Introduction to Security Terminology

Tujuan dari Keamanan Informasi (Information Security)

Sebagai ahli keamanan informasi, kita bertugas untuk mencapai inti utama dari keamanan informasi. Tujuan intinya adalah, kerahasiaan (Confidentiality), keutuhan (Integrity), dan ketersediaan (Availbility), kita singkat menjadi CIA.

Confidentiality

Salah satu tujuan dari keamanan informasi adalah memastikan hanya orang yang memiliki otoritas yang dapat mengakses informasi atau membaca informasi. Ada beberapa teknologi yang dapat digunakan untuk meraihnya, seperti permission dan encryption.

Accsess Control Permission

Network Administrtor mengamankan informasi dengan cara memberikan batasan hak akses pada file-file atau folder kepada user atau group tertentu, istilah ini disebut dengan building accsess control list.

Encryption

Mengatur file permission pada sebuah data tidaklah cukup untuk mengamankan data. Mengapa ? karena banyak perusahan menyimpan data pada sebuah server, dimana user yang memiliki otoritas dapat mengakses file tersebut. file permission memastikan bahwa hanya user yang tertentu yang dapat mendownload file tersebut melalui jaringan. Akan tetapi file permission tidak dapat membuat file tersebut tidak dapat dibaca ketika proses transmitting file dari server ke client. Disinilah fungsi encryption, dimana informasi dari file yang dikirim melaui network akan dirubah menjadi format yang tidak dapat dibaca hingga informasi tersebut sampai pada user yang memiliki otoritas dan dijadikan format yang dapat dibaca seperti semula, disebut dengan decryption.

Kita dapat meng-enkripsi file dalam dua tingakatan, enkripsi file pada storage, kedua adalah meng-engkripsi file pada saat transit. Salah satu manfaat yang kita dapat dalam ekripsi file pada storage adalah, ketika seorang hacker dapat mengakses akses secara fisik pada sistem, hacker dapat mem-bypass file permission pada file tertentu, akan tetapi file tersebut tidak akan dapat dibaca, karena dalam bentuk unreadable format, encrypted.

Ketika kita meng-enkripsi file saat transit dari satu lokasi ke lokasi yang lain, artinya kita meng-enkrip communication channel antara dua sistem. Walaupun ada man in the middle attack, maka actor tersebut tetap tidak dapat membaca informasi yang di encrypt tersebut pada saat berlangsungnya proses transit.

Steganography

Selain encryption, ada cara lain untuk membuat file tetap tersembunyi. Yaitu menggunakan steganography. Apa itu steganography ? itu adalah sebuah metode meyembunyikan informasi pada sebuah area yang tidak terlihat didalam file lain. Sebagai contoh, kita dapat menyembunyikan file text kedalam file grafis. Informasi tersebut di-embed kedalam file grafis menggunakan program serta pharase atau password yang digunakan kembali untuk meng-ekstrak informasi dari file covernya.

Note

Berikut adalah catatan tentang tools yang dapat digunakan untuk menyembunyikan file text kedalam images. How to use steghide

Integrity

Konsep dari integratitas adalah kita memastikan data yang dikirim dari sebuah titik ke titik yang lain, informasi yang diterima tetap sama, tidak ada informasi yang berubah. Atau dengan katalain memastikan data tersebut tidak berubah selama proses pemindahan data.

Hashing

Untuk memastikan data integrity ketika berkomunikasi melalui jaringan, sistem yang mengirim informasi tersebut menjalankan sebuah matematika algoritma yang kita kenal dengan hashing algorithhm yang menghasilkan hash value. Hash value tersebut akan dikirimkan bersama data. Pada tempat yang menerima data dan hash value juga melakukan proses yang sama untuk mendapatkan hash value dari data yang diterima, lalu hash value dibandingkan, jika nilainya sama maka tidak terjadi perubahan data saat proses trasmisi berlangsung.

Keutuhan sebuah data bukan hanya pada saat proses perpindahan data namun termasuk data yang berada dalam penyimpanan. Pada lingkungan yang sangat aman, kita ingin memastikan bahwa data yang baru saja disimpan oleh user tidak dapat berubah, dalam kata lain utuh, hingga user tersebut membuka kembali file tersebut. Untuk memastikan keutuhan sebuah data kita dapat menggunakan hash program yang menghitung nilai hash pada saat pertama kali file tersebut disimpan dan dibandingkan dengan nilai hash pada saat file tersebut dibuka kembali. Jika nilai tersebut tidak sama maka terjadi perubahan data pada file tersebut.

Data integrity digunakan untuk beberapa skenario, seperti saat kita mendownload file diinternet dimana seringkali penyedia file tersebut biasanya menampilkan nilai hash pada web agar setelah proses download selesai kita dapat menyandingkan nilai hash yang tersedia pada web dengan nilai hash setelah file tersebut ada pada komputer kita. Jika tidak sama maka terjadi alter saaat proses transit data, dan jika itu terjadi jangan pernah untuk membuka atau meng-eksekusi file tersebut.

Tip

Sangat penting untuk megimplementasi pembatasan hak akses untuk menjamin keutuhan data dimana kita memegang hak akses penuh untuk mengatur user yang dapat merubah data.

Availibility

Ketersediaan adalah konsep selanjutnya dari keamanan informasi. Konsep ini memastikan user dapat mengakses file jika diinginkan. Kita dapat menggunakan beberapa teknik untuk menjami ketersediaan informasi.

1. Backups, pastikan melakukan backup informas penting secara berkala, sehingga ketika terjadi data corrupt kita dapat me-restore nya dari backup.

2. Fault Tolerance, kita dapat mengimplementasi data redudancy solution untuk memastikan ketersediaan data. Karena, jika driver utama rusak, maka driver yang lainnya dapat digunakan karena memliki salinannya. Menggunakan lebih dari stau driver secara bersamaan disebut dengan RAID (Redudant Array of Independent Disk).

   Another Resources

   Untuk bacaan lebih lanjut dapat melihat daftar dibawah ini;

   • Wikipedia
   • Techtarget
   • Youtube - What is Raid 0,1,5, and 10
   • Youtube - Raid levels

   Berbicara tentang tingkatan RAID, hanya RAID level 1 yang menjamin fault tolerance, dimana RAID level 0 hanya bertujuan untuk meningkatkan performa komputer.

3. Cluestering, untuk menjamin ketersedian service seperti webserver, database sever, atau email server, kita dapat menggunakan solusi high-availibility seperti clustering. Clustering membuat kita dapat menggunakan lebih dari satu server yang seolah-olah satu server yang berjalan. Manfaatnya, katakan jika salah satu web server mati, maka server yang lainnya akan mengambil tugas tersebut secara cepat sehingga seolah-olah tidak terjadi masalah seperti downtime didepan layar user.

4. Patching, membuat sistem tetap up to date dengan cara selalu update service atau security patch, biasa disebut dengan patching. Patching sistem mengurangi celah keamanan pada sistem dan menurunkan kemungkinan sistem diserang.

Accountablity

Beberapa tahun terakhir menunjukan bahwa huruf A pada CIA dapat merepresentasikan Availibility serta Accountability. Accountability (dapat dipertanggung jawabkan) disini memastikan bahwa user bertanggung jawab atas aksi yang dilakukannya. Sebagai contoh, katakan secara tidak sengaja atau sengaja user menghapus sebuah file, sebuah record atas aksi tersebut harus ada untuk pertanggung jawaban aksinya.

Untuk mengimplementasi accountability kita dapat dengan cara mengimplementasi fitur auditing dan loging pada sistem, routers, firewall atau aplikasi. Konsepnya, jika kita mencatat semua aksi, dapat kita sebut logging, suatu saat, ketika dibutuhkan, kita dapat dengan mudah mengetahui siapa yang menyebabkan suatu kejadi terjadi. Dengan demikian kita dapat menahan user tersebut dan kita mintai keterangan dan pertanggung jawaban atas aksinya.

Berikut adalah beberapa metode yang dapat kita gunakan untuk menerapkan accountability pada sebuah organisasi, seperti; log files, audit files, Firewalls and Proxy Servers, application logging

Latihan

Pertanyaan

A. You have configured auditing on your SQL server so that if a user deletes a customer record, the information is recorded in the audit log (1)

B. You have configured BitLocker To Go on a USB drive for Bob to be able to store files on the USB drive in an encrypted format. (2)

C. Sue has configured the e-mail server in a server cluster with another server so that if one of the servers fails, the other server can handle the workload. (3)

D. You place the current budget spreadsheet on the company intranet server so that employees can download the file. You publish the hash value of the file on the web site as well. (4)

E. Critical tasks are divided into different jobs, with each person performing one of the different jobs. (5)

1. Accountability
2. Confidentiality
3. Availibility
4. Integrity
5. Accountability