take home keamanan informasi
KATA PENGANTAR
Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Penyayang, Kami panjatkan puja dan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah, dan inayah-Nya kepada kami, sehingga kami dapat menyelesaikan Makalah Keamanan Informasi
Ucapan terima kasih kami sampaikan kepada dosen pengampu mata kuliah Keamanan Informasi yang telah memberikan pembelajaran kepada kami.
Dan harapan kami semoga makalah ini dapat menambah pengetahuan dan pengalaman bagi para pembaca, Untuk kedepannya dapat memperbaiki bentuk maupun menambah isi makalah agar menjadi lebih baik lagi.
Karena keterbatasan pengetahuan maupun pengalaman kami, Kami yakin masih banyak kekurangan dalam makalah ini, Oleh karena itu kami sangat mengharapkan saran dan kritik yang membangun dari pembaca demi kesempurnaan makalah ini.
kebumen 28 Juni 2019
DAFTAR ISI
Kata Pengantar i
Daftar Isi ii
BAB I PENDAHULUAN 1
1.1 Latar Belakang Masalah 1
1.2 Rumusan Masalah 2
1.3 Tujuan Pembahasan 2
BAB II ISI 3
2.1 Keamanan Informasi 3
2.2 Manfaat Keamanan Informasi 3
2.3 Steganografi 4
A. Sejarah Steganogarfi 4
B. Prinsip Steganografi 5
C. Kriteria Steganografi 5
D. Aspek Steganografi 6
E. Jenis Jenis Steganografi 7
2.4 Malware 8
A. Jenis Jenis Malware 8
2.5 SQL Injection 10
A. Cara Kerja SQL Injection 10
B. Cara Mencegah SQL Injection 11
2.6 Audit Keamanan Informasi 13
A. Tujuan Audit Keamanan Informasi 14
B. Tahapan Audit 14
C. Berbagai Macam Framework Audit IT 14
2.7 Sniffing 15
A. Cara Kerja Sniffing 16
B. Jenis Jenis Sniffing 16
BAB III PENUTUP 18
3.1 Kesimpulan 18
3.2 Saran 18
DAFTAR PUSTAKA 19
BAB I
PENDAHULUAN
Latar Belakang
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah information-based society. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Karena itu, dalam kesempatan kali ini, penulis ingin membahas lebih lanjut tentang keamanan sisem informasi.
Rumusan Masalah
Apa pengertian keamanan infornasi?
Apa saja manfaat keamanan informasi?
Apa saja jenis keamanan informasi?
1.3 Tujuan Pembahasan
Untuk mengetahui pengertian keamanan infornasi
Untuk mengetahui manfaat keamanan informasi
Untuk mengetahui jenis keamanan informasi?
BAB II
ISI
Keamanan Informasi
Keamanan Informasi adalah sebuah sistem yang digunakan untuk mengamankan sebuah komputer dari gangguan dan segala ancaman yang membahayakan yang pada hal ini keamanannya melingkupi keamanan data atau informasinya ataupun pelaku sistem (user). Baik terhindar dari ancaman dari luar, virus. Spyware, tangan-tangan jahil pengguna lainnya dll. Sistem komputer memiliki data-data dan informasi yang berharga, melindungi data-data ini dari pihak-pihak yang tidak berhak merupakan hal penting bagi sistem operasi. Inilah yang disebut keamanan (security).
2.2 Manfaat Keamanan Informasi
Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku, sumberdaya manusia, maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang terintegrasi agar lebih effisien dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan bertujuan untuk mencapai tiga manfaat utama: kerahasiaan, ketersediaaan, dan integrasi.
1. Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas.
2. Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya.
3. Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili.
2.3 Steganografi
Steganografi adalah ilmu atau seni menyembunyikan (embedded) informasi dengan cara menyisipkan pesan rahasian di dalam pesan lain. Pengertian lain dari steganografi adalah ilmu, teknik atau seni menyembunyikan pesan rahasia (hidding message) atau tulisan rahasia (covered writing), menjadikan pesan tersebut tidak terbaca orang lain kecuali pengirim dan penerima pesan tersebut. Steganografi awalnya dari bahasa Yunani yakni steganos yang artinya tersembunyi/menyembunyikan dan graphy yang artinya tulisan yang secara lengkap memiliki arti tulisan yang disembunyikan.
Sejarah Steganografi
Dalam buku Histories of Herodatus Steganografi dengan media kepala budah (dikisahkan oleh Herodatus, penguasa Yunani di tahun 440 BC. Yaitu dengan cara kepala budak dibotaki, ditulisi pesan, rambut budak dibiarkan tumbuh, budak dikirim. Ditempat penerima kepala budak digunduli supaya pesan dapat terbaca.
(Gambar 1.1 : Sejarah Steganografi)
Pemakaian tinta tak-tampak (invisible ink), tinta dibuat dari campuraan sari buah, susu dan cuka. Tulisan diatas kertas bisa dibaca dengan memanaskan kertas tersebut.
Prinsip Steganografi
Cara kerja atau prinsip dari steganografi adalah, untuk menyisipkan suatu pesan atau data yang ingin disembunyikan harus menggunakan dua unsur. Unsur pertama adalah media penampung seperti citra, suara, video, dan lain sebagainya yang tidak membuat curiga untuk menyiman pesan rahasia.
Kriteria Steganografi
Disembunyikannya data rahasia dalam alat atau media digital merubah kualitas media tersebut, kriteria yang harus menjadi perhatian ketika menyembunyikan data antara lain adalah sebagai berikut:
Fidelity
Mutu citra penampung tidak jauh berubah, sesudah ditambahkan data rahasia, citra hasil steganografi masih dapat dilihat dengan baik. Pengamat tidak mengetahui jika didalam citra tersebut ada data rahasia.
Robustness
Data yang disembunyikan harus bisa bertaham terhadap manipulasi yang dilakukan pada citra penampung seperti diubahnya kontras, penajaman, penempatan, penambahan noise, perbesaran gambar, pemotongan (cropping), enskripsi dan sebagainya jika pada citra dijalankan operasi pengolahan citra maka data yang tersebunyi didalamnya tidak rusak.
Recovery
Data yang sudah tersembunyi dalam steganografi harus bisa diungkapkan kembali (recovery) karena ini bertujuan bahwa steganografi merupakan data hidding maka sewaktu-waktu data rahasia didalam citra penampung harus bisa diangkat kembali untuk dipakai secara berkelanjutan.
Aspek Staganografi
Suatu steganografi mempunyai tiga aspek yang bisa menjadi penentu berhasil atau tidaknya atau baik-tidaknya suatu steganografi dalam menjalankan tugasnya (Ermadi dkk, 2004) yakni:
Kapasitas (capacity)
Kapasitas mengarah kepada jumlah informasi yang dapat disembunyikan dalam medium cover. Keamanan merupakan ketidakmampuan pengamat dalam mendeteksi pesan yang disembunyikan dan ketahanan adalah jumlah modifikasi medium stego yang dapat bertahan sebelum musuh merusak pesan rahasia yang disembunyikan dalam steganografi.
Keamanan (security)
Keamanan dalam sistem steganografi klasik menggambarkan rahasia sistem encodding-nya. Teori informasi sangat mungkin untuk lebih spesifik daripada apa yang dimaksudkan dengan suatu sistem yang benar-benar aman.
Ketahanan (robustness)
Ketahanan mengarah kepada data citra penampang (seperti dirubahnya kontras, penajaman, rotasi, perbesaran gambar, pemotongan dan sebagainya). Jika pada citra dijalankan operasi pengolahan citra, maka data yang tersembunyi tidak mengalami kerusakan.
Jenis-Jenis Teknik Steganografi
Menurut teknik steganografi yang dipakai, ada tujuh jenis teknik steganografi antara lain sebagai berikut:
Injection
Sebuah teknik penanaman pesan rahasian dengan langsung ke dalam sebuah media.
Subtitusi
Data normal yang diganti dengan data rahasia. Seringkali hasil dari teknik ini tidak begitu merubah ukuran data asli, namun tergantung dari file media yan data yang ingin disembunyikan.
Transformasi Domain
Teknik yang sangat efektif. Pada dasarnya, transformasi domain membuat data tersembunyi dalam transforspace.
Spread Spectrum
Teknik pentransmisi memakai pseudo-noise code, yang independen pada data informasi sebagai modulator berupa gelombang dalam penyebaran energi sinyal dalam suatu jalur komunikasi (bandwith) yang lebih besar daripada sinyal jalur komunikasi informasi.Statistical Method
Teknik yang disebut juga skema steganographic 1 bit. Skema itu menanamkan satu bit informasi di media tumpangan dan merubah statistik meskipun hanya 1 bity.
Distortion
Metode ini membuat perubahan terhadap benda yang ditumpangi oleh data rahasia.
Cover Generation
Metode yang unik dibanding dengan metode lainnya sebab cover object dipilih untuk membuat pesan tersembunyi.
2.4 Malware
Malware adalah singkatan dari malicious software. Malware adalah sebuah software yang dirancang dengan tujuan untuk membahayakan, menyusup, atau merusak sebuah komputer. Malware juga biasa didefinisikan sebagai kode berbahaya.
Jenis Jenis Malware
(Gambar 1.2 : Jenis Jenis Malware)
VIRUS
Virus sudah ada sejak lama. John von Neumann adalah orang pertama yang melakukan penelitian akademik mengenai teori replikasi diri program komputer pada tahun 1949. Contoh pertama virus, atau apa yang bisa diklasifikasikan sebagai virus, sudah dideteksi sejak tahun 70-an.
Karakteristik utama yang dimiliki sebuah software untuk memenuhi syarat sebagai virus adalah software yang mendorong untuk mereproduksi program di dalamanya. Ini berarti jenis malware ini akan mendistribusikan salinan programnya sendiri dengan cara apapun untuk menyebar. Ciri lain yang umum terjadi adalah mereka selalu tersembunyi di dalam sistem sehingga sulit untuk mendeteksi eksistensinya tanpa program keamanan khusus yang disebut antivirus.
WORMS
Worm adalah sebuah software mandiri yang bereplikasi tanpa menargetkan dan menginfeksi file tertentu yang sudah ada di komputer. Worms adalah sebuah program kecil yang mereplikasikan diri di dalam komputer untuk menghancurkan data-data yang ada di dalamnya. Mereka biasanya menargetkan file sistem operasi dan bekerja sampai drive mereka menjadi kosong.
Yang membedakan worms dari virus adalah cara kerjanya. Virus memasukkan diri mereka ke dalam file yang sudah ada sementara worms hanya masuk ke dalam komputernya.
Worms biasa muncul melalui email dan instant messages, dan mereka membatasi aktivitasnya dengan apa yang dapat mereka capai di dalam aplikasi yang membantu mereka bergerak. Mereka menggunakan jaringan komputer untuk menyebar, bergantung pada kegagalan keamanan di komputer target untuk mengaksesnya, dan menghapus data.
TROJAN HORSES
Trojan adalah sebuah program jahat yang menyamar menjadi sebuah program yang berguna bagi komputer Anda.Trojan disebarkan dengan menyamar menjadi software rutin yang membujuk user untuk menginstal program tersebut di PC mereka. Istilah ini sendiri berasal dari cerita Yunani kuno tentang sebuah kuda kayu yang digunakan untuk menyerang kota Troy secara diam-diam. Trojan horses di komputer juga menggunakan cara yang sama untuk menyerang komputer Anda
2.5 SQL Injection
SQL injection atau biasa yang dikenal dengan sebutan SQLi adalah suatu teknik penyerangan web dengan menggunakan kode SQL (Structured Query Language) yang berbahaya untuk memanipulasi database. Tindakan ini termasuk kedalam kategori hacking, dimana penyerang akan mencari celah keamanan dari suatu website.
Sebagai contoh sederhana, biasanya pengguna diminta untuk memasukkan username dan password yang hanya dapat berupa karakter angka dan huruf. Sedangkan user memasukkan karakter lain, seperti petik tunggal (), strip (-) atau tanda (=). Karakter-karakter tersebut merupakan bagian dari perintah umum yang digunakan untuk dapat berinteraksi dengan database. Keadaan itulah yang dimanfaatkan oleh penyerang untuk dapat mengakses informasi yang tersimpan didalam database.
Cara Kerja SQL Injection
(Gambar 1.3 : Cara Kerja SQL Injection)
Pada dasarnya, proses login sering diterapkan untuk meningkatkan keamanan (security) dari sistem tersebut sehingga pengguna yang tidak terdaftar dalam database tidak dapat masuk ke sistem itu. Akan tetapi, SQL injection ini dapat merusak keamanan yang telah dirancang sedemikian rupa. Misalnya, terdapat pengguna yang memiliki username Hakim dan password adaaja. Jika pengguna melakukan inputan sesuai data tersebut, maka tidak akan menjadi masalah pada sistem database karena memang data itu yang tersimpan didalamnya. Kode SQL dapat dilihat berikut ini. Akan tetapi, jika pengguna membuat username menjadi Hakim # maka karakter # akan menyebabkan karakter selanjutnya tidak dianggap sebagai kode SQL. Akibatnya, maka username Hakim dapat tetap input ke sistem tanpa harus mengetahui password tersebut. Atau cara kerja SQL injection berikutnya adalah dengan mengganti password menjadi kode SQL, yaitu password = OR 1=1. Yang terjadi adalah pengguna Hakim tetap berhasil login ke sistem karena inputan password tersebut merupakan kodel SQL yang menandakan bahwa proses login berhasil.
Cara Mencegah SQL Injection
Menggunakan Parameterized Query
Menggunakan parameterized query atau prepared statement merupakan cara yang lebih sederhana dan mudah dilakukan. Parameterized akan mendefinisikan seluruh kode SQL sebelum mengirimkannya ke lapisan query.
Database akan mampu mengenali mana input yang dimasukkan oleh pengguna, apakah termasuk kategori kode SQL atau data pengguna. Dengan begitu, para attacker tidak bisa mengubah isi query, walaupun telah memasukkan kode SQL saat melakukan input.
Melakukan Validasi Input Pengguna
Selanjutnya, Anda dapat melakukan validasi input pengguna untuk mencegah terjadinya SQL injection. Yaitu Anda filter semua input yang dilakukan pengguna, seperti jenis, panjang, format dan sebagainya. Dengan begitu, hanya inputan yang lulus vaidasi yang diproses oleh database.
Memberikan Batasan Hak Akses
Memberikan batasan hak akses untuk membatasi kerusakan yang terjadi akibat SQL injection. Jangan sesekali Anda login ke database menggunakan akses admin sebagai root. Namun, Anda dapat menggunakan akses istimewa yang telah ditentukan untuk membatasi ruang lingkup sistem.
Menyembunyikan Pesan Error
Biasanya, terdapat pesan error yang muncul dari database ketika pegguna melakukan inputan yang salah. Untuk menghindari terjadinya SQL injection ini, Anda diminta untuk menyembunyikan atau bahkan mematikan pesan error agar pengguna tidak terus mempelaari arsitektur database yang digunakan.
Sebab, bisa saja pengguna tersebut merupakan penyerang sistem Anda. Jika ingin menampilkan pesan, maka tampilkan pesan yang menyatakan bahwa sebaiknya pengguna menghubungi dukungan teknis untuk mengatasi masalah tersebut.
Memberikan Enkripsi Database
Anda dapat menyimpan data yang bersifat credential secara terpisah untuk menyulitkan penyerang dalam melakukan SQL injection, bahkan Anda dapat memberikan enkripsi untuk lebih mengamankan data tersebut.
Mengunci Database
Sebaiknya, SQL query tidak dapat diakses melalui halaman pengguna (website). Anda dapat memberikan batasan bahwa tidak semua pengguna dapat melakukan akses ke suatu tabel tertentu, yaitu dengan mengunci tabel yang sangat vital.
Itulah beberapa cara pencegahan yang bisa Anda lakukan agar terhindar dari serangan SQL injection. Selain itu, pastikan juga bahwa website yang Anda bangun telah lulus SQL injection vulnerability test. Semoga artikel diatas bermanfaat bagi Anda dan dapat membantu Anda untuk lebih menjaga privasi pengguna yang mengunjungi website Anda.
2.6 Audit Keamanan Informasi
Audit keamanan harus dilakukan secara periodik untuk memastikan kesesuaian atau kepatuhan pada kebijakkan, bakuan, pedoman, dan prosedur dan untuk menentukan suatu kendali minimum yang diperlukan untuk mengurangi resiko pada level yang dapat diterima. Sebagai catatan, audit keamanan hanya memberikan snapshot dari kelemahan yang diungkapkan pada titik waktu tertentu.
Terdapat situasi yang berbeda ketika harus melakukan audit keamanan. Waktu yang pasti tergantung kebutuhan dan sumber daya sistem yang dimiliki.
Instalasi Baru
Audit yang dilakukan pertama kali setelah implementasi, dalam rangka memastikan konformasi pada kebijakkan dan petunjuk yang ada serta memenuhi bakuan konfigurasi
Audit Regular.
Audit yang dilakukan secara periodik baik manual maupun otomatis dengan menggunakan perangkat dalam rangka mendeteksi lubang (loopholes) atau kelemahan, yang paling tidak dilakukan sekali dalam setahun
Audit Acak
Audit ini dilakukan dengan melakukan pemeriksaan acak dalam rangka merefleksikan dengan praktik sesungguhnya
Audit Di Luar Jam Kerja
Audit ini dilakukan untuk mereduksi resiko pengauditan dengan melakukannya di luar jam kerja, biasanya pada malam hari.
Tujuan Audit Keamanan Informasi
Memeriksa kesesuaian dari mulai kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada
Mengidentifikasi kekurangan dan memeriksa efektifitas dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada
Mengidentifikasi dan memahami kelemahan (vulnerability) yang ada
Mengkaji kendala keamanan yang ada terhadap permasalahan operasional, administrasi, dan manajerial
Memberikan rekomendasi dan aksi perbaikan/koreksi untuk peningkatan
Tahapan Audit
Secara umum, tahapan audit dibagi menjadi bagian berikut ini:
Perencanaan
Pengumpulan data audit
Pengujian audit
Pelaporan hasil audit
Perlindungan atas data dan perangkat audit
Penambahan dan tindak lanjut
Berbagai Macam Framework Audit IT
ITIL (Information Technology Infrastructure Library)
Seperangkat Praktek Untuk Manajemen Layanan It Yang Berfokus Pada Menyelaraskan Layanan It Dengan Kebutuhan Bisnis. Itil Menggambarkan Proses, Prosedur, Tugas Dan Daftar Periksa Yang Dapat Diterapkan Oleh Sebuah Organisasi Untuk Membangun Integrasi Dengan Strategi Organisasi, Memberikan Nilai, Dan Mempertahankan Tingkat Minimum Kompetensi. Hal Ini Memungkinkan Organisasi Untuk Menetapkan Data Dasar Yang Dapat Merencanakan, Melaksanakan, Dan Mengukur. Hal Ini Digunakan Untuk Menunjukkan Kepatuhan Dan Untuk Mengukur Peningkatan.
COBIT (Control Objectives For Information And Related Technology)
Suatu panduan standar praktik manajemen teknologi informasi. Standar cobit dikeluarkan oleh it governance institute yang merupakan bagian dari isaca. Cobit 4.1 merupakan versi terbaru. Cobit memiliki 4 cakupan domain, yaitu : perencanaan dan organisasi (plan and organise), pengadaan dan implementasi (acquire and implement), pengantaran dan dukungan (deliver and support), pengawasan dan evaluasi (monitor and evaluate). Maksud utama cobit ialah menyediakan kebijakan yang jelas dan good practice untuk it governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan it. Cobit menyediakan kerangka it governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
ISO
Suatu framework yang mengatur dan mengembangkan lebih dari 16.000 standar internasional untuk para stakeholder seperti kepentingan industri dan asosiasi perdagangan, ilmu pengetahuan dan akademisi, pemerintah dan regulator, kelompok kepentingan sosial dan lainnya. Iso seri 9000 berfokus pada sistem manajemen mutu, termasuk memastikan kontrol di tempat untuk mematuhi persyaratan peraturan yang berlaku. Iso 14000 berfokus pada sistem manajemen lingkungan, termasuk menyalahi peraturan lingkungan yang berlaku. Iso 27000 berfokus pada sistem manajemen keamanan informasi.
2.7 Sniffing
Sniffing adalah proses monitoring dan capturing semua paket yang melewati jaringan tertentu dengan menggunakan alat sniffing. Sniffing adalah bentuk "penyadapan kabel telepon" dan untuk mengetahui percakapanya. Penyadapan seperti ini juga diterapkan pada jaringan komputer.
Cara Kerja Sniffing
(Gambar 1.4 : Cara Kerja Sniffing)
Seorang Sniffer, atau orang yang melakukan sniffing biasanya mengubah NIC sistem ke mode promiscous, sehingga bisa listen semua data yang dikirimkan pada tiap segmennya.
Mode promiscuous mengacu pada cara unik Ethernet, khususnya network interface cards (NICs), yang memungkinkan NIC menerima semua lalu lintas di jaringan, meskipun tidak ditujukan ke NIC. Secara default, NIC mengabaikan semua lalu lintas yang tidak ditujukan kepadanya, yang dilakukan dengan membandingkan alamat tujuan dari paket Ethernet dengan alamat perangkat keras (a.k.a. MAC) device. Meskipun sangat masuk akal untuk networking, non-promiscuous menyulitkan penggunaan software network monitoring dan analysis untuk mendiagnosis masalah konektivitas atau penghitungan lalu lintas.
Jenis Jenis Sniffing
Sniffing Pasif
Dalam Sniffing Pasif, lalu lintas terkunci tapi tidak diubah dengan cara apapun. Sniffing Pasif hanya bisa listening. Passive Sniffing bekerja pada perangkat hub. Pada perangkat hub, lalu lintas dikirim ke semua port. Dalam jaringan yang menggunakan hub untuk menghubungkan sistem, semua host di jaringan dapat melihat lalu lintas. Karena itu, penyerang bisa dengan mudah menangkap lalu lintas yang lewat.
Sniffing Aktif
Dalam Sniffing Aktif, lalu lintas tidak hanya dikunci dan dipantau, tapi juga bisa diubah dengan cara yang ditentukan oleh serangan tersebut. Sniffing aktif digunakan untuk sniffing jaringan berbasis switch. Sniffing aktif melakukan injecting address resolution packets (ARP) ke dalam jaringan target untuk flooding tabel switch content addressable memory (CAM). CAM melacak host mana yang terhubung ke port mana.
Teknik dalam Sniffing Aktif antara lain:
MAC Flooding
DHCP Attacks
DNS Poisoning
Spoofing Attacks
ARP Poisoning
BAB III
PENUTUP
Kesimpulan
Dapat disimpulkan bahwa Keamanan Informasi digunakakn untuk perlindungan baik peralatan computer dan non computer, fasilitas data dan informasi dari penyalahgunaan pihak piha yang tidak berwenang. Keamanan informasi merupakan suatu isu yang sangat penting, baik itu keamanan fisik, keamanan data maupun keamanan aplikasi Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu: kerahasian, ketersediaan, dan integritas.
Dengan disusunya Makalah ini semoga dapat memberikan gambaran gambaran Sistem Keamanan Komputer dan dapat meminimalisir terjadinya gangguan pada system yang kita miliki serta sebagai referensoi kita untuk masa yang akan datang yang semakin maju dan berkembang.
3.2 Saran
Untuk menyempurnakan makalah ini, penulis mengharapkan kritik dan saran dari pembaca atau pihak yang menggunakan makalah ini. dengan senang hati kritik dan saran dan pandangan dari berbagai pihak untuk menyempurnakan makalah ini. Atas perhatiannya kami ucapkan terima kasih.
DAFTAR PUSTAKA
Virus dan Malware
https://www.dewaweb.com/blog/pengertian-malware-pentingnya-dewaguard/
SQL Injection
https://www.nesabamedia.com/pengertian-sql-injection/
Audit Keamanan Informasi
File:///D:/A%20m%20i%20r/Keamanan%20informasi/Materi/Audit%20keamanan%20informasi.Pdf
Sniffing
http://www.sistem-informasi.xyz/2017/12/pengertian-sniffing-jaringan-komputer.html
Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Penyayang, Kami panjatkan puja dan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah, dan inayah-Nya kepada kami, sehingga kami dapat menyelesaikan Makalah Keamanan Informasi
Ucapan terima kasih kami sampaikan kepada dosen pengampu mata kuliah Keamanan Informasi yang telah memberikan pembelajaran kepada kami.
Dan harapan kami semoga makalah ini dapat menambah pengetahuan dan pengalaman bagi para pembaca, Untuk kedepannya dapat memperbaiki bentuk maupun menambah isi makalah agar menjadi lebih baik lagi.
Karena keterbatasan pengetahuan maupun pengalaman kami, Kami yakin masih banyak kekurangan dalam makalah ini, Oleh karena itu kami sangat mengharapkan saran dan kritik yang membangun dari pembaca demi kesempurnaan makalah ini.
kebumen 28 Juni 2019
DAFTAR ISI
Kata Pengantar i
Daftar Isi ii
BAB I PENDAHULUAN 1
1.1 Latar Belakang Masalah 1
1.2 Rumusan Masalah 2
1.3 Tujuan Pembahasan 2
BAB II ISI 3
2.1 Keamanan Informasi 3
2.2 Manfaat Keamanan Informasi 3
2.3 Steganografi 4
A. Sejarah Steganogarfi 4
B. Prinsip Steganografi 5
C. Kriteria Steganografi 5
D. Aspek Steganografi 6
E. Jenis Jenis Steganografi 7
2.4 Malware 8
A. Jenis Jenis Malware 8
2.5 SQL Injection 10
A. Cara Kerja SQL Injection 10
B. Cara Mencegah SQL Injection 11
2.6 Audit Keamanan Informasi 13
A. Tujuan Audit Keamanan Informasi 14
B. Tahapan Audit 14
C. Berbagai Macam Framework Audit IT 14
2.7 Sniffing 15
A. Cara Kerja Sniffing 16
B. Jenis Jenis Sniffing 16
BAB III PENUTUP 18
3.1 Kesimpulan 18
3.2 Saran 18
DAFTAR PUSTAKA 19
BAB I
PENDAHULUAN
Latar Belakang
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah information-based society. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Karena itu, dalam kesempatan kali ini, penulis ingin membahas lebih lanjut tentang keamanan sisem informasi.
Rumusan Masalah
Apa pengertian keamanan infornasi?
Apa saja manfaat keamanan informasi?
Apa saja jenis keamanan informasi?
1.3 Tujuan Pembahasan
Untuk mengetahui pengertian keamanan infornasi
Untuk mengetahui manfaat keamanan informasi
Untuk mengetahui jenis keamanan informasi?
BAB II
ISI
Keamanan Informasi
Keamanan Informasi adalah sebuah sistem yang digunakan untuk mengamankan sebuah komputer dari gangguan dan segala ancaman yang membahayakan yang pada hal ini keamanannya melingkupi keamanan data atau informasinya ataupun pelaku sistem (user). Baik terhindar dari ancaman dari luar, virus. Spyware, tangan-tangan jahil pengguna lainnya dll. Sistem komputer memiliki data-data dan informasi yang berharga, melindungi data-data ini dari pihak-pihak yang tidak berhak merupakan hal penting bagi sistem operasi. Inilah yang disebut keamanan (security).
2.2 Manfaat Keamanan Informasi
Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku, sumberdaya manusia, maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang terintegrasi agar lebih effisien dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan bertujuan untuk mencapai tiga manfaat utama: kerahasiaan, ketersediaaan, dan integrasi.
1. Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas.
2. Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya.
3. Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili.
2.3 Steganografi
Steganografi adalah ilmu atau seni menyembunyikan (embedded) informasi dengan cara menyisipkan pesan rahasian di dalam pesan lain. Pengertian lain dari steganografi adalah ilmu, teknik atau seni menyembunyikan pesan rahasia (hidding message) atau tulisan rahasia (covered writing), menjadikan pesan tersebut tidak terbaca orang lain kecuali pengirim dan penerima pesan tersebut. Steganografi awalnya dari bahasa Yunani yakni steganos yang artinya tersembunyi/menyembunyikan dan graphy yang artinya tulisan yang secara lengkap memiliki arti tulisan yang disembunyikan.
Sejarah Steganografi
Dalam buku Histories of Herodatus Steganografi dengan media kepala budah (dikisahkan oleh Herodatus, penguasa Yunani di tahun 440 BC. Yaitu dengan cara kepala budak dibotaki, ditulisi pesan, rambut budak dibiarkan tumbuh, budak dikirim. Ditempat penerima kepala budak digunduli supaya pesan dapat terbaca.
(Gambar 1.1 : Sejarah Steganografi)
Pemakaian tinta tak-tampak (invisible ink), tinta dibuat dari campuraan sari buah, susu dan cuka. Tulisan diatas kertas bisa dibaca dengan memanaskan kertas tersebut.
Prinsip Steganografi
Cara kerja atau prinsip dari steganografi adalah, untuk menyisipkan suatu pesan atau data yang ingin disembunyikan harus menggunakan dua unsur. Unsur pertama adalah media penampung seperti citra, suara, video, dan lain sebagainya yang tidak membuat curiga untuk menyiman pesan rahasia.
Kriteria Steganografi
Disembunyikannya data rahasia dalam alat atau media digital merubah kualitas media tersebut, kriteria yang harus menjadi perhatian ketika menyembunyikan data antara lain adalah sebagai berikut:
Fidelity
Mutu citra penampung tidak jauh berubah, sesudah ditambahkan data rahasia, citra hasil steganografi masih dapat dilihat dengan baik. Pengamat tidak mengetahui jika didalam citra tersebut ada data rahasia.
Robustness
Data yang disembunyikan harus bisa bertaham terhadap manipulasi yang dilakukan pada citra penampung seperti diubahnya kontras, penajaman, penempatan, penambahan noise, perbesaran gambar, pemotongan (cropping), enskripsi dan sebagainya jika pada citra dijalankan operasi pengolahan citra maka data yang tersebunyi didalamnya tidak rusak.
Recovery
Data yang sudah tersembunyi dalam steganografi harus bisa diungkapkan kembali (recovery) karena ini bertujuan bahwa steganografi merupakan data hidding maka sewaktu-waktu data rahasia didalam citra penampung harus bisa diangkat kembali untuk dipakai secara berkelanjutan.
Aspek Staganografi
Suatu steganografi mempunyai tiga aspek yang bisa menjadi penentu berhasil atau tidaknya atau baik-tidaknya suatu steganografi dalam menjalankan tugasnya (Ermadi dkk, 2004) yakni:
Kapasitas (capacity)
Kapasitas mengarah kepada jumlah informasi yang dapat disembunyikan dalam medium cover. Keamanan merupakan ketidakmampuan pengamat dalam mendeteksi pesan yang disembunyikan dan ketahanan adalah jumlah modifikasi medium stego yang dapat bertahan sebelum musuh merusak pesan rahasia yang disembunyikan dalam steganografi.
Keamanan (security)
Keamanan dalam sistem steganografi klasik menggambarkan rahasia sistem encodding-nya. Teori informasi sangat mungkin untuk lebih spesifik daripada apa yang dimaksudkan dengan suatu sistem yang benar-benar aman.
Ketahanan (robustness)
Ketahanan mengarah kepada data citra penampang (seperti dirubahnya kontras, penajaman, rotasi, perbesaran gambar, pemotongan dan sebagainya). Jika pada citra dijalankan operasi pengolahan citra, maka data yang tersembunyi tidak mengalami kerusakan.
Jenis-Jenis Teknik Steganografi
Menurut teknik steganografi yang dipakai, ada tujuh jenis teknik steganografi antara lain sebagai berikut:
Injection
Sebuah teknik penanaman pesan rahasian dengan langsung ke dalam sebuah media.
Subtitusi
Data normal yang diganti dengan data rahasia. Seringkali hasil dari teknik ini tidak begitu merubah ukuran data asli, namun tergantung dari file media yan data yang ingin disembunyikan.
Transformasi Domain
Teknik yang sangat efektif. Pada dasarnya, transformasi domain membuat data tersembunyi dalam transforspace.
Spread Spectrum
Teknik pentransmisi memakai pseudo-noise code, yang independen pada data informasi sebagai modulator berupa gelombang dalam penyebaran energi sinyal dalam suatu jalur komunikasi (bandwith) yang lebih besar daripada sinyal jalur komunikasi informasi.Statistical Method
Teknik yang disebut juga skema steganographic 1 bit. Skema itu menanamkan satu bit informasi di media tumpangan dan merubah statistik meskipun hanya 1 bity.
Distortion
Metode ini membuat perubahan terhadap benda yang ditumpangi oleh data rahasia.
Cover Generation
Metode yang unik dibanding dengan metode lainnya sebab cover object dipilih untuk membuat pesan tersembunyi.
2.4 Malware
Malware adalah singkatan dari malicious software. Malware adalah sebuah software yang dirancang dengan tujuan untuk membahayakan, menyusup, atau merusak sebuah komputer. Malware juga biasa didefinisikan sebagai kode berbahaya.
Jenis Jenis Malware
(Gambar 1.2 : Jenis Jenis Malware)
VIRUS
Virus sudah ada sejak lama. John von Neumann adalah orang pertama yang melakukan penelitian akademik mengenai teori replikasi diri program komputer pada tahun 1949. Contoh pertama virus, atau apa yang bisa diklasifikasikan sebagai virus, sudah dideteksi sejak tahun 70-an.
Karakteristik utama yang dimiliki sebuah software untuk memenuhi syarat sebagai virus adalah software yang mendorong untuk mereproduksi program di dalamanya. Ini berarti jenis malware ini akan mendistribusikan salinan programnya sendiri dengan cara apapun untuk menyebar. Ciri lain yang umum terjadi adalah mereka selalu tersembunyi di dalam sistem sehingga sulit untuk mendeteksi eksistensinya tanpa program keamanan khusus yang disebut antivirus.
WORMS
Worm adalah sebuah software mandiri yang bereplikasi tanpa menargetkan dan menginfeksi file tertentu yang sudah ada di komputer. Worms adalah sebuah program kecil yang mereplikasikan diri di dalam komputer untuk menghancurkan data-data yang ada di dalamnya. Mereka biasanya menargetkan file sistem operasi dan bekerja sampai drive mereka menjadi kosong.
Yang membedakan worms dari virus adalah cara kerjanya. Virus memasukkan diri mereka ke dalam file yang sudah ada sementara worms hanya masuk ke dalam komputernya.
Worms biasa muncul melalui email dan instant messages, dan mereka membatasi aktivitasnya dengan apa yang dapat mereka capai di dalam aplikasi yang membantu mereka bergerak. Mereka menggunakan jaringan komputer untuk menyebar, bergantung pada kegagalan keamanan di komputer target untuk mengaksesnya, dan menghapus data.
TROJAN HORSES
Trojan adalah sebuah program jahat yang menyamar menjadi sebuah program yang berguna bagi komputer Anda.Trojan disebarkan dengan menyamar menjadi software rutin yang membujuk user untuk menginstal program tersebut di PC mereka. Istilah ini sendiri berasal dari cerita Yunani kuno tentang sebuah kuda kayu yang digunakan untuk menyerang kota Troy secara diam-diam. Trojan horses di komputer juga menggunakan cara yang sama untuk menyerang komputer Anda
2.5 SQL Injection
SQL injection atau biasa yang dikenal dengan sebutan SQLi adalah suatu teknik penyerangan web dengan menggunakan kode SQL (Structured Query Language) yang berbahaya untuk memanipulasi database. Tindakan ini termasuk kedalam kategori hacking, dimana penyerang akan mencari celah keamanan dari suatu website.
Sebagai contoh sederhana, biasanya pengguna diminta untuk memasukkan username dan password yang hanya dapat berupa karakter angka dan huruf. Sedangkan user memasukkan karakter lain, seperti petik tunggal (), strip (-) atau tanda (=). Karakter-karakter tersebut merupakan bagian dari perintah umum yang digunakan untuk dapat berinteraksi dengan database. Keadaan itulah yang dimanfaatkan oleh penyerang untuk dapat mengakses informasi yang tersimpan didalam database.
Cara Kerja SQL Injection
(Gambar 1.3 : Cara Kerja SQL Injection)
Pada dasarnya, proses login sering diterapkan untuk meningkatkan keamanan (security) dari sistem tersebut sehingga pengguna yang tidak terdaftar dalam database tidak dapat masuk ke sistem itu. Akan tetapi, SQL injection ini dapat merusak keamanan yang telah dirancang sedemikian rupa. Misalnya, terdapat pengguna yang memiliki username Hakim dan password adaaja. Jika pengguna melakukan inputan sesuai data tersebut, maka tidak akan menjadi masalah pada sistem database karena memang data itu yang tersimpan didalamnya. Kode SQL dapat dilihat berikut ini. Akan tetapi, jika pengguna membuat username menjadi Hakim # maka karakter # akan menyebabkan karakter selanjutnya tidak dianggap sebagai kode SQL. Akibatnya, maka username Hakim dapat tetap input ke sistem tanpa harus mengetahui password tersebut. Atau cara kerja SQL injection berikutnya adalah dengan mengganti password menjadi kode SQL, yaitu password = OR 1=1. Yang terjadi adalah pengguna Hakim tetap berhasil login ke sistem karena inputan password tersebut merupakan kodel SQL yang menandakan bahwa proses login berhasil.
Cara Mencegah SQL Injection
Menggunakan Parameterized Query
Menggunakan parameterized query atau prepared statement merupakan cara yang lebih sederhana dan mudah dilakukan. Parameterized akan mendefinisikan seluruh kode SQL sebelum mengirimkannya ke lapisan query.
Database akan mampu mengenali mana input yang dimasukkan oleh pengguna, apakah termasuk kategori kode SQL atau data pengguna. Dengan begitu, para attacker tidak bisa mengubah isi query, walaupun telah memasukkan kode SQL saat melakukan input.
Melakukan Validasi Input Pengguna
Selanjutnya, Anda dapat melakukan validasi input pengguna untuk mencegah terjadinya SQL injection. Yaitu Anda filter semua input yang dilakukan pengguna, seperti jenis, panjang, format dan sebagainya. Dengan begitu, hanya inputan yang lulus vaidasi yang diproses oleh database.
Memberikan Batasan Hak Akses
Memberikan batasan hak akses untuk membatasi kerusakan yang terjadi akibat SQL injection. Jangan sesekali Anda login ke database menggunakan akses admin sebagai root. Namun, Anda dapat menggunakan akses istimewa yang telah ditentukan untuk membatasi ruang lingkup sistem.
Menyembunyikan Pesan Error
Biasanya, terdapat pesan error yang muncul dari database ketika pegguna melakukan inputan yang salah. Untuk menghindari terjadinya SQL injection ini, Anda diminta untuk menyembunyikan atau bahkan mematikan pesan error agar pengguna tidak terus mempelaari arsitektur database yang digunakan.
Sebab, bisa saja pengguna tersebut merupakan penyerang sistem Anda. Jika ingin menampilkan pesan, maka tampilkan pesan yang menyatakan bahwa sebaiknya pengguna menghubungi dukungan teknis untuk mengatasi masalah tersebut.
Memberikan Enkripsi Database
Anda dapat menyimpan data yang bersifat credential secara terpisah untuk menyulitkan penyerang dalam melakukan SQL injection, bahkan Anda dapat memberikan enkripsi untuk lebih mengamankan data tersebut.
Mengunci Database
Sebaiknya, SQL query tidak dapat diakses melalui halaman pengguna (website). Anda dapat memberikan batasan bahwa tidak semua pengguna dapat melakukan akses ke suatu tabel tertentu, yaitu dengan mengunci tabel yang sangat vital.
Itulah beberapa cara pencegahan yang bisa Anda lakukan agar terhindar dari serangan SQL injection. Selain itu, pastikan juga bahwa website yang Anda bangun telah lulus SQL injection vulnerability test. Semoga artikel diatas bermanfaat bagi Anda dan dapat membantu Anda untuk lebih menjaga privasi pengguna yang mengunjungi website Anda.
2.6 Audit Keamanan Informasi
Audit keamanan harus dilakukan secara periodik untuk memastikan kesesuaian atau kepatuhan pada kebijakkan, bakuan, pedoman, dan prosedur dan untuk menentukan suatu kendali minimum yang diperlukan untuk mengurangi resiko pada level yang dapat diterima. Sebagai catatan, audit keamanan hanya memberikan snapshot dari kelemahan yang diungkapkan pada titik waktu tertentu.
Terdapat situasi yang berbeda ketika harus melakukan audit keamanan. Waktu yang pasti tergantung kebutuhan dan sumber daya sistem yang dimiliki.
Instalasi Baru
Audit yang dilakukan pertama kali setelah implementasi, dalam rangka memastikan konformasi pada kebijakkan dan petunjuk yang ada serta memenuhi bakuan konfigurasi
Audit Regular.
Audit yang dilakukan secara periodik baik manual maupun otomatis dengan menggunakan perangkat dalam rangka mendeteksi lubang (loopholes) atau kelemahan, yang paling tidak dilakukan sekali dalam setahun
Audit Acak
Audit ini dilakukan dengan melakukan pemeriksaan acak dalam rangka merefleksikan dengan praktik sesungguhnya
Audit Di Luar Jam Kerja
Audit ini dilakukan untuk mereduksi resiko pengauditan dengan melakukannya di luar jam kerja, biasanya pada malam hari.
Tujuan Audit Keamanan Informasi
Memeriksa kesesuaian dari mulai kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada
Mengidentifikasi kekurangan dan memeriksa efektifitas dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada
Mengidentifikasi dan memahami kelemahan (vulnerability) yang ada
Mengkaji kendala keamanan yang ada terhadap permasalahan operasional, administrasi, dan manajerial
Memberikan rekomendasi dan aksi perbaikan/koreksi untuk peningkatan
Tahapan Audit
Secara umum, tahapan audit dibagi menjadi bagian berikut ini:
Perencanaan
Pengumpulan data audit
Pengujian audit
Pelaporan hasil audit
Perlindungan atas data dan perangkat audit
Penambahan dan tindak lanjut
Berbagai Macam Framework Audit IT
ITIL (Information Technology Infrastructure Library)
Seperangkat Praktek Untuk Manajemen Layanan It Yang Berfokus Pada Menyelaraskan Layanan It Dengan Kebutuhan Bisnis. Itil Menggambarkan Proses, Prosedur, Tugas Dan Daftar Periksa Yang Dapat Diterapkan Oleh Sebuah Organisasi Untuk Membangun Integrasi Dengan Strategi Organisasi, Memberikan Nilai, Dan Mempertahankan Tingkat Minimum Kompetensi. Hal Ini Memungkinkan Organisasi Untuk Menetapkan Data Dasar Yang Dapat Merencanakan, Melaksanakan, Dan Mengukur. Hal Ini Digunakan Untuk Menunjukkan Kepatuhan Dan Untuk Mengukur Peningkatan.
COBIT (Control Objectives For Information And Related Technology)
Suatu panduan standar praktik manajemen teknologi informasi. Standar cobit dikeluarkan oleh it governance institute yang merupakan bagian dari isaca. Cobit 4.1 merupakan versi terbaru. Cobit memiliki 4 cakupan domain, yaitu : perencanaan dan organisasi (plan and organise), pengadaan dan implementasi (acquire and implement), pengantaran dan dukungan (deliver and support), pengawasan dan evaluasi (monitor and evaluate). Maksud utama cobit ialah menyediakan kebijakan yang jelas dan good practice untuk it governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan it. Cobit menyediakan kerangka it governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
ISO
Suatu framework yang mengatur dan mengembangkan lebih dari 16.000 standar internasional untuk para stakeholder seperti kepentingan industri dan asosiasi perdagangan, ilmu pengetahuan dan akademisi, pemerintah dan regulator, kelompok kepentingan sosial dan lainnya. Iso seri 9000 berfokus pada sistem manajemen mutu, termasuk memastikan kontrol di tempat untuk mematuhi persyaratan peraturan yang berlaku. Iso 14000 berfokus pada sistem manajemen lingkungan, termasuk menyalahi peraturan lingkungan yang berlaku. Iso 27000 berfokus pada sistem manajemen keamanan informasi.
2.7 Sniffing
Sniffing adalah proses monitoring dan capturing semua paket yang melewati jaringan tertentu dengan menggunakan alat sniffing. Sniffing adalah bentuk "penyadapan kabel telepon" dan untuk mengetahui percakapanya. Penyadapan seperti ini juga diterapkan pada jaringan komputer.
Cara Kerja Sniffing
(Gambar 1.4 : Cara Kerja Sniffing)
Seorang Sniffer, atau orang yang melakukan sniffing biasanya mengubah NIC sistem ke mode promiscous, sehingga bisa listen semua data yang dikirimkan pada tiap segmennya.
Mode promiscuous mengacu pada cara unik Ethernet, khususnya network interface cards (NICs), yang memungkinkan NIC menerima semua lalu lintas di jaringan, meskipun tidak ditujukan ke NIC. Secara default, NIC mengabaikan semua lalu lintas yang tidak ditujukan kepadanya, yang dilakukan dengan membandingkan alamat tujuan dari paket Ethernet dengan alamat perangkat keras (a.k.a. MAC) device. Meskipun sangat masuk akal untuk networking, non-promiscuous menyulitkan penggunaan software network monitoring dan analysis untuk mendiagnosis masalah konektivitas atau penghitungan lalu lintas.
Jenis Jenis Sniffing
Sniffing Pasif
Dalam Sniffing Pasif, lalu lintas terkunci tapi tidak diubah dengan cara apapun. Sniffing Pasif hanya bisa listening. Passive Sniffing bekerja pada perangkat hub. Pada perangkat hub, lalu lintas dikirim ke semua port. Dalam jaringan yang menggunakan hub untuk menghubungkan sistem, semua host di jaringan dapat melihat lalu lintas. Karena itu, penyerang bisa dengan mudah menangkap lalu lintas yang lewat.
Sniffing Aktif
Dalam Sniffing Aktif, lalu lintas tidak hanya dikunci dan dipantau, tapi juga bisa diubah dengan cara yang ditentukan oleh serangan tersebut. Sniffing aktif digunakan untuk sniffing jaringan berbasis switch. Sniffing aktif melakukan injecting address resolution packets (ARP) ke dalam jaringan target untuk flooding tabel switch content addressable memory (CAM). CAM melacak host mana yang terhubung ke port mana.
Teknik dalam Sniffing Aktif antara lain:
MAC Flooding
DHCP Attacks
DNS Poisoning
Spoofing Attacks
ARP Poisoning
BAB III
PENUTUP
Kesimpulan
Dapat disimpulkan bahwa Keamanan Informasi digunakakn untuk perlindungan baik peralatan computer dan non computer, fasilitas data dan informasi dari penyalahgunaan pihak piha yang tidak berwenang. Keamanan informasi merupakan suatu isu yang sangat penting, baik itu keamanan fisik, keamanan data maupun keamanan aplikasi Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu: kerahasian, ketersediaan, dan integritas.
Dengan disusunya Makalah ini semoga dapat memberikan gambaran gambaran Sistem Keamanan Komputer dan dapat meminimalisir terjadinya gangguan pada system yang kita miliki serta sebagai referensoi kita untuk masa yang akan datang yang semakin maju dan berkembang.
3.2 Saran
Untuk menyempurnakan makalah ini, penulis mengharapkan kritik dan saran dari pembaca atau pihak yang menggunakan makalah ini. dengan senang hati kritik dan saran dan pandangan dari berbagai pihak untuk menyempurnakan makalah ini. Atas perhatiannya kami ucapkan terima kasih.
DAFTAR PUSTAKA
Virus dan Malware
https://www.dewaweb.com/blog/pengertian-malware-pentingnya-dewaguard/
SQL Injection
https://www.nesabamedia.com/pengertian-sql-injection/
Audit Keamanan Informasi
File:///D:/A%20m%20i%20r/Keamanan%20informasi/Materi/Audit%20keamanan%20informasi.Pdf
Sniffing
http://www.sistem-informasi.xyz/2017/12/pengertian-sniffing-jaringan-komputer.html
Komentar
Posting Komentar