Implementasi dari penggunaan Social engineering, Pretexting dan Tailgating

Implementasi dari penggunaan :

a)    Social engineering
Social Engineering adalah sebuah teknik ‘pencurian’ atau pengambilan data atau informasi penting atau yang dibutuhkan dari seseorang dengan cara menggunakan pendekatan yang bersifat manusiawi melalui mekanisme interaksi sosial. Para pencuri data yang menggunakan teknik ini mengedepankan kelemahan manusia dalam menjalankan tahapan aksinya. Contoh implementasinya adalah ketika seseorang ingin mngetahui password dari sebuah akun teller bank kemudian pelaku menelpon pegawai yang berposisi sebagai user di komputer teller tersebut, si pelaku mengaku sebagai direktur bank dan ada kepeluan mendesak untuk mengetahui password dari komputer di teller. Dengan rasa takut dan percaaya dimarahi atasan si petugas teller langsung memberikan password dari komputernya.

b)    Pretexting
Pretexting adalah suatu teknik yang menggunakan skenario yang dibuat yang bertujuan meningkatkan kemungkinan korban membocorkan informasinya. Contoh penerapan teknik banyak dijumpai pada  kasus pembobolan di ATM. Skenario yang dijalankan adalah beberapa orang beritndak sebagai satpam palsu dan  tukang bank palsu  yang kemudian dimesin ATM telah di seting agar kartu ATM tidak bekerja sebagaimana mestinya. Dengan skenrio tersebut pelaku ini meyakinkan korban agar memberikan pin dan mampercayai perutas bank palsu tersebut.

c)    Phishing
Teknik phising atau didbeberapa buku hacker biasa juga disebut dengan teknik  fake login adalah sebuah teknik dimana  seorang pelaku hacker memancing target korbannya dengan cara membuat situs atau wall informasi palsu yang mirip dengan asli agar pengujung yang percaya pada situs cloning tersebut memberikan informasi rahasia berupa username dan password mereka. Contohnya seorang hacker membuat sebuah situs dengan tampilan dan alamat lengkap dnegan domain yang hampir sama mmisalanya situs alinya dalah www.bri.co.id maka ia membuat dengan alamat www.briindo.co.id yang kemudian situs palsu itu diberikan kepada calon korban. Setelah korban memasukkan username dan password maka username dan password tersebut dapat digunakan sang pelaku untuk masuk kesitus sebenarnya dan menguras habis  uang di tabungan korban.

d)    Tailgating
Tailgating Teknik tailgating ini hampir sama dengan teknik phising dalam menjalankannya yaitu sama-sama menggunakan scenario yang sudah direncanakkan. Perbedaaanya adalah dalam teknik tailgating ini dijalankan dengan membuntuti orang yang memiliki hak akses. Contoh penerapanya ketik dalam sebuah kantor terdapat seorang pegawai yang ingin masuk kedalam ruagan tertentu dengan menggunakana identitas yang dimilikinya, Sipelaku mengikuti korban dan menyatakna bahwa ia lupa membawa identitasnya. Dengan khilaf si korban meminjamkan kartu identitasnya untuk memberikan akses kepada pelaku agar dapat masuk.

Continue lendo

Implementasi dari penggunaan standar (PCI-DSS), (HIPAA), (FERPA)

Implementasi dari penggunaan standar

a)    Payment Card Industry Data Security Standard (PCI-DSS)
Payment Card Industry Data Security Standard (PCI DSS)  adalah sebuah standrat keamanan yang dikembangkan bertujuan untuk meningkatkan keamanan data pemegang kartu (seperti kartu kredit, kertu debit, ATM),dan memberikan faislitas pengadopsian pengamanan data secara konsisten serta global. PCI DSS menyediakan dasar persyaratan teknis dan operasional yang dirancang untuk melindungi data pemegang kartu.contoh impementasinya seperti kartu kredit, kertu debit, ATM

b)    Health Insurance Portability and Accountability Act (HIPAA)
HIPAA adalah standart asuransi kesehatan yang memiliki portabilitas dan akuntabilitas Act. Undang-undang ini disahkan pada Kongres AS pada tahun 1996. Hukum ini disahkan untuk memberikan privasi kepada pasien dan  semua privasi data pasien tersebut akan dilindungi dan bersifat rahasia. Contoh peenrapannya ialah ketika seseorang berobat kerumah sakit kemudian setelah dicek ternyata ia memiliki penyakit jantung. Maka pihak rumah sakit tidak berhak  memberikan informasi kepada siapapun kecuali pasien bahwa si pasien menderita penyakit jantung.

c)    Family Educational Rights and Privacy Act (FERPA)
Family Educational Rights and Privacy Act adalah Undang-undang Federal yang melindungi privasi catatan pendidikan seorang siswa. Hukum ini berlaku untuk semua sekolah yang mendapatkan dana program dari Departemen Pendidikan Amerika Serikat. Namun FERPA juga memberikan hak-hak tertentu terhadap orang tua mengenai catatan pendidikan anak mereka.  Contoh implementasi FERPA adalah ketika waktu pengambilan raport siswa membrikan hak pengambilan raport kepada orang tua kandungnya namun yang terjadi adalah bukan orang tua kandungnya yang ingin mengambil raport. Dalam kasus ini maka sekolah tidak berhak memberikan raport atau salinan raportpun kepada orang yang mengambil raport siswa tersebut jika ia bukan orang tua kandung siswa.

Continue lendo

Perbedaan ACL (Access Control List) dan Authorization

Perbedaan ACL (Access Control List) dan Authorization,
dan contohnya..
 

        Access Control List adalah daftar apa saja yang yang diberikan oleh owner atau penyedia resouce atau layanan. Sedangkan Authorization adalah pemakai atau user diperbolehkan menggunakan resource atau pelayanan yang tersedia yang sesuai dengan haknya saja.

           Contoh sederhana adalah jika di mesin ATM. Seseorang memiliki ACL atau list control seperti pengecekan saldo, beli pulsa, transfer dan lain-lain yang dapat digunakannya ketika ia sudah masuk kedalam sistem ATM.

Continue lendo

PARKERIAN HEXAD DAN CIA TRIAD ditinjau dari kelemahan dan keuntungan, dan contohnya

    PARKERIAN HEXAD DAN CIA TRIAD ditinjau dari kelemahan dan  keuntungan, dan contohnya !.
 

    Keuntungan PARKERIAN HEXAD adalah metode ini menggunakan setu set enam unsur keamanan informasi dimana tiga unsur diantaranya adalah unsur dari  konsep CIA TRIAD. Unsur yang ditambahkan dari CIA atau Confidentiality, Intergrity, Availability  ialah Authenticity, Prosessing or Control dan Utily. Dengan 3 tambahan tersebut praktis keamanan yang ada akan lebih baik dari pada hanya dengan CIA atau Confidentiality, Intergrity, Availability.

    Jika ditinjau dari keuntungannya, bisa dicontohkan seperti kasus berikut:  Authenticity berhubungan dengan cara untuk menyatakan bahwa informasi yang akan diakses betul-betul diakses oleh orang yang berhak. Pengaplikasian Authenticity bisa dilihat ketikakita ingin login kedalam sebuah web maka ada digital certificat yang harus diisi. Hal ini unutk memastikan bahwa user yang ingin mengakses adalah manusia dan bukan robot. Karena diasumsikan robot tidak dapat membaca tulisan yang tidak beraturan.

       Kekurangannya ialah dengan adanya 3 tamabahan dari yang sebelumnya hanay CIA dan kini menjadi 6 buah maka otomatis akan lebih komplek dan lebih rumit dalam mengelolanya.

        Keuntungan CIA TRIAD jika dibandingkan dengan PARKERIAN HEXAD tentu paling mudah dilihat dari segi penerapannya. CIA TRIAD lebih mudah dan simpel diterapkan karena standarisasi kemanan yang pertama adalah CIA TRIAD sebelum adanya PARKERIAN HEXAD. Dengan  metode yang lebih sedikit CIA TRIAD dianggap sudah mewakili prinsip-prinsip utama keamanan informasi.

      Kekurangannya ialah CIA TRIAD tidak lebih baik dari pada PARKERIAN HEXAD. Karena PARKERIAN HEXAD merupakan pendekatan terbaru yang memperluas tiga unsur asli CIA TRIAD.

     Contohnya ialah seperti perusahaan kartu kredit yang setuju untuk tidak berbagi / menjual informasi Clientnya kepada pihak ketiga. Ketika clientnya memberikan informasinya kepada perusahaan kartu kreditnya, maka sang client berharap akan kerahasiaan data mereka. Oleh karena itu, perusahaan memiliki tanggung jawab untuk menyediakannya. Konsep ini yang tidak terdapat pada CIA TRIAD.

Continue lendo

Penjelasan dan contoh penerapan Logging, Auditing dan Penetration Testing

Masih dari tugas kuliha keamanan informasi, kali ini saya akan berbagi inlu mengenai  Logging, Auditing dan Penetration Testing

Logging

Proses logging merupakan proses pencatatan semua aktivitas atau kegiatan user di mesin komputer. Bahkan jika terhubung ke jaringan maka aktivitas jaringan juga bisa terekam. Pengumpulan dan perekaman data ini biasanya bertujuan untuk pengarsipan dan analis. Namun tidak jarang logging dilakukan untuk tujuan lain seperti pencurian data. Contoh sederhana logging ialah dengan menggunakan aplikasi keyloger. Dengan aplikasi keyloger yang terinstal dan aktif disuatu komputer, maka semua aktivitas dan kegiatan user yang dilakukan dikomputer tersebut dapat diketahui.  Contohnya dalam sebuah jaringan adalah dimisalkan sebuah user bisa diketahui kapan ia terkoneksi ke server 1, atau terkoneksi ke PC A dan B.

Auditing

Proses auditing adalah pengumpulan dan pengevaluasian untuk menetukan sebuah sistem informasi dapat melindungi aset, serta teknologi yang diterapkan dapat memelihara integritas data sehingga dapat mencapai tujuan yang diinginkan. Proses auditing merupakan proses yang sistematik untuk mendapatkan dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan atau kejadian. Tujuannya tidak lain adalah untuk mengetahui kekurangan dan kelebihan dari sebuah jaringan atau sistem yang terdapat dalam komputer. Contoh sederhana auditing yang mudah dipahami adalah seperti sebuha PT yang memiliki sistem informasi kemudian melakukan analisa permasalahan untuk mengetahui tingkat keamanan sistem informasi yang dimilikinya tersebut. Mulai dari Melakukan pembuatan rancangan audit keamanan sistem informasi sampai dengan melakukan audit dan mendapatkan hasil berupa temuan, kesimpulan dan rekomendasi pada sistem yang di audit di perusahaan tersebut.

Penetration testing

Proses penetration testing adalah metode untuk mengevaluasi keamanan sistem komputer atau pada jaringan komputer dengan cara menstimulasikan serangan dari sumber yang berbahaya contohnya Cracker atau Hacker. Proses penetrasing testing ini melibatkan analis terhadap sistem atau jaringan  pada setiap kerentanan yang berpotensi mengakibatkan sistem lemah atau konfigurasi sistem jaringan yang tidak tepat. Masalah keamanan hasil testing tersebut kemudian disampaikan kepada pemilik sistem atau jaringan lengkap dengan dampak dan solusi teknis menanganinya dari kerentanan yang ditemukan. Contohnya seperti yang dilakukan perusahaan System Operasi besar seperti Microsoft yang melakukan penetration testing berupa sayembara pada System Operasin yang baru diluncurkannya dan siapa yang dapat menemukan celah keamanan dan memberitahukannya ke perusahaan tersebut maka akan diberi hadiah.

Continue lendo

Contoh implementasi Treats, Vulnarability dan Risk

Hari ini saya akan berbagi sedikit informasi tenntang keamanan informasi,  Sebenarnya  ini tugas kuliah saya dan karena saya fikir ini bermanfaat untuk dibagikan maka saya bagikan :-) semoga menambah pengetahuan anda pecandu pengetahuan :-)

Berikut Contoh mengenai implementasi Treats, Vulnarability dan Risk

a.       Treats

·         Misalnya di sebuah badan usaha milik negara yang memiliki sistem disusupi atau telah diserang dengan Malicious code seperti virus oleh pihak lain.

·         Contoh ancaman yang kedua ialah seperti serangan Hacking atau cracking dimana sebuah sistem yang lemah atau komputer server di hack oleh hacker.

·         Contoh ketiga  ialah bisa diambil dari email mahasiswa TIF yang dibagikan digrup TIF sendiri. Disana terdapat password dan email yang dibagikan yang dengan bebas diharapkan dapat digunakan untuk mendukung proses kemahasiswaan baik itu dalam perkuliahan dan lain-lain.

·         Treats tidak hanya berasal dari manusia, contoh ke empat adalah ancaman yang berasal dari cuaca atau alam. Ketika sebuah komputer yang memiliki banyak informasi  penting diletakkan di gedung yang relatif rendah dari permukaan air didekatnya.

·         Contoh ancaman atau treats yang terakhir ialah misalnya sebuah laboratorium yang digunakan oleh mahasiswa dan tempat bereksperimen dan melakukan pembelajaran memiliki atap yang sudah tidak baik lagi.

b.      Vulnerability

·         Sistem dibadan usaha milik  negara  tersebut akan mengalami masalah dengan adanya virus yang disusupi tadi. Sehingga dapat dikatakan proses didalam sistem dapat terganggu.

·         Celah atau kelemahan akibat serangan hacker atau cracker tadi dapat menyebabkan sistem down atau lumpuh.

·         Dengan dibagikan terbuka seperti itu membuka celah bagi setiap orang yang dapat mengakses grup tersebut untuk mencuri atau mengambil akun email  yang bukan seharusnya miliknya dengan sangat mudah.

·         Kelemahan dari trearts keemepat adalah bisa saja sewaktu-waktu komputer ataupun perangkat elektronik di gedung tersebut rusak ketika terjadi banjir.

·         kebocoran atap diwaktu hari hujan sehingga dapat menyebabkan konsleting listrik pada perangkat-perangkat komputer yang ada disana.

c.       Risk

·         Risknya adalah ketika sebuah perusahaan yang telah disusupi oleh virus kemudian harus membuang virus tersebut dengan membeli antivirus. Pengeluaran dana akan menjadi risk dalam hal ini.

·         Resiko yang harus dihadapi selanjutnya ialah sistem atau server tersebut tidak dapat bekerja dan mungkin mendatangkan kerugian waktu dan materil bagi pemilik server yang sistemnya diserang oleh hacker tersebut.

·         Contoh kerugian selanjutnya ialah misalnya seorang mahasiswa yang emailnya telah diambil alih oleh orang lain sehingga ia tidak bisa melihat informasi tugsa id dalam grup melalui akun email yang dicuri tersebut.

·         Kerugian yang dialami tentu saja selain materi juga data yang hilang dan mungkin tidak dapat dikembailkan karena komponen elektronik rentan terhadap kerusakan fatal akibat air.

·         Akibatnya ialah perangkat keras yang ada disana dapat rusak terkena air dan hasil praktikum mahasiswa dikomputer tersebut dapat juga terancam tidak dapat diakses lagi jika hardwarenya telah rusak.

2.      Contoh mengenai implementasi Confidentiality, Integrity dan Availability pada sistem perbankan.

a.       Confidentiality

Pencegahan bagi mereka yang tidak berhak mencapai atau mendapatkan informasi disistem perbankan dilakukan dengan cara mengharuskan setiap nasabah memiliki nomor rekening dan pin yang  rahasia untuk mengakses sistem transaksi bank melalui atm. Jadi pihak yang tidak memiliki kartu atm  atau tidak mengetahui pin dari kartu atm tersebut tidak dapat mengakses segala macam menu transaksi di atm. Beberapa perbankan menerapkan aturan seperti 3 kali salah pin kartu diblokir atau ditelan kedalam mesin atm. Hal tersebut merupakan contoh Confodentiality dari sistem perbankan pada atm.

b.      Integrity

Integrity menjamin data agar tidak dapat berubah maupun diubah oleh orang atau pihak yang tidak berhak mengubahnya. Implementasinya dalam sistem perbankan tentunya dapat dicontohkan seperti buku tabungan nasabah yang didalamnya terdapat tanda tangan dan stiker pengaman. Sistem akan menjamin bahwa segala aktifikas perbankan yang telah dilakukan dengan buku tabungan telah memiliki integrity.

c.       Availability

Untuk mengakses sistem melalui e-banking atau atm diperlukan ketersediaan sumber daya internet. Untuk menghubungkan sistem atm dengan sistem yang ada diperbankan pihak perbankan harus menyediakan akses data sehingga sistem dapat berkomunikasi dan memberikan layanan yang cepat kepada konsumen pengguna atm. Ketersediaan layanan seperti situs web juga harus dimiliki dan tetap dapat diakses dengan aman oleh pengguna e –banking.

Continue lendo

MAAF!!.,BLOG INI MASIH DALAM PROSES PENGEMBANGAN

Continue lendo