Pertemuan 1
.:Keamanan dan Manajemen Perusahaan:.
Untuk membujuk management perusahaan atau pemilik sistem informasi utuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak.
Contoh:
Jika kita membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan. Kita akan dikagetkan dengan kebutuhan akan adanya perangkat pengamanan (firewall, Intrusion Detection System, anti virus, Dissaster Recovery Center, dan seterusnya).
Hitung kerugian apabila sistem informasi kita tidak bekerja:
a. Selama 1 jam, selama 1 hari, 1 minggu, dan 1 bulan.
b. Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda.
c. Hitung kerugian apabila ada data yang hilang.
Pengolaan terhadap keamanana dapat dilihat dari sisi pengelolaan resiko(risk management). Menurut Brown dalam “Lecture notes for Use with Crytography and Network Security by William Stallings” menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats).
Ada 3 komponen yang memeberikan kontribusi kepada Risk, yaitu
1. Assat (asset) terdiri dari: hardware, software,dokumentasi, data,komunikasi,lingkungan, manusia.
2. Vulnerabilities(ancamana) terdiri dari: pemakai(users), teroris, kecelakaan(accidents), crackers, penjahat, criminal, nasib(acts of God), intel luar negeri (foreign intelligence).
3. Threats (kelemahan) terdiri dari: software bugs, hardware bugs, radiasi(dari layar,tranmisi), tapping, crosstalk, unauthorized users cetakan, hardcopy atau print out, keteledoran(oversight), cracker via telepon, storage media
Klasifikasi Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu:
1. Keamanan yang bersifat fisik (physical security):
Termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini.
2. Keamanan yang berhubungan dengan orang (personel):
termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah “social engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi (communications).
Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang Digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau Trojan sehinggadapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses.
4. Keamanan dalam operasi termasuk prosedur yang digunakan untuk mengatur Dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery). Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.
Aspek dari keamanan Jaringan
Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat
aspek, yaitu privacy, integrity, authentication, dan availability.
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user).
2. Integrty
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik. informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified). kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini. Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akse TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betulasli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli. Penanggulangan:
*membuktikan keaslian dokumen, dapat dilakukan denganteknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat.
*access control, yaitu berkaitan
dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna
harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.
4. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.
Contoh:
- hambatan adalah serangan yang sering disebut dengan “denial of serviceattack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
- mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ri e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e- mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui
saluran telepon).
5. Accsess Control
Akses kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan berinteraksi dengan sistem dan sumberdaya lainnya. Akses control melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi. Hal ini biasanya berhubungan dengan klasifikasi data(public, private, confidential, top secret) & user(guest, admin, top manager, dsb).
6. Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang memesan email uantuk memesan barang tidak dapat menyangkal bahwa di telah mengirim email tersebut.
Pengunaan digital signature, certificates, dan teknologi kriptologi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hokum sehingga status sari digital signature itu jelas legal.
Aspek computer security
Menurut Garfinkel keamanan komputer (computer security) melingkupi empat aspek yaitu:
1. Privacy /confidentiality
adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Sebagai contoh, e-mail seorang pemakai tidak boleh dibaca oleh administrator. Usahausaha yang dapat dilakukan termasuk penggunaan enkripsi
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.
3. Authentication Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul
asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud.
4. Availability
Aspek ini berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem
informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack”, dimana server dikirimi permintaan palsu yang bertubi-tubi sehingga tidak dapat melayani permintaan lain. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimie-mail bertubi-tubi (katakan ribuan e-mail) sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon).
Serangan Terhadap Keamanan Sistem Informasi
Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan computer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack):
• Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem.
• Interception: Pihak yang tidak berwenang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah “wiretapping”.
• Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset.
• Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh
dari serangan jenis ini adalah memasukkan pesan-pesan palsu ke dalam jaringan komputer.
Istilah-istilah keamanan jaringan Komputer
· Hacking adalah usaha atau kegiatan di luar izin atau sepengetahuan pemilik jaringan untuk memasuki sebuah jaringan serta mencoba mencuri file seperti file password dan sebagainya.
Pelakunya disebut hacker yang terdiri dari seseorang atau sekumpulan orang yang secara berkelanjutan berusaha untuk menembus system pengaman karja dari operating system suatu computer.
· Cracker adalah seseorang atau sekumpulan orang yang memang secara sengaja berniat untuk merusak dan menghancurkan integritas di seluruh jaringan sistem computer dan tindakannya dinamakan cracking.
*Kode Etik Hacker yang lain:
1. Jangan merusak sistem manapun secara sengaja
2. Mengubah tampilan index.html sebuah website sah-sah saja asalkan file aslinya disimpan di sistem yang sama dan bisa diakase oleh administrator
3. Jangan mengubah file-file sistem selain yang diperlukan untuk mengamankan identitas.
4. Jangan meninggalkan nama asli ataupun nama oranglain
5. Berhati-hati dalam berbagi informasi sensitif Jangan memulai dengan menargetkan komputer-komputer milik pemerintah.
- Denial of service Membanjiri suatu IP addres dengan data sehingga menyebabkan crash atau kehilangan koneksinya ke internet.
- Distributed Denial of Service Memakai banyak computer untuk meluncurkan serangan Dos. Seorang hacker “Menculik” beberapa komputer dan memakainya sebagai platform untuk menjalankan serangan, memperbesar intensitasnya dan menyembunyikan indentitas hacker.
- Theft of Information Penyerang akan mencuri informasi rahasia dari suatu perusahaan. Hal ini dapat dilakukan dengan mengunakan program pembobolan password, dan lai-lain.
- Curruption of data Penyerang akan merusak data yang selama ini disimpan dalam harddisk suatu host.
- Spooofing Yaitu sebuah bentuk kegiatan pemalsuan di mana seorang hacker memalsukan(to masquerade) indentitas seorang user hingga dia berhasil secara illegal login kedala suatu jaringan computer seolah-olah seperti user yang asli.
- Snifer adalah akta lain dari “network analyser” yang berfungsi sebagai alat uantuk memonitor jaringan computer. Alat ini dapat dioperasikan hampir pada seluruh tipe protocol seperti Ethernet, TCP/IP, IPX, dan lainya.
- Password Cracker adlah sebuah program yang dapat membuka enkripsi sebuah password atau sebaliknya malah untuk mematikan sistem pengamanan password.
- Destructive Devices adalah sekumpulan program virus dibuat untuk memakukan penghancuran data-data, di antaranya Trojan Horse, Worms, Email Bombs, dan Nukes.
- Scanner adalah sebuah program yang secara otomatis akan mendeteksi kelemahan(security weaknesses) sebuah computer di jaringan local(locl host) ataupun komputer di jaringan dengan lokasi lain (remote host). Dengan menggunakan program ini, seorang hacker yang secara fisik berada di inggris dapat dengan mudah menemukan security weaknesses pada sebuah server di Amerika ataupun di belahan dunia lainnya, termasuk di Indonesia, tanpa harus meninggalkan ruangannya.
Tidak ada komentar:
Posting Komentar