ANALISIS KEBUTUHAN KEAMANAN INFORMASI MENGGUNAKAN METODE SQUARE PADA APLIKASI REMITTANCE 1) 2) Sandy Martsanto , Galih Nabihi

  1)2)

  Program Studi Magister Ilmu Komputer Pascasarjana

  Universitas Budi Luhur

  Jl. Ciledug Raya, Petukangan Utara, Jakarta Selatan 12260 Indonesia

  1) 2)

  sandy.martsanto@gmail.com , galih.nabihi@gmail.com

  ABSTRAK

  Kebutuhan jasa pengiriman uang (remittance) dewasa ini semakin pesat, tidak hanya lingkup dalam negeri namun sudah merambah antar negara, kepercayaan nasabah terhadap penyedia layanan remittance adalah kunci utama dalam perkembangan bisnisnya, hal tersebut dilatar belakangi oleh infrastruktur keamanan yang mumpuni, jaminan terhadap keberhasilan pengiriman uang kepada penerima dan ketersediaan layanan sepanjang waktu. Analisa kebutuhan rekayasa keamanan informasi menggunakan metodologi Security Quality Requirement

  Engineering (SQUARE) yang dikembangkan oleh Nancy Mead dan tim. Proses pada SQUARE menyediakan arti penting untuk elisitasi, kategorisasi, dan prioritas kebutuhan keamanan terhadap aplikasi teknologi informasi.

  Metode ini terdiri dari 9 tahapan yang selanjutnya akan memberikan hasil berupa ditemukannya kelemahan- kelemahan pada sistem Remittance lebih awal untuk kemudian dijadikan sebagai rekomendasi dalam memperbaiki kelemahan sistem. Kata Kunci: remittance, SQUARE, keamanan

  ABSTRACT The need for money transfer (remittance) nowadays more rapidly, not only the scope of the country but has already between countries, customer confidence in the providers of remittance services is a key element in the development of its business, it is against the background by the security infrastructure are qualified, guarantee the success of remittance to the recipient and service availability. Analysis of information security engineering needs using methodology Security Quality Requirements Engineering (SQUARE) developed by Nancy Mead and team. The process of the SQUARE presents significance for elicitation, categorization, and priority security needs of the system and the application of information technology. This method consists of 9 stages will return the discovery of weaknesses in the system Remittance early to later serve as a recommendation to improve the weaknesses in the systems. Keywords: remittance, SQUARE, security

  Copyright © 2016 FIKOM – UNASMAN

  39 Copyright © 2016 FIKOM – UNASMAN

  1. PENDAHULUAN

  7. Server Bugs dan

  diperlukan dalam rangka implementasi pada komponen inti.

  case, yang akan menyediakan semua yang

  Metodologi yang digunakan dalam penelitian ini adalah metodologi SQUARE yang terdiri dari 9 tahapan proses untuk membantu menganalisa kebutuhan keamanan sistem informasi, tahapan proses itu antara lain: Tahap 1: Agree on Definition Mendeskripsikan aplikasi yang akan direkayasa dan mendefinisikan serta menyepakati istilah keamanan informasi untuk aplikasi yang akan di analisa. Tahap 2: Identify Security Goals Menganalisis tujuan dan persyaratan keamanan sistem yang diperlukan oleh perusahaan untuk memastikan keamanan secara menyeluruh terhadap ketersediaannya (availability). Tahap 3: Develop Artefact Menjelaskan secara detil arsitektur sistem remittance yang sedang direkayasa. Tahap 4: Perform Risk Assesment Melakukan Risk Analysis Assesment secara kualitatif dan bertahap Tahap 5: Select Elicitation Technique Pengumpulan data terkait kondisi sistem secara menyeluruh dan komprehensif baik melalui metode observasi, analisa use case dan studi pustaka. Tahap 6: Elicit Security Requirement Dari hasil observasi, analisa use case dan studi pustaka kemudian dibuat kedalam bentuk daftar kebutuhannya. Tahap 7: Categorize Requirement Membuat daftar kategorisasi dan rekomendasi secara detil terhadap arsitektur dan kebijakan persyaratan penerapan keamanan sistem. Tahap 8: Prioritize Requirement Membuat daftar prioritas arsitektur dan kebijakan persyaratan penerapan keamanan sistem. Tahap 9: Requirement Inspection Membuat daftar kategori dan memberikan rekomendasi detail terhadap arsitektur dan kebijakan persyaratan penerapan keamanan system serta keseluruhan solusi teknis yang ada kemudian diteliti berdasarkan pada tingkatan prioritas misuse

  3. METODE PENELITIAN

  dikembangkan di Carnegie Mellon University. Proses ini akan menghasilkan kategorisasi dan memprioritaskan kebutuhan keamanan untuk sistem. Fokus dari metodologi ini adalah untuk membangun konsep keamanan dalam tahapan awal dari siklus rekayasa sistem. Model ini juga dapat digunakan untuk mendokumentasikan dan menganalisis aspek keamanan sistem dalam hal perbaikan maupun improvisasi dan modifikasi sistem dimasa depan.[1]

  Security Quality Requirements Engineering (SQUARE) adalah model proses yang

  Diketahui bahwa aplikasi electronic banking merupakan aplikasi yang sifatnya online dan dapat diakses secara bebas menggunakan media internet, sama dengan mekanisme sistem remittance.

  8. Super User Exploits

  6. Denial of Service Attacks

  Kebutuhan akan jaminan kecepatan dan ketepatan pengiriman uang antar nasabah yang berbeda negara sangatlah dibutuhkan dalam era sekarang ini. Objek studi kasus pada penelitian ini adalah sistem pengiriman uang (remittance) pada salah satu perusahaan di Jakarta. Sistem ini dibangun untuk melayani transaksi remittance dari luar ke dalam negeri maupun sebaliknya. Aplikasi remittance ini rentan terhadap beberapa serangan karena berkaitan dengan transaksi uang. Seringkali persyaratan keamanan dalam rekayasa sistem dibuat berdasarkan template atau pola standar, tidak berdasarkan pada analisa kebutuhan sesungguhnya.

  5. Trojans

  4. Password Cracking

  3. Packet Sniffer

  2. Port Scanner

  1. Social Engineering

  banking, diantaranya adalah:

  Dalam menelaah dokumen persyaratan rekayasa perangkat lunak seringkali menemukan bagian tersendiri perihal persyaratan keamanan yang di buat secara generic. Kecenderungan persyaratan yang di dokumentasikan bersifat umum seperti proteksi password, firewall, deteksi virus dan sejenisnya. Persyaratan elisitasi dan analisis yang sangat diperlukan untuk mendapatkan rangkaian kebutuhan keamanan yang lebih baik sangat jarang. Bahkan ketika itu ada, dari sepuluh persyaratan tersebut dikembangkan secara terpisah dari sisa kegiatan rekayasa dan tidak terintegrasi dengan kegiatan utama proses rekayasa. Akibatnya, persyaratan keamanan yang khusus untuk yang memberikan perlindungan layanan dan aset sering diabaikan.[1] Menurut Curtis Coleman, tingginya kerentanan terhadap suatu perusahaan besar yang memiliki jaringan luas adalah pada aplikasinya. Keamanan banyak terfokus pada antivirus dan keamanan jaringan, tapi bagian yang amat penting dari transaksi bisnis adalah aplikasi dan data utama.[2] Banyaknya pengembang aplikasi yang mengabaikan tentang arti penting kebutuhan analisa keamanan sebelum melakukan rekayasa perangkat lunak menjadi ironi pada era teknologi yang begitu pesat ini. Menurut Omariba, Masese dan Wanyembi[3], ada beberapa jenis serangan terhadap aplikasi electronic

  2. LANDASAN TEORI

  4. HASIL DAN PEMBAHASAN Dalam melakukan analisa kebutuhan keamanan menggunakan metodologi SQUARE terdapat 9 tahapan yang dimulai dengan Agree on Definitions,

  Identify Security Goals, Develop Artefact, Perform Risk Assessment, Select Elicitation Technique, Elicit Security Requirement, Categorize requirement, Prioritize Requirement dan tahap

  terakhir yaitu Requirement Inspection.

  Tahap 1 Agree on Definitions

  Definisi setiap istilah yang akan disepakati diantaranya: a. Antivirus Software, sebuah program yang akan mencegah, mendeteksi dan memulihkan infeksi

  malware pada perangkat komputasi individu

  dan sistem IT.[4] Gambar 1. Arsitektur Sistem

  b. Authentication, dalam konteks sistem komputer, otentikasi adalah proses yang menjamin dan menegaskan identitas pengguna.[5]

  c. Brute Force Attack, upaya untuk menemukan password dengan sistematis mencoba setiap kemungkinan kombinasi huruf, angka dan simbol sampai ditemukannya satu kombinasi benar dan bekerja.[6]

  d. Denial of Service Attack, secara umum adalah sebuah serangan dengan cara menghabiskan Gambar 2. Topologi Jaringan sumber daya target secara langsung maupun tidak langsung dalam jaringan sehingga _{Unauthorized Access Attack} berdampak negatif terhadap kontinuitas layanan.[7]

  e. Hacker, adalah seseorang yang melakukan OR eksploitasi terhadap kerentanan pada aset bisnis yang bernilai tinggi.[8] WebService Attack Unauthorized Login Pencurian Data Login

  Tahap 2 Identify Security Goals OR OR OR

  Analisa tujuan keamanan sistem Remittance adalah _{Spoofing Password Terlalu Password terbaca} untuk memastikan availibilitas dan kontinuitas SQL Injection Bruteforce Attack Keylogger _{Webservice Mudah pada saat diketik} seluruh layanan sistem Remittance aman. _{DOS Attack} Tujuan Keamanan :

  a. Melakukan kontrol terhadap konfigurasi Gambar 3. Attack Tree Aplikasi Remittance pendayagunaannya b. Terjaminnya kerahasiaan, akurasi dan integritas data dan informasi c. Terjaminnya ketersediaan seluruh layanan _Login sistem _{Set Currecy Supervisor}

  Tahap 3 Develop Artefact

  Dalam tahapan ini difokuskan pada analisa _{Tambah Sender} arsitektur sistem remittance diantaranya: _{Operator Admin Tambah Penerima Transfer}

  Settlement Report _{User managemnt}

  Gambar 4. Use Case Diagram Aplikasi Remittance

  Copyright © 2016 FIKOM – UNASMAN

  Copyright © 2016 FIKOM – UNASMAN

  dimasukan tidak valid

  Nama use

  case

  Tambah data pengirim dan penerima Deskripsi Use case ini adalah tahapan untuk mendambah data pengirim dan penerima sebelum pengirim mengirim uang

  Aktor Operator,supervisor,admin,

  database

  Pra – kondisi 1. operator/supervisor/admin memiliki akses ke sistem 2. operator/supervisor/admin menginput data sesuai yang di isi nasabah pada form

  Tindakan 1. operator/supervisor/admin memiliki akses ke sistem 2. operator/supervisor/admin menginput data sesuai yang di isi nasabah pada form 3. operator/supervisor/admin mengetahui rekening tujuan atau data penerima dan pengirim valid 4. sistem meng-input kedalam database

  Paska-kondisi Data terekam kedalam sistem Alternatif Jika data tidak valid, akan muncul data bahwa rekening yang dituju tidak ada (untuk

  cashtoaccount) dan data yang

  Item Deskripsi

  Alternatif Jika data registrasi gagal divalidasi, maka kembali kehalaman utama login

  Nama use

  case

  Transfer Deskripsi Use case ini adalah tahapan untuk pengiriman uang Aktor Operator,supervisor,admin,

  database

  Pra – kondisi 1. sudah melakukan step tambah pengirim dan penerima dan sukses

  2. data tervalidasi dengan baik Tindakan 1. operator/supervisor/admin memiliki akses ke sistem

  2. operator/supervisor/admin meng-input data sesuai yang di isi nasabah pada form

  3. operator/supervisor/admin mengetahui data valid dan proses sebelumnya sukses

  4. uang ditransfer dikirim ke penerima Paska- kondisi

  Item Deskripsi

  2. Session dan Cookie dibuat Paska-kondisi operator/supervisor/admin dikenali sebagai member sistem sukses redirect ke halaman home

  Tabel 1. Deskripsi Use Case Customer Data Tabel 2. Deskripsi Use Case Login

  Paska-kondisi Nasabah diharapkan mengisi from dengan benar dan data yang valid

  Tabel 3. Deskripsi Use Case Pengirim dan Penerima

  Tabel 4. Deskripsi Use Case Transfer

  Item Deskripsi

  Nama use

  case

  Fill Customer Data Deskripsi Use case ini memungkinkan customer mengisi data pribadi dan data – data penerima yang ingin dikirimkan uang

  Aktor Customer Pra – kondisi

  1. Pengunjung mengisi form yang disediakan Tindakan 1. nasabah mengisi data pribadi

  2. mengisi data pengirim 3. mengisi data penerima 4. mengisi nominal yang akan ditransfer

  Alternatif Jika ada data yang tidak sama atau nasabah diduga buronan/teroris maka transaksi akan dibatalkan

  Tindakan 1. operator/supervisor/admin mengakses URL web

  Item Deskripsi

  Nama use

  case

  Login Deskripsi Use case ini adalah tahapan awal

  operator/supervisor/admin

  untuk menggunakan fitur dari sistem ini Aktor Operator,supervisor,admin,

  database

  Pra – kondisi 1. operator/supervisor/admin memiliki akses internet 2. operator/supervisor/admin memiliki web browser 3. operator/supervisor/admin mengetahui URL web 4. operator/supervisor/admin mendapat akses kedalam ACL

  system

  Uang dikirim ke nasabah penerima Alternatif Jika transaksi gagal maka transaksi akan diulang kembali

  _{Login Threatens Level Descriptor Description mitigate} Still other customer data/ unauthorized access _Customer

  Tidak lebih dari 1 _{Use password encryption} Low Jarang _{Set Currecy Threatens SQL injection , peningkatan hak akses login} tahun sekali _Threatens Kadang – _{Tambah Sender mitigate} Medium 1-3x setahun _{Operator Threatens} kadang _{<<include>> Spofing data transaction (modification amount and customer data) Tambah Penerima Menerapakan Metode Kriptrografi} High Sering Lebih dari 3x setahun _{Supervisor <<include>> Digital Signature and Encryption data Transfer Threatens mitigate} Tabel 7. Likelihood _{<<include>> <<include>> Settlement Report mitigate Threatens Modification data report hacker} Level Descriptor Description _{SysAdmin <<include >> Double authentication dan data hash User managemnt Peningkatan hak akses login} Low Jarang Nihil _Threatens Kadang – _mitigate Medium Dibawah 500jt _{Implement DMZ dan penggunaan Firewall} kadang

  High Sering Diatas 500jt

  Gambar 5. Misuse Case Aplikasi Remittance (MU-01)

  Tabel 8. Impact Pada gambar tersebut mengidentifikasi potensi dan pola serangan yang akan dilakukan orang yang tidak bertanggung jawab terhadap aplikasi ini, dalam diagram ini pula disertakan bentuk mitigasi yang direkomendasikan.

  Tahap 4 Perform Risk Assesment

  Dalam tahapan ini akan dilakukan risk analysis

  assesment secara kualitatif dimana tahapannya

  sebagai berikut:

  Assets Description

  Sistem Apps Sistem informasi Pengiriman Tabel 9. Risk Description Identify Uang (500jt)

  Infrasucture Data Center (800jt) Data Customer Data Account Number

  dll etc Gedung, Internet dll Tabel 5. Identify Asset

  Tabel 10. Qualitative Risk Analysis Matrix

  Security Issue Description

  Gedung Gempa bumi,

  Tahap 5 Select Elicitation Technique

  kerusuhan, Banjir Pada tahapan ini akan dipilih beberapa teknik

  Server dan perangkat Kebakaran, elisitasi dalam melakukan analisa kebutuhan hardware Gempa bumi, keamanan untuk sistem remittance, teknik

  Pencurian observasi langsung ke kantor perusahaan untuk Internet Penggalian mendapatkan informasi yang lebih komprehensif pipa/jalan, dan menganalisa serta memberikan rekomendasi Pencurian, Gampa bentuk mitigasi dalam diagram misuse case dan Banjir (Gambar 5.MU-01) serta beberapa studi literatur. Data Nasabah Kerusakan

  Data,Pencurian

  Tahap 6 Elicit Security Requirement

  Data,Manipulasi Dari hasil observasi, analisa misuse case dengan

  Data rekomendasi mitigasinya serta studi literatur, Sistem Informasi Manipulasi data, langkah selanjutnya adalah membuat daftar dalam Pengiriman Uang UnAuthorized tabel requirements sebagai berikut:

  access, DoS, spoofing dll

  Tabel 6. Type Security Issue

  Copyright © 2016 FIKOM – UNASMAN

  5. PENUTUP Kesimpulan

  Dari hasil penelitian, penulis dapat menyimpulkan bahwa metodologi SQUARE sangat membantu dalam menganalisa sekaligus memberikan rekomendasi terhadap kebutuhan keamanan sistem yang bertujuan untuk menjaga availibilitas dan kontinuitas serta integritas sistem remittance.

  Tabel 11. List Requirements

  [1] N. Mead, “How to compare the Security

  Tahap 7 Categorize Requirement

  Quality Requirements Engineering Dari daftar requirements pada tahap sebelumnya,

  (SQUARE) method with other methods,” keamanan sistem dapat dikategorisasikan sebagai

  C. Softw. Eng. Inst., no. Carnegie Mellon

  berikut: University, 2007.

  [2]

  C. Coleman, “Case Study: An Evolution of Putting Security into SDLC,” 2001, p. 3. [3] Z. B. Omariba, N. B. Masese, and G.

  Wanyembi, “Security and Privacy of Electronic Banking,” Int. J. Comput. Sci. Tabel 12. Categorize Requirement Issues, vol. 3, no. 3, p. 262, 2013.

  [4] J. Harris, “Antivirus Software,”

  Tahap 8 Prioritize Requirement TechTarget, 2005. [Online]. Available:

  Dari kategorisasi pada tahap sebelumnya, maka http://searchsecurity.techtarget.com/definiti dapat disusun kebutuhan prioritas terhadap on/antivirus-software. [Accessed: 02-Jun- keamanan sistem remittance seperti yang terdapat 2016]. pada tabel berikut:

  [5] Technopedia, “Authentication,”

  Technopedia, 2016. [Online]. Available:

  https://www.techopedia.com/definition/342 /authentication. [Accessed: 02-Jun-2016]. [6]

  G. Sowmya, D. Jamuna, and M. V. Reddy Tabel 13. Prioritize Requirements Krishna, “Blocking of Brute Force Attack,”

  Int. J. Eng. Res. Technol., vol. I, no. 6, Tahap 9 Requirement Inspection 2012.

  Membuat daftar kategori dan memberikan [7]

  V. Zlomislic, “Denial of Service Attacks : rekomendasi secara komprehensif terhadap An Overview,” 2014 9th Iber. Conf. Inf. arsitektur dan kebijakan persyaratan penerapan Syst. Technol., no. Faculty of Electrical

  Engineering and Computing University of keamanan sistem remittance. Semua solusi teknis yang ada kemudian diteliti berdasarkan pada Zagreb, 2014. tingkatan prioritas misuse case, yang akan [8]

  V. Polic, “Ethical Hacking: The Next Level menyediakan semua yang diperlukan langkah demi or the Game Is Not Over?,” ISACA J., vol. langkah keamanan dan teknis dalam rangka 4, no. ISACA, pp. 4–6, 2014. implementasi pada komponen inti, berikut implementasinya

  Tabel 14. Requirement Inspection

  Copyright © 2016 FIKOM – UNASMAN