Ancaman keamanan:
● Leakage (Kebocoran) : pengambilan informasi oleh penerima yang tidak berhak
● Tampering : pengubahan informasi yang tidak legal
● Vandalism (perusakan) : gangguan operasi sistem tertentu. Sipelaku tidak mengharap keuntungan apapun.
● Serangan pada sistem terdistribusi tergantung pada pengkasesan ke saluran komunikasi yang ada atau membuat saluran baru yang menyamarkan (masquerade) sebagai koneksi legal
● Penyerangan Pasive, Hanya mengamati komunikasi atau data
● Penyerangan Aktif, Secara aktif memodifikasi komunikasi atau data
> Pemalsuan atau pengubahan Email
> TCP/IP Spoofing
Beberapa Metode Penyerangan
● Eavesdropping, mendapatkan duplikasi pesan tanpa ijin
● Masquerading, Mengirim atau menerima pesanmenggunakan identitas lain tanpa ijin mereka
● Message tampering,
Mencegat atau menangkap pesan dan mengubah isinya sebelum dilanjutkan ke penerima sebenarnya. “man-in-the-middle attack” adalah bentuk message tampering dengan mencegat pesan pertama pada pertukaran kunci enkripsi pada pembentukan suatu saluran yang aman. Penyerang menyisipkan kunci lain yang memungkinkan dia untuk mendekrip pesan berikutnya seelum dienkrip oleh penerima.
● Replaying, menyimpan pesan yang ditangkap untuk pemakaian berikutnya.
● Denial of Service, membanjiri saluran atau sesumber lain dengan pesan yang bertujuan untuk menggagalkan pengaksesan pemakai lain Keamanan Transaksi Elektronik Keamanan sangat dibutuhkan pada kebanyak transaksi, yaitu :
• E-commerce
• Banking
Transaksi elektronik dapat aman jika dilindungi dengan kebijakan dan mekanisme keamanan. Contoh : Pembeli harus dilindungi terhadap penyingkapan kode credit number selama pengiriman dan juga terhadap penjual yang tidak bersedia mengirim barang setelah menerima pembayaran. Vendor harus mendapatkan pembayaran sebelum barang dikirim, sehingga perlu dapat memvalidasi calon pembeli sebelum memberi mereka akses
Kebijakan dan Mekanisme Keamanan
>>> Pemisahan antara kebijakan dan mekanisme keamanan akan membantu memisahkan kebutuhan implementasinya : • Kebijakan menspesifikasikan kebutuhan
• Mekanisme menerapkan spesifikasi kebijakan tersebut
>>> Berdasar spesifikasi dari OSI, sebuah layanan (kebijakan) keamanan
meliputi :
• Access Control, Perlindungan terhadap pemakaian tak legak
• Authentication, Menyediakan jaminan identitas seseorang
• Confidentiality (kerahasiaan), Perlindungan terhadap pengungkapan identitas tak legak
• Integrity, Melindungi dari pengubahan data yang tak legak
• Non-repudiation (penyangkalan), Melindungi terhadap penolakankomunikasi yang sudah pernah dilakukan
Untuk mencapai layanan keamanan tersebut, mekanisme-mekanisme
yang dapat diterapkan :
• Enkripsi
Digunakan untuk menyediakan kerahasiaan, dapat menyediakan authentication dan perlindungan integritas.
• Digital Signature
Digunakan untuk menyediakan authentication, perlindungan integritas, dan non-repudiation
• Algoritma Checksum/Hash
Digunakan untuk menyediakan perlindungan integritas, dan dapat menyediakan authentication
• Satu atau lebih mekanisme dikombinasikan untuk menyediakan security service
