Keamanan E-Commerce

advertisement
Pertemuan Ke-13
Cybercrime
• Pencurian kartu kredit
• Hacking dan Cracking beberapa situs
• Penyadapan transmisi data dgn cara
menyiapkan perintah yang tidak
dikehendaki ke dalam program komputer
Dalam cybercrime dimungkinkan
adanya :
• Delik Formil
• Delik materiil
Dalam cybercrime dimungkinkan
adanya :
• Delik Formil
masuk ke komputer orang lain tanpa ijin
• Delik materiil
menimbulkan kerugian bagi orang lain
Kasus-kasus Cybercrime
• Penipuan lelang online
• Penipuan saham online
• Penipuan pemasaran
berjenjang online
• Penipuan kartu kredit
Cyberlaw
•
•
•
Indonesia :
Sekarang : UU ITE
Sebelumnya :
•
KUHP pasal (362)
unsur mencuri meliputi mengambil suatu barang yang
sebagian atau seluruhnya kepunyaan orang lain, dengan
maksud untuk dimiliki, dan dilakukan secara melawan hukum.
Bila satu dari unsur itu tidak ada, seseorang tentu tidak bisa
dikatakan mencuri.
•
Singapura (1998) :
– The Electronic Act (Transaksi Elektronik)
– The Electronic Communication Act(ECPA)
•
A.S (1996) :
– Communication Assistance For Law Enforcement Act
– Tellecomunication Service
- Tujuan dasar Keamanan
- Konsep dasar yang
berkaitan dengan
keamanan e-Commerce
- Jenis-jenis Keamanan
- Perlindungan
1.
2.
3.
4.
Confidentiality
Integrity
Availability
Legitimate user
1. Confidentiality
Jaminan bahwa informasi yang dikirim
melalui internet tidak dapat dibuka atau di
ketahui oleh orang yang tidak berhak.
2. Integrity
Jaminan konsistensi data informasi sesuai
dengan data asli shg terhindar dari
penduplikatan dan perusakan data.
3. Availability
Jaminan bhw hanya pengguna sah (orang
yang berhak) saja yg bisa mengakses
informasi miliknya sendiri
4. Legitimate user
Jaminan kepastian bhw sumber informasi
tdk diakses oleh org yang tidak berhak/
bertanggung jawab.
1. Security Policy
Satu set aturan yang diterapkan
pada semua kegiatan pengaman
an pada sistem komunikasi dan
komputer yang dimiliki oleh
organisasi yang bersangkutan.
2. Authorization
Bagian dari security policy, berupa
pemberian kekuatan secara hukum
kepada pengguna / user untuk
melakukan segala aktivitas nya.
3. Accountability
Bagian yg mendasari security policy.
Dimana bila individu yang berhak ingin
mengakses accountnya
harus dijamin oleh securiy policy tsb.
bahwa ia benar-benar bisa melakukan
segala aktivitasnya.
4. A Threat
Kemungkinan munculnya seseorang,
sesuatu atau kejadian yg bisa
membahayakan aset-aset yg berharga
khsusnya yg berhubungan dengan
tujuan keamanan.
5. An Attack
Realisasi dari ancaman.
Ada dua macam attack :
- Passive Attack
- Active Attack
• Monitoring terhadap
segala kegiatan atau
jalannya pengiriman
informasi rahasia o/org
yg tidak berhak
• Perusakan informasi
dgn sengaja dan
langsung mengena pd
sasaran
6. Safeguards
kontrol secara fisik, mekanisme dari
kebijaksanaan dan prosedur yang
melindungi informasi berharga dari
ancaman yang mungkin datang
setiap saat.
7. Vulnerabilities
bagian dari sistem yg mudah rusak
atau diserang krn adan sela-sela
keamanan yg bisa ditembus.
8. Risk
perkiraan nilai kerugian yg
ditimbulkan oleh kemungkinan ada
nya attack yang sukses, makin
tinggi Vulnarablenya maka semakin
tinggi pula tingkat risknya.
9. Risk Analysis
proses yang menghasilkan suatu
keputusan apakah pengeluaran
yang dilakukan terhadap safeguard
benar-benar bisa menjamin tingkat
keamanan yang diinginkan.
1.
2.
3.
4.
5.
6.
Keamanan Komunikasi
Keamanan Komputer
Keamanan secara fisik
Keamanan personal
Keamanan administrasi
Keamanan media yang digunakan
Jenis Keamanan
1. Keamanan Komunikasi
Perlindungan terhadap informasi
ketika dikirim dari sebuah sistem ke
sistem lain.
2. Keamanan Komputer
Perlindungan terhadap sistem
informasi komputer.
3. Keamanan secara fisik
satpam, pintu terkunci, sistem kontrol
4. Keamanan personal
Kepribadian operator (org2 yg
mengoperasikan sistem)
5. Keamanan administrasi
Pencatatan kejadian pada H/W atau S/W
6. Keamanan media yang digunakan
Harddisk, dan jaminan data tidak hilang
Perlindungan
Perlindungan yang dilakukan pada
keamanan komunikasi dan Komputer.
1. Authentication service
Memberikan konfirmasi pengesahan
terhadap identitas pengguna.
- Entity authentication
Pintu gerbang masuk pertama (password)
- Data origin authentication
Informasi sah/tidaknya sebuah identitas
2. Access Control services
Melindungi semua fasilitas dan sumber-sumber
yang ada, dari akses yang tidak berhak
3. Confidentiality Service
Memproteksi informasi yang kira-kira menjadi
incaran akan disingkap oleh orang lain
4. Data integrity services
Melindungi terhadap ancaman dari usaha
orang yang akan mengubah data
5. Non repudiation Service
Perlindungan terhadap user dari
ancaman user yang berhak lainnya.
Cookies




Unit informasi yang disimpan di komputer client
dalam bentuk text file
Diciptakan dan digunakan oleh server untuk
mengingat informasi tentang user seperti pilihan
options, atau user ID
Informasi dalam cookies dikirim oleh browser untuk
dibaca server sebagai bagian dari HTTP request
Server memiliki akses untuk membuat,
menginisialisasi dan mengubah parameter cookie



Masa habis berlaku (expiration time)
User ID, password yang dienkripsi
Alamat server yang dituju, dsb
Firewall (i)


Dapat berupa sebuah komputer, router atau
peralatan komunikasi yang menyaring akses
untuk melindungi jaringan dari gangguan
ilegal, kecelakaan atau tindak kejahatan
Bisa berupa hardware, software, atau bisa
juga berupa seperangkat aturan dan
prosedur (policy) yang ditetapkan oleh
organisasi
Firewall (ii)

2 komponen pokok firewall:


Packet filter: menyaring semua paket yang
masuk dan keluar pada port-port internet
Network Address Translation (NAT): pelindung
detail IP address private yang digunakan dalam
LAN untuk digunakan ke jaringan Internet

Namun juga dapat menyebabkan seorang pembobol
sistem menjadi susah dilacak karena IP-nya
tersembunyi
Firewall (iii)





Memblok 3rd party cookies
Memblok script-script internet yang tidak
aman
Menutup celah-celah keamanan (port) yang
rawan disusupi cracker
Menolak PING dan port scanning dengan
menyembunyikan status komputer
Contoh: Zone Alarm, Black Ice Defender,
Norton Tiny Personal Firewall, dsb
Kelebihan Firewall

Sebagai fokus keputusan security



Pos pemeriksaan paket data yang keluar-masuk
Mendukung security policy, misalnya
perusahaan menetapkan penggunaan NAT
sehingga hanya user atau group tertentu
yang boleh keluar, hanya protokol tertentu
yang aktif, hanya beberapa aplikasi yang
boleh akses keluar, dsb
Mencatat log aktifitas user sebagai
dokumentasi statistik tentang penggunaan
jaringan
Kelemahan Firewall



Firewall tidak dibuat untuk penyerang “orang
dalam” yang misalnya, berusaha menyalin
data ke dalam disket, atau memodifikasi
program
Firewall tidak dapat melindungi dan melawan
lalu lintas data yang tidak melewatinya
(sistem backdoor)
Firewall tidak dapat melindungi dan melawan
virus, scanning hanya ditujukan ke alamat
sumber, alamat tujuan, dan nomor port,
bukan data yang rinci
Download