dan kontrol terpusat• Perkembangan jaringan (internetworking) yang amat
cepat
• Sikap dan pandangan pemakai
•Aspek keamanan belum banyak dimengerti
• Menempatkan keamanan sistem pada prioritas rendah
• Ketrampilan (skill) pengamanan kurang
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 5/46
• Serangan untuk mendapatkan akses (access attacks)
• Berusaha mendapatkan akses ke berbagai sumber daya
komputer atau data/informasi
•
Serangan untuk melakukan modifikasi (modification attacks)• Didahului oleh usaha untuk mendapatkan akses, kemudian
mengubah data/informasi secara tidak sah
• Serangan untuk menghambat penyediaan layanan (denial of
service attacks)• Menghambat penyediaan layanan dengan cara
mengganggu jaringan komputer
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 6/46
• Sniffing
• Memanfaatkan metode broadcasting dalam LAN
• “Membengkokkan” aturan Ethernet, membuat network
interface bekerja dalam mode promiscuous• Contoh-contoh sniffer: Sniffit, TCP Dump, Linsniffer
• Mencegah efek negatif sniffing
• Pendeteksian sniffer (local & remote)
• Penggunaan kriptografi (mis: ssh sbg pengganti telnet)
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 7/46
• Spoofing• Memperoleh akses dengan cara berpura-pura menjadi seseorang atau
sesuatu yang memiliki hak akses yang valid
• Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke
dalam sistem (mis: username & password)
Logon
Invalid logon
Client Penyerang Server
Logon
Logon berhasil
Client Server
Pada saat ini, penyerang sudah mendapatkan username & password
yang sah untuk bisa masuk ke server
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 8/46
• Man-in-the-middle
• Membuat client dan server sama-sama mengira bahwa mereka
berkomunikasi dengan pihak yang semestinya (client mengira sedang
berhubungan dengan server, demikian pula sebaliknya)
Client Man-in-the-middle Server
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 9/46
• Menebak password
• Dilakukan secara sistematis dengan teknik brute-force atau dictionary
• Teknik brute-force: mencoba semua kemungkinan password
• Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai,
atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, namaanak, dsb)
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 10/46
• Biasanya didahului oleh access attack untuk mendapatkan akses
• Dilakukan untuk mendapatkan keuntungan dari berubahnya
informasi
•
Contoh:• Pengubahan nilai kuliah
• Penghapusan data utang di bank
• Mengubah tampilan situs web
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 11/46
• Berusaha mencegah pemakai yang sah untuk mengakses
sebuah sumber daya atau informasi
• Biasanya ditujukan kepada pihak-pihak yang memiliki
pengaruh luas dan kuat (mis: perusahaan besar, tokoh-tokoh
politik, dsb)
• Teknik DoS
• Mengganggu aplikasi (mis: membuat webserver down)
• Mengganggu sistem (mis: membuat sistem operasi down)
• Mengganggu jaringan (mis: dengan TCP SYN flood)
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 12/46
• Contoh: MyDoom worm email (berita dari F-Secure, 28 Januari
2004) http://www.f-secure.com/news/items/news_2004012800.shtml
• Ditemukan pertama kali 26 Januari 2004
• Menginfeksi komputer yang diserangnya. Komputer yang terinfeksi
diperintahkan untuk melakukan DoS ke www.sco.com pada tanggal 1Februari 2004 jam 16:09:18
• Pada saat itu, diperkirakan 20-30% dari total lalulintas e-mail di seluruh
dunia disebabkan oleh pergerakan worm ini
• Penyebaran yang cepat disebabkan karena:
• “Penyamaran” yang baik (tidak terlihat berbahaya bagi user)
• Penyebaran terjadi saat jam kantor
• Koleksi alamat email sasaran yang agresif (selain mengambil dari address
book di komputer korban, juga membuat alamat email sendiri)
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 13/46
Layer 5Auditing, monitoring, and investigating
Layer 4
Information security technologies and products
Layer 3Information security awareness and training
Layer 2Information security architecture and processes
Layer 1Information security policies and s tandards
L a y e r 6
V a l i d a t i o n
Keamanan sistem sebagai satu konsep terpadu
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 14/46
• Studi tentang enkripsi dan dekripsi data berdasarkan konsep
matematis
• Meningkatkan keamanan data dengan cara menyamarkan
data dalam bentuk yang tidak dapat dibaca
• enkripsi: data asli bentuk tersamar
• dekripsi: data tersamar data asli
• Komponen sistem kriptografi:
• fungsi enkripsi & dekripsi
• kunci
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 15/46
• Bruce Schneier : Ilmu dan seni untuk menjaga kerahasiaan
berita
• A. Menez dkk : Ilmu yang mempelajari teknik-teknik
matematika yang berhubungan dengan aspek keamanan
informasi seperti kerahasiaan data, keabsahan data, integritas
data serta autentikasi data
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 16/46
Kerahasiaan, adalah layanan yang digunakan untuk menjaga
isi dari informasi dari siapapun kecuali yang memiliki otoritas
Integritas data, adalah berhubungan dengan penjagaan dari
perubahan data secara tidak sah.
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 17/46
Autentikasi, adalah berhubungan dengan
identifikasi/pengenalan, baik secara kesatuan sistem maupun
informasi itu sendiri.
Non repudiasi, atau nirpenyangkalan adalah usaha untuk
mencegah terjadinya penyangkalan terhadap
pengiriman/terciptanya suatu informasi oleh yang
mengirimkan/membuat.
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 18/46
• plaintext – pesan asli
• ciphertext – pesan tersandi
• cipher - algoritma untuk mentransformasikan plaintext keciphertext
• key – kunci informasi yang digunakan oleh sender untukmengacak pesan dan juga digunakan receiver untukmendapatkan kembali pesan tersebut.
• enkrip – mengkonversikan plaintext ke ciphertext
• dekrip – menemukan kembali plaintext dari ciphertext
• Kriptografi – metodologi enkripsi
• Kriptanalisis (cryptanalysis) – studi tentang metodologibagaimana mendekrip ciphertext tanpa mengetahui kunci
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 19/46
• Kriptografi Klasik
• Subsitusi
• Blocking
•
Permutasi• Eskpansi
• Pemampatan
• Kriptografi Modern
• Simetris
• Asimetris
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 20/46
• Caesar : mengganti setiap huruf dengan huruf ke n dari huruftersebut
Contoh:1. meet me after the toga party
PHHW PH DIWHU WKH WRJD SDUWB
2. ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890
BF1KQGATPJ6HYD2X5MV7C84I9NREU3LSWOZ0
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 21/46
Vigenere : pergeseran alfabetyang berlainan disesuaikandengan kata kuncinyaContoh :kata kunci :
ALABASTERpesan asli :ENCRYPTION ROCKS
kata kunci:ALABASTERA LABAS
pesan tersandi :EYCSYHMMFN CODKK
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 22/46
• Plaintext dibagi menjadi blok-blok yang terdiri dari beberapa
karakter yang kemudian dienkripsikan secara independen.
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 23/46
• Dipilih jumlah baris dan kolom untuk penulisan pesan. Jumlahbaris atau kolom menjadi kunci bagi kriptografi dengan teknikini.
• Plaintext dituliskan secara vertikal ke bawah berurutan
pada baris, dan dilanjutkan pada kolom berikutnya sampaiseluruhnya tertulis.
• Ciphertext-nya adalah hasil pembacaan plaintext secarahorizontal berurutan sesuai dengan blok-nya.
• Jadi ciphertext yang dihasilkan dengan teknik ini adalah "5K GKRTDRAEAIFKSPINAT IRO". Plaintext dapat pula ditulis secarahorizontal dan ciphertextnya adalah hasil pembacaan secaravertikal.
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 24/46
• Sering juga disebut transposisi.• Teknik ini memindahkan atau merotasikan karakter
dengan aturan tertentu.
• Prinsipnya adalah berlawanan dengan tekniksubstitusi. Dalam teknik substitusi, karakter beradapada posisi yang tetap tapi identitasnya yang diacak.Pada teknik permutasi, identitas karakternya tetap,namun posisinya yang diacak.
•
Sebelum dilakukan permutasi, umumnya plaintextterlebih dahulu dibagi menjadi blok-blok denganpanjang yang sama.
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 25/46
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 26/46
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 27/46
• Suatu metode sederhana untuk mengacak pesanadalah dengan memelarkan pesan itu dengan aturantertentu.
• Salah satu contoh penggunaan teknik ini adalahdengan meletakkan huruf konsonan atau bilanganganjil yang menjadi awal dari suatu kata di akhirkata itu dan menambahkan akhiran "an".
•
Bila suatu kata dimulai dengan huruf vokal ataubilangan genap, ditambahkan akhiran "i".
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 28/46
5 TEKNIK DASAR KRIPTOGRAFI
5AN EKNIKTAN ASARDAN RIPTOGRAFIKAN
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 29/46
• Mengurangi panjang pesan atau jumlah bloknyaadalah cara lain untuk menyembunyikan isi pesan.
• Contoh sederhana ini menggunakan caramenghilangkan setiap karakter ke-tiga secaraberurutan.
• Karakter-karakter yang dihilangkan disatukankembali dan disusulkan sebagai "lampiran" dari pesan
utama, dengan diawali oleh suatu karakter khusus,dalam contoh ini digunakan "&".
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 30/46
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 31/46
Ciri Kriptografi Modern
• Harga/cost. Biaya untuk menjebol algoritma lebih besar
daripada nilai informasi yang akan dibuka
• Waktu. Waktu yang dibutuhkan untuk membobol algoritma
lebih lama daripada waktu sebuah informasi harus tetap aman
• Jumlah data. Jumlah data yang dienkrip dengan kunci dan
algoritma yang sama lebih sedikit dari jumlah data yang
diperlukan untuk menembus algoritma tersebut
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 32/46
• Simetris (private key)Contoh
• DES (Data Encryption Standard)
• AES (Advance Encryption Standard)
•
IDEA• Asimetris (public key)
Contoh
• RSA (Rivert-Shamir-Adelman)
• DSA
• DH• Quntum
• ECC
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 33/46
• Kriptografi dengan menggunakan satu private/secret/singlekey
• Key dishare antara sender dan receiver
• Disebut symmetric, karena receiver dan sender memiliki key
yang sama• Tidak melindungi sender dari receiver yang memalsukan
message dan mengatakan bahwa message dikirim oleh sender
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 34/46
• Kunci yang sama untuk enkripsi & dekripsi
• Problem
• Bagaimana mendistribusikan kunci secara rahasia ?
• Untuk n orang pemakai, diperlukan n(n-1)/2 kunci tidak praktis untuk
pemakai dalam jumlah banyak
kirim
enkripsi dekripsi
data asli data aslicyphertext cyphertext
pengirim penerima
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 35/46
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 36/46
• Kelemahan
• Pengiriman kunci membutuhkan saluran khusus
• Jumlah kunci meledak secara eksponensial:
n (n-1)/2
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 37/46
• Kriptografi dengan menggunakan public-key/two-
key/asymmetric
• Menggunakan two keys:•
public-key,yang diketahui oleh semua orang, dan dapat digunakan untukmengenkripsi message, dan memverifikasi tanda tangan
• private-key, diketahui oleh recipient, digunakan untuk mendekripsi
message, dan membuat tanda tangan
• disebut asymmetric karena• Orang yang mengenkripsi messages atau memverifikasi tanda tangan
tidak dapat mendekripsi messages atau membuat tanda tangan
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 38/46
• Kunci enkripsi tidak sama dengan kunci dekripsi. Kedua kunci
dibuat oleh penerima data
• enkripsi kunci publik
• dekripsi kunci privat
kirim
enkripsi dekripsi
data asli data aslicyphertext cyphertext
pengirim penerima
kunci publik kunci privat
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 39/46
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 40/46
• Keuntungan
• Pengiriman kunci tidak membutuhkan saluran khusus
• Jumlah kunci sejumlah 2n
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 41/46
• Pengamanan komunikasi data untuk keperluan publik (antar
institusi, individu-institusi, individu-individu, dsb)
• Kebutuhan komunikasi yang aman
• Heterogenitas pemakai
• Jaringan komunikasi yang kompleks
• Komponen infrastruktur kunci publik:
• Tandatangan digital (digital signature): untuk menjamin keaslian dokumen
digital yang dikirim
•
Otoritas Sertifikat (certificate authority): lembaga yang mengeluarkansertifikat digital sebagai bukti kewenangan untuk melakukan transaksi
elektronis tertentu
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 42/46
• Mengapa diperlukan ?
• Kasus KlikBCA beberapa tahun yang lalu
• Ada orang yang meniru persis situs netbanking Bank BCA, dengan URL
yang mirip
• Situs tersebut menerima informasi login dari nasabah BCA (userID danpassword)
• Apa yang terjadi jika informasi login nasabah disalahgunakan ?
• Semakin banyaknya transaksi elektronis yang memerlukan legalitas
secara elektronis juga
• Dokumen kontrak
• Perjanjian jual beli
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 43/46
• Menggabungkan antara kriptografi simetris dan asimetris
mendapatkan kelebihan kedua metode
kirim
enkripsi dekripsi
data asli data aslicyphertext cyphertext
pengirim penerima
kunci sesi
kunci sesi
enkripsi dekripsi
kirim
kunci publik kunci publik
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 44/46
Any Questions??
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 45/46
• Tentukan chipertext dari :
• Plaintext = PTIINFORMATIKA
• Plaintext = 01010101100 1010000 1010100 1001001
• Jika diketahui kunci = TBFRGFARFM
• Dan (A=0,B=1,C=2........,Z=25)
• Tentukan plaintext dari :• Chipertext = XMZVH
• Kunci tidak diketahui !
5/12/2018 PTI-Keamanan Sistem Informasi - slidepdf.com
http://slidepdf.com/reader/full/pti-keamanan-sistem-informasi 46/46
Dengan Ilmu, Hidup ini lebih Bermutu
Dengan Agama, Hidup ini lebih BermaknaDan Dengan Seni, Hidup ini terasa lebih
Syahdu