Security SistemInformasiTANTRI HIDAYATI S, M.KOM

http://sharingyuk.wordpress.com

PROFIL

Nama : TANTRI HIDAYATI S, M.KOMS1 : UNIVERSITAS PGRI YOGYAKARTAS2 : UNIVERSITAS PUTRA INDONESIA PADANGEMAIL : tantri.study@yahoo.comBLOG : Blogmaknyus.wordpress.com

Riwayat Mengajar Tahun 2004 s/d sekarang :SMA ANGKASA ADISUTJIPTO TAHUN 2004- 2009FASNET UGM TAHUN 2006 - 2009FAKULTAS EKONOMI UGM TAHUN 2006 – 2009STTH MEDAN TAHUN 2013 - Sekarang

http://sharingyuk.wordpress.com

Evaluasi KeamananSistem Informasi

http://sharingyuk.wordpress.com

Evaluasi Keamanan Sistem InformasiMeski sebuah sistem informasi sudah dirancang memilikiperangkat pengamanan, dalam operasi masalah keamananharus selalu dimonitor.

Hal ini disebabkan oleh beberapa hal, antara lain:

Ditemukannya lubang keamanan (security hole) yang baru. Perangkat lunak dan perangkat keras biasanya sangatkompleks sehingga tidak mungkin untuk diuji seratuspersen. Kadang-kadang ada lubang keamanan yang ditimbulkan oleh kecerobohan implementasi.

http://sharingyuk.wordpress.com

Evaluasi Keamanan Sistem Informasi Kesalahan konfigurasi. Kadang-kadang karena lalai atau alpa,

konfigurasi sebuah sistem kurang benar sehinggamenimbulkan lubang keamanan.

Penambahan perangkat baru (hardware dan/atau software) yang menyebabkan menurunnya tingkat security atauberubahnya metoda untuk mengoperasikan sistem. Operator dan administrator harus belajar lagi. Dalam masa belajar inibanyak hal yang jauh dari sempurna, misalnya server atausoftware masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).

http://sharingyuk.wordpress.com

Sumber lubang keamananLubang keamanan (security hole) dapat terjadi karenabeberapa hal:

Salah disain (design flaw),

Salah implementasi,

Salah konfigurasi, dan

Salah penggunaan.

http://sharingyuk.wordpress.com

Sumber lubang keamananSalah Disain

Lubang keamanan yang ditimbulkan oleh salah disain umumnya jarangterjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibatdisain yang salah, maka biarpun dia diimplementasikan dengan baik, kelemahan dari sistem akan tetap ada.

Contoh sistem yang lemah disainnya adalah algoritma enkripsi ROT13 atau Caesar cipher, dimana karakter digeser 13 huruf atau 3 huruf. Meskipun diimplementasikan dengan programming yang sangat teliti, siapapun yang mengetahui algoritmanya dapat memecahkan enkripsitersebut.

http://sharingyuk.wordpress.com

Sumber lubang keamananImplementasi kurang baik

Lubang keamanan yang disebabkan oleh kesalahan implementasisering terjadi. Banyak program yang diimplementasikan secaraterburu-buru sehingga kurang cermat dalam pengkodean. Akibatnyacek atau testing yang harus dilakukan menjadi tidak dilakukan.

Sebagai contoh, seringkali batas (“bound”) dari sebuah “array” tidakdicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya).

http://sharingyuk.wordpress.com

Sumber lubang keamananSalah konfigurasi

Meskipun program sudah diimplementasikan dengan baik, masihdapat terjadi lubang keamanan karena salah konfigurasi.

Contoh masalah yang disebabkan oleh salah konfigurasi adalah berkasyang semestinya tidak dapat diubah oleh pemakai secara tidak sengajamenjadi “writeable”.

Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknyamenjadi lubang keamanan.

http://sharingyuk.wordpress.com

Sumber lubang keamananSalah menggunakan program atau sistem

Salah penggunaan program dapat juga mengakibatkan terjadinyalubang keamanan. Kesalahan menggunakan program yang dijalankandengan menggunakan account root (super user) dapat berakibat fatal.

Contoh kesalahan yang sering terjadi di sistem yang berbasis MS-DOS. Karena sudah mengantuk, misalnya, ingin melihat daftar berkas di sebuah direktori dengan memberikan perintah “dir *.*” ternyata salahmemberikan perintah menjadi “del *.*” (yang juga menghapusseluruh file di direktori tersebut).

http://sharingyuk.wordpress.com

Penguji keamanan sistemAdministrator dari system informasi membutuhkan “automated tools”, perangkat pembantu otomatis, yang dapat membantu menguji atau meng-evaluasi keamanan sistem yang dikelola.

Untuk sistem yang berbasis UNIX ada beberapa tools yang dapatdigunakan, antara lain:

Cops

Tripwire

Satan/Saint

SBScan: localhost security scanner

http://sharingyuk.wordpress.com

Penguji keamanan sistemUntuk sistem yang berbasis UNIX ada beberapa tools yang dapatdigunakan untuk membantu menguji atau meng-evaluasi keamanan sistem yang dikelola, antara lain:

Cops

Tripwire

Satan/Saint

SBScan: localhost security scanner

Untuk sistem yang berbasis Windows NT ada program semacam, misalnya program Ballista (http:// www.secnet.com)

http://sharingyuk.wordpress.com

Penguji keamanan sistemSelain program-program (tools) yang terpadu (integrated)

seperti yang terdapat pada daftar di atas, ada banyakprogram yang dibuat oleh hackers untuk melakukan “coba-coba”.

Program-program seperti ini, yang cepat sekali bermunculan, biasanya dapat diperoleh (download) dari Internet melaluitempat-tempat yang berhubungan dengan keamanan, sepertimisalnya “Rootshell”.

http://sharingyuk.wordpress.com

Penguji keamanan sistemContoh program coba-coba ini antara lain:

crack: program untuk menduga atau memecahkan password dengan menggunakan sebuah atau beberapa kamus (dictionary)

land dan latierra: program yang dapat membuat sistem Windows 95/NT menjadi macet (hang, lock up).

ping-o-death: sebuah program (ping) yang dapat meng-crash-kanWindows 95/NT dan beberapa versi Unix.

winuke: program untuk memacetkan sistem berbasis Windows

http://sharingyuk.wordpress.com