Documente Academic
Documente Profesional
Documente Cultură
Program Tatap
Fakultas Kode MK Disusun Oleh
Studi Muka
Ekonomi dan Magister 55026 Prof. Dr. Ir. H. Hapzi Ali,
Bisnis Akuntansi 09 Pre-MSc, MM, CMA
Abstract Kompetensi
• Arsitektur aplikasi berbasis web biasanya termasuk klien Web, server, dan sistem
informasi perusahaan terkait dengan database. Setiap komponen ini menyajikan
tantangan keamanan dan kerentanan. Banjir, kebakaran, gangguan listrik, dan
masalah listrik lainnya dapat menyebabkan gangguan pada setiap titik dalam
jaringan.
Kerentanan Internet
Jaringan terbuka bagi siapa saja
Ukuran Internet berarti pelanggaran dapat memiliki dampak yang luas
Penggunaan alamat Internet tetap dengan kabel atau DSL modem menciptakan
target tetap hacker
VOIP tidak terenkripsi
E-mail, P2P, IM
Worm
Program komputer independen yang menyalin diri dari satu
komputer ke komputer lain melalui jaringan.
Trojan horse
Program perangkat lunak yang tampaknya menjadi jinak tetapi
kemudian melakukan sesuatu yang lain dari yang diharapkan.
Malware (cont.)
SQL injection attacks
Hackers submit data to Web forms that exploits site’s unprotected
software and sends rogue SQL query to database
Spyware
Small programs install themselves surreptitiously on computers to
monitor user Web surfing activity and serve up advertising
Key loggers
Record every keystroke on computer to steal serial numbers,
passwords, launch Internet attacks
Sniffer
Program menguping yang memonitor informasi bepergian melalui jaringan
Memungkinkan hacker untuk mencuri informasi proprietary seperti e-mail,
file perusahaan, dll
Denial-of-Service (DoS)
Banjir server dengan ribuan permintaan palsu untuk kecelakaan jaringan.
Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas
jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat
masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
Membanjiri jaringan dengan banyak request terhadap sebuah layanan
jaringan yang disedakan oleh sebuah host sehingga request yang datang dari
pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini
disebut sebagai request flooding.
Serangan Denial of Service klasik bersifat "satu lawan satu", sehingga dibutuhkan sebuah
host yang kuat (baik itu dari kekuatan pemrosesan atau sistem operasinya) demi membanjiri
lalu lintas host target sehingga mencegah klien yang valid untuk mengakses layanan
jaringan pada server yang dijadikan target serangan. Serangan DDoS ini menggunakan
teknik yang lebih canggih dibandingkan dengan serangan Denial of Service yang klasik,
yakni dengan meningkatkan serangan beberapa kali dengan menggunakan beberapa buah
komputer sekaligus, sehingga dapat mengakibatkan server atau keseluruhan segmen
jaringan dapat menjadi "tidak berguna sama sekali" bagi klien.
Serangan DDoS pertama kali muncul pada tahun 1999, tiga tahun setelah serangan Denial
of Service yang klasik muncul, dengan menggunakan serangan SYN Flooding, yang
mengakibatkan beberapa server web di Internet mengalami "downtime". Pada awal Februari
2000, sebuah serangan yang besar dilakukan sehingga beberapa situs web terkenal seperti
Amazon, CNN, eBay, dan Yahoo! mengalami "downtime" selama beberapa jam. Serangan
yang lebih baru lagi pernah dilancarkan pada bulan Oktober 2002 ketika 9 dari 13 root DNS
Server diserang dengan menggunakan DDoS yang sangat besar yang disebut dengan
"Ping Flood". Pada puncak serangan, beberapa server tersebut pada tiap detiknya
mendapatkan lebih dari 150.000 request paket Internet Control Message Protocol (ICMP).
Untungnya, karena serangan hanya dilakukan selama setengah jam saja, lalu lintas Internet
pun tidak terlalu terpengaruh dengan serangan tersebut (setidaknya tidak semuanya
mengalami kerusakan).
1. Menjalankan tool (biasanya berupa program (perangkat lunak) kecil) yang secara
otomatis akan memindai jaringan untuk menemukan host-host yang rentan
(vulnerable) yang terkoneksi ke Internet. Setelah host yang rentan ditemukan, tool
tersebut dapat menginstalasikan salah satu jenis dari Trojan Horse yang disebut
sebagai DDoS Trojan, yang akan mengakibatkan host tersebut menjadi zombie
yang dapat dikontrol secara jarak jauh (bahasa Inggris: remote) oleh sebuah
komputer master yang digunakan oleh si penyerang asli untuk melancarkan
serangan. Beberapa tool (software} yang digunakan untuk melakukan serangan
serperti ini adalah TFN, TFN2K, Trinoo, dan Stacheldraht, yang dapat diunduh
secara bebas di Internet.
2. Ketika si penyerang merasa telah mendapatkan jumlah host yang cukup (sebagai
zombie) untuk melakukan penyerangan, penyerang akan menggunakan komputer
master untuk memberikan sinyal penyerangan terhadap jaringan target atau host
target. Serangan ini umumnya dilakukan dengan menggunakan beberapa bentuk
SYN Flood atau skema serangan DoS yang sederhana, tapi karena dilakukan oleh
banyak host zombie, maka jumlah lalu lintas jaringan yang diciptakan oleh mereka
adalah sangat besar, sehingga "memakan habis" semua sumber daya Transmission
Control Protocol yang terdapat di dalam komputer atau jaringan target dan dapat
mengakibatkan host atau jaringan tersebut mengalami "downtime".
kejahatan komputer
Didefinisikan sebagai "pelanggaran hukum pidana yang melibatkan pengetahuan
teknologi komputer untuk perbuatan mereka, penyidikan, penuntutan atau"
Komputer mungkin menjadi sasaran kejahatan, mis
Melanggar kerahasiaan data terkomputerisasi dilindungi
Mengakses sistem komputer tanpa otoritas
Komputer mungkin alat kejahatan, mis .:
Pencurian rahasia perdagangan
Menggunakan e-mail untuk ancaman atau pelecehan
pencurian identitas
Pencurian Informasi pribadi (id jaminan sosial, lisensi atau kartu kredit nomor
pengemudi) untuk meniru orang lain
phishing
software kerentanan
Perangkat lunak komersial mengandung kelemahan yang membuat kerentanan
keamanan
Bug tersembunyi (cacat kode program)
Nol cacat tidak dapat dicapai karena pengujian lengkap tidak mungkin
dengan program besar
Cacat dapat membuka jaringan untuk penyusup
patch
Vendor melepaskan potongan-potongan kecil dari perangkat lunak untuk
kekurangan perbaikan Namun terjang sering dibuat lebih cepat dari patch
dirilis dan diimplementasikan
EXPECTED ANNUAL
EXPOSURE PROBABILITY LOSS RANGE (AVG) LOSS
kebijakan keamanan
kebijakan keamanan
Kedua contoh mewakili dua profil keamanan atau pola keamanan data yang mungkin
ditemukan dalam sistem tenaga. Tergantung pada profil keamanan, pengguna akan
memiliki batasan-batasan tertentu pada akses ke berbagai sistem, lokasi, atau data
dalam sebuah organisasi.
Perencanaan pemulihan bencana: Devises berencana untuk pemulihan layanan
terganggu
Bagan ini adalah halaman contoh dari daftar kelemahan pengendalian yang auditor
mungkin menemukan dalam sistem pinjaman di bank komersial lokal. Formulir ini
membantu catatan auditor dan mengevaluasi kelemahan kontrol dan menunjukkan hasil
membahas kelemahan-kelemahan dengan manajemen, serta tindakan perbaikan yang
diambil oleh manajemen.
Firewall ditempatkan antara perusahaan jaringan pribadi dan Internet publik atau
jaringan lain tidak dipercaya untuk melindungi terhadap yang tidak sah
Sistem deteksi intrusi:
Memantau hot spot di jaringan perusahaan untuk mendeteksi dan mencegah
penyusup
Memeriksa peristiwa seperti yang terjadi untuk menemukan serangan
berlangsung
Antivirus dan antispyware software:
Sebuah sistem enkripsi kunci publik dapat dilihat sebagai rangkaian kunci publik dan
swasta yang mengunci data ketika mereka ditransmisikan dan membuka data ketika
mereka diterima. Pengirim menempatkan kunci publik penerima dalam sebuah direktori
5. Diskusi
1. Sistem Informasi memiliki banyak manfaat dan kemudahan akses data dan
informasi baik secara off line maupun online. Sebaliknya Sistem Informasi bisa
menjadi sangat rentan akan hal-hal yang tidak di inginkan, Jelaskan statement ini
dan beri contoh serta cara mencegahnya.
Anjuran :
1. Hapzi Ali & Tonny Wangdra, 2010, Sistem Informasi Bisnis “SI-Bis” Dalam Prospektif
Keunggulan Kompetitif, Baduose Media
2. Hapzi Ali & Tonny Wangdra, 2010, Techopreneurship, Dalam Perspektif Bisnis Online,
Baduose Media.
3. Hapzi Ali, 2009, Sistem Informasi Manajemen, Berbasis Teknologi Informasi, Hasta
Cipta Mandiri, Jogyakarta,.
4. HM. Jogiyanto, 2002, Analisis & Disain Sistem Infromasi : Pendekatan Terstruktur, Teori
dan Praktek Aplikasi Bisnis, Jogyakarta : Penerbit ANDI.
5. James A. Brain, 2005, Introduction to Information System, Perspektif Bisnis dan
Managerial (terjemahah), Salemba Empat.