e Security

23
e-security: keamanan teknologi informasi Budi Rahardjo http://budi.insan.co.id Dipresentasikan pada Seminar “Cybercrime Bidang Postel” Jakarta – 7 September 2004

description

Teknologi Informasi

Transcript of e Security

  • e-security:keamanan teknologi informasiBudi Rahardjohttp://budi.insan.co.idDipresentasikan pada Seminar Cybercrime Bidang Postel Jakarta 7 September 2004

    e-security 2004 - br

    IT Dalam Kehidupan Sehari-hariKita sudah bergantung kepada Teknologi Informasi dalam kehidupan sehari-hariPenggunaan ATM untuk banking, bahkan mulai meningkat menjadi Internet Banking, Mobile BankingKomunikasi elektronik: telepon tetap, cellular, SMSKomunikasi via Internet: email, messaging, chatting

    e-security 2004 - br

    IT Dalam BisnisIT merupakan komponen utama dalam bisnisAda bisnis yang menggunakan IT sebagai basis utamanya: e-commerceIT GovernancePrioritas CIO 2003, 2004Menjadi concern utama dalam sistem onlineBusiness Continuity Planning Disaster Recovery Plan

    e-security 2004 - br

    Prioritas CIO 2004SecurityDisaster recovery/business continuity planPC replacementsExisting application upgradesCompliance with government regulations

    e-security 2004 - br

    IT Dalam PemerintahanE-governmentPenggunaan media elektronik untuk memberikan layananMeningkatkan transparansiNamun belum diperhatikan masalah keamanan datanya!

    e-security 2004 - br

    Media Elektronik Merupakan Infrastruktur PentingMedia elektronik (seperti Internet) merupakan infrastruktur yang penting (critical infrastructure) seperti halnya listrikLayak untuk dilindungi

    e-security 2004 - br

    e-security 2004 - br

    Aspek Utama SecurityKerahasiaan Data - ConfidentialityIntegritas - IntegrityKetersediaan Data AvailabilityNon-repudiation

    e-security 2004 - br

    Kerahasiaan DataBahwa informasi hanya dapat diakses oleh orang yang berhakBentukConfidentialityPrivacy

    e-security 2004 - br

    Masalah Kerahasiaan DataBeberapa contohPenyadapan data secara teknis (snoop, sniff) atau non-teknis (social engineering)Phising: mencari informasi personalSpammingIdentity theft, pencemaran nama baikPencurian hardware (notebook)Penyadapan rahasia negara oleh negara lain

    e-security 2004 - br

    Phising

    From: To: Subject: USBank.com Account Update URGEgbDate: Thu, 13 May 2004 17:56:45 -0500

    USBank.com Dear US Bank Customer,During our regular update and verification of the Internet Banking Accounts, wecould not verify your current information. Either your information has beenchanged or incomplete, as a result your access to use our services has beenlimited. Please update your information.

    To update your account information and start using our services please click onthe link below:http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage

    Note: Requests for information will be initiated by US Bank Business Development;this process cannot be externally requested through Customer Support.

    e-security 2004 - br

    Kejahatan ATM

    e-security 2004 - br

    Menyadap PIN dengan wireless camera

    e-security 2004 - br

    Social EngineeringMencari informasi rahasia dengan menggunakan teknik persuasifMembujuk melalui telepon dan SMS sehingga orang memberikan informasi rahasiaContoh SMS yang menyatakan menang lotre kemudian meminta nomor PIN

    e-security 2004 - br

    IntegritasBahwa data tidak boleh diubah tanpa ijin dari pemilik dataPercuma jika kualitas data tidak baik. Akan menghasilkan tindakan (kesimpulan) yang salah. Garbage in, garbage outMenggunakan message authentication code, digital signature, checksum untuk menjaga integritasnya

    e-security 2004 - br

    Masalah IntegritasAda beberapa contoh masalahVirus yang mengubah isi berkasUnauthorized user mengubah dataSitus web yang diacak-acakDatabase yang diubah isinya

    e-security 2004 - br

    KetersediaanBahwa data (jaringan) harus tersedia ketika dibutuhkanBagaimana jika terjadi bencana (disaster)?Layanan hilang, bisnis hilangLayanan lambat? Service Level Agreement? Denda?

    e-security 2004 - br

    Masalah KetersediaanContoh seranganAdanya virus dan spam yang menghabiskan bandwidth. Sebentar lagi spimDenial of Service (DoS) Attack yang menghabiskan jaringan atau membuat sistem menjadi macet (hang). Layanan menjadi terhenti

    e-security 2004 - br

    Non-RepudiationTidak dapat menyangkal telah melakukan transaksiMenggunakan digital signature untuk meyakinkan keaslian {orang, dokumen}Membutuhkan Infrastruktur Kunci Publik (IKP) dengan Certificate Authority (CA)

    e-security 2004 - br

    Masalah Non-RepudiationContohPemalsuan alamat email oleh virusKeyakinan dokumen otentikPenggunaan kartu kredit milik orang lain oleh carder

    e-security 2004 - br

    AuthenticationKeaslian sumber informasiContoh seranganSitus web palsuDomain name plesetan, typosquat

    e-security 2004 - br

    Pengaturan Dunia CyberApakah dunia cyber dapat diatur?Ya!Cyber berasal dari kata cybernetics yang diartikan sebagai total control

    e-security 2004 - br

    PenutupProduk inovasi IT dalam bentuk media elektronik seperti Internet sudah menjadi bagian dari kehidupan sehari-hariMulai munculnya masalah (kejahatan) yang harus mendapat perhatikanMasyarakat membutuhkan perlindungan terhadap kejahatan-kejahatan yang mulai muncul