http://www.gunadarma.ac.id Dr. rer. nat. I Made Wiryana, SKom, SSi, MAppSc Koordinator Kerjasama Internasional Universitas Gunadarma http://www.gunadarma.ac.id Dependability Dependability pada Perangkat Lunak pada Perangkat Lunak Elektronik Elektronik ● Ancaman Keamanan ● User titik terlemah ● Forensik ● Dependebilitas suatu sistem ● Membangun Sistem yang aman ● SDM dan Organisasi
83
Embed
Diskusi Publik RPM Perangkat Lunak Sistem Elektronik_I Made Wiryawan
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
http://www.gunadarma.ac.id
Dr. rer. nat. I Made Wiryana, SKom, SSi, MAppScKoordinator Kerjasama Internasional
Universitas Gunadarmahttp://www.gunadarma.ac.id
DependabilityDependabilitypada Perangkat Lunak pada Perangkat Lunak
ElektronikElektronik
● Ancaman Keamanan
● User titik terlemah
● Forensik
● Dependebilitas suatu sistem
● Membangun Sistem yang aman
● SDM dan Organisasi
http://www.gunadarma.ac.id
Perkenalan diri● Dosen Universitas Gunadarma, Koordinator Kerjasama Internasional,
● Konsultan teknis situs Presiden (masa SBY), Wapres (2 Wapres) dan Kemenpora (3 menteri) Cyberpaspampres→
● Pengembang: Sistem Barang Daerah (SIMBADA) [http://simbada.gunadarma.ac.id] dan Inventori Biodiversity [http://www.flora-indonesia.id]
● Wakil Indonesia untuk standardisasi profesi bidang TI untuk Asia Pacific (SEARCC), Pengurus IPKIN, PIKIN, MIKTI, YPLI, AOSI, APSICI
● Aktif pada penulisan standard. Standard Nasional Indonesia (SNI), Standard Kompetensi Kerja Nasional Indonesia (SKKNI), Badan Standard Nasional Pendidikan (BSNP)
http://www.gunadarma.ac.id
Ancaman Keamanan Internet
http://www.gunadarma.ac.id
http://www.gunadarma.ac.id
Konsep security● Definisi umum :
– Sekuriti komputer menangani pencegahan dan pendeteksi dari akses yang tak berhak oleh pengguna dari suatu sistem komputer
– C : Confidentiality : Pencegahan terhadap akses informasi oleh orang yang tak berhak.
– I : Integrity: Pencegahan terhadap modifikasi informasi oleh orang yang tak berhak
– A : Accesibility: Pencegahan terhadap penguasaan informasi atau sumber daya oleh orang yang tak berhak.
● Definisi lebih luas :– EU : terkait ketergantungan pada pihak ke-3
Security is not a product but a process Bruce
Schneier
http://www.gunadarma.ac.id
Pendekatan untuk security (ofensif dan defensif)
● Practical : antivirus, exploit and patch
● Theoretical : Security model etc
● Management: Security Policy, Risk Assesment
● User
● Sociological
http://www.gunadarma.ac.id
3 gelombang ancaman● Fisik
● Menyadap saluran telfon/radio, memutus dan mengarahkan ke saluran palsu dsb
● Sintatik
● Melakukan remote exploit, DdoS dan sebagainya
● Semantik
● Memanfaatkan serangan terhadap pemberitaan
http://www.gunadarma.ac.id
Identitas... asli atau palsu?
● Jenis kelamin (kasus Oca)
● Pekerjaan (penipuan pasangan)
● Penipuan perilaku kriminal
● Penipuan pencari jodoh
http://www.gunadarma.ac.id
Perkembangan malware● Digunakan untuk mengubah perangkat mobile
menjadi perangkat penyadap suara. Menjadi penyadap aliran data. Spionase industri memanfaatkan virus u
● Menginfeksikan, dengan menggunakan social engineering. Menjadi zombie yang siap diperintah
● Teknik yang digunakan: ● Overlay Network● Fail-over● Encrypted link● Encrypted code
● Ada model business yang mendorongnya
● Untuk DdoS dan spam
http://www.gunadarma.ac.id
Ancaman Cloudservices
● Cloudservices merubah pendekatan
● Membangun tools untuk brute-force attack lebih murah, cepat, dan mudah
● Tools tersedia online
http://www.gunadarma.ac.id
Penerima● Nokia 3310/Ericsson/
● Universal Software Receiver Peripheral (USRP)
● Texas Instruments OMAP Dev Kit
● Commercial Interceptor
http://www.gunadarma.ac.id
Scandec● Tanpa SIM
● Tanpa open Encryption
● Tanpa diverted call charges, tidak disadari orang
● Tanpa perlu tahu pengetahuan jaringan GSM
A5/1A5/2
A5(Kc,Frame) A5(Kc,Frame)
Plain-text Plain-text
+ +
Frame Frame
Conversation
Phone Sending to BTS
http://www.gunadarma.ac.id
Attack pada mobil dari jauh
http://www.gunadarma.ac.id
Ancaman gambar
● Mengunduh file secara tidak sah
● Mengunduh file secara berlebihan Denial of →services (sistem menjadi tak bekerja)
● Mengubah gambar dan memposting di media lain (media sosial, misalnya)
● Memasukkan gambar ke dalam sistem secara tidak sah
http://www.gunadarma.ac.id
Life cycle of system security
Intr
usi
on
s
Discovery
Disclosure Patch released
Compromised
Vulnerable
HardenedTime
● Birth: kelahiran celah biasanya terjadi tanpa disadari
● Discovery: seseorang menemukan bahwa suatu produk memiliki permasalahan sekuriti
● Disclosure: permasalahan dikemukakan pada publik yang lebih luas
● Corrections: vendor atau pengembang memberitahu patch, atau modifikasi yang diperlukan
● Publicity: menjadi berita
● Scripting: perangkat bantu utk memudahkan serangan dibuat orang
● Death: ketika celah tersebut menjadi tak berarti
http://www.gunadarma.ac.id
Neumann (1978)● Improper protection
● Improper choice of initial protection domain
● Improer isolation of implementation detail
● Improper change
● Impoper deallocation or deletion
● Improper validation
● Improper synchronization
● Improper indivisibility
● Improper sequencing
● Improper chice of operand or operation
http://www.gunadarma.ac.id
Howard CERT Taxonomy
http://www.gunadarma.ac.id
CVE● Common Vulnerabilities
and Exposure
● MITRE http://cve.mitre.org
● Kamus bukan database (1 nama dan deskripsi)● Vulnerability● Exposure
● Gerakan komunitas dan tersedia bebas
Intrusiondetection system
signaturesdatabase
Securityadvisories and
email list
Vulnerabilityscannerdatabase
Softwarevendoralerts
VulnerabilitiesWeb sites and
databases
Softwarevendor patches
and updates
CommonVulnerabilitiesand Exposure
Initiative
http://www.gunadarma.ac.id
Web App. Vulnerabilities
● Web Application Security Consortium
● http://www.webappsec.org
● To clarify and organize threats to security of site
● Goal :
● Identifiy all known web application attack
● Naming of each class of attack
● Develop a structure of classes of atack
● Develop documentation of generic description of classes of attack
http://www.gunadarma.ac.id
Vulnerable and Risk Assesment
● Attack Tree (Bruce Schneier) - Attack Graph
● WBA (Prof. Peter B Ladkin)
http://www.gunadarma.ac.id
User titik terlemah
http://www.gunadarma.ac.id
Kelemahan di sisi user● User sadar bahwa ada resiko
sekuriti, tapi kurang paham bagaimana resiko itu memiliki pengaruh terhadap mereka.
● User tak paham dengan teknologi sekuriti.
● Virus, Troyan, and Worm
● Phishing
● Spam (mail, messenger, blog etc)
● Vulnerabilities in audio file, image, browser, sandbox
http://www.gunadarma.ac.id
Spam facebook● Dating spam
● Profile and IM lures
● Redirection to dangerous site
● Nigerian scam
● Fake jobs (steal identity)
● Competitor soc-network lure
● Religous based spam
http://www.gunadarma.ac.id
Bagaimana di Indonesia ?● Pengguna smartphone begitu
besar
● Mobile services adalah revenue besar
● SMS telah diterima dalam berbagai penggunaan resmi dan transaksi. Penipuan SMS
● Masih banyak pihak yang tak peduli dengan kelemahan dari sisi sekuriti, termasuk badan negara.
http://www.gunadarma.ac.id
Kasus SMS● Mengisi pulsa
Pak tolong isiin pulsa ke no Im3 ini ya 085789043331...sekarang ya penting...! ini pulsa terakhir...ditunggu
● Info transfer Tolong uangnya Di transfer sekarang aja ke bank BNI:022-741-3***. A/n FRISKA ANANDA dan sms reply saja kalau sudah diTransfer, trimkasih
● Tawaran menarik"Xpressive SMS Bonus. Kamu terpilih buat dptin UANG 3 JUTA, BB ONYX & Pulsa 50rb! Hub *123*2767# utk ambil kesempatanmu skrg! GRATIS WALLPAPER Romantis! 5rb/bln"
P
http://www.gunadarma.ac.id
Mobile storage● USB Flash disk 4, 16 GB→
● External hard disk 1,5 TB→
● Apa yang terjadi bila jatuh ke pihak ke 3?
● Berapa yang menggunakan hard disk terenkripsi ?
● Versi mahal
● http://www.ironkey.com
● Menggunakan AED 256 bit encryption
● Selalu di enkripsi
● Versi murah
● Truecrypt
● Menggunakan USB biasa
http://www.gunadarma.ac.id
Security software berguna
Jika user yang diharapkan menggunakannya:
● Menyadari aspek sekuriti dari tugas yang harus mereka lakukan
● Dapat mengkonfigurasi sehingga sukses melaksanakan tugasnya.
● Tidak membuat kesalahan yang berbahaya.
● Cukup nyaman dengan antar muka dan tetap menggunakannya.
http://www.gunadarma.ac.id
User-centered security● Garfinkel and Spafford :
Suatu komputer aman bila pengguna dapat bergantung padanya dan perangkat lunak berperilaku seperti yang diharapkan
● Resiko keamanan terbesar adalah orang yang memakainya
● Sekuriti dan udsability pada dasarnya tidak berlawanan
● Menerapkan usability ke sistem aman
● Mengintegrasi layanan sekuriti dengan komponen software yang memiliki usability
● Mengembangkan model user-center sekuriti. Pengguna sebagai hal yang perlu dipertimbangkan paling utama dalam model sekuriti, antar muka dan fitur sistem.
http://www.gunadarma.ac.id
PERKEMBANGAN MEDIA SOSIAL
http://www.gunadarma.ac.id
Mengapa Social Media
● Dasar dari sistem sosial adalah komunikasi (Luhmann)
● Murah
● Saling terkoneksi antara ruang komunikasi
● “Anonim”
● Global
http://www.gunadarma.ac.id
Untuk mencapai 50 juta
● Radio: 38 tahun
● TV: 13 tahun
● Internet: 4 tahun
● Facebook: menambah 100 juta pengguna di bawah 9 bulan
● 2/3 user Internet menggunakan Sosial Media
Sources: United Nations Cyberschoolbus Document and Mashable
● Sistem “sensitive” dibangun tanpa pertimbangan forensik
● Perbankan● EKTP, Sistem rumah sakit, dsb
● Permasalahan
● Ketika terjadi incident data bukti tidak tersimpan (log tidak disimpan)
● Ketika terjadi incident recovery sulit dilakukan tanpa membutuhkan waktu lama agar bukti dapat dipreservasi
● Ketika incident bukti untuk di'korelasi' menjadi sulit
http://www.gunadarma.ac.id
Forensik titik belakang
● Kegiatan forensik hanya dilakukan SETELAH kejadian (incident)
● Tidak dimasukkan di dalam pertimbangan pengembangan sistem
● Serinkali proses forensik yang baik tidak dapat dilakukan karena memang sistem tidak mendukung penyimpanan bukti
http://www.gunadarma.ac.id
Pertimbangan untuk sistem
● Pengelolaan log yang baik● Jenis log mengcover jenis transaksi● Log disimpan dengan baik● Proses signaturing diterapkan pada sistem log● Log server bila diperlukan (memudahkan recovery)
● Pencatatan lokasi (geolocation)
● Pencatatan waktu (time server kewajiban)
http://www.gunadarma.ac.id
Sumber data
http://www.gunadarma.ac.id
Perangkat lunak
● Microcode
● Firmware
● Operating System
● Library
● Application
● Application on the top application (web apps)
http://www.gunadarma.ac.id
Karakteristik dan ujinya
● Fungsionalitas
● Usabilitas
● Performance
● Cost
● Dependabilitas
● Performance
● Usability
● Security
● Safety
http://www.gunadarma.ac.id
Dependability
● The dependability of a system is its ability to deliver specified services to the end users so that they can justifiably rely on and trust the services provided by the system
● Service. ● The function of the system is what system is intended for and is
described by the system specification. ● The service delivered by a system is its behaviour as it is perceived by
users.
● Alternated definition: the ability of a system to avoid failure that are more frequent or more severe, and outge durations that are longer that is acceptable to users
http://www.gunadarma.ac.id
Dependability
http://www.gunadarma.ac.id
Atribute Dependability● Availability: readiness for correct service, availability of a system for a period (0,t) is the
probability that the system is available for use at any random time in (0,t).
● reliability: continuity of correct service,. The reliability of a system for a period (0,t) is the probability that the system is continuously operational (i.e., does not fail) in time interval (0,t) given that it is operational at time 0.
● safety: absence of catastrophic consequences on the user(s) and the environment, Safety. The safety of a system for a period (0,t) is the probability that the system will not incur any catastrophic failures in time interval (0,t).
● confidentiality: absence of unauthorized disclosure of information, Confidentiality: The confidentiality of a system is a measure of the degree to which the system can ensure that an unauthorized user will not be able to understand protected information in the system.
● integrity: absence of improper system state alterations; Integrity and Trustworthiness. The integrity of a system is the probability that errors or attacks will not lead to damages to the state of the system, including data, code, etc.
● maintainability: ability to undergo repairs and modifications, The maintainability of a system is a measure of the ability of the system to undergo maintenance or to return to normal operation after a failure.
http://www.gunadarma.ac.id
Jaminan
● Security, Safety Sicherheit→● Jaminan atas beroperasinya sistem sesuai dengan
yang dirancang● Verifikasi tiap tahap sesuai dg yg dispesifikasikan→● Validasi keluaran sesuai dengan yang dikehendaki→
● Sistem yang lebih kritis membutuhkan verifikasi. Indonesia MINIM penelitian dan pengembangan di bidang verifikasi
http://www.gunadarma.ac.id
Software quality (ISO 9126)
http://www.gunadarma.ac.id
Usability
● ISO/IEC 9126-1, The capability of software product to understood, learned, used and attractive to user, when used under specific condition
● ISO 9241011, 1998 : The extent which a product can be used by specified users to achieve specified goals with effectiveness, efficiency, and satisfaction in a specified context of use
● Attributes :
● Effectiveness
● Efficiency
● Satisfaction
http://www.gunadarma.ac.id
Normative usability
http://www.gunadarma.ac.id
Developing Safety Critical
http://www.gunadarma.ac.id
Pola organisasi
http://www.gunadarma.ac.id
Pola Road Map
PENGEMBANGAN TEKNIS
PENGEMBANGAN SDM
PENGEMBANGAN ORGANISASI
● Capaian dan Indikatornya serta metoda assestment
● Adjustment pelaksanaan
http://www.gunadarma.ac.id
Contoh masalah SDM dan Organisasi
● Perangkat banyak sistem banyak, tidak ada SDM pendukung 24x7
● Organisasi di posisi kurang tinggi untuk memberikan masukan yang penting bagi organisasi
● SDM sudah ditraining dan dilatih “rolling” ke bagian lain Jabatan →functional
● Mekanisme perekrutan tenaga dan pendampingan teknis
● SDM operator, admin, pengembang
http://www.gunadarma.ac.id
Payung Hukum• UU No 43 Tahun 2007 tentang Perpustakaan
• UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UUITE)
• UU No. 14 tahun 2008 tentang Keterbukaan Informasi Publik
• UU No. 43 tahun 2009 tentang Kearsipan
• UU No. 18 tahun 2012 tentang Sistem Nasional tentang Penelitian, Pengembangan dan Penerapan Ilmu Pengetahuan dan Teknologi
• UU No. 4 tahun 2011 tentang Informasi Geospasial
• UU No. 25 Tahun 2009 tentang Pelayanan Publik
• SNI ISO 32000-1:2008, Portable Document Format
• SNI ISO 27001:2009, Sistem Manajemen Keamanan Informasi
• SNI ISO/IEC 26300:2011, Open Document Format
• Peraturan Pemerintah 82/2011 tentang Penyelenggaraan Sistem dan Transaksi Elektronis
• Kesepakatan 5 menteri IGOS, 30 Juni 2004
• Surat Edaran MenPAN No SE/01/M-PAN/3/2009, 31 Desember 2011 seluruh instansi sudah menerapkan perangkat lunak legal
http://www.gunadarma.ac.id
Peraturan tentang SDM (PP 82)
http://www.gunadarma.ac.id
Sertifikasi Kompetensi
● Pola yang umum● Sertifikasi melalui Asosiasi: contoh PII● Sertifikasi melalui vendor, contoh Cisco, CISA (?)
● Pola yang ditetapkan pemerintah (melibatkan asosiasi, vendor, dan publik)● Mendefinisikan kompetensi SKKNI→● Menjadikan skema profesi LSP →
Sistem Sertifikasi Profesi - TIK
STANDAR KOMPETENSI
STANDAR PROFESI
UJI KOMPETENSIPELATIHAN
KOMPETENSI
SKKNI
TNA
SERTIFIKASIPROFESI
ACUAN
INDUSTRI
http://www.gunadarma.ac.id
http://www.gunadarma.ac.id
Dunia Pendidikan Kerangka Kualifikasi Nasional (KKNI)
Standar Kompetensi Kerja Nasional Indonesia (SKKNI)
2005 Operators Programmer
2006 Systems Administrator and
Computer Network Technical Support
2007 – Multimedia 2008
Satellite Telecommunication Technician
2009 - Graphic Design
2011: IT Security 2012
IT Service Management Fiber Optic Technician IT Auditor Animation
● MASINDO [http://www.ina-ciss.org]● Masyarakat Sandi dan Keamanan Informasi, J Maeran Sunarto
● ID-FIRST ● established on March 2003, by Indonesia Information Technology
Federation (industry). However, it is inactive.● Contact person : Idris Sulaeman Ph.D
● ID-SIRTII (Government bodies)● monitor and use log file for evidence. Salahudin.
http://www.gunadarma.ac.id
Koordinator Nasional
● Melakukan koordinasi antara lembaga (Kemhan, Lemsaneg, antar Response Team dsb)
● Menentukan bakuan yang digunakan di tingkat nasional
● Memberikan guidance kepada lembaga pemerintah
● Mirip dengan fungsi BSI (Bundessicherheit fuer Information Technologi) →
http://www.gunadarma.ac.id
CERT di Jerman
● BUND CERT Untuk badan negara→● BURGER CERT Untuk publik→● DFN CERT Untuk network akademik→● CORPORATE CERT Untuk perusahaan→● Contact Point
● Information point
http://www.gunadarma.ac.id
CERT BUND
CERT-Bund (Computer Emergency Response Team for federal agencies) is the central point of contact for preventive and reactive measures regarding security-related computer incidents. With the intention of avoiding harm and limiting potential damage, CERT-Bund
● creates and publishes recommendations for preventive measures
● points out vulnerabilities in hardware and software products
● proposes measures to address known vulnerabilities
● supports public agencies efforts to respond to IT security incident
● recommends various mitigation measures
● Operates IT Situation Centre
http://www.gunadarma.ac.id
Kendala aturan
● Belum ada keharusan melaporkan
● Belum ada ketentuan pihak yang menangani
● Belum ada struktur “wajib” untuk penanganan insiden