Lawrie Brown menyarankan menggunakan “Risk
Management Model” untuk menghadapi ancaman
(managing threats). Ada tiga komponen yang
memberikan kontribusi kepada Risk, yaitu Asset,
Vulnerabilities, dan Threats
Menurut G. J. Simons, keamanan informasi adalah
bagaimana kita dapat mencegah penipuan (cheating)
atau, paling tidak, mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik
1. Pendahuluan
Untuk menanggulangi resiko (Risk) tersebut dilakukan
apa yang disebut “countermeasures” yang dapat berupa :
a. Usaha untuk mengurangi Threat
b. Usaha untuk mengurangi Vulnerability
c. Usaha untuk mengurangi impak (impact)
d. Mendeteksi kejadian yang tidak bersahabat (hostile event)
e. Kembali (recover) dari kejadian
2. Meningkatnya Kejahatan Komputer
Jumlah kejahatan komputer (computer crime), terutama
yang berhubungan dengan sistem informasi, terus
meningkat hal ini disebabkan beberapa hal, yaitu :
a. Semakin banyaknya perusahaan yang menggunakan
aplikasi bisnis berbasis teknologi informasi dan
jaringan komputer (internet)
b. Desentralisasi (dan distributed) server menyebabkan
lebih banyak sistem yang harus ditangani.
c. Transisi dari single vendor ke multi-vendor sehingga
lebih banyak sistem atau perangkat yang harus
dimengerti dan masalah interoperability antar vendor
yang lebih sulit ditangani.
d. Meningkatnya kemampuan pemakai di bidang
komputer sehingga mulai banyak pemakai yang
mencoba-coba bermain atau membongkar sistem yang
digunakannya (atau sistem milik orang lain)
e. Mudahnya memperoleh software untuk menyerang
komputer dan jaringan komputer.
d. Kesulitan dari penegak hukum untuk mengejar
kemajuan dunia komputer dan telekomunikasi yang
sangat cepat.
e. Semakin kompleksnya sistem yang digunakan
seperti semakin besarnya program (source code)
yang digunakan sehingga semakin besar
probabilitas terjadinya lubang keamanan (yang
disebabkan kesalahan pemrograman, bugs).
3. Klasifikasi Kejahatan Komputer
a. Keamanan yang bersifat fisik (physical security)
- Termasuk akses orang ke gedung, peralatan, dan media yang digunakan.
- Wiretapping, hal-hal yang ber-hubungan dengan akses ke kabel atau
komputer
- Denial of Service, dilakukan misalnya dengan mematikan peralatan atau
membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi
apa saja karena yang diuta-makan adalah banyaknya jumlah pesan)
- Syn Flood Attack
- Mematikan jalur listrik sehingga sistem tidak berfungsi
Dan Masalah keamanan fisik ini mulai menarik perhatikan
ketika gedung World Trade Center yang dianggap sangat
aman dihantam oleh pesawat terbang yang dibajak oleh
teroris. Akibatnya banyak sistem yang tidak bisa hidup
kembali karena tidak diamankan. Belum lagi hilangnya
nyawa.
b. Keamanan Yang berhubungan Orang (Personel)
Termasuk identifikasi, dan profil resiko dari orang
yang mempunyai akses (pekerja).
Seringkali kelemahan keamanan sistem informasi
bergantung kepada manusia (pemakai dan pengelola).
Ada sebuah teknik yang dikenal dengan istilah “social
engineering” yang sering digunakan oleh kriminal
untuk berpura-pura sebagai orang yang berhak
mengakses informasi.
Misalnya kriminal ini berpura-pura sebagai pemakai
yang lupa passwordnya dan minta agar diganti menjadi
kata lain
c. Keamanan dari data dan media serta teknik komunikasi
(Communications)
Yang termasuk di dalam kelas ini adalah kelemahan
software yang digunakan untuk mengelola data. Seorang
kriminal dapat memasang virus atau trojan horse
sehingga dapat mengumpulkan informasi (seperti
password) yang semestinya tidak berhak diakses.
d. Keamanan dalam operasi
Termasuk kebijakan (policy) dan prosedur yang
digunakan untuk mengatur dan mengelola sistem
keamanan, dan juga termasuk prosedur setelah
serangan (post attack recovery).
4. Aspek / Servis dari Security
Garfinkel mengemukakan bahwa keamanan komputer
(computer security) melingkupi empat aspek yaitu :
- Privacy / Confindentiality
- Integrity
- Authentication
- Availability
Selain hal di atas, masih ada dua aspek lain yang
kaitannya berhubungan dengan electronic commerce,
yaitu :
- Access control
- Non-repudiation
Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha
untuk menjaga informasi dari orang yang tidak berhak
mengakses.
Privacy lebih kearah data-data yang sifatnya privat,
misalnya e-mail user tidak boleh dibaca oleh administrator.
Confidentiality biasanya berhubungan dengan data yang
diberikan ke pihak lain untuk keperluan tertentu.
misalnya proses pendaftaran yang wajib menginput data
pribadi : nama, tempat tanggal lahir, social security number,
agama, status perkawinan, penyakit yang pernah diderita,
nomor kartu kredit, dll
Integrity
Aspek ini menekankan bahwa informasi tidak boleh
diubah tanpa seijin pemilik informasi. Adanya virus,
trojan horse, atau pemakai lain yang mengubah
informasi tanpa ijin merupakan contoh masalah yang
harus dihadapi.
- Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah
jalan, diubah isinya (altered, tampered, modified),
kemudian diteruskan ke alamat yang dituju.
- Dengan kata lain, integritas dari informasi sudah tidak
terjaga.
- Salah satu contoh kasus trojan horse adalah distribusi
paket program TCP Wrapper
- Contoh serangan lain adalah “man in the middle
attack”
Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan
bahwa informasi benar-benar asli.
orang yang mengakses atau server yang kita hubungi
adalah benar orang dan server yang kita maksud.
Pernahkan kita bertanya bahwa mesin ATM yang
sedang kita gunakan memang benar milik bank yang
bersangkutan? Bagaimana jika ada orang nakal yang
membuat mesin seperti ATM sebuah bank dan
meletakkannya di tempat umum?
Membuat web site palsu yang menyamar sebagai web site
sebuah bank yang memberikan layanan Internet Banking.
Availability
Aspek ini berhubungan dengan ketersediaan informasi
ketika dibutuhkan.
Contoh hambatan adalah serangan yang sering disebut :
- Denial of service attack” (DoS attack),
Dimana server dikirimi permintaan (biasanya palsu)
yang bertubi-tubi sehingga tidak dapat melayani
permintaan lain atau bahkan sampai down, hang, crash.
- Mailbomb, dimana seorang pemakai dikirimi e-mail
bertubi-tubi dengan ukuran yang besar sehingga sang
pemakai tidak dapat membuka e-mailnya
Access Control
Aspek ini berhubungan dengan cara pengaturan akses
kepada informasi.
Hal ini biasanya berhubungan dengan :
- Klasifikasi data : Public, Private, Confidential, Top secret
- User : Guest, Admin, Top Manager
Access control seringkali dilakukan dengan
menggunakan kombinasi user id / password atau
dengan menggunakan mekanisme lain (seperti kartu,
biometrics)
Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal
telah melakukan sebuah transaksi.
Sebagai contoh, seseorang yang mengirimkan email untuk
memesan barang tidak dapat menyangkal bahwa dia
telah mengirimkan email tersebut.
Aspek ini sangat penting dalam hal electronic commerce.
Penggunaan digital signature, certifiates, dan teknologi
kriptografi secara umum dapat menjaga aspek ini. Akan
tetapi hal ini masih harus didukung oleh hukum sehingga
status dari digital signature itu jelas legal.
5. Serangan Terhadap Keamanan Sistem Informasi
Security attack, atau serangan terhadap keamanan
sistem informasi, dapat dilihat dari sudut peranan
komputer atau jaringan komputer yang fungsinya adalah
sebagai penyedia informasi.
Ada beberapa kemungkinan serangan (attack):
a. Interruption
Perangkat sistem menjadi rusak atau tidak tersedia.
Serangan ditujukan kepada ketersediaan (availability)
dari sistem.
Contoh serangan adalah “denial of service attack”.
b. Modification
Pihak yang tidak berwenang tidak saja berhasil
mengakses, akan tetapi dapat juga mengubah
(tamper) aset.
Contoh dari serangan ini antara lain adalah mengubah
isi dari web site dengan pesan-pesan yang merugikan
pemilik web site.
c. Fabrication
Pihak yang tidak berwenang menyisipkan objek palsu
ke dalam sistem.
Contoh dari serangan jenis ini adalah memasukkan
pesan-pesan palsu seperti e-mail palsu ke dalam
jaringan komputer.
Beberapa kasus yang berhubungan serangan terhadap
keamanan informasi yaitu :
- Juni 2001. Peneliti di UC Berkeley dan University of
Maryland berhasil menyadap data-data yang berada
pada jaringan wireless LAN (IEEE 802.11b) yang
mulai marak digunakan oleh perusahaan-perusahaan
- Maret 2005. Seorang mahasiswi dari UCSB
dituduh melakukan kejahatan mengubah data-data
nilai ujiannya (dan beberapa mahasiswa lainnya). Dia
melakukan hal tersebut dengan mencuri identitas dua
orang profesor. Identity theft memang merupakan
sebuah masalah yang cukup pelik.
- Juni 2001. Seorang pengguna Internet Indonesia
membuat beberapa situs yang mirip (persis sama)
dengan situs klikbca.com, yang digunakan oleh BCA
untuk memberikan layanan Internet banking. Situs
yang dia buat menggunakan nama domain yang mirip
dengan klikbca.com, yaitu kilkbca.com
Sang user mengaku bahwa dia dapat memperoleh PIN
dari beberapa nasabah BCA yang salah mengetikkan
nama situs layanan Internet banking tersebut.
- 16 Oktober 2001. Sistem BCA yang menggunakan
VSAT terganggu selama beberapa jam. Akibatnya
transaksi yang menggunakan fasilitas VSAT, seperti
ATM, tidak dapat dilaksanakan. Tidak diketahui (tidak
diberitakan) apa penyebabnya. Jumlah kerugian tidak
diketahui.
- Maret 2005. Indonesia dan Malaysia berebut pulau
Ambalat. Hacker Indonesia dan Malaysia berlombalomba
untuk merusak situs-situs negara lainnya.
Beberapa contoh halaman web yang dirusak di simpan
di situs http://www.zone-h.org.
Tidak ada komentar:
Posting Komentar