07/09/2016

• Encryption
• Password
• Firewall

Security Foundation - Alam Rahmatulloh 2

1
 07/09/2016

Security Foundation - Alam Rahmatulloh 3

Security Foundation - Alam Rahmatulloh 4

2
 07/09/2016

Security Foundation - Alam Rahmatulloh 5

• Often security measures are located

inappropriately

Security Foundation - Alam Rahmatulloh 6

3
 07/09/2016

Security Foundation - Alam Rahmatulloh 7

• Aware WHAT is valuable ..

• Does things according to POLICY
• Vigilance to environment condition
• Define policy, procedure
• Define roles in organization in an Information
Security initiative
– right people doing the right things right

Security Foundation - Alam Rahmatulloh 8

4
 07/09/2016

• Application
– Has security requirements and verified their
fulfillment
• Data
– Back up, DRC, Encrypt (when it is necessary)
– Digital Signature, Access management
• Software Platform
– Continuously monitored, keep it patched
– Never run unnecessary services

Security Foundation - Alam Rahmatulloh 9

• Computer
– Reliable, redundant (if necessary), physical
security
• Network
– Firewall, De-Militarized Zone (DMZ), SSL/TLS

Complete list can be found at IS027001

Security Foundation - Alam Rahmatulloh 10

5
 07/09/2016

... each breaches has its important

Security Foundation - Alam Rahmatulloh 11

• Information security is about protecting the CIA properties of these

service
– Confidentiality: only those entitled may access services
– Integrity: services should always behave correctly
– Availability: authorised clients should always have access and also
ensuring Privacy and Accountability ...
• … in the presence of Threats and Vulnerabilities
Security Foundation - Alam Rahmatulloh 12

6
 07/09/2016

Menurut David Icove [John D. Howard, “An Analysis Of Security Incidents On The
Internet 1989 - 1995,” PhD thesis, Engineering and Public Policy, Carnegie Mellon
University, 1997.] berdasarkan lubang keamanan, keamanan dapat diklasifikasikan
menjadi empat, yaitu:
• Keamanan yang bersifat fisik (physical security): termasuk akses orang
ke gedung, peralatan, dan media yang digunakan. Contoh :
– Wiretapping atau hal-hal yang ber-hubungan dengan akses ke kabel
atau komputer yang digunakan juga dapat dimasukkan ke dalam
kelas ini.
– Denial of service, dilakukan misalnya dengan mematikan peralatan
atau membanjiri saluran komunikasi dengan pesan-pesan (yang
dapat berisi apa saja karena yang diuta-makan adalah banyaknya
jumlah pesan).
– Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh
permintaan sehingga dia menjadi ter-lalu sibuk dan bahkan dapat
berakibat macetnya sistem (hang).
Security Foundation - Alam Rahmatulloh 13

• Keamanan yang berhubungan dengan orang (personel), Contoh :

– Identifikasi user (username dan password)
– Profil resiko dari orang yang mempunyai akses (pemakai dan
pengelola).

• Keamanan dari data dan media serta teknik komunikasi

(communications).

• Keamanan dalam operasi: Adanya prosedur yang digunakan untuk

mengatur dan mengelola sistem keamanan, dan juga ter-masuk
prosedur setelah serangan (post attack recovery).

Security Foundation - Alam Rahmatulloh 14

7
 07/09/2016

– The Curious (Si Ingin Tahu) - tipe penyusup ini pada dasarnya
tertarik menemukan jenis sistem dan data yang anda miliki.
– The Malicious (Si Perusak) - tipe penyusup ini berusaha untuk
merusak sistem anda, atau merubah web page anda, atau
sebaliknya membuat waktu dan uang anda kembali pulih.
– The High-Profile Intruder (Si Profil Tinggi) - tipe penyusup ini
berusaha menggunakan sistem anda untuk memperoleh
popularitas dan ketenaran. Dia mungkin menggunakan sistem profil
tinggi anda untuk mengiklankan kemampuannya.
– The Competition (Si Pesaing) - tipe penyusup ini tertarik pada data
yang anda miliki dalam sistem anda. Ia mungkin seseorang yang
beranggapan bahwa anda memiliki sesuatu yang dapat
menguntungkannya secara keuangan atau sebaliknya.

Security Foundation - Alam Rahmatulloh 15

– Mundane ; tahu mengenai hacking tapi tidak mengetahui metode

dan prosesnya.
– lamer (script kiddies) ; mencoba script2 yang pernah di buat oleh
aktivis hacking, tapi tidak paham bagaimana cara membuatnya.
– wannabe ; paham sedikit metode hacking, dan sudah mulai berhasil
menerobos sehingga berfalsafah ; HACK IS MY RELIGION.
– larva (newbie) ; hacker pemula, teknik hacking mulai dikuasai
dengan baik, sering bereksperimen.
– hacker ; aktivitas hacking sebagai profesi.
– wizard ; hacker yang membuat komunitas pembelajaran di antara
mereka.
– guru ; master of the master hacker, lebih mengarah ke penciptaan
tools-tools yang powerfull yang salah satunya dapat menunjang
aktivitas hacking, namun lebih jadi tools pemrograman system yang
umum. Security Foundation - Alam Rahmatulloh 16

8
 07/09/2016

Security Foundation - Alam Rahmatulloh 17

Security Foundation - Alam Rahmatulloh 18

9
 07/09/2016

1996 U.S. Federal Computer Incident Response Capability (FedCIRC)

melaporkan bahwa lebih dari 2500 “insiden” di system komputer atau
jaringan komputer yang disebabkan oleh gagalnya sistem keamanan
atau adanya usaha untuk membobol sistem keamanan
1996 FBI National Computer Crimes Squad, Washington D.C.,
memperkirakan kejahatan komputer yang terdeteksi kurang dari 15%,
dan hanya 10% dari angka itu yang dilaporkan
1997 Penelitian Deloitte Touch Tohmatsu menunjukkan bahwa dari 300
perusahaan di Australia, 37% (dua diantara lima) pernah mengalami
masalah keamanan sistem komputernya.
1996 Inggris, NCC Information Security Breaches Survey menunjukkan
bahwa kejahatan komputer menaik 200% dari tahun 1995 ke 1996.
Kerugian rata-rata US $30.000 / insiden.
1998 FBI melaporkan bahwa kasus persidangan yang berhubungan
dengan kejahatan komputer meroket 950% dari tahun 1996 ke
tahun 1997, dengan penangkapan dari 4 ke 42, dan terbukti
(convicted) di pengadilan naik 88% dari 16 ke 30 kasus.
Dan lain-lain. Dapat dilihat di www.cert.org
Security Foundation - Alam Rahmatulloh 19

Contoh akibat dari jebolnya sistem keamanan, antara lain:

1988 Keamanan sistem mail sendmail dieksploitasi oleh Robert
Tapan Morris sehingga melumpuhkan sistem Internet. Kegiatan
ini dapat diklasifikasikan sebagai “denial of service attack”.
Diperkirakan biaya yang digunakan untuk memperbaiki dan hal-hal lain yang hilang adalah
sekitar $100 juta. Di tahun 1990 Morris
dihukum (convicted) dan hanya didenda $10.000.
10 Maret 1997 Seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi di sebuah airport
local (Worcester, Massachusetts) sehingga mematikan komunikasi di control tower dan
menghalau pesawat yang hendak mendarat.
Dia juga mengacaukan sistem telepon di Rutland, Massachusetts.
http://www.news.com/News/Item/Textonly/0,25,20278,00.html?pfv

1990 Kevin Poulsen mengambil alih system komputer telekomunikasi di Los Angeles untuk
memenangkan kuis di sebuah radio local.
1995 Kevin Mitnick, mencuri 20.000 nomor kartu kredit, menyalin system operasi DEC secara illegal
dan mengambil alih hubungan telpon di New York dan California.

1995 Vladimir Levin membobol bank-bank di kawasan Wallstreet, mengambil uang sebesar $10 juta.

2000 Fabian Clone menjebol situs aetna.co.id dan Jakarta mail dan membuat directory atas namanya
berisi peringatan terhadap administrator situs tersebut.

2000 Beberapa web site Indonesia sudah dijebol dan daftarnya (beserta
contoh halaman yang sudah dijebol) dapat dilihat di koleksi
<http://www.2600.com>
2000 Wenas, membuat server sebuah ISP di singapura down
Security Foundation - Alam Rahmatulloh 20

10
 07/09/2016

• Carder
– Indonesia menempati urutan tertinggi (dalam
penyalah gunaan kartu kredit)
• Lebih banyak digunakan untuk kejahatan dibandingkan
dengan transaksi baik
– Modus : menggunakan nomor kartu kredit milik
orang lain (umumnya orang asing) untuk membeli
barang di internet
– Ranking
KARTU KREDIT INDONESIA
• Yogyakarta DI BANNED DI LUAR NEGERI
• Bandung

– Sulit ditangani karena lemahnya hukum

Security Foundation - Alam Rahmatulloh 21

• Kejahatan Kartu Kredit

– Berdasarkan laporan terakhir, Indonesia :
• No 1 dalam persentase (yaitu perbandingan antara
transaksi yang baik dan palsu)
• No 3 dalam volume
– Akibat kartu kredit dan transaksi yang (nomor
IP-nya) berasal dari Indonesia secara resmi
diblokir di Amerika

Security Foundation - Alam Rahmatulloh 22

11
 07/09/2016

• Kejahatan ATM

Security Foundation - Alam Rahmatulloh 23

– XNUXER aka SCHIZOPRENIC

• Pada tanggal 15 April 2004 silam, seorang peretas kawakan dengan inisial
Xnuxer atau juga kadang dikenal dengan nama Schizoprenic berhasil
temukan lubang di situs TNP-KPU. Dia melakukan uji coba terhadap
sistem keamanan di situs Tnp.Kpu.go.id dengan menggunakan XSS (cross
site scripting) dari IP 202.158.10.117.
• Setelah berhasil temukan kelemahan di situs tersebut, pada tanggal 16
April 2004, Xnuxer berhasil menembus sisi pengaman website itu dengan
menggunakan SQL Injection. Dia mengubah nama-nama partai yang ada
di dalam database TNP-KPU dengan nama buah-buahan. Akhirnya, pada
tanggal 21 April 2004 pukul 14.30 WIB, dia tangkap Satuan Cyber Crime
Direktorat Reserse Khusus Kepolisian Daerah Metro Jaya dan resmi di
tahan pada tanggal 24 April 2004 sekitar pukul 17:20 di Jakarta.
• Xnuxer yang memiliki nama asli Dani Firman Syah ini harus menjalani
hukuman di dalam penjara selama 6 bulan 21 hari.
Security Foundation - Alam Rahmatulloh 24

12
 07/09/2016

• Masalah Mesin ATM

• Bagi Bank, ATM memiliki banyak masalah
– Mesin dicuri
– Uang dipancing
– Dipasangi alat
– Data disadap
– Prosedur lemah

Security Foundation - Alam Rahmatulloh 25

• Kejahatan di ATM

Security Foundation - Alam Rahmatulloh 26

13
 07/09/2016

• Kasus Pembobolan Bank

– (Sumber Media Indonesia, Koran Tempo, dan Sumber-sumber lain)
Tanggal Bank Jumlah Keterangan
(Rp)
8 jan 2002 Arta Niaga Kencana 26 Milyar Pembukuan Palsu
Semarang
25 jan 2002 Int CIC 116 Milyar Manipulasi Data dan dokumen
jakarta impor LC
13 feb 2002 BRI, Sulut 8,9 Milyar Penggelapan dana nasabah,
transfer melebihi jumlah
semestinya

17 April BNI, Jakarta 195 Milyar Pemalsuan negotiable certificate

2003 document
24 Okt 2003 BNI, Jakarta 1,7 Triliun Transaksi LC Fiktif
Security Foundation - Alam Rahmatulloh 27

Security Foundation - Alam Rahmatulloh 28

14
 07/09/2016

Security Foundation - Alam Rahmatulloh 29

• Many Frameworks – ex. ISO/IEC 27001

• Objective: Manage the security of information into
acceptable level

Security Foundation - Alam Rahmatulloh 30

15
 07/09/2016

Security Foundation - Alam Rahmatulloh 31

– are affordable.
– are proportionate to the threat.
– minimise disruption to legitimate users
Security Foundation - Alam Rahmatulloh 32

16
 07/09/2016

Security Foundation - Alam Rahmatulloh 33

Security Foundation - Alam Rahmatulloh 34

17
 07/09/2016

Security Foundation - Alam Rahmatulloh 35

• Security is about engineering non-functional

properties of complex
– Requires harmonious coordination of
specialised componen
– Interlocking articulated armour
– Holistic / systemic view needed
– People are part of the system

80% of security is about people, processes, and procedures and only 20% is
about technology, Paul Simmonds, ICI

Security Foundation - Alam Rahmatulloh 36

18
 07/09/2016

• You don’t know when it is working, but you know

when it fails
Information Security
• It is just a probable thing ... some time happens
some time NOT
Risk

Security Foundation - Alam Rahmatulloh 37

Security Foundation - Alam Rahmatulloh 38

19
 07/09/2016

Security Foundation - Alam Rahmatulloh 39

20