Tweet
Tweet

Slide 1

Slide 1 text

Cyber Security Understanding #

Slide 2

Slide 2 text

# Yahya F. Al Fatih Head IT of Crowde 15 years experience in IT security 10 years as web developer 4 years in startup Wawadukan community WWWID writer

Slide 3

Slide 3 text

# Untuk memahami pondasi dari keamanan informasi kita perlu untuk memahami dari beberapa langkah yang akan di jelaskan terutama dari langkah langkah yang akan diterapkan, 5 langkah ini adalah pondasi dasara untuk memahami apa itu Cyber Security secara umum. Do you know the way ?

Slide 4

Slide 4 text

# Tahap ini adalah tahap tahap selanjutnya untuk memahami lebih dalam lagi apa arti dari Cyber Security, pada 5 Tahap ini akan akan dijelaskan lebih ke pemahaman teknis tentang apa yang harus di selesaikan sebagai Cyber Security Analyst, setelah dari semua tahap ini kita akan mudah dalam membuat laporan Temuan Its the long long way

Slide 5

Slide 5 text

5 Step 1 Perlindungan Informasi

Slide 6

Slide 6 text

Cyber Security Trend

Slide 7

Slide 7 text

Peraturan Kominfo Nomor 11 Tahun 2010 1 Pasal Nomor 36 Tahun 2014 1 Pasal Nomor 4 Tahun 2016 1 Pasal Nomor 11 Tahun 2016 3 Pasal Nomor 20 Tahun 2016 37 Pasal Peraturan Bank Indonesia No 20/6/PBI/2018 No 9/15/PBI/2007 Regulasi GDPR 7

Slide 8

Slide 8 text

3 Prinsip Ancaman Keamanan Informasi 8

Slide 9

Slide 9 text

Confidentiality 9 - Kerahasiaan data yang harus di amankan secara penuh karena data yang disimpan memiliki resiko besar jika pengguna lain melihat data ini Contoh - Pengguna yang memiliki ijin mendapatkan password dari pengguna lain sehingga mendaptkan hak akses data pengguna lain - Hacker melakukan bypass terhadap control system, hacker mampu mengambil data data yang bersifat resiko besar jika pengguna lain melihat data ini kerahasiaan

Slide 10

Slide 10 text

Integrity - Integritas tergantung kepada akses kontrol yang akan mengindentifikasi pengguna yang berusaha mengakses Tujuan Integritas - Mencegah pengguna yang tidak berhak mengubah data atau program - Menjaga konsistensi data dan program secara internal maupun eksternal Contoh - Perubahan data informasi publik oleh user biasa yang aslinya data informasi ini hanya dapat dirubah oleh user dengan level tertentu keutuhan

Slide 11

Slide 11 text

Availability - Jaminan bahwa sistem komputer dapat diakses oleh pengguna yang diijinkan ketika diperlukan Tujuan Integritas - Mencegah data tetap dapat diakses oleh user yang ditunjuk Contoh - Website masih tetap dapat diakses oleh user - Ancaman yang muncul biasanya aplikasi/ website tidak dapat diakses dikarenakan oleh serangan ketersediaan

Slide 12

Slide 12 text

1. Jangan Panik 2. Perlindungan Laptop/ PC sendiri itu penting 3. Privasi terancam 4. Jangan Menggunakan kamus password 5. Log mampu menangkap hacker 6. Jika tidak percaya perusahaan lain, gunakan NDA 6 Best practice Policy for newcomer

Slide 13

Slide 13 text

6 Best rules to campaign information security 13

Slide 14

Slide 14 text

Rule #1: objektif utama itu bukan “jangan kena hack”, objektif utama yang benar adalah “jangan sampai lawan mendapatkan informasi yang penting” Rule #2: keutuhan adalah sesuatu yang semua orang dapat di percaya Rule #3: use deception to lure the adversary out

Slide 15

Slide 15 text

Rule #4: use deception to consume the adversary’s analytic resources (hide your lake in an ocean) Rule #5: use deception to mitigate the damage of a penetration Rule #6: the way to fight trolls is with elves

Slide 16

Slide 16 text

16 Step 2 Internet Security

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

The Cost of Cybercrime 1. Financial gain was the motivation for half of cyber security attacks in 2018. (Source: ISACA) 2. The cost of cyber crime is expected to reach over $2 trillion by 2019. (Source: Juniper Research) 3. In 2016, cybercrime cost the global economy upwards of $450 billion. (Source: CNBC) 4. The cost of an average data breach in 2017 is actually down from previous years, hovering around $3.62 million. (Source: IBM) 5. $3 billion were lost in the last three years through email scams sent to over 400 companies every day. (Source: Symantec)

Slide 19

Slide 19 text

The Cost of Cybercrime cont 6. The cost of an average ransom climbed to nearly $50,000 in 2018, totally damage over $7,000,000 in 2018 7. Over 60% of Americans are willing to pay a ransom for internet extortion, almost twice as much as the global 34%. (Source: Symantec) 8. The White House plans to invest $19 billion in cyber security spending in 2017, up from $14 billion in 2016. (Source: Cybersecurity Ventures)

Slide 20

Slide 20 text

Risk and Vulnerabilites 1. Over 75% of all legitimate websites contain unpatched vulnerabilities. (Source: Symantec) 2. Over 80% of cyber attacks are perpetrated via weak or stolen passwords. (Source: Panda Security) 3. 44% of security alerts go uninvestigated due to the overwhelming amount of information received by security officers. (Source: Cisco) 4. Email is more dangerous than ever: one in 131 emails—the highest rate in five years—contain malware. (Source: Symantec) 5. Most cyber attacks happen in the middle of the work week, when scammers can easily contact prime targets via email. (Source: Rapid7)

Slide 21

Slide 21 text

Bisnis kecil yang menjadi korban 1. Over 40% of cyber attacks target small businesses. (Source: Small Business Trends) 2. 80% of businesses think they’ll experience a cyber attack sometime this year. (Source: ISACA)

Slide 22

Slide 22 text

No content

Slide 23

Slide 23 text

Internet Security 101 23

Slide 24

Slide 24 text

24 2018

Slide 25

Slide 25 text

Dimulai dari diri sendiri

Slide 26

Slide 26 text

HTTPS ?

Slide 27

Slide 27 text

VPN ?

Slide 28

Slide 28 text

Penggunaan Password

Slide 29

Slide 29 text

10 Jenis Password lemah 1. Tanggal Lahir, tanggal masuk kerja, tanggal jadian 2. urutan (qwerty, 12345, ABCDEF) 3. NIK, Nomor KTP, Nomor SIM, Nomor togel 4. yang berhubungan dengan pribadi (nama pacar, nama anak, dll) 5. cuman angka 6. karakternya pendek 7. Ditempelin di laptop

Slide 30

Slide 30 text

6 reason password rules are bullshit - can’t remember - Special F#C@ING char - Special word - Too long - Expired password - CAN’T REMEMBER 30

Slide 31

Slide 31 text

“ 31

Slide 32

Slide 32 text

- Do not set arbitary length limit (NIST standar is 256 character) - Never prohibit any special character - Allow paste and password manager - Always [salted] hash. Never store password using 2 way encryption - Offer two-factor authentication Handling Password 32

Slide 33

Slide 33 text

- Jangan menggunakan password yang kadaluarsa - Jangan pake rule aneh aneh - Jangan pake password hint New NIST Recommendation 33

Slide 34

Slide 34 text

“ People cannot create strong, unique password accross all their service using only their brain to remember 34

Slide 35

Slide 35 text

- haveibeenpwned.com - github “hapus password” - pastebin DUMP - https://haveibeenpwned.com/Passwords - https://haveibeenpwned.com/PwnedWebsites Password DUMP 35

Slide 36

Slide 36 text

Jika aplikasi/ webiste menyediakan 2FA, selalu gunakan 2FA

Slide 37

Slide 37 text

Selalu punya backup Apa yang harus di backup ? 1. Chat Penting 2. Email penting 3. Digitalisasi legal 4. Dokumen penting 5. Data kerjaan 6. Note 7. Photo/ Video phone Harus dimana di backup ? 1. google drive 2. mega storage 3. dropbox 4. skydrive

Slide 38

Slide 38 text

38 The hacker mind they have short life

Slide 39

Slide 39 text

39 To Understand About Robbery, Let’s Think Like a Thief

Slide 40

Slide 40 text

40

Slide 41

Slide 41 text

41 Target Alternate Target Fingerprint Vuln Scanning Injection Backdoor

Slide 42

Slide 42 text

42 apps flaw that hackers love to abuse yes, your apps is suck!

Slide 43

Slide 43 text

“ OWASP Top 10 - 2017 43

Slide 44

Slide 44 text

“ OWASP Top 10 - 2017 44

Slide 45

Slide 45 text

45 1. Vulnerable Packages

Slide 46

Slide 46 text

“ Most of your Apps Vulnerabilities Come from npm 46 > 375,000 packages > 70,000 publisher > ~14% of npm packages carry known vulnerabilities

Slide 47

Slide 47 text

“ 47

Slide 48

Slide 48 text

“ Do you have any solution ? :( 48 > Dependencies Vulnerability scanner > re-check for every new feature is pushed > Manually Check Exploit database > patch~ > update~

Slide 49

Slide 49 text

49 2. Vulnerable Code

Slide 50

Slide 50 text

50 A1 - Injection SQL Injection Injection Flaw, yang berasal pada umumnya di SQL, OS, LDAP muncul disaat data serangan yang dikirimkan adalah data yang valid sebagai command. Penyerang mampu mengeksekusi “tricky query/ command” yang dapat disalahgunakan oleh penyerang untuk mendapatkan data apapun tanpa perlu autorisasi.

Slide 51

Slide 51 text

Definisi > Spesifik fungsi dengan kebutuhan informasi/ data berasal dari input user, informasi/ data tersebut bersifat "tidak aman" secara default 51

Slide 52

Slide 52 text

52 Attack

Slide 53

Slide 53 text

53 A2 - Broken Authentication Terkadang fungsi aplikasi tidak terimplementasi dengan baik pada bagian otentikasi yang berisko terhadap identitas user digunakan oleh orang lain. Penyerang mampu melakukan fungsi pada user aktif tersebut dan melakukan manipulasi data atau melakukan “breach” data pada user tersebut.

Slide 54

Slide 54 text

54

Slide 55

Slide 55 text

55 Attack

Slide 56

Slide 56 text

“ Kapan Menggunakan HTTPS ? AKA Secure HTTP 56

Slide 57

Slide 57 text

“ ALWAYS! Every Site, Every Request 57

Slide 58

Slide 58 text

58 A1 - Injection Cross-site Scripting Pengiriman data tanpa validasi yang dikirimkan ke web browser client, dimana penyerang mampu mengeksekusi custom scripting ke browser client.

Slide 59

Slide 59 text

59 Attack

Slide 60

Slide 60 text

60 Attack

Slide 61

Slide 61 text

61 Attack

Slide 62

Slide 62 text

62 Attack

Slide 63

Slide 63 text

63 A3 - Sensitive Data Exposure Pengiriman data tanpa validasi yang dikirimkan ke web browser client, dimana penyerang mampu mengeksekusi custom scripting ke browser client.

Slide 64

Slide 64 text

64 Attack

Slide 65

Slide 65 text

“ 65 What should I do with my code ? :( > Security Guide for Developer https://github.com/k1m0ch1/secguide

Slide 66

Slide 66 text

“ PASSWORD 66

Slide 67

Slide 67 text

67 2018(?)

Slide 68

Slide 68 text

68 Find the way! they have short life

Slide 69

Slide 69 text

69 Security Motte and Bailey

Slide 70

Slide 70 text

70

Slide 71

Slide 71 text

71

Slide 72

Slide 72 text

72

Slide 73

Slide 73 text

73

Slide 74

Slide 74 text

74

Slide 75

Slide 75 text

75

Slide 76

Slide 76 text

76

Slide 77

Slide 77 text

77

Slide 78

Slide 78 text

78 Escaping Dark age Security

Slide 79

Slide 79 text

79 What we need in cyber security is not a firewall, not a motte and palisade to keep our bailey inviolate, but an immune system

Slide 80

Slide 80 text

yahya.kimochi@gmail.com #ffffff template by slidesppt.com Q & A telegram : k1m0ch1 http://k1m0ch1.github.com