Seringkali sulit untuk membujuk management perusahaan atau
pemilik sistem informasi untuk melakukan investasi di bidang
keamanan. Di tahun 1997 majalah Information Week melakukan
survey terhadap 1271 system atau network manager di Amerika
Serikat. Hanya 22% yang menganggap keamanan sistem informasi
sebagai komponen sangat penting (“extremely important”).
Mereka
lebih mementingkan “reducing cost” dan “improving competitiveness”
meskipun perbaikan sistem informasi setelah dirusak justru dapat
menelan biaya yang lebih banyak.
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung
diukur dengan uang (intangible), keamanan sebuah sistem informasi
sebetulnya dapat diukur dengan besaran yang dapat diukur dengan
uang (tangible). Dengan adanya ukuran yang terlihat, mudahmudahan
pihak management dapat mengerti pentingnya investasi
di bidang keamanan. Berikut ini adalah berapa contoh kegiatan yang
dapat anda lakukan:
• Hitung kerugian apabila sistem informasi anda tidak bekerja
selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan.
• Hitung kerugian apabila ada kesalahan informasi (data) pada
sistem informasi anda. Misalnya web site anda mengumumkan
harga sebuah barang yang berbeda dengan harga yang ada di
toko anda.
• Hitung kerugian apabila ada data yang hilang, misalnya berapa
kerugian yang diderita apabila daftar pelanggan dan invoice
hilang dari sistem anda. Berapa biaya yang dibutuhkan untuk
rekonstruksi data.
Lawrie Brown "Lecturer Notes for Use with Cryptography and network Security by William Stallings"menyarankan menggunakan “Risk
Management Model” untuk menghadapi ancaman (managing threats).
Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk management).
Terdapat tiga komponen yang memberikan kontribusi kepada Risk, yaitu:
- Assets terdiri dari hardware, software, dokumnentasi, data, komunikasi, lingkungan dan manusia.
- Threats (ancaman) terdiri dari pemakai (users), teroris, kecelakaan, carakcers, penjahat, kriminal, nasib, (acts of God), intel luar negeri (foreign intellegence)
- Vulneribalities (kelemahan) terdiri dari software bugs, hardware bugs, radiasi, tapping, crostalk, cracker via telepon, storage media
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang
disebut “countermeasures” yang dapat berupa:
• usaha untuk mengurangi Threat
• usaha untuk mengurangi Vulnerability
• usaha untuk mengurangi impak (impact)
• mendeteksi kejadian yang tidak bersahabat (hostile event)
Klasifiksai Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat
berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut
David Icove [13] berdasarkan lubang keamanan, keamanan dapat
diklasifikasikan menjadi empat, yaitu:
1. Keamanan yang bersifat fisik (physical security): termasuk akses
orang ke gedung, peralatan, dan media yang digunakan. Beberapa
bekas penjahat komputer (crackers) mengatakan bahwa
mereka sering pergi ke tempat sampah untuk mencari berkas-berkas
yang mungkin memiliki informasi tentang keamanan. Misalnya
pernah diketemukan coretan password atau manual yang
dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan
dengan akses ke kabel atau komputer yang digunakan
juga dapat dimasukkan ke dalam kelas ini.
Denial of service, yaitu akibat yang ditimbulkan sehingga servis
tidak dapat diterima oleh pemakai juga dapat dimasukkan ke
dalam kelas ini. Denial of service dapat dilakukan misalnya dengan
mematikan peralatan atau membanjiri saluran komunikasi dengan
pesan-pesan (yang dapat berisi apa saja karena yang diutamakan
adalah banyaknya jumlah pesan). Beberapa waktu yang
lalu ada lubang keamanan dari implementasi protokol TCP/IP
yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host)
yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu
sibuk dan bahkan dapat berakibat macetnya sistem (hang).
2. Keamanan yang berhubungan dengan orang (personel): termasuk
identifikasi, dan profil resiko dari orang yang mempunyai
akses (pekerja). Seringkali kelemahan keamanan sistem informasi
bergantung kepada manusia (pemakai dan pengelola). Ada
sebuah teknik yang dikenal dengan istilah “social engineering”
yang sering digunakan oleh kriminal untuk berpura-pura sebagai
orang yang berhak mengakses informasi. Misalnya kriminal ini
berpura-pura sebagai pemakai yang lupa passwordnya dan
minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi (communications).
Yang termasuk di dalam kelas ini adalah kelemahan
dalam software yang digunakan untuk mengelola data. Seorang
kriminal dapat memasang virus atau trojan horse sehingga dapat
mengumpulkan informasi (seperti password) yang semestinya
tidak berhak diakses.
4. Keamanan dalam operasi: termasuk prosedur yang digunakan
untuk mengatur dan mengelola sistem keamanan, dan juga termasuk
prosedur setelah serangan (post attack recovery).
Aspek Dari Keamanan Jaringan
Garfinkel mengemukakan bahwa keamanan komputer
(computer security) melingkupi empat aspek, yaitu privacy, integrity,
authentication, dan availability. Selain keempat hal di atas, masih
ada dua aspek lain yang juga sering dibahas dalam kaitannya
dengan electronic commerce, yaitu access control dan nonrepudiation.
Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk
menjaga informasi dari orang yang tidak berhak mengakses. Privacy
lebih kearah data-data yang sifatnya privat sedangkan
confidentiality biasanya berhubungan dengan data yang diberikan
ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian
dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
keperluan tertentu tersebut. Contoh hal yang berhubungan dengan
privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh
administrator. Contoh confidential information adalah data-data yang
sifatnya pribadi (seperti nama, tempat tanggal lahir, social security
number, agama, status perkawinan, penyakit yang pernah diderita,
nomor kartu kredit, dan sebagainya) merupakan data-data yang
ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari
confidentiality adalah daftar pelanggan dari sebuah Internet Service
Provider (ISP).
Serangan terhadap aspek privacy misalnya adalah usaha untuk
melakukan penyadapan (dengan program sniffer). Usaha-usaha
yang dapat dilakukan untuk meningkatkan privacy dan
confidentiality adalah dengan menggunakan teknologi kriptografi.
Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa
seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai
lain yang mengubah informasi tanpa ijin merupakan contoh
masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap”
(intercept) di tengah jalan, diubah isinya, kemudian diteruskan ke
alamat yang dituju. Dengan kata lain, integritas dari informasi
sudah tidak terjaga. Penggunaan enkripsi dan digital signature,
misalnya, dapat mengatasi masalah ini.
Salah satu contoh kasus trojan horse adalah distribusi paket
program TCP Wrapper (yaitu program populer yang dapat
digunakan untuk mengatur dan membatasi akses TCP/IP) yang
dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda
memasang program yang berisi trojan horse tersebut, maka ketika
anda merakit (compile) program tersebut, dia akan mengirimkan
eMail kepada orang tertentu yang kemudian memperbolehkan dia
masuk ke sistem anda. Informasi ini berasal dari CERT Advisory,
“CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari
1999. Contoh serangan lain adalah yang disebut “man in the middle
attack” dimana seseorang menempatkan diri di tengah pembicaraan
dan menyamar sebagai orang lain.
Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa
informasi betul-betul asli, atau orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang dimaksud.
Masalah pertama, membuktikan keaslian dokumen, dapat
dilakukan dengan teknologi watermarking dan digital signature.
Watermarking juga dapat digunakan untuk menjaga “intelectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan
“tanda tangan” pembuat . Masalah kedua biasanya berhubungan
dengan access control, yaitu berkaitan dengan pembatasan orang
yang dapat mengakses informasi. Dalam hal ini pengguna harus
menunjukkan bukti bahwa memang dia adalah pengguna yang sah,
misalnya dengan menggunakan password, biometric (ciri-ciri khas
orang), dan sejenisnya. Penggunaan teknologi smart card, saat ini
kelihatannya dapat meningkatkan keamanan aspek ini.
Availability
Aspek availability atau ketersediaan berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Sistem informasi yang
diserang atau dijebol dapat menghambat atau meniadakan akses ke
informasi. Contoh hambatan adalah serangan yang sering disebut
dengan “denial of service attack” (DoS attack), dimana server dikirimi
permintaan (biasanya palsu) yang bertubi-tubi atau permintaan
yang diluar perkiraan sehingga tidak dapat melayani permintaan
lain atau bahkan sampai down, hang, crash. Contoh lain adalah
adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubitubi
(katakan ribuan e-mail) dengan ukuran yang besar sehingga
sang pemakai tidak dapat membuka e-mailnya atau kesulitan
mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran
telepon). Bayangkan apabila anda dikirimi 5000 email dan anda
harus mengambil (download) email tersebut melalui telepon dari
rumah.
Serangan terhadap availability dalam bentuk DoS attack merupakan
yang terpopuler pada saat naskah ini ditulis. Pada bagian lain akan
dibahas tentang serangan DoS ini secara lebih rinci.
Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada
informasi. Hal ini biasanya berhubungan dengan masalah
authentication dan juga privacy. Access control seringkali dilakukan
dengan menggunakan kombinasi userid/password atau dengan
menggunakan mekanisme lain.
Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah
melakukan sebuah transaksi. Sebagai contoh, seseorang yang
mengirimkan email untuk memesan barang tidak dapat menyangkal
bahwa dia telah mengirimkan email tersebut. Aspek ini sangat
penting dalam hal electronic commerce. Penggunaan digital
signature dan teknologi kriptografi secara umum dapat menjaga
aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum
sehingga status dari digital signature itu jelas legal. Hal ini akan
dibahas lebih rinci pada bagian tersendiri.
Serangan Terhadap Keamanan Sistem
Informasi
Security attack, atau serangan terhadap keamanan sistem informasi,
dapat dilihat dari sudut peranan komputer atau jaringan komputer
yang fungsinya adalah sebagai penyedia informasi. Menurut W.
Stallings [27] ada beberapa kemungkinan serangan (attack):
• Interruption: Perangkat sistem menjadi rusak atau tidak tersedia.
Serangan ditujukan kepada ketersediaan (availability) dari sistem.
Contoh serangan adalah “denial of service attack”.
• Interception: Pihak yang tidak berwenang berhasil mengakses aset
atau informasi. Contoh dari serangan ini adalah penyadapan
(wiretapping).
• Modification: Pihak yang tidak berwenang tidak saja berhasil
mengakses, akan tetapi dapat juga mengubah (tamper) aset.
Contoh dari serangan ini antara lain adalah mengubah isi dari
web site dengan pesan-pesan yang merugikan pemilik web site.
• Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu
ke dalam sistem. Contoh dari serangan jenis ini adalah
memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam
jaringan komputer.
Faktor-Faktor Penyebab Resiko Dalam Jaringan Komputer
- Kelemahan manusia (human error)
- Kelemahan perangkat keras komputer
- Kelemahan sistem operasi jaringan
- Kelemahan sistem jaringan komunikasi
• FISIK
- Pencurian perangkat keras komputer atau
- perangkat jaringan
- Kerusakan pada komputer dan perangkatkomunikasi jaringan
- Wiretapping
- Bencana alam
- Kerusakan pada sistem operasi atau aplikasi
- Virus
- Sniffing
Beberapa Bentuk Ancaman Jaringan
• Sniffer
Peralatan yang dapat memonitor proses yang sedang
berlangsung
• Spoofing
Penggunaan komputer untuk meniru (dengan cara menimpa
identitas atau alamat IP.
• Phreaking
Perilaku menjadikan sistem pengamanan telepon melemah
• Remote Attack
Segala bentuk serangan terhadap suatu mesin dimana
penyerangnya tidak memiliki kendali terhadap mesin tersebut
karena dilakukan dari jarak jaruh di luar sistem jaringan atau media
transmisi
•Hole
Kondisi dari software atau hardware yang bisa diakses oleh
pemakai yang tidak memiliki otoritas atau meningkatnya tingkat
pengaksesan tanpa melalui proses autorisasi
• Hacker
Orang yang secara diam-diam mempelajari sistem yang
biasanya sukar dimengerti untuk kemudian mengelolanya dan
men-share hasil ujicoba yang dilakukannya. Hacker tidak merusak sistem
• Craker
– Orang yang secara diam-diam mempelajari sistem dengan maksud jahat
– Muncul karena sifat dasar manusia yang selalu ingin membangun (salah satunya merusak)
Ciri-ciri cracker :
• Bisa membuat program C, C++ atau pearl
• Memiliki pengetahuan TCP/IP
• Menggunakan internet lebih dari 50 jam per-bulan
• Menguasai sistem operasi UNIX atau VMS
• Suka mengoleksi software atau hardware lama
• Terhubung ke internet untuk menjalankan aksinya
• Melakukan aksinya pada malam hari, dengan alasan waktu yang memungkinkan, jalur komunikasi tidak padat, tidak mudah diketahui
orang lain
Penyebab cracker melakukan penyerangan :
• spite, kecewa, balas dendam
• sport, petualangan
• profit, mencari keuntungan dari imbalan orang lain
• stupidity, mencari perhatian
• cruriosity, mencari perhatian
• politics, alasan politis
Ciri-ciri target yang dibobol cracker :
• Sulit ditentukan
• Biasanya organisasi besar dan financial dengan sistem
pengamanan yang canggih
• Bila yang dibobol jaringan kecil biasanya sistem pengamanannya
lemah, dan pemiliknya baru dalam bidang internet
Ciri-ciri target yang “berhasil” dibobol cracker :
• Pengguna bisa mengakses, bisa masuk ke jaringan tanpa “nama”
dan “password”
• Pengganggu bisa mengakses, merusak, mengubah atau
sejenisnya terhadap data
• Pengganggu bisa mengambil alih kendali sistem
• Sistem hang, gagal bekerja, reboot atau sistem berada dalam
kondisi tidak dapat dioperasikan
Manajemen Resiko
• Pengumpulan Informasi
• Analisis
• Output
Pengumpulan Informasi
• Identifikasi Assets
– Perangakat Keras
– Perangkat Lunak (Sistem Operasi dan Aplikasi)
– Perangkat Jaringan dan Komunikasi Data
– Pengguna Jaringan
– Lingkungan
– Sarana Pendukung lainnya
.jpg)
.jpg)
