telematika security

Keamanan Sistem Telematika

Security Objectives
1. Menentukan kebijakan keamanan (security policy).
Tujuan-tujuan (goals) yang ingin dicapai
Contoh :
Dalam suatu sistem yang digunakan secara bersama-sama (shared system), hanya authorized user yang dapat login
Untuk akses web berbayar, klien harus membayar iuran
etc.
2. Membuat mekanisme keamanan (security mechanism)
Perangkat yang memastikan tercapainya tujuan
Contoh :
Sistem password diharapkan akan membatasi pengaksesan sistem hanya untuk authorized user
Protokol pembayaran (payment protocol) dapat menjamin setiap klien yang mengakses suatu web berbayar akan memenuhi kewajibannya
3. Menganalisis kelemahan (vulnerabilities) sistem
Celah dalam sistem yang dapat digunakan untuk menyerang
4. Menanggulangi kelemahan sistem

Goals Categories

Confidentiality: akses terhadap sistem komputer tidak boleh dilakukan oleh unauthorized parties
Integrity: aset sistem komputer tidak boleh dimodifikasi oleh unauthorized users
Availability: Sistem harus dapat diakses oleh authorized users
Authenticity: sistem mengetahui asal muasal suatu objek atau asal muasal modifikasi yang terjadi
Non-repudiation: seseorang/sesuatu tidak dapat menyanggah bahwa dia melakukan sesuatu

Mechanisms

User awareness: memasyarakatkan tujuan-tujuan keamanan (security goals) dan resiko yang dapat muncul kepada user
Physical protection: Gembok dan kunci dapat mencegah unauthorized access ke gedung tempat sistem komputer berada
Cryptography: untuk mewujudkan confidentiality dan integrity
Access Control: menentukan daftar user yang boleh membaca, menulis dan mengeksekusi
Auditing: merekam seluruh aktivitas dalam sistem
Memungkinkan pendeteksian kebocoran keamanan (serangan yang tidak dapat dicegah)

Perinsip-prinsip keamanan

Untuk merancang mekanisme keamanan yang efektif, terdapat beberapa prinsip keamanan, contohnya :
Principle of least privilege : memberi wewenang kepada user atau proses untuk melakukan pekerjaan yang sesuai dengan haknya
Meminimalkan trusted components: mengidentifikasi komponen-komponen sistem yang dapat dipercaya dan menjaga agar jumlahnya sesedikit mungkin
Jangan ingin sempurna : sempurna tidak mungkin diwujudkan, sehingga kita harus siap untuk mendeteksi masalah, merancang penanggulangannya dan memulihkan diri dari serangan

Ancaman keamanan (threats) terhadap jaringan

Ancaman (threat) adalah:
Seseorang, sesuatu, kejadian atau ide yang menimbulkan bahaya bagi suatu aset
Sesuatu yang memungkinkan penembusan keamanan
Serangan (attack) adalah realisasi dari threat.

Threats

Klasifikasi threats:
disengaja (mis. hacker penetration);
Tidak disengaja (mis. Mengirimkan file yang sensitif ke alamat yang salah)
Threats yang disengaja dapat dibagi lagi :
pasif (mis. monitoring, wire-tapping);
aktif (mis. Merubah nilai transaksi finansial)
Pada umumnya, threats yang pasif lebih mudah dilakukan

Beberapa Istilah

Hacker
Salah satu buku yang pertama kali membahas hacker : Hackers: Heroes of the Computer Revolution oleh Steven Levy
Mr. Levy menyatakan istilah hacker pertama kali muncul di Massachusetts Institute of Technology (MIT)
Hacker : pakar programmer yang dapat mendeteksi kerawanan suatu program dari segi keamanan, tetapi tidak memanfaatkannya untuk tujuan menguntungkan diri sendiri atau pihak lain
Cracker/intruder : pakar programmer (bisa jadi juga tidak perlu pakar) yang memanfaatkan kelemahan suatu program untuk keuntungan diri sendiri atau pihak lain
Script Kiddie
Crackers yang menggunakan scripts dan program yang ditulis oleh orang lain
Variant lain dari script kiddie : leech, warez puppy, wazed d00d, lamer, rodent
Phreak
Variant dari hacker
Phreak adalah kependekkan dari phone phreak
Phreaks adalah hacker yang memiliki minat pada telepon dan sistem telepon
White Hat/Black Hat
White Hat : good hacker
Black Hat : bad hacker
Full disclosure vs disclosed to software vendor
Grey Hat
Hacktivism : hacking for political reasons
Contoh : defacing Ku Klux Klan website
“Perang” hacker Portugal dan Indonesia mengenai Timor Leste



sumber : telecom.ee.itb.ac.id