IT Security - Task

Dosen : Ir. Herman Josep K, M. Kom.,CISA,CISSP,CEI,CEH,EDRP

1. Ceritakan secara singkat (dalam satu halaman) perihal CIA (Confidentiality, Integrity, dan Avaibility) dalam kaitannya dengan IT Security.

Jawab:
Dalam IT security CIA merupakan suatu syarat yang harus terpenuhi bahwa sebuah IT tersebut tersecurity/aman.
Confidentiality /kerahasiaan, dalam keamanan IT jelas sesuatu yang berkaitan dengan keamanan harus merupakan rahasia dari pihak-pihak yang tidak berhak mengakses IT (baik data, hardware maupun software). Kerahasiaan ini begitu pentingnya karena, setiap data/informasi sangat bernilai bagi pihak tertentu, dan merupakan modal bagi pihak tersebut untuk melakukan sesuatu.
Kerahasiaan ini salah satu implementasinya adalah dengan memberikan hak akses tertentu bagi pihak-pihak yang terkait dengan memberikan key/password untuk mengakses IT. Dan ini akan melindungi pihak yang memiliki data tersebut, dan merasa aman.
Data/alat IT yang dirahasiakan tersebut dilindungi tidak hanya dari sisi agar data tersebut tidak hilang saja, tetapi terlindungi juga dari modifikasi data dan kerusakan data. Selain confientialy/kerahasiaan, factor lain yang menjadikan suatu informasi akan lebih bernilai adalah integritas.
Integritas, yaitu informasi harus akurat, lengkap dan dilindungi dari modifikasi yang tidak syah, jadi informasi yang ada harus merupakan informasi yang akurat, yang benar serta lengkap dan terlindung dari modifikasi yang tidak syah. Suatu informasi yang terintegritas sangat bernilai bagi pemilik informasi tersebut, tingkat intgeritas sautu informasi merupakan harga mati, mau tidak mau informasi yang baik adalah yang memenuhi criteria tersebut. Selain kerahasiaan dan integritas factor lain yang mendukung adalah avaibility.
Avaibility / ketersediaan, dalam hal ini yaitu ketersediaan informasi, system dan sumber daya yang diperlukan dalam suatu waktu sehingga produktivitas tidak terpengaruh, dengan kata lain Informasi siap dan dapat digunakan ketika diperlukan. Ketersediaan ini mutlak diperlukan, dengan tersedianya informasi, system dan sumberdaya, maka kebutuhan akan informasi akan dengan mudah terpenuhi, sehingga dapat membantu pihak terkait untuk melakukan sesuatu atau mengambil suatu keputusan.
Ketiga factor di atas, yaitu confidentiality/kerahasiaan, integritas dan avaibility (CIA) merupakan factor mutlak yang harus dipenuhi dalam menjaga data/informasi serta sumber daya IT(hardware/software) agar lebih bernilai. Ketiganya sangat erat kaitannya. Tanpa salah satu dari ketiga tersebut, nilai nya akan berkurang. Jadi inti atau kesimpulannya adalah bahwa data / informasi tersebut harus memenuhi syarat di atas, yaitu :
- Informasi hanya untuk mereka yang berhak untuk mengetahui
- Informasi benar, akurat, lengkap dan terlindung dari modifikasi yang tidak syah
- Pertukaran informasi yang mencakup transaksi bisnis yang dapat dipercaya
- Informasi yang siap dan dapat dipakai ketika diperlukan


2. Ceritakan pengertian Identification, Authentification, dan Authorization
Jawab:
a. Identifikasi merupakan proses pengenalan apakah seorang user tersebut terdaftar dalam directory user yang sudah dibuat sebelumnya oleh DBA atau belum.
b. Authentifiacation adalah proses pengecekan apakah user tersebut benar – benar user yang sudah terdaftar atau tidak, caranya yaitu dengan memasukkan password. Jika password tidak dikenal user walaupun sudah memasukkan user_id, user tersebut tidak bisa masuk ke sebuah aplikasi atau system jaringan, apalagi jika memang user tersebut tidak terdaftar, jelas user ini tidak akan dapat masuk ke dalam system aplikasi.
c. Authorize adalah izin bahwa seorang user boleh masuk atau mengakses apa saja ke dalam sebuah aplikasi. Baik mengakses suatu system/file/data tertentu ataupun hak akses terhadap operasi system/file/data tersebut. Misalnya seorang user hanya dapat mengakses data produk saja, dan pada data produk tersebut user tersebut hanya dapat melihat dan membeli produk tersebut, tidak bias menambah, manghapus atau mengubah data nya.

3. Apa perbedaan antara Symmetric key cryptography dan public key cryptography. Beri contoh masing – masing dua.
Jawab:
Symmetric key cryptography adalah kunci yang digunakan untuk proses enkripsi dan dekripsi, Kunci-kunci ini harus dirahasiakan. Oleh karena itulah sistem ini sering disebut sebagai secret-key ciphersystem. Pada Symmetric key cryptography kedua pihak menggunakan satu kunci untuk meng-enkripsi & men-dekripsi..



Pada method ini dibutuhkan sekumpulan kunci yang berbeda untuk setiap pengguna/mitra bisnis yang berbeda, dan jumlah kunci yang dibutuhkan adalah : N * (N-1) / 2 dengan n menyatakan banyaknya pengguna.


Contoh :
1. DES (Data Encryption Standard) merupakan salah satu metode lama yang digunakan dalam penyimpanan password, metoda ini sudah tidak biasa digunakan lagi, karena dengan mesin-mesin modern saat ini akan didapat kecepatan cracking yang tinggi, sekitar 800.000 lebih kombinasi password per detik pada komputer dengan prosessor Pentium 4 - 2,4 GHz, sehingga bila menggunakan metoda ini password akan relatif lebih mudah di-crack.
2. Advanced Encryption Standard (AES) menggantikan DES (launching akhir 2001), menggunakan variable length block chipper, key length : 128-bit, 192-bit, 256-bit, dapat diterapkan untuk smart card

Public key cryptography, metode kriptografi dengan menggunakan kunci yang berbeda untuk melakukan enkripsi dan dekripsi.
Untuk melakukan enkripsi menggunakan public key penerima
Untuk melakukan dekripsi menggunakan private key penerima

Setelah meng-enkripsi, pengirim tidak dapat melakukan dekripsi, dekripsi hanya dapat dilakukan oleh menerima. Dapat digambarkan sebagai berikut :



Contoh :
1. RSA
2. elliptical curve cryptosystem (ECC)





4. Apakah yang dimaksud dengan digital signature, digital certificate, certificate revocation list, dan certificate authority?
Jawab:
• Digital signature atau tanda tangan digital adalah kode digital yang dapat ditempelkan pada pesan dikirim secara elektronis yang menjadi identifikasi dari si pengirim pesan. Tujuan tanda tangan digital adalah untuk menjamin bahwa yang mengirimkan pesan itu memang benar-benar orang yang seharusnya.

• Digital certificate adalah sertifikat yang dikeluarkan oleh pihak yang dipercaya, misalnya Certificate Authority atau CA, yang berfungsi untuk mengenali identitas sebuah perusahaan atau individu dalam suatu jaringan. Sertifikat digital mengandung informasi nama identitas, kunci dasar (untuk enkripsi), dan pengesahan bentuk lain. Kunci dasar untuk CA turut disediakan untuk mengesahkan kebenaran sertifikat yang dikeluarkan tersebut. Sertifikat digital ini perlu terutama untuk membantu memberikan kepercayaan dengan melalui lembaga yang dipercayai tersebut.

• Certificate revocation list adalah : daftar sertifikat (lebih spesifiknya sebuah list dari nomor seri sertifikat-sertifikat) yang telah ditarik kembali/tidak sah lagi, dengan kata lain suatu dokumen yang dijaga dan publikasi oleh certification authority (CA) dan menampilkan daftar-daftar sertifikat yang ditarik kembali oleh certification authority (CA)

• Certificate authority adalah suatu lembaga yang bertugas dalam hal mempublikasi, mengatur, dan menarik suatu sertifikat yang digunakan dalam proses transfer data melalui internet.

5. Apakah bedanya antara Trivial Password dan Strong Password? Beri contoh masing – masing dua.
Jawab:
a. Trivial password adalah password yang dengan mudah ditebak oleh orang lain, karena password yang dibuat merupakan sesuatu yang dekat dengan user. Contohnya nama anak, tempat lahir, atau tanggal lahir.
b. Strong password adalah password yang kuat atau sulit untuk ditebak, karena password yang dibuat merupakan perpaduan antara berbagai karakter, kombinasi upper case dan lower case, angka serta symbol. Contohnya : buDimAn78?, AsC28He1Se.

6. Bila suatu password terdiri atas alphabetic, numeric , upper case, dan lower case character combination dan panjangnya 8 character, berapa lama diperlukan untuk brute force attack dengan menggunkan CPU power sebesar 10 MPS, bila dianggap setiap trial butuh 2 instructions CPU?

Jawab:
Dari soal di atas diketahui:
a. Panjang password = 8 karakter
b. Trial = 2 Instruksi
c. Power CPU = 10 MPS
Diketahui pula, jumlah numeric, alphabet capital dan alphabet kecil sebagai berikut :
a. Numeric = 10 angka
b. Alphabetic uppercase = 26 karakter
c. Alphabetic lowercase = 26 karakter
d. Sehingga jumlah kombinasi karakter = 62 karakter

Soal :
berapa lama diperlukan untuk brute force attack ?

Jawab :
• Jumlah karakter dengan panjang 8 karakter = 62 8 = 218340105584896 Karakter
• Dengan trial 2 instruksi = 218340105584896 x 2 = 436680211169792 Karakter
• CPU power 10 Mbps = 436680211169792 / 10000000 = 43668021.12 detik
= 12130,00587 jam



7. Ceritakan langkah langkah yang perlu dilakukan oleh sender dan receiver dari pengiriman suatu messege yang besar (10.000 characters) yang bersifat confidential dan melalui internet, dengan menggunakan digital signature dan sebagainya supaya mencegah non-reputation dan memastikan bahwa message integritynya dan confidentialitynya? (menggunakan symetric key atau sesion key maupun public key cryptography dan sebagainya)

Jawab:

Diketahui :
Besar message = 10 ribu karakter, sifat : rahasia
Transmisi menggunakan internet dengan menggunakan digital signature
Soal :
Langkah langkah yang perlu dilakukan oleh sender dan receiver dari pengiriman supaya mencegah non-reputation dan memastikan bahwa message integritynya dan confidentialitynya :

Jawaban :
Karena ukuran messagenya besar, termasuka didalamnya ada autentikasi dengan digital signature dan ditransmisikan melalui internet maka metodeyang cocok adalah dengan menggunakan kombinasi public dan symmetric key cryptography.
Langkah langkahnya adalah sebagai berikut :
• Pengirim mengirim sebuah dokumen message berbentuk plaintext
• Kemudian lakukan enkripsi dengan method public key – dihasilkan ciphertext
• Ciphertext ini lalu ditransmisikan melalui internet.
• Si penerima menerima dokumen message dalam bentuk ciphertext
• Kemudian dokumen message ciphertext tersebut di dekripsi menggunakan symmetric session key, dan kembali menjadi plaintext, dan dapat di baca oleh penerima.