UJIAN TENGAH SEMESTER PERBAIKAN KEAMANAN KOMPUTER DAN JARKOM
DOSEN NAMA NIM MATA KULIAH KELOMPOK
: : : : :
Hadi Syahrial, MM, M.Kom, CEH, CHFI DIAN PARIKESIT 1111600092
KEAMANAN KOMPUTER DAN JARKOM XA
MAGISTER ILMU KOMPUTER UNIVERSITAS BUDI LUHUR JAKARTA
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
1. Perbedaan antara indentification, authtentification dan
authrization Disebutkan oleh Dr. Michael E.Whitman dan Herbert J.
Mattord dalam bukunya Management Of Information Security adalah:
Identification Sistem informasi memiliki karakteristik identifikasi
jika bisa mengenali individu pengguna. Identifikasi adalah langkah
pertama dalam memperoleh hak akses ke informasi yang diamankan.
Identifikasi secara umum dilakukan dalam penggunaan user name atau
user ID. Identifikasi dan Otentikasi Elemen user interface yang
pertama kali ditemui kebanyakan subjek ketika mengakses sistem
informasi adalah identifikasi dan otentikasi. Tahap identifikasi
memperkenankan subjek mengklaim sebagai entitas tertentu dengan
menunjukkan bukti-bukti identitas. Bukti-bukti tersebut dapat
sesederhana user ID atau nomer PIN, atau yang lebih kompleks
seperti atribut apakah fisik. user Setelah tersebut subjek
terdaftar mengklaim dalam user suatu identitas, dan
sistemmemvalidasi Identifikasi:
database
membuktikanbahwa subjek tesebut adalah benar-benar sebagai
entitas yang diklaimnya. Proses atau aksi yang dilakukan oleh user
untuk membuktikan siapa (identitas) dirinya kepada sistem.
Misalkan: log-on ke sistem
Authentication
Autentikasi terjadi pada saat sistem dapat membuktikan bahwa
pengguna memang benarbenar orang yang memiliki identitas yang
mereka klaim.
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
Tahapotentikasi meminta subjek menujukkan informasi tambahan
yang berkesesuaian denganinformasi tentang subjek tesebut yang
telah disimpan. Dua tahap ini sering disebutdengan otentikasi dua
faktor, yang memberikan proteksi terhadap subjek yang tidakmemiliki
otoritas untuk mengakses sistem. Setelah subjek diotentikasi,
sistem kontrol akses mengevaluasi hak dan izin subjek untuk
mengabulkan atau menolak permintaanakses terhadap objek. Tahap ini
disebut dengan tahap otorisasi.Ada tiga kategori/tipe umum dari
informasi otentikasi. Pratek pengamanan yang baikbiasanya membuat
tahap identifikasi dan otentikasinya memerlukan input
setidaknyadari dua tipe berbeda. Tiga tipe umum data otentikasi
dijelaskan dalam Tabel 2.6berikut ini.
Tipe otentikasi yang paling umum dan paling mudah untuk di
implementasikan adalah otentikasi tipe 1. Yang dilakukan adalah
meminta subjek membuat password, passphrase, atau nomer PIN.
Alternatif lain adalah menyediakannya untuk user.Kesulitan dalam
otentikasi tipe 1 adalah perlunya mendorong subjek untuk
membuatfrase yang sangat sulit diterka oleh orang lain, namun tidak
terlalu rumit sehingga sulituntuk diingat. Password (frase atau
PIN) yang sulit diingat akan mengurangi nilai daripassword itu
sendiri. Hal tersebut dapat terjadi bila administrator terlalu
seringmmerlukan penggantian password sehingga user kesulitan untuk
mengingat passwordterbaru. Jadi, yang disarankan adalah menjaga
password secara rahasia dan aman.Aturan-aturan berikut ini adalah
petunjuk yang baik untuk membuat password yangaman. Password
setidak memiliki panjang 6 karakter. Password setidaknya mengandung
sebuah angka atau karakter tanda baca. Tidak menggunakan kosakata
atau kombinasi kosakata. Tidak menggunakan data pribadi, seperti
tanggal kelahiran, nama anggotakeluarga atau binatang peliharaan,
atau lagu atau hobi favorit. Tidak sesekali menuliskan password.
Membuat password yang mudah diingat tetapi sulit diterka.Perbaikan
UTS Keamanan Komputer dan Jarkom Dian Parikesit (1111600092)
Data otentikasi tipe 2 lebih rumit untuk dilakukan karena subjek
perlu membawa suatualat atau sejenisnya. Alat tersebut umumnya
perangkat eleltronik yang menghasilkansuatu nilai yang bersifat
sensitif terhadap waktu atau suatu jawaban untuk diinput.Meskipun
otentikasi tipe 2 lebih rumit, tipe ini hampir selalu lebih aman
dibandingkandengan otentikasi tipe 1. Otentikasi tipe 3, atau
biometrics adalah yang paling canggih. Biometricmenggambarkan
pendeteksian dan pengklasifikasian dari atribut fisik. Terdapat
banyak teknik biometric yang berbeda, diantaranya : Pembacaan sidik
jari/telapak tangan Geometri tangan Pembacaan retina/iris
Pengenalan suara Dinamika tanda tangan Authorization
Setelah identitas pengguna diautentikasi, sebuah proses yang
disebut autorisasi memberikan jaminan bahwa pengguna (manusia
ataupun komputer) telah mendapatkan autorisasi secara spesifik dan
jelas untuk mengakses, mengubah, atau menghapus isi dari aset
informasi.
Otentikasi: Verifikasi user tersebut sesuai dengan identitas
yang diberikan Logical access control akan dilakukan sesuai dengan
hasil verifikasi tersebut. Berdasarkan tiga faktor: what you know
(mis.: PIN, password), what you have (mis. Card), what you are
(mis. Fingerprint) Authentication: Variant 1. Memasukkan kartu
identifikasi (what you have) 2. Mengetikkan 12 digit angka rahasia
(what you know) 3. Komputer secara acak akan memilihkan kata-kata
yang harus diucapkan ulang (who you are)Perbaikan UTS Keamanan
Komputer dan Jarkom Dian Parikesit (1111600092)
Authentication: Factors Umum: otentikasi makin banyak faktor
(kombinasi) makin baik Two-Factor Authentication: Diperlukan dua
faktor otentikasi (dari 3 variant) yang ada Misalkan: ATM
menggunakan two-faktor, yakni ATM card dan PIN yang rahasia yang
hanya diketahui user 2. Jelaskan gambar di bawah ini.
Jawaban : Penjelasan dari gambar adalah :
Ketidak-kebalan keamanan data bisa menjadi kelemahan pada satu
mekanisme dan itu dapat mengancam kerahasiaan, integritas atau
availabilitas dari suatu program data. Itu menjadi kekurangan dari
satu tindakan balasan yang harus diantisipasi dalam menyimpan suatu
data. Ancaman maka seseorang akan bisa membongkar satu
ketidak-kebalan dan ini bisa menjadi pemanfaatan risiko dalam suatu
sistem program keamanan. Salah satu manajemen risiko yang dipunyai
bagi perusahaan yaitu Mengurangi risiko ke satu tingkat bisa
diterima Risiko tidak dapat dihilangkan, tapi harus diatur Analisa
resiko dikelola dengan : Satu penilaian Mengidentifikasi komponen
asset Berikan nilai ke asset Identifikasi ketidak-kebalannya asset
dan ancaman Hitung risiko relasi Taksir rugi potensial dan yang
merusak potensialassetPerbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
Sediakan solusi Satu tindakan yang bisa diantispasi/deteksi
harus Mengurangi risiko yang diidentifikasi Bisa hemat biaya
(Estimasi tindakan aset perangkat keras sebelum pengimplementasian)
(Estimasi aset perangkat keras setelah menerapkan tindakan)
(estimasi tindakan ongkos tahunan) = Nilai dari tindakan antisipasi
ke perusahaan Kemungkinan adanya dari satu ancaman maka makin jelas
yang sebenarnya dan sesuai banyaknya yang bisa merusak potensial
yang ada dalam sebuah sistem data. Ketika satu agen ancaman
memanfaatkan satu ketidak-kebalan makaperlu ada tindakan balasan
sebagai antisipasi keamanan. Dan perlu adanya satu opsi kontrol ke
dalam tempat untuk mengurangi kehilangan sistem data yang
potensial. 3. Jelaskan perbedaan policy dengan prosedur. Jawaban :
Policy Policy adalah pernyataan dari aturan keamanan
yangteridentifikasi oleh manajemen sebagai cara untukmencapai
obyektif. Contoh pernyataan: Semua sistem dan aplikasi yang
menggunakan akun memerlukanpengguna untuk mengidentifikasikan serta
mengotentifikasikan dirimereka Dalam keamanan informasi, ada tiga
kategori umum dari kebijakan yaitu: Enterprise Information Security
Policy (EISP) menentukan kebijakan departemen keamanan informasi
dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi. Issue Spesific Security Policy (ISSP) adalah sebuah
peraturan yang menjelaskan perilaku yang dapat diterima dan tidak
dapat diterima dari segi keamanan informasi pada setiap teknologi
yang digunakan, misalnya e-mail atau penggunaan internet. System
Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat
atau teknologi secara teknis atau manajerial.
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
Prosedur adalah cara spesifik yang dapat digunakan olehuser
untuk tunduk (comply) pada policy dan standar. Contoh prosedur yang
sejalan dengan policy: Bila pengguna lupa pada password-nya atau
hendak melakukanperubahan maka perlu menghubungi Help Desk Prosedur
dapat digunakan untuk mengklarifikasi policy danstandar 4. Jelaskan
apa yang di maksud dengan CIA (Confidentiality, Integrity,
Availability) dan sebutkan jenis ancaman yang bisa mengganggu CIA.
Jawaban : Menurut Garfinkel [Simson Garfinkel, PGP: Pretty Good
Privacy, OReilly & Associates, Inc.,1995. ] 1. Privacy /
Confidentiality Defenisi : menjaga informasi dari orang yang tidak
berhak mengakses. Privacy : lebih kearah datadata yang sifatnya
privat , Contoh : email seorang pemakai (user) tidak boleh dibaca
oleh administrator. Confidentiality : berhubungan dengan data yang
diberikan ke pihak lain untukkeperluan tertentu dan hanya
diperbolehkan untuk keperluan tertentu tersebut. Contoh : datadata
yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social
security number, agama, status perkawinan, penyakit yang pernah
diderita, nomor kartukredit, dan sebagainya) harus dapat diproteksi
dalam penggunaan dan penyebarannya. Bentuk Serangan : usaha
penyadapan (dengan program sniffer). Usahausaha yang dapat
dilakukan untuk meningkatkan privacy dan confidentiality adalah
dengan menggunakan teknologi kriptografi. CIA adalah standar yang
digunakan banyak pihak untuk mengukur keamanan sebuah sistem.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek
berikut:Perbaikan UTS Keamanan Komputer dan Jarkom Dian Parikesit
(1111600092)
Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan
data atau informasi, memastikan bahwa informasi hanya dapat diakses
oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan. 2. Integrity Defenisi : informasi
tidak boleh diubah tanpa seijin pemilik informasi. Contoh : email
di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke
alamat yang dituju. Bentuk serangan : Adanya virus, trojan horse,
atau pemakai lain yang mengubah informasi tanpa ijin, man in the
middle attack dimana seseorang menempatkan diri di
tengahpembicaraan dan menyamar sebagai orang lain.Integrity
(integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada
ijin pihak yang berwenang (authorized), menjaga keakuratan dan
keutuhan informasi serta metode prosesnya untuk menjamin aspek
integrity ini. 3. Availability Defenisi : berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Contoh hambatan : -
denial of service attack (DoS attack), dimana server dikirimi
permintaan (biasanyapalsu) yang bertubitubi atau permintaan yang
diluar perkiraan sehingga tidak dapatmelayani permintaan lain atau
bahkan sampai down, hang, crash. - mailbomb, dimana seorang pemakai
dikirimi email bertubitubi (katakan ribuan email) dengan ukuran
yang besar sehingga sang pemakai tidak dapat membuka emailnya atau
kesulitan mengakses emailnya.
Availability (ketersediaan) aspek yang menjamin bahwa data akan
tersedia saat dibutuhkan, memastikan user yang berhak dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan
bilamana diperlukan). Ancaman Atas CIA Kehancuran karena bencana
Alam dan Politik? Kebakaran atau panas berlebih (fire or excessive
heat) Banjir (floods) Gempa bumi (earthquakes) Badai Angin (high
winds) Peperangan (war)
Error pada Software dan tidak berfungsinya peralatan? Kegagalan
HadrwareDian Parikesit (1111600092)
Perbaikan UTS Keamanan Komputer dan Jarkom
Kesalahan atau kerusakan pada software Kegagalan sistem Operasi
Gangguan dan Fluktuasi Listrik Kesalahan pengiriman data yg tidak
terdeteksi
Tindakan yang tidak disengaja? Kecelakaan yang disebabkan oleh
kesalahan manusia Kesalahan atau penghapusan karena ketidaktahuan
Hilangnya atau salah letaknya data Kesalahan pada logika sistem
System yang tidak memenuhi kebutuhan perusahaan atau tidak mampu
menangani tugas yang diberikan. Tindakan sengaja (Kejahatan
Komputer) Sabotase Penipuan melalui komputer Pencurian
Perkembangan teknologi yang dianggap memiliki resiko tinggi dan
berpotensi sebagai jalan masuk tidak sah dalam ranah cyber adalah
sebagai berikut: 1. Next Generation Network (NGN) yang mana lalu
lintas paket data untuk telekomunikasi dan Internet tergabung dalam
suatu protokol IP yang disebut Triple Play. 2. Mesin-mesin yang
menggunakan RFID (Radio Frequency Identification) telah dapat
melakukan komunikasi antar media menggunakan jalur Internet. 3.
Remote kontrol dan maintenance dalam sektor industri telah
menggunakan Industrial Control Systems (ICS) atau menggunakan
Supervisory Control and Data Acquisition (SCADA) yang memungkinkan
untuk melakukan komunikasi antar mesin-mesin industri melalui
Internet. 4. Network-based atau Network-centric Warfare yang fokus
pada yang berfokus pada C4ISR (Command, Control, Computers,
Communications, Information for Intelligence, Surveillance and
Reconnaissance) telah menjadi masalah baru di dunia militer karena
bentuk komunikasi dan integrasi telah tersedia untuk jalur
Internet. 5. Adanya teknologi terbaru di dunia komputer yaitu Grid
Computing dan Cloud Computing telah menjadi isu baru dalam hal
keamanan data dan informasi.
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
6.
Perkembangan mobile phone dengan akses Internet (smartphone)
telah terintegrasi dengan fungsi navigasi atau Global Positioning
System (GPS) yang mana menimbulkan isu baru terhadap dunia
intelijen dan militer.
7.
Penyebaran akses Internet untuk individu telah sampai pada
teknologi mobile broadband yang bisa diakses dengan biaya yang
relatif terjangkau.
8.
Teknologi yang secara khusus dikembangkan untuk masalah keamanan
belum sampai kepada teknologi yang secara presisi memiliki
kemampuan untuk meramalkan (forecasting) terhadap adanya rencana
serangan. Teknologi yang berkembang saat ini hanya mampu untuk
membaca adanya gejala atau anomaly yang telah terjadi.
5. Jelaskan apa fungsi security awareness dan berikan contohnya.
Jawaban : Security awareness adalah suatu fungsi dimana user maupun
administrator di ingatkat akan pentingnya keamaan dari suatu
sistem, dengan melakukan upaya upaya pencegahan dari kerusakan
sistem yang mungkin terjadi. Security awareness bagi pengelola
infrastruktur jaringan agar tidak terjebak oleh teknik social
engineering, perlu dilakukan training secara regular dan
direkomendasikan untuk memiliki sertifikasi professional sesuai
bidang pekerjaannya. Seorang administrator data harus sadar akan
masalah keamanan memiliki security awareness). Keamanan informasi
data adalah proses melindungi data dari
penyalahgunaan atau perusakan yang dilakukan oleh orang-orang di
dalam atau diluar sebuah organisasi, termasuk pegawai, konsultan
dan hacker. Keamanan yang ditembus dapat berupa sebuah situs yang
dideface (mencacati/mengotori) , virus komputer, pegawai yang
secara sengaja atau tidak sengaja menyebarkan password-nya, mantan
pegawai yang menyabotase database, atau bahkan mata-mata perusahaan
lain yang mencuri data tentang banyak barang atau data keuangan
barang yang dibeli pelanggan anda dari perusahan tempat anda
bekerja. Seorang administrator data harus sadar akan masalah
keamanan (memiliki security awareness). Keamanan informasi data
adalah proses melindungi data dari penyalahgunaan atau perusakan
yang dilakukan oleh orang-orang di dalam atau diluar sebuah
organisasi, termasuk pegawai, konsultan dan hacker. Keamanan yang
ditembus dapat berupa
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
sebuah situs yang dideface (mencacati/mengotori) , virus
komputer, pegawai yangsecara sengaja atau tidak sengaja menyebarkan
password-nya, mantan pegawai yang menyabotase database, atau bahkan
mata-mata perusahaan lain yang mencuri data tentang banyak barang
atau data keuangan barang yang dibeli pelanggan anda dari perusahan
tempat anda bekerja. Pelatihan Security Awareness Ada banyak
pelatihan yang dapat diberikan pada administrator data.
Pelatihandiadakan dengan maksud memberi pengetahuan atau wawasan
tentang hal terpentinguntuk dilakukan oleh seorang administrator
data. Pelatihan dapat program sesuai dengantingkat pekerjaan yang
menjadi tugas seorang administrator data, diantaranya pelatihan
yang mungkin dilakukan adalah: 1. cara menggunakan dan memilih
password. 2. pemakaian account dan password yang bertanggungjawab.
3. penggunaan logoff pada jaringan workstation komputer 4. cara
mengunakan enkripsi pada data. 5. membuat peraturan tentang
keamanan jaringan. 6. Jelaskan yang dimaksud dengan segregation of
duties, last privilages dan single sign on. Jawaban : Segregation
of duties :Custodial Functions Handling cash Handling assets
Writing checks Receiving checks Recording Functions Preparing
source documents Maintaining journals Preparing reconciliations
Preparing performance reports
in mail
Authorization Functions Authorization of transactions
Pengawasan intern baik menuntut yang tidak ada sesorangtertentu
sehingga terlalu banyak tanggungjawab. Seorang tidak boleh berada
di dalam satu posisi untuk melakukan dan Merahasiakan penipuan atau
kesalahan tak disengaja
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
Kalau dua diantara ini tiga fungsi adalah tanggungjawab dari
orang tunggal, masalah dapat timbul. Maka bisa mencegah karyawan
dari memalsukan rekaman supaya kerahasiaan pencurian dari asset
bisa valid/terpercaya. Pencegahan otorisasi dari satu transaksi
samaran atau tidak akurat seperti pencurian transaksi
rahasia.Pencegahan seseorang dari memalsukan rekaman untuk menutupi
satu transaksi ketidaktepatan atau salah yang ada adalah
inappropriately memberikan haknya Least Privilege Filosofi dari
least privilege adalah sebuah subyek hanya diberikan hak sesuai
dengan keperluannya tidak lebih. Least privilege membantu
menghindari authorization creep, yaitu sebuah kondisi dimana sebuah
subyek memiliki hak akses lebih dari apa sebenarnya
dibutuhkan.Organisasi-organisasi menggunakan beberapa kebijakan
dalam menerapkan peraturankontrol akses. Filosofi yang paling tidak
aman (paling berbahaya) adalah memberikan hak akses kepada setiap
orang secara default. Memang kelihatannya mudah akan tetapi hal ini
mudah juga untuk di bobol. Jadi pada metode ini, kita harus
memastikan bahhwa semua akses harus dibatasi, administrasi yang
buruk bisa menyebabkan lubangkemanan. Pada perusahaan, mereka
memberikan hak tertentukepada user yang memang memiliki tanggung
jawab untuk menjaga semua operasiyang melibatkan database berjalan
lancar tanpa gangguan. Sehingga orang tersebut diberikan userid dan
password yang bisa dipakai untuk melakukan monitor terhadap
beberapa server untuk keperluan operasional Single sign on
Pengertian SSO adalah Sebuah sistem authentifikasi terhadap user
dengan sekali login akan bisa mengakses beberapa aplikasi tanpa
harus login di masing-masing aplikasi. Memiliki 2 bagian yaitu
Single Sign On (login satu aplikasi, maka aplikasi lain yang
didefinisikan ikut dalam SSO otomatis akan bisa diakses) dan Single
Sign Out (log out di satu aplikasi, maka semua aplikasi yang
didefinisikan ikut dalam SSO akan ikut logout secara otomatis.
Semakin banyak informasi, atau faktor, yang diminta dari subjek,
semakin menjaminbahwa subjek adalah benar-benar entitas yang
diklaimnya. Oleh karenanya, otetikasidua faktor lebih aman dari
otentikasi faktor tunggal. Masalah yang timbul adalah bila subjek
ingin mengakses beberapa sumber daya pada sistem yang berbeda,
subjektersebut mungkin diminta untuk memberikan informasi
identifikasi dan otentikasi padamasing-masing sistem yang berbeda.
Hal semacam ini dengan cepat menjadi sesuatuyang membosankan.
Sistem Single SignPerbaikan UTS Keamanan Komputer dan Jarkom Dian
Parikesit (1111600092)
On(SSO) menghindari login ganda dengancara mengidentifikasi
subjek secara ketat dan memperkenankan informasi otentikasiuntuk
digunakan dalam sistem atau kelompok sistem yang terpercaya. User
lebihmenyukai SSO, namun administrator memiliki banyak tugas
tambahan yang harusdilakukan. Perlu perhatian ekstra untuk menjamin
bukti-bukti otentikasi tidak tidaktersebar dan tidak disadap ketika
melintasi jaringan. Beberapa sistem SSO yang baikkini telah
digunakan. Tidak penting untuk memahami setiap sistem SSO secara
detail. Konsep-konsep penting dan kesulitan-kesulitannya cukup umum
bagi semua produkSSO. Berikut adalah salah satu produk SSO,
Kerberos, yang akan dikaji bagaimanasistem ini bekerja. 7. Jelaskan
pengertian dari false rejection rate dan false acceptance rate.
Jawaban : Ukuran: a. b. False Rejection Rate (FRR): valid subject
=> but reject False Acception Rate (FAR): invalid subject =>
accepted
Karena
kerumitannya,
biometric
adalah
tipe
otentikasi
yang
paling
mahal
untukdiimplementasikan. Tipe ini juga lebih sulit untuk
dipelihara karena sifat ketidaksempurnaan dari analisis biometric.
Dianjurkan untuk berhati-hati beberapa masalahmasalah utama dari
eror-eror biometric. Pertama, sistem mungkin menolak subjek
yangmemiliki otoritas. Ukuran kesalahan semacam ini disebut dengan
false rejection rate(FRR). Di sisi lain, sistem biometric mungkin
menerima subjek yang salah. Ukurankesalahan semacam ini disebut
dengan false acception rate (FAR). Yang menjadimasalah adalah
ketika sensitifitas sistem biometric diatur untuk menurunkan
FRR,maka FAR meningkat. Begitu juga berlaku sebaliknya. Posisi
pengaturan yang terbaikadalah bila nilai FRR dan FAR seimbang, ini
terjadi pada crossover error rate (CER).FAR menunjukan kesalahan
system dalam menerima input yang seharusnya ditolak. Secara
matematis dapat dihitung melalui persamaan berikut:
Suatu citra uji akan dicocokkan dengan citra lain yang
sebelumnya telah tersimpan dalam database.Apabila sistem ternyata
menerima citra uji tersebut padahal kenyataannya citra tersebut
tidak ada atau tidak sesuai dengan citra yang tersimpan dalam
database. Hal ini dinyatakan bahwa sistem melakukan kesalahan. Dari
sisi akurasi, keakuratan sistem rendahPerbaikan UTS Keamanan
Komputer dan Jarkom Dian Parikesit (1111600092)
karena apabila diterapkan dalam sistem keamanan, maka ada
kemungkingan sistem biometrik tersebut akan menerima siapa saja
yang sebenarnya tidak berhak dan tidak memiliki akses terhadap data
atau tempat tertentu. Dengan demikian sistem keamanan yang
terbentuk menjadi rendah. Gambar 3-a memperlihatkan kurva FAR,
dimana terlihat bahwa semakin besar nilai thresholdnya (batas
ambang), nilai FAR semakin rendah dan sistem semakin aman.
FRR menunjukan kejadian dimana sistem melakukan kesalahan dalam
menolak masukan. Hal ini berarti bahwa, citra uji yang seharusnya
diterima oleh sistem karena citra tersebut telah diregistrasi dan
ada di dalam database, ternyata ditolak oleh sistem. Persamaan dari
FRR adalah:
Dari Gambar 3-b di atas terlihat bahwa semakin besar
thresholdnya (batas ambang), nilai FRR semakin tinggi. Atau dengan
kata lain, apabila nilai FRR mendekati 1, maka hampir semua citra
uji yang ada di dalam database ditolak oleh sistem. Untuk
mendapatkan hasil yang ideal dari sistem,perlu dilakukan pencarian
nilai threshold yang paling sesuai. Nilai tersebut dapat diperoleh
melaluiperpotongan FAR dan FRR. Perpotongan keduanya dikenal dengan
ERR. 8. Jelaskan kenapa perusahaan perlu memebuat data
clasification policy. Jawaban : Sebuah Organisasi mendesain
pengendalian umum untuk memastikan bahwa lingkungan pengendalian
berdasarkan komputer dari organisasi yang stabil dan dikelola
dengan baik.Pengendalian Aplikasi digunakan untuk melindungi,
mendeteksi dan mengkoreksi kesalahan dalam transaksi ketika
mengalir melalui berbagai tahap program pemrosesan data.Informasi
atau data adalah aset bagi perusahaan. Keamanan data secara tidak
langsung dapat memastikan kontinuitas bisnis, mengurangi resiko,
mengoptimalkan return on investment dan mencari kesempatan bisnis.
Semakin banyak informasi perusahaan yangPerbaikan UTS Keamanan
Komputer dan Jarkom Dian Parikesit (1111600092)
disimpan, dikelola dan disharing maka semakin besar pula resiko
terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak
eksternal yang tidak diinginkan. Bagaimana data atau informasi
tersebut dikelola, dipelihara dan diekspose, melatarbelakangi
disusunnya ISO 17799, standar untuk sistem manajemen keamanan
informasi.Keamanan informasi memproteksi informasi dari ancaman
yang luas untuk memastikan kelanjutan usaha, memperkecil rugi
perusahaan dan memaksimalkan laba atas investasi dan kesempatan
usaha. Manajemen sistem informasi memungkinkan data untuk
terdistribusi secara elektronis, sehingga diperlukan sistem untuk
memastikan data telah terkirim dan diterima oleh user yang
benar.
Gambar 2.4 Struktur dari kesepuluh wilayah standar (10 control
clouse)
Aset dan aspek yang dinilai dalam ISO 17799 Information assets
(aset informasi), Software assets (aset perangkat lunak yang
dimiliki), Physical assets (aset fisik) dan Services
(pelayanan).
9. Jelaskan apa yang di maksud dengan serangan social enginering
dan phising. Jawaban Tujuan utama dalam melakukan social
engineering mirip dengan tujuan hacking secara garis besar, yaitu
untuk mendapatkan akses yang seharusnya tidak diperbolehkan ke
dalam suatuPerbaikan UTS Keamanan Komputer dan Jarkom Dian
Parikesit (1111600092)
sistem atau informasi untuk melakukan penipuan, penyusupan,
pengintaian, pencurian identitas, atau untuk menghancurkan suatu
sistem atau jaringan. Biasanya target dari social engineering di
bidang jaringan ini adalah provider telepon, answering machine,
perusahan besar, institusi keuangan, perusahaan pemerintah, dan
rumah sakit. Serangan social engineering dibagi menjadi dua, yaitu
serangan fisik dan psikologis. Pertama kita akan focus pada setting
fisik penyerangan, seperti pada tempat kerja, telepon, tempat
sampah, dan bahkan online. Di dalam tempat kerja, hacker dapat
berjalan ke pintu, seperti pada film, dan berpura-pura menjadi
pekerja maintenance atau konsultan untuk mendapatkan akses ke dalam
perusahaan. Kemudian, penyusup masuk ke dalam kantornya sampai ia
mendapatkan beberapa password yang dapat terlihat dan mencoba masuk
ke dalam jaringannya dengan password-password yang telah ia
dapatkan. Teknik lainnya adalah dengan mendapatkan informasi hanya
dengan berdiri di sana dan menunggu ada karyawan yang tidak sadar
menuliskan passwordnya.Secara statistik, ada 5 (lima) kelompok
individu yang kerap menjadi korban serangan social engineering,
yaitu : 1. Receptionist dan/atau Help Desk sebuah perusahaan,
karena merupakan pintu masuk ke dalam organisasi yang relatif
memiliki data/informasi lengkap mengenai personel yang bekerja
dalam lingkungan dimaksud; 2. Pendukung teknis dari divisi
teknologi informasi khususnya yang melayani pimpinan dan manajemen
perusahaan, karena mereka biasanya memegang kunci akses penting ke
data dan informasi rahasia, berharga, dan strategis; 3.
Administrator sistem dan pengguna komputer, karena mereka memiliki
otoritas untuk mengelola manajemen password dan account semua
pengguna teknologi informasi di perusahaan; 4. Mitra kerja atau
vendor perusahaan yang menjadi target, karena mereka adalah pihak
yang menyediakan berbagai teknologi beserta fitur dan
kapabilitasnya yang dipergunakan oleh segenap manajemen dan
karyawan perusahaan; dan 5. Karyawan baru yang masih belum begitu
paham mengenai prosedur standar keamanan informasi di perusahaan.
Semua hal di atas dapat terjadi karena kelemahan manusianya dan
bukan karena kelemahan sistemnya. Menurut definisi, social
engineering adalah suatu teknik pencurian atau pengambilan data
atau informasi penting/krusial/rahasia dari seseorang dengan cara
menggunakan pendekatan manusiawi melalui mekanisme interaksi
sosial. Atau dengan kata lain social engineering adalah suatu
teknik memperoleh data/informasi rahasia dengan cara
mengeksploitasi kelemahan manusia. Contohnya kelemahan manusia yang
dimaksud misalnya:
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
Rasa Takut jika seorang pegawai atau karyawan dimintai data atau
informasi dari
atasannya, polisi, atau penegak hukum yang lain, biasanya yang
bersangkutan akan langsung memberikan tanpa merasa sungkan; Rasa
Percaya jika seorang individu dimintai data atau informasi dari
teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya
yang bersangkutan akan langsung memberikannya tanpa harus merasa
curiga; dan Rasa Ingin Menolong jika seseorang dimintai data atau
informasi dari orang yang sedang tertimpa musibah, dalam kesedihan
yang mendalam, menjadi korban bencana, atau berada dalam duka,
biasanya yang bersangkutan akan langsung memberikan data atau
informasi yang diinginkan tanpa bertanya lebih dahulu. Secara garis
besar social engineering dapat dilakukan beberapa macam teknik,
seperti :
Pretexting : Pretexting adalah suatu teknik untuk membuat dan
menggunakan skenario yang diciptakan (sebuah dalih) yang melibatkan
korban yang ditargetkan dengan cara meningkatkan kemungkinan korban
membocorkan informasinya. Pretexting bisa disebut sebagai
kebohongan yang terencana dimana telah diadakan riset data
sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan
target bahwa kita adalah pihak yang terautorifikasi. Diversion
Theft : Diversion Theft atau yang sering dikenal dengan Corner Game
adalah pengalihan yang dilakukan oleh professional yang biasanya
dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan
kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan
pengiriman suatu barang ke tempat kita. Phising : Phising adalah
suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya
teknik phising dilakukan melalui email dengan mengirimkan kode
verifikasi bank atau kartu kredit tertentu dan disertai dengan
website palsu yang dibuat sedemikian rupa terlihat legal agar
target dapat memasukkan account-nya. Teknik phising bisa dilakukan
melalui berbagai macam media lain seperti telepon, sms, dsb.
Baiting : Baiting adalah Trojan horse yang diberikan melalui media
elektronik pada target yang mengandalkan rasa ingin tahu target.
Serangan ini dilakukan dengan menginjeksi malware ke dalam flash
disk, atau storage lainnya dan meninggalkannya di tempat umum,
seperti toilet umum, telepon umum, dll dengan harapan target akan
mengambilnya dan menggunakannya pada komputernya. Quid pro pro :
Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon
secara acak kepada suatu perusahaan dan mengaku berasal dari
technical support dan berharap user menelpon balik untuk meminta
bantuan. Kemudian, penyerang akan membantu menyelesaikan masalah
mereka dan secara diam-diam telah memasukkan malware ke dalam
komputer target. Dumpster diving : Dumpster diving adalah
pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang
tidak mengetahui betapa berharganya sampah mereka akanDian
Parikesit (1111600092)
Perbaikan UTS Keamanan Komputer dan Jarkom
menjadi target para hacker. Dari sampah yang dikumpulkan seperti
buku telepon, buku
manual, dan sebagainya akan memberikan hacker akses besar pada
perusahaan tersebut. Persuasion : Persuasion lebih dapat disebut
sebagai teknik psikologis, yaitu memanfaatkan psikologis target
untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode
dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan
berpura-pura sebagai teman lama. Berlaku sebagai User penting
Berlaku sebagai User yang sah Kedok sebagai Mitra Vendor Kedok
sebagai Konsultan Audit Kedok sebagai Penegak Hukum
Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau
piranti elektronik/digital lain sebagai alat bantu, cukup banyak
modus operandi yang sering dipergunakan seperti :
Teknik phising melalui email Strategi ini adalah yang paling
banyak dilakukan di negara berkembang seperti Indonesia. Biasanya
si penjahat menyamar sebagai pegawai atau karyawan sah yang
merepresentasikan bank. Email yang dimaksud berbunyi misalnya
sebagai berikut: Pelanggan Yth. Sehubungan sedang dilakukannya
upgrade sistem teknologi informasi di bank ini, maka agar anda
tetap mendapatkan pelayanan perbankan yang prima, mohon disampaikan
kepada kami nomor rekening, username, dan password anda untuk kami
perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic
mail ini. Terima kasih atas perhatian dan koordinasi anda sebagai
pelanggan setia kami. Wassalam, Manajer Teknologi Informasi
Bagaimana caranya si penjahat tahu alamat email yang bersangkutan?
Banyak cara yang dapat diambil, seperti: melakukan searching di
internet, mendapatkan keterangan dari kartu nama, melihatnya dari
anggota mailing list, dan lain sebagainya.
Teknik phising melalui SMS Pengguna telepon genggam di Indonesia
naik secara pesat. Sudah lebih dari 100 juta nomor terjual pada
akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur
yang ada pada telepon genggam atau sejenisnya untuk melakukan
social engineering seperti yang terlihat pada contoh SMS berikut
ini: Selamat. Anda baru saja memenangkan hadiah sebesar Rp
25,000,000 dari Bank X yang bekerjasama dengan provider
telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai
kemenangan ke rekening bank anda, mohon diinformasikan user name
dan passoword internet bank anda kepada kami. Sekali lagi kami atas
nama Manajemen Bank X mengucapkan selamat atas kemenangan anda
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)
Teknik phising melalui pop up window Ketika seseorang sedang
berselancar di internet, tiba-tiba muncul sebuah pop up window yang
bertuliskan sebagai berikut: Komputer anda telah terjangkiti virus
yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol
BERSIHKAN di bawah ini. Tentu saja para awam tanpa pikir panjang
langsung menekan tombol BERSIHKAN yang akibatnya justru sebaliknya,
dimana penjahat berhasil mengambil alih komputer terkait yang dapat
dimasukkan virus atau program mata-mata lainnya.
10. Jelaskan langkah langkah dalam melakukan analisa kebutuhan
keamanan ( security requerment analisis) dengan menggunakan metode
SQUARE. Jawaban : a. Definisi, pada definisi kita mendeskripsikan
perangkat lunak yang akan di bangun, membuatkan daftar istilah yang
digunakan serta menjelaskan fitur dan technology yang di gunakan.
b. Safety dan Security Goals, melihat dari sudut pandang yang
memiliki system menyebutkan tujuannya apa, serta memaparkan
keamanan sistem yang bisa mendeteksi penginputan data yang benar
atau tidak termaksuk deface oleh hacker. c. Artifacts and
InitialRequirements - use case, membuat diagram use case dan table
- missuse case, membuatmissuse case dan diagram - Attack trees dan
prioritization model , menginisiali requerement yang ada pada
Aplikasi d. Architectural and PolicyRequirements - Mengkategorikan
dan merekomendasikan detail solusi dari hasil analisa aplikasi /
perangkat lunak yang akan di buat serta rencana biaya yang di
butuhkan. - Budgeting dan analisa yaitu menganalisa pembiayaan
maupun kecepatan aplikasi program data yang dijalankan
sistem.Architechture, membuat gambar
Architechture serta Tampilan GUI, Inovatif dan kreatif
Perbaikan UTS Keamanan Komputer dan Jarkom
Dian Parikesit (1111600092)