Reksoprodjo cyber warfare stmik bali 2010

Cyber Warfare Cyber Warfare dandan ancamanancaman padapada

"Keamanan dalam bertransaksi electronic

banking dan electronic payment"

Indonesian Security Conference 2010

STMIK STIKOM BALI

Denpasar, 17 Oktober 2010

Dr. Yono Reksoprodjo, ST.DIC.Dr. Yono Reksoprodjo, ST.DIC.Reader – Researcher

Center for Security and Defense Studies

DisclaimerDisclaimer

• Bila ada logo, gambar dan atau merek yang merujukkepada suatu negara, organisasi, instansi, namaperseorangan atau kelompok dan atau produk dalampresentasi ini sebenarnya hanya untuk dipergunakansebagai sarana yang memudahkan penggambaranpresentasi yang ingin disampaikan dan tidak merujukkepada maksud serta tujuan yang lain secara khusus ataupresentasi yang ingin disampaikan dan tidak merujukkepada maksud serta tujuan yang lain secara khusus ataukesengajaan diluar keperluan konteks akademik.

• Pembuat materi ini tidak bertanggung jawabnya ataspenggunaan dari sebagian atau keseluruhan materi iniuntuk tujuan dan maksud selain maksud asli dibuatnyamateri ini sebagai kajian akademik yang bersifat sangatterbatas.

2YR©2010

•• KetikaKetikaKetikaKetikaKetikaKetikaKetikaKetika semuasemuasemuasemuasemuasemuasemuasemua situasinyasituasinyasituasinyasituasinyasituasinyasituasinyasituasinyasituasinya

terasaterasaterasaterasaterasaterasaterasaterasa sedemikiansedemikiansedemikiansedemikiansedemikiansedemikiansedemikiansedemikian

sempurnanyasempurnanyasempurnanyasempurnanyasempurnanyasempurnanyasempurnanyasempurnanya, , , , , , , , bersiaplahbersiaplahbersiaplahbersiaplahbersiaplahbersiaplahbersiaplahbersiaplah

untukuntukuntukuntukuntukuntukuntukuntuk datangnyadatangnyadatangnyadatangnyadatangnyadatangnyadatangnyadatangnya kehilangankehilangankehilangankehilangankehilangankehilangankehilangankehilangan, , , , , , , ,

3

untukuntukuntukuntukuntukuntukuntukuntuk datangnyadatangnyadatangnyadatangnyadatangnyadatangnyadatangnyadatangnya kehilangankehilangankehilangankehilangankehilangankehilangankehilangankehilangan, , , , , , , ,

kegagalankegagalankegagalankegagalankegagalankegagalankegagalankegagalan,,,,,,,, kerusakankerusakankerusakankerusakankerusakankerusakankerusakankerusakan, , , , , , , ,

kekacauankekacauankekacauankekacauankekacauankekacauankekacauankekacauan dandandandandandandandan, , , , , , , , kehancurankehancurankehancurankehancurankehancurankehancurankehancurankehancuran........

YR©2010

MemahamiMemahami 2 2 jenisjenis PerangPerang

• Perang Regular:– Adalah jenis Perang yang dilakonkan oleh dua pihak atau lebih dengan

tata tradisi strategi dan taktik yang konvensional dimana dilakukanoleh pasukan berseragam yang jelas dan kepemimpinan yang jelasserta menggunakan alut sista yang konvensional seperti senapan, tank, pesawat tempur, kapal laut

• Perang Irregular:– Suatu kondisi Perang dimana ada satu atau lebih peserta perang yang

memanfaatkan kemampuan dan kekuatan irregular yang tidaktergantung pada besaran pasukan karena sangat memungkinkanperang ini dilakukan oleh satu orang saja dari suatu tempat yang jauhdari wilayah sengketanya

– Perang irregular tidak dibatasi oleh besaran kekuatan tempur atauluasan daerah pertempuran

4YR©2010

• Perang Asimetrik;– Suatu situasi konflik dimana salah satu peserta yang lebih lemah

mempergunakan taktik yang tidak ortodox atau yang diluar kelazimansaat menyerang titik terlemah dari kekuatan lawan yang lebih kuat ituseperti dengan cara yang dikenal melalui giat terorisme, peranggerilya, perang cyber dan semacamnya.

PerangPerang AsimetrikAsimetrik

5

Contoh menarik untuk memudahkan pengertian dari Perang Asimetrikadalah pertarungan antara David dan Goliath

Yang sangat menonjol dalam mengadopsi taktik Perang Asimetrikantara lain;– Teroris

– Media

– Computer Hackers

YR©2010

Cyber Warfare Cyber Warfare –– PerangPerang DuniaDunia MayaMaya

• Dilakukan melalui pemanfaatan jaringan dunia maya.

• Biasanya dilakukan oleh pasukan kecil yang memiliki kekuatan yang sangat besar dankerap melebihi kekuatan pasukan utama.

• Kerap dilakukan dalam keadaan situasi damai dan bersahabat.

• Belum ada traktat kesepakatan yang mengatur perang ini sehingga bebas menghantamapa saja.Belum ada traktat kesepakatan yang mengatur perang ini sehingga bebas menghantamapa saja.

• Salah satu pilihan taktik dari peserta konflik yang biasanya lebih lemah guna melakukanpenyerangan pada sistem komputasi negara yang lebih kuat.

• Kiat terorisme dalam bentuk lain yang mematikan dan tidak memerlukan seranganbunuh diri.

• Cyber war disukai karena murah, diutamakan hanya dengan memahami ilmu komputerdan telekomunikasi yang lebih baik lagi bila ditambah kemampuan social engineering.

• Cyber war adalah model baru gaya Perang Gerilya dimana Pasukan Tempur modern tidak lagi dibutuhkan untuk berhadapan langsung dengan musuhnya.

• Mengurangi banyak fatalitas akibat perang walau tak selalu bebas dari kegiatanberdarah.

6YR©2010

SejarahSejarah JaringanJaringan Internet Internet dandan DuniaDunia Maya Maya

akanakan selaluselalu terkaitterkait dengandengan duniadunia PertahananPertahanan

• Bermula di tahun 60an:ARPANET (Advanced Research Projects Agency Network) dikembangkan oleh ARPA dari

Departemen Pertahanan Amerika Serikan; bermula dari sistem packet switching

network, dan awalan dari sistem global Internet.

7YR©2010

TantanganTantangan SasaranSasaran Cyber WarCyber War

8YR©2010

ModaModa seranganserangan

• Serangan pada jaringan kabel (wired);

– Biasanya dibutuhkan computing power yang cukuptinggi untuk kejar kecepatan serangan, serta adasituasi dimana dimanfaatkan jaringan komputasiterdistribusi.terdistribusi.

• Serangan pada jaringan nir-kabel (wireless);

– Biasanya akan dibutukan high-power Network Interface Card (NIC) serta biasanya juga sebuah high-gain (directional) external antenna (yang digunakanuntuk meningkatkan jangkauan dan juga output power).

9YR©2010

KerentananKerentanan

• Exploits: kuda troya - virus

• Eavesdropping: menguping

• Social engineering dan human error: mengambil

keuntungan dari kelemahan orang yang diberi kepercayaankeuntungan dari kelemahan orang yang diberi kepercayaan

• Denial of service attacks: membuat fasilitas tak berfungsi

sempurna atau mati sama sekali

• Indirect attacks: serangan menggunakan proxy

• Backdoors: kiat mengakali otorisasi otentik

• Direct access attacks: serangan langsung dengan mematahkan

keamanannya

10YR©2010

PotensiPotensi SasaranSasaran InfrastrukturInfrastruktur StrategisStrategis

• Bawah permukaan

• Permukaan

• Udara

• Waktu

• Kelistrikan

• Minyak & Gas

• Keuangan

• Air• Waktu

• Cyber Domains

• Persepsi

• Informasi & Komunikasi

• Air

• Layanan Kedaruratan

• Komando & Pengendali

• Sasaran lain-lain

11YR©2010

AncamanAncaman melaluimelalui DuniaDunia MayaMaya

12YR©2010

PengukuranPengukuran AktifitasAktifitas KeterkaitanKeterkaitan

13YR©2010

Data dari Zone-H Statistics:

•• DendamDendam 1.8%1.8%

•• PolitisPolitis 10.1%10.1%

•• PatriotismePatriotisme 10.5%10.5%

PotensiPotensi PemicuPemicu PerangPerang CyberCyber

•• PatriotismePatriotisme 10.5%10.5%

•• TertantangTertantang 11.4%11.4%

•• InginIngin jadijadi best defacerbest defacer 13.7%13.7%

•• TidakTidak adaada alasanalasan specificspecific 18.5%18.5%

•• HanyaHanya untukuntuk kesenangankesenangan 34%34%

14YR©2010

PerangPerang Cyber (?)Cyber (?)

15

ESTONIA: 2007ESTONIA: 2007

YR©2010

SiapaSiapa yang yang terkenaterkena imbasimbas terbesarterbesar??

Sektor Bisnis (204; 89.5%)

Sektor Diplomatik (7; 3.1%)

Anti-US cyber attacks per tahun dalam rata-rata

Sektor Pemerintahan (3; 1.3%)

Militer/Kepolisian (2; 0.8%)

Lain-lain (12; 5.3%)

16YR©2010

• Flowcharts & Fault Trees bersifatstatis

ImplementasikanImplementasikan !!!!

BukanBukan hanyahanya bicarabicara substansisubstansi

PersiapanPersiapan menghadapimenghadapi seranganserangan

17

• Flowcharts berbasis pada dasargenerik, dan tidak spesifik merujukpada keamanan sistem strategistertentu

• Flowcharts hanyalah diagram proses

• Kebanyakan kejadian tak akan samatapi memahami suatu prosedur itupenting

YR©2010

DuniaDunia mayamaya dandan

alamalam tempurtempur peperanganpeperangan yang yang berubahberubah

Kenneth Geers, representative US-Navy (Naval Computer Investigative Service), Cooperative Cyber Defense, Center of Excellence, 27 Agustus 2008

PakarPakar strategistrategi harusharus memahamimemahami bahwabahwa adaada bagianbagian padapadasetiapsetiap konflikkonflik politikpolitik dandan militermiliter yang yang akanakan terjaditerjadi atauataumengambilmengambil bagianbagian didi duniadunia mayamaya

19

setiapsetiap konflikkonflik politikpolitik dandan militermiliter yang yang akanakan terjaditerjadi atauataumengambilmengambil bagianbagian didi duniadunia mayamaya

Perang Cyber yang terjadi sangat agresif terbukti memberikan banyak keuntunganbagi si pemanfaat. Kejadian di Estonia sebagai contoh, membuktikannya secaralangsung dari dampak unjuk kekuatan efek serangan cyber.

Konsekuensinya, seorang pemimpin nasional harus memiliki pemahamanterhadap teknololig, hukum, dan etika dari serangan cyber dan pertahanancyber, yang mana ia serta merta merefleksikan dengan menyertakan isu cyber warfare kedalam perencanaan keamanan nasionalnya.

YR©2010

Indonesia yang Indonesia yang cantikcantik dandan menawanmenawan bagibagi

merekamereka dandan bukanbukan//belumbelum bagibagi kitakita (?)(?)

• Sejumput logika mengapa kita dalam posisi terancam dan bukanmengancam;– Bayangkan apa yang kita dapat bila mengambil alih kedaulatan Singapura,

Malaysia, Filipina, Brunei, Papua New Guinea, Timor Timur dan Australia.

– Bayangkan apa yang bisa didapat bila Singapura, Malaysia, Filipina, Brunei, Papua New Guinea, Timor Timur dan Australia, berhasil mengambil alihkedaulatan NKRI.Papua New Guinea, Timor Timur dan Australia, berhasil mengambil alihkedaulatan NKRI.

• Sejumput fakta akan keterbatasan potensi kemampuan kita;– Pengelolaan sumber-sumber mineral:

• Tanya: mengapa minyak mentah, biji besi, dan banyak lagi mineral lainnya tak diolahsendiri?

• Tanya: mengapa potensi kemampuan industri kita sangat terbatas padahal sumber dayakita sangat luas?

– Tahu tidak: • Dari +/- 100% tenaga kerja NKRI, 85% adalah lulusan SMA, dan hanya 15% lulusan

pendidikan tinggi (tingkat diploma hingga S3)

20YR©2010

Indonesia Indonesia siapsiap (!!/??): (!!/??): suatusuatu ilustrasiilustrasi

• Kesadaran publik– Memahami pentingnya isu informasi pribadi yang perlu dibatasi

– Kesiapan sistem-sistem yang dipakainya

– ID-CERT, ID-HERT

• Kebijakan-kebijakan• Kebijakan-kebijakan– UU ITE 2008, UU TNI, UU POLRI , UU Penanggulangan Bencana 2007

– Panduan Keamanan Informasi Depkominfo

– ID-SIRTI

– ISO 27001 series

• Kesiapan infrastruktur– TIK, Kelistrikan, Transportasi: penyelenggara & operator sinyal

– Sektor Finansial: industri perbankan

– Objects Vital Nasional (SDA): pertambangan, minyak & gas

– Fasilitas strategis sipil dan militer: bandar udara/laut, alut sista

21YR©2010

BagaimanaBagaimana industriindustri keuangankeuangan dandan

perbankanperbankan NasionalNasional kitakita? …study ? …study kasuskasus MandiriMandiri

• Sekilas mengenai Bank Mandiri:

• Adalah gabungan dari 4 + 1 Bank dijaman

krismon’97-98

• Ditujukan untuk menjadi leading bank di Indonesia

22

• Ditujukan untuk menjadi leading bank di Indonesia

• Memanfaatkan fasilitas IT dan diterapkan dengan

cukup berhati-hati dengan mengindahkan berbagai

rambu keamanan informasi

• Memiliki sertifikat ISO-27001

YR©2010

KendalaKendala penguatanpenguatan infrastrukturinfrastruktur (!!/??)(!!/??)

• Kesadaran kaum Legislatif, Eksekutif dan Judikatif terhadapancaman Cyber Warfare:– Belum ada pemetaan prioritas keamanan infrastruktur strategis

dan obyek vital terkait ancaman serangan cyber

– Bila sudah, baru sebagian kecil dari infrastruktur strategis danObjek Vital Nasional yang melaksanakan asesmen terhadap faktor

– Bila sudah, baru sebagian kecil dari infrastruktur strategis danObjek Vital Nasional yang melaksanakan asesmen terhadap faktorresiko, kesiapan keamanan dan menghadapi ancaman terhadapserangan non-konvensional

– Hampir semua konsentrasi pengamanan hanya terkonsentrasipada keamanan terhadap ancaman non-tradisonal

– Kesiapan Industri?....Kesiapan POLRI? ……Kesiapan TNI? …..

– Belum terlihat ada “man who knows lead”, belum terlihat ada“man who can do”

23YR©2010

So ???So ???

• Bagaimana bila penyerangan terhadap negeri ini

masuk melalui institusi keuangan ?....mungkin atau

tidak?

• Bagaimana bila diserang oleh individu,

24

YR©2010

• Bagaimana bila diserang oleh individu,

…lokal….antek asing…..asing….bahkan militer

asing?

• Mengapa?

• Berapa lama kita kira-kira mampu bertahan?

• Lalu siapa yang berkepentingan melindungi kita?

Reksoprodjo cyber warfare stmik bali 2010

Technology

Transcript of Reksoprodjo cyber warfare stmik bali 2010