Академический Документы
Профессиональный Документы
Культура Документы
Crypto
Protocols
Masalah
Access Control CIA Orang
Identifikasi & Otorisasi
Software
Chapter 1 Introduction 2
Karakter Pemeran
Ani dan Banu adalah orang baik
Chapter 1 Introduction 3
Ani’s Online Bank
Ani membuka usaha Ani Online Bank (AOB)
Keamanan seperti apa yg menjadi perhatian
Ani ?
Kalau
Banu adalah kustomernya.. Keamanan
seperti apa yg diinginkannya ?
Apakah cara pandang masalah keamanan
antara Ani & Banu sama ? Jika tidak..
seperti apa bedanya..?
Bagaimana Togob melihat situasi di atas..?
Chapter 1 Introduction 4
CIA
CIA
o Confidentiality (Kerahasiaan)
o Integrity (Keterpercayaan)
o Availability (Ketersediaan)
AOB harus menghalangi Togob mengetahui dan
mempelajari catatan keuangan (account
balance) Banu
Confidentiality (Kerahasiaan) : perlindungan
dari yg tdk berwenang untuk membaca of
information
o Cryptography (Kriptografi) dipakai untuk
mendukung Kerahasiaan (confidentiality)
Chapter 1 Introduction 5
CIA
Togob harus tidak bisa mengubah catatan
keuangan Banu
Banu juga harus tidak bisa mengubah tanpa
catatan keuangannya sendiri secara tidak
benar (tanpa alasan atau sebab)
Integrity (Integritas/Keterpercayaan):
Mendeteksi yg tidak berwenang
(unauthorized) menulis/mengubah informasi
o Kriptografi dipakai untuk mendukung
masalah Integritas
Chapter 1 Introduction 6
CIA
AOB’s harus dpt menyediakan informasi
kapanpun diperlukan
AOB’s harus dapat melakukan transaksi
kapanpun diperlukan
o Jika tidak, Banu akan cari tempat lain
Availability (Ketersediaan) : Data selalu
tersedia bila diperlukan
Availability merupakan isu yang relatif baru
dalam khasanah keamanan
o Yaitu terkait dengan serangan Denial of service
(DoS)
Chapter 1 Introduction 7
Beyond CIA: Crypto
Bagaimana komputer Banu tahu kalau
pemakai adalah benar Banu bukan
Togob ?
password Banu harus diverifikasi
o Ini membutuhkan suatu cara Kyptografi
Apa yg menjadi perhatian bagi
keamanan dari Password ?
Apakah ada alternatif lain dari
passwords
Chapter 1 Introduction 8
Beyond CIA: Protocols
Bila Banu loging ke AOB, bagaimana AOB
tahu itu adalah benar “Banu” ?
Seperti sebelumnya, password Banu di
verifikasi
Tapi tidak seperti sebelumnya, disini akan
muncul masalah keamanan jaringan (network)
Bagaimana mengamankan transaksi via
Jaringan ?
o Protocols (Tatacara) menjadi sangat penting
o Kembali Kriptografi memainkan peran utama
dalam pengamanan protokol/tatacara
Chapter 1 Introduction 9
Beyond CIA: Access Control
Begitu Banu terotentifikasi oleh AOB, maka
AOB harus membatasi Banu dlm hal :
o Banu tidak dpt melihat informasi/catatan keuangan
kustomer lain
o Banu tidak dapat meng-install s/w baru, dll..
Chapter 1 Introduction 10
Beyond CIA: Software
Kriptografi, protokol, dan pengendalian akses semua di
implementasikan di dlm software
o Software adalah dasar/pondasi dari semua masalah
keamanan
Isu keamanan apa yang ada dari software?
o kompleksitas S/W dan kandungan bugnya (buggy)
o Kelemahan S/W membawa kelemahan keamanan
o Bagaimana Togob melumpuhkan/ menyerang (attack)
software ?
o Bagaimana mengurangi kelemahan S/W dalam
pengembangan (development) ?
o Dan tentang Malware (Virus/Worm) ?
Chapter 1 Introduction 11
Cakupan
Menyangkut 4 bagian keamanan yaitu :
o Cryptography Kriptografi
o Access control Kendali Akses
o Protocols Protokol
o Software Software
Fokusnya memang pada isu teknis
Tetapi, ada banyak masalah pada
orang juga akan mendapat perhatian
Chapter 1 Introduction 12
Masalah Orang
Orang selalu ingin membedah (break)
keamanan
o Baik disengaja maupun tidak disengaja
o Yg tidak disengaja misalnya
Seseorang membeli sesuatu secara
online sebutlah buku dari amazon.com
Chapter 1 Introduction 13
Masalah orang
Untuk membeli dari amazon.com…
o browsernya menggunakan protokol SSL
o SSL berlandaskan kryptografi
o Muncul masalah kendali akses
o Semua mekanisasi keamanan ada di dalam
software
Anggaplah semua staf bekerja baik
o Apakah sudah aman ?
Chapter 1 Introduction 14
Masalah Orang
Apa yg mungkin bisa menimbulkan kesalahan ?
Togob mencoba melakukan pembajakan
o SSL memang aman, jadi serangan tidak bekerja
o Namun, Web browser memperingatkan
o Bagaimana respon pengguna ?
Jika pengguna mengabaikan peringatan, maka
serangan akan bekerja (works)!
o Jadi tidak ada problem/kegagalan pd mekanisasi
keamanan
o Penggunalah yg secara tak sengaja membocorkan
keamanan
Chapter 1 Introduction 15
Kriptografi/Cryptography
Adalah “Kode rahasia / Secret codes”
Mencakup :
o Classic cryptography
o Symmetric ciphers
o Public key cryptography
o Hash functions++
o Advanced cryptanalysis
Chapter 1 Introduction 16
Kendali Akses/Access Control
Otentifikasi/Authentication
o Passwords
o Biometrics
o Metode Otentifikasi lain
Otorisasi/Authorization
o Daftar kendali akses dan Kapabilitas (Access
Control Lists and Capabilities)
o Keamanan bertingkat/Multilevel security (MLS),
security modeling, covert channel, inference
control
o Firewalls, intrusion detection (IDS)
Chapter 1 Introduction 17
Protokol/Protocols
“Simple” authentication protocols
o Dasar2 keamanan protokol
o Macam2 teknik kriptografi yg dipakai
pada protokol
Keamanan protokol yg dijumpai
o SSH, SSL, IPSec, Kerberos
o Wireless: WEP, GSM
Chapter 1 Introduction 18
Software
Titik lemah keamanan dari Kelemahan
software
o Buffer overflow
o Race conditions, etc.
Malware
o Contoh2 virus dan worm
o Pencegahan & Deteksi (Prevention &
detection)
o Kedepannya malware?
Chapter 1 Introduction 19
Software
Software reverse engineering (SRE)
o Bagaimana hacker “mem-belah
buku/dissect” software
Digital rights management (DRM)
o Kesulitan2 dalam pengamanan software
o Keamanan pd sistem operasi
Software and testing
o Open source, closed source, other topics
Chapter 1 Introduction 20
Software
Operating systems
o Dasar2 keamanan pada OS
o “Trusted OS” requirements
o NGSCB: Microsoft’s trusted OS for the PC
Software adalah “BIG security topic”
o Banyak materi yg harus dicakup
o Banyak masalah keamanan yg harus diperhatikan
o Keterbatasan waktu
Chapter 1 Introduction 21
Berfikir seperti Togob
Dulu, jarang ada materi terkait
“pembajakan/hacking” secara detil
o After all, such info might help Trudy
Sekarang
Chapter 1 Introduction 24
Berfikir seperti Togob
Kita harus mencoba berfikir seperti Togob
Kita harus mempelajari metoda/modus2 Togob
Kita harus sepintar Togob
Mentertawakan kebodohan Ani & Banu
But, kita jangan bertindak seperti Togob
o Kecuali dalam klas atau kuliah…
o … and even then, there are limits
Chapter 1 Introduction 25
Dlm Pelajaran ini…
Berfikirseperti orang jahat
Selalu melihat kelemahan
o Menemukan kaitan kelemahan (weak link)
sebelum ditemukan oleh Tagob
Boleh melanggar aturan..
o Berfikir seperti Togob tapi jangan
bertindak “illegal” sedikitpun sepertinya..
Chapter 1 Introduction 26