Pertemuan 5 dan 6 keamanan ecommerce

Download Report

Transcript Pertemuan 5 dan 6 keamanan ecommerce 

Keamanan ecommerce






Kemajuan infrasutruktur sistem komunikasi
Meledaknya sistem perdagangan global
Sistem perdagangan real time
Meningkatkan rasa pengertian/penghargaan terhadap
segala resiko yang mungkin terjadi
Tersedianya teknologis sistem keamanan (security)
Sistem keamanan sebagai aset yang berharga

Security Policy (Kebijaksanaan keamanan yang
digunakan) merupakan satu set aturan yang diterapkan
pada semua kegiatan-kegiatan pengamanan dalam
security domain. Security domain merupakan satu set
sistem komunikasi dan computer yang dimiliki oleh
organisasi yang bersangkutan.

- Authorization (Otorisasi) berupa pemberian kekuatan
secara hukum untuk melakukan segala aktifitasnya


Accountability (kemampuan dapat diakses) memberikan
akses ke personal security.
- A Threat(ancaman yang tidak diinginkan) merupakan
kemungkinan-kemungkinan munculnya seseorang,
sesuatu atau kejadian yang bisa membahayakan aset
berharga khususnya hal-hal yang berhubungan dengan
confidentiality, integrity, availability dan legitimate use.
- An Attack(serangan yang merupakan realisasi dari
ancaman), pada system jaringan computer ada dua
macam attack, yaitu passive attack dan active attack.
- Safeguards(pengamanan) meliputi control fisik, mekanisme,
kebijaksanaan dan prosedur yang melindungi informasi berharga
dari ancaman-ancaman yang mungkin timbul setiap saat.
- Vulnerabilities(lubang-lubang kemaan yang bisa ditembus)
- Risk(resiko kerugian) merupakan perkiraan nilai kerugian yang
ditimbulkan oleh kemungkinan adanya attack yang sukses.
- Risk Analysis(analisa kerugian) merupakan proses yang
menghasilkan keputusan apakah pengeluaran yang dilakukan
terhadap safeguards benar-benar bisa menjamin tingkat keamanan
yang diinginkan.


Layanan transaksi online yang berkembang sangat pesat
membuat pengguna layanan tersebut semakin beragam
Beberapa orang memanfaatkan terbatasnya
pengetahuan pengguna transaksi online dari kalangan
masyarakat yang tidak
Layanan transaksi online ada dua macam
1. online banking
2. pembelian online
online banking
- Untuk online banking dilihat dari sisi bank
sebagai penyedia layanan yang seharusnya
meningkatkan keamanaannya


Online banking dilengkapi dengan dua tahap keamanan
•
Pertama melalui pin untuk masuk ke account
pengguna
• Kedua melalui One Time Pad key untuk melakukan
transaksi finansial.
Kemungkinan terburuk bagi pelanggan adalah
accountnya dibajak, tetapi kerugian finansial dapat


Kunci tersebut diwujudkan dalam kombinasi angka yang
digenerate oleh alat khusus ataupun dalam bentuk
printout disediakan oleh bank untuk setiap pelanggan
yang penggunaan kuncinya hanya satu kali pakai.
Histori transaksi non finansialpun untuk beberapa bank
bisa diliat sehingga bisa dilacak apakah ada login yang
bukan oleh nasabah sehingga nasabah bisa cepat
melapor jika accountnya terbajak.


Untuk
transaksi
pembelian
online
biasanya
menggunakan kartu kredit sebagai alat transaksi.
Biasanya penyedia layanan memakai protokol https
untuk mengamankan proses trnasaksi.
Kartu kredit mempunyai keamanan yang lebih lemah
dibandingkan dengan online banking. Jika data yang
terkirim tersebut terbajak dan dapat dibaca oleh orang
maka orang lain dapat memanfaatkan sebelum sampai si
pemilik
sadar
bahwa
kartu
kreditnya
telah
disalahgunakan oleh orang lain


Dengan protokol https sebenarnya cukup aman karena
data yang dikirimkan terenkripsi sehingga orang yang
mengamati lalu lintas trafik data tersebut akan
mendapati data acak terenkripsi.
Banyak layanan yang menambahkan keamanan dengan
menggunaka Secure Socket Layer sehingga komunikasi
tingkat socket juga terenkripsi seperti dengan teknologi
yang disediakan oleh VeriSign.

Dengan menggunakan metode ini maka passive sniffing
dengan perangkat lunak yang digunakan untuk
menyadap paket yang dikirimkan dari komputer ke
server dapat diminimalkan resikonya karena si penyadap
hanya akan mendapatkan data terenkripsi
1.
Tidak melakukan transaksi online pada warnet
ataupun area public hotspot. Kemungkinan
pemasangan keylogger ataupun sniffing sangat besar
pada wilayah publik.
2.
Menggunakan virtual keyboard untuk meminimalkan
serangan hardware keylogger, inipun dilakukan jika
memang terpaksa harus melakukan transaksi online di
area umum.
3.
Mengupdate antivirus untuk meminimalkan serangan
software keylogger. Penggunaan firewall juga
membantu untuk masalah ini.
4.
Meneliti dengan benar alamat web penyedia layanan
transaksi online untuk meminimalkan salah ketik yang
menyebabkan kita terkoneksi ke web yang salah.
Banyak
yang
melakukan
modus
ini
untuk
mendapatkan data rahasia kita.
5.
Menggunakan ARP Cache static untuk meminimalkan
serangan penyadap yang mengelabuhi koneksi kita ke
gateway.
6.
Hanya melakukan transaksi dengan penyedia layanan
terpercaya dan selalu melihat protokol yang digunakan
(https) dan mengamati apakah penyedia layanan
tersebut menggunakan komunikasi SSL. Dalam banyak
kasus banyak toko online yang sebenarnya hanya
digunakan untuk mendapatkan data rahasia si
pelanggannya.
7.


Menggunakan browser yang mempunyai keamanan
cukup baik seperti firefox dan chrome
Pengecekan histori transaksi online banking dan
rekening tagihan kartu kredit akan membantu kita
mengetahui secara dini penyalahgunaan account kita
sehingga dapat dengan segera melakukan pemblokiran.
http://dhidik.wordpress.com/2010/05/26/k
eamanan-transaksi-online/



Setelah selesai menggunakan layanan toko online , kita
harus memastikan telah keluar dari layanan tersebut
(log out0 sebelum browser atau meninggalkan komputer
yang digunakan
Kita harus menjaga dengan aman informasi tentang user
id dan password milik kita
Komputer dilengkapi antivirus yang selalu aktif atau up
to date. Antivirus akan mencegah masuknya virus
spyware yang dapat merekam dan mencuri data-data
kita
Serangan pada password
Login adalah pintu utama untuk masuk ke dalam sistem,
karena itu seharusnya pemilik sistem memiliki kunci
yang unik untuk membukanya. jika kunci yang
digunakan tidak unik dan mudah di buat, maka pintu
yang pintu yang pital ini dapat di te mbus hanya dengan
menebak-nebak ataupun menggunakan metode Bruce
Force attack.
Social engineering
Contoh metode ini adalah sering anda lihat pada
kehidupan sehari-hari pada saat mendapatkan SMS atau
Telepon yang menyatakan
mendapatkan hadiah
tertentu,dengan memberikan sejumlah dana atau
informasi yang bersifat Confidential
man in the midle
Misalnya : dua orang sedang asyik berkomunikasi
menukar informasi melalui sebuah jalur, tidak di sangka
bahwa seorang Hacker telah mencegat pesan yang lalu
lalang, hacker tersebut kemudian dapat membaca,
memodifikasi
terhadap
paket
tersebut
dan
mengirimkannya kembali pesan yang telah berubah
tersebut kepada korban
Sniffing
Mirip dengan metode Man in the midle, metode
sniffing mengambil paket data yang lewat. haya
saja sniffing bersikap pasif dan tidak melakukan
modifikasi terhadap paket tersebut melainkan
mengambil dan mengnalisinya
Web Defacement
Serangan ini umjumnya tidak berbahaya hanya
mengubah tampilan web, tetapi tetap tergolong
sebagai tindak perusakan (vandalisme). web
defacement
kadang
dilatar
belakangi
oleh
kepentingan politik atau agama.


Sumber: http://id.shvoong.com/internetand-technologies/websites/1927576bentuk-bentuk-ancamanhacker/#ixzz1R7E3ZrdH
http://www.ertristiyanto.wordpress.com/201
0/03/22/keamanan -data-dalam-transaksidi - internet