Chapter 1  Introduction 1

“Information Security Concept”

Konsep Keamanan Informasi

Crypto
Protocols
Masalah
Access Control CIA Orang
Identifikasi & Otorisasi

Software

Chapter 1  Introduction 2
 Karakter Pemeran
 Ani dan Banu adalah orang baik

 Togob orang jahat

 Togob adalah “intruder/pembajak”

Chapter 1  Introduction 3
 Ani’s Online Bank
 Ani membuka usaha Ani Online Bank (AOB)
 Keamanan seperti apa yg menjadi perhatian
Ani ?
 Kalau
Banu adalah kustomernya.. Keamanan
seperti apa yg diinginkannya ?
 Apakah cara pandang masalah keamanan
antara Ani & Banu sama ? Jika tidak..
seperti apa bedanya..?
 Bagaimana Togob melihat situasi di atas..?
Chapter 1  Introduction 4
 CIA
 CIA 
o Confidentiality (Kerahasiaan)
o Integrity (Keterpercayaan)
o Availability (Ketersediaan)
 AOB harus menghalangi Togob mengetahui dan
mempelajari catatan keuangan (account
balance) Banu
 Confidentiality (Kerahasiaan) : perlindungan
dari yg tdk berwenang untuk membaca of
information
o Cryptography (Kriptografi) dipakai untuk
mendukung Kerahasiaan (confidentiality)
Chapter 1  Introduction 5
 CIA
 Togob harus tidak bisa mengubah catatan
keuangan Banu
 Banu juga harus tidak bisa mengubah tanpa
catatan keuangannya sendiri secara tidak
benar (tanpa alasan atau sebab)
 Integrity (Integritas/Keterpercayaan):
Mendeteksi yg tidak berwenang
(unauthorized) menulis/mengubah informasi
o Kriptografi dipakai untuk mendukung
masalah Integritas

Chapter 1  Introduction 6
 CIA
 AOB’s harus dpt menyediakan informasi
kapanpun diperlukan
 AOB’s harus dapat melakukan transaksi
kapanpun diperlukan
o Jika tidak, Banu akan cari tempat lain
 Availability (Ketersediaan) : Data selalu
tersedia bila diperlukan
 Availability merupakan isu yang relatif baru
dalam khasanah keamanan
o Yaitu terkait dengan serangan Denial of service
(DoS)
Chapter 1  Introduction 7
 Beyond CIA: Crypto
 Bagaimana komputer Banu tahu kalau
pemakai adalah benar Banu bukan
Togob ?
 password Banu harus diverifikasi
o Ini membutuhkan suatu cara Kyptografi
 Apa yg menjadi perhatian bagi
keamanan dari Password ?
 Apakah ada alternatif lain dari
passwords
Chapter 1  Introduction 8
 Beyond CIA: Protocols
 Bila Banu loging ke AOB, bagaimana AOB
tahu itu adalah benar “Banu” ?
 Seperti sebelumnya, password Banu di
verifikasi
 Tapi tidak seperti sebelumnya, disini akan
muncul masalah keamanan jaringan (network)
 Bagaimana mengamankan transaksi via
Jaringan ?
o Protocols (Tatacara) menjadi sangat penting
o Kembali Kriptografi memainkan peran utama
dalam pengamanan protokol/tatacara

Chapter 1  Introduction 9
 Beyond CIA: Access Control
 Begitu Banu terotentifikasi oleh AOB, maka
AOB harus membatasi Banu dlm hal :
o Banu tidak dpt melihat informasi/catatan keuangan
kustomer lain
o Banu tidak dapat meng-install s/w baru, dll..

 Menjaga dan membatasi (pengendalian)

kewenangan disebut otorisasi (Authorization)
 Access control (Pengendalian Akses) adalah
mencakup otentifikasi dan otorisasi

Chapter 1  Introduction 10
 Beyond CIA: Software
 Kriptografi, protokol, dan pengendalian akses semua di
implementasikan di dlm software
o Software adalah dasar/pondasi dari semua masalah
keamanan
 Isu keamanan apa yang ada dari software?
o kompleksitas S/W dan kandungan bugnya (buggy)
o Kelemahan S/W membawa kelemahan keamanan
o Bagaimana Togob melumpuhkan/ menyerang (attack)
software ?
o Bagaimana mengurangi kelemahan S/W dalam
pengembangan (development) ?
o Dan tentang Malware (Virus/Worm) ?

Chapter 1  Introduction 11
 Cakupan
 Menyangkut 4 bagian keamanan yaitu :
o Cryptography Kriptografi
o Access control Kendali Akses
o Protocols Protokol
o Software Software
 Fokusnya memang pada isu teknis
 Tetapi, ada banyak masalah pada
orang juga akan mendapat perhatian
Chapter 1  Introduction 12
 Masalah Orang
 Orang selalu ingin membedah (break)
keamanan
o Baik disengaja maupun tidak disengaja
o Yg tidak disengaja misalnya
 Seseorang membeli sesuatu secara
online sebutlah buku dari amazon.com

Chapter 1  Introduction 13
 Masalah orang
 Untuk membeli dari amazon.com…
o browsernya menggunakan protokol SSL
o SSL berlandaskan kryptografi
o Muncul masalah kendali akses
o Semua mekanisasi keamanan ada di dalam
software
 Anggaplah semua staf bekerja baik
o Apakah sudah aman ?
Chapter 1  Introduction 14
 Masalah Orang
 Apa yg mungkin bisa menimbulkan kesalahan ?
 Togob mencoba melakukan pembajakan
o SSL memang aman, jadi serangan tidak bekerja
o Namun, Web browser memperingatkan
o Bagaimana respon pengguna ?
 Jika pengguna mengabaikan peringatan, maka
serangan akan bekerja (works)!
o Jadi tidak ada problem/kegagalan pd mekanisasi
keamanan
o Penggunalah yg secara tak sengaja membocorkan
keamanan
Chapter 1  Introduction 15
 Kriptografi/Cryptography
 Adalah “Kode rahasia / Secret codes”
 Mencakup :
o Classic cryptography
o Symmetric ciphers
o Public key cryptography
o Hash functions++
o Advanced cryptanalysis

Chapter 1  Introduction 16
Kendali Akses/Access Control
 Otentifikasi/Authentication
o Passwords
o Biometrics
o Metode Otentifikasi lain
 Otorisasi/Authorization
o Daftar kendali akses dan Kapabilitas (Access
Control Lists and Capabilities)
o Keamanan bertingkat/Multilevel security (MLS),
security modeling, covert channel, inference
control
o Firewalls, intrusion detection (IDS)

Chapter 1  Introduction 17
 Protokol/Protocols
 “Simple” authentication protocols
o Dasar2 keamanan protokol
o Macam2 teknik kriptografi yg dipakai
pada protokol
 Keamanan protokol yg dijumpai
o SSH, SSL, IPSec, Kerberos
o Wireless: WEP, GSM

Chapter 1  Introduction 18
 Software
 Titik lemah keamanan dari Kelemahan
software
o Buffer overflow
o Race conditions, etc.
 Malware
o Contoh2 virus dan worm
o Pencegahan & Deteksi (Prevention &
detection)
o Kedepannya malware?
Chapter 1  Introduction 19
 Software
 Software reverse engineering (SRE)
o Bagaimana hacker “mem-belah
buku/dissect” software
 Digital rights management (DRM)
o Kesulitan2 dalam pengamanan software
o Keamanan pd sistem operasi
 Software and testing
o Open source, closed source, other topics

Chapter 1  Introduction 20
 Software
 Operating systems
o Dasar2 keamanan pada OS
o “Trusted OS” requirements
o NGSCB: Microsoft’s trusted OS for the PC
 Software adalah “BIG security topic”
o Banyak materi yg harus dicakup
o Banyak masalah keamanan yg harus diperhatikan
o Keterbatasan waktu

Chapter 1  Introduction 21
 Berfikir seperti Togob
 Dulu, jarang ada materi terkait
“pembajakan/hacking” secara detil
o After all, such info might help Trudy

 Sekarang

o Banyak sekali informasi terkait cara

hacking, malware, bagaimana membajak
(hack) software, dll
o Juga ada pelajaran tentang membuat
virus, SRE, …
Chapter 1  Introduction 22
 Berfikir seperti Togob
 Orang baik harus berfikir seperti orang
jahat!
 Menjadi polisi/detectif…
o …harus belajar dan mengerti kriminal
 Pd keamanan Informasi
o Memahami metoda si Togob
o Memperkirakan/menerka modus/motif2nya
Togob
o Harus cenderung seperti Togob
Chapter 1  Introduction 23
 Berfikir seperti Togob
 Apakahbaik berdiskusi tentang masalah
pengamanan dan penyerangan?
 BruceSchneier, referring to Security
Engineering, by Ross Anderson:
o “It’s about time somebody wrote a book to
teach the good guys what the bad guys
already know.”

Chapter 1  Introduction 24
 Berfikir seperti Togob
 Kita harus mencoba berfikir seperti Togob
 Kita harus mempelajari metoda/modus2 Togob
 Kita harus sepintar Togob
 Mentertawakan kebodohan Ani & Banu
 But, kita jangan bertindak seperti Togob
o Kecuali dalam klas atau kuliah…
o … and even then, there are limits

Chapter 1  Introduction 25
 Dlm Pelajaran ini…
 Berfikirseperti orang jahat
 Selalu melihat kelemahan
o Menemukan kaitan kelemahan (weak link)
sebelum ditemukan oleh Tagob
 Boleh melanggar aturan..
o Berfikir seperti Togob tapi jangan
bertindak “illegal” sedikitpun sepertinya..

Chapter 1  Introduction 26