sistem keamanan komputer

1. Menentukan kebijakan keamanan (security policy).

–        Tujuan-tujuan (goals) yang ingin dicapai

–        Contoh :

•          Dalam suatu sistem yang digunakan secara bersama-sama (shared system), hanya authorized user yang dapat login

•          Untuk akses web berbayar, klien harus membayar iuran

•          etc.

2. Membuat mekanisme keamanan (security mechanism)

–        Perangkat yang memastikan tercapainya tujuan

–        Contoh :

•          Sistem password diharapkan akan membatasi pengaksesan sistem hanya untuk authorized user

•          Protokol pembayaran (payment protocol) dapat menjamin setiap klien yang mengakses suatu web berbayar akan memenuhi kewajibannya

3. Menganalisis kelemahan (vulnerabilities) sistem

–         Celah dalam sistem yang dapat digunakan untuk menyerang

4. Menanggulangi kelemahan sistem

Goal kategori

•          Confidentiality: akses terhadap sistem komputer tidak boleh dilakukan oleh unauthorized parties

•          Integrity: aset sistem komputer tidak boleh dimodifikasi oleh unauthorized users

•          Availability: Sistem harus dapat diakses oleh authorized users

•          Authenticity: sistem mengetahui asal muasal suatu objek atau asal muasal modifikasi yang terjadi

•          Non-repudiation: seseorang/sesuatu tidak dapat menolak aturan (tidak dapat menyangkal telah melakukan sesuatu)

•          User awareness: memasyarakatkan tujuan-tujuan keamanan (security goals) dan resiko yang dapat muncul kepada user 

•          Physical protection: Gembok dan kunci dapat mencegah unauthorized access ke gedung tempat sistem komputer berada

•          Cryptography: untuk mewujudkan confidentiality dan integrity

•          Access Control: menentukan daftar user yang boleh membaca, menulis dan mengeksekusi

•          Auditing: merekam seluruh aktivitas dalam sistem

•          Memungkinkan pendeteksian kebocoran keamanan (serangan yang tidak dapat dicegah)

Prinsip skk

•          Untuk merancang mekanisme keamanan yang efektif, terdapat beberapa prinsip keamanan, contohnya :

–        Principle of least privilege : memberi hak kepada user atau proses untuk melakukan pekerjaan yang sesuai dengan haknya

–        Meminimalkan trusted components: mengidentifikasi komponen-komponen sistem yang dapat dipercaya dan menjaga agar jumlahnya sesedikit mungkin

–        Jangan ingin sempurna : sempurna tidak mungkin diwujudkan, sehingga kita harus siap untuk mendeteksi masalah, merancang penanggulangannya dan memulihkan diri dari serangan

Kebijakan2

•          Untuk membahas ini kita menggunakan pendekatan ISO7498-2 (Dokumen yang menyertai ISO7498-1 (Model referensi OSI))

•          Dalam sebuah sistem yang aman, peraturan yang menggalang keamanan harus dibuat secara eksplisit dalam bentuk Information Security Policy.

•          Security policy: sekumpulan kriteria untuk penerapan layanan keamanan

•          Security domain: cakupan dari aplikasi kebijakan keamanan

–        dimana, terhadap informasi apa dan kepada siapa peraturan diterapkan

•          Suatu kebijakan keamanan jaringan harus mencerminkan Information Security Policy secara keseluruhan dalam konteks lingkungan jaringan (in the context of the networked environment):

–        Mendefinisikan apa yang menjadi tanggung jawab jaringan dan apa yang bukan

–        Menjelaskan keamanan apa yang tersedia dalam jaringan

–        Menjelaskan aturan untuk menggunakan jaringan

–        Menjelaskan siapa yang bertanggung jawan terhadap manajemen dan keamanan jaringan

Keamanan generik

•          Kebijakan generic authorisation (dari ISO 7498-2):

                ‘Information may not be given to, accessed by, nor permitted to be inferred by, nor may any resource be used by, those not appropriately authorised.’

•          Untuk membuat dokumen yang lebih detail, perlu didefinisikan lebih jauh :

–        What information?

–        What resources?

–        Who is authorised and for what?

–        What about availability?

Ancaman

•          Ancaman (threat) adalah:

–        Seseorang, sesuatu, kejadian atau ide yang menimbulkan bahaya bagi suatu aset

–        Sesuatu yang memungkinkan penembusan keamanan

•          Serangan (attack) adalah realisasi dari threat.

Treat

•          Klasifikasi threats:

–        disengaja (mis. hacker penetration);

–        Tidak disengaja (mis. Mengirimkan file yang sensitif ke alamat yang salah)

•          Threats yang disengaja dapat dibagi lagi :

–        pasif (mis.  monitoring, wire-tapping);

–        aktif (mis. Merubah nilai transaksi finansial)

•          Pada umumnya, threats yang pasif lebih mudah dilakukan

Istilah

•          Hacker

–        Salah satu buku yang pertama kali membahas hacker : Hackers: Heroes of the Computer Revolution oleh Steven Levy

•          Mr. Levy menyatakan istilah hacker pertama kali muncul di Massachusetts Institute of Technology (MIT)

–        Hacker : pakar programmer yang dapat mendeteksi kerawanan suatu program dari segi keamanan, tetapi tidak memanfaatkannya untuk tujuan menguntungkan diri sendiri atau pihak lain

•          Cracker/intruder : pakar programmer (bisa jadi juga tidak perlu pakar) yang memanfaatkan kelemahan suatu program untuk keuntungan diri sendiri atau pihak lain

•          Script Kiddie

–        Crackers yang menggunakan scripts dan program yang ditulis oleh orang lain

–        Variant lain dari script kiddie : leech, warez puppy, wazed d00d, lamer, rodent

•          Phreak

–        Variant dari hacker

–        Phreak adalah kependekkan dari phone phreak

–        Phreaks adalah hacker yang memiliki minat pada telepon dan sistem telepon

•          Script Kiddie

–        Crackers yang menggunakan scripts dan program yang ditulis oleh orang lain

–        Variant lain dari script kiddie : leech, warez puppy, wazed d00d, lamer, rodent

•          Phreak

–        Variant dari hacker

–        Phreak adalah kependekkan dari phone phreak

–        Phreaks adalah hacker yang memiliki minat pada telepon dan sistem telepon