Kasus Keamanan Sistem Informasi
Meskipun Internet di Indonesia masih dapat tergolong baru, sudah ada
beberapa kasus yang berhubungan dengan keamanan di Indonesia. Di
bawah ini akan didaftar beberapa contoh masalah atau topik tersebut.
• Akhir Januari 1999. Domain yang digunakan untuk Timor Timur (.TP)
diserang sehingga hilang. Domain untuk Timor Timur ini diletakkan
pada sebuah server di Irlandia yang berna• Seorang cracker Indonesia (yang dikenal dengan nama hc) tertangkap di
• September dan Oktober 2000. Setelah berhasil membobol bank Lippo,
kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali.
Perlu diketahui bahwa kedua bank ini memberikan layanan Internet
banking.
• September 2000. Polisi mendapat banyak laporan dari luar negeri
tentang adanya user Indonesia yang mencoba menipu user lain pada situs
web yang menyediakan transaksi lelang (auction) seperti eBay.
• 24 Oktober 2000. Dua warung Internet (Warnet) di Bandung digrebeg
oleh Polisi (POLDA Jabar) dikarenakan mereka mengMeningkatnya Kejahatan Komputer
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan
dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal,
antara lain:
• Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan
jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai
bermunculan aplikasi bisnis seperti on-line banking, electronic
commerce (e-commerce), Electronic Data Interchange (EDI), dan masih
banyak lainnya. Bahkan aplikasi e-commerce akan menjadi salah satu
aplikasi pemacu di Indonesia (melalui “Telematika Indonesia” [48] dan
Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi ecommerce
terlihat mulai meningkat.
• Desentralisasi (dan distributed) server menyebabkan lebih banyak
sistem yang harus ditangani. Hal ini membutuhkan lebih banyak
operator dan administrator yang handal yang juga kemungkinan harus
disebar di seluruh lokasi. Padahal mencari operator dan administrator
yang handal adalah sangat sulit, apalagi jika harus disebar di berbagai
tempat. Akibat dari hal ini adalah biasanya server-server di daerah
(bukan pusat) tidak dikelola dengan baik sehingga lebih rentan terhadap
serangan. Seorang cracker akan menyerang server di daerah lebih dahulu
sebelum mencoba menyerang server pusat. Setelah itu dia akan
menyusup melalui jalur belakang. (Biasanya dari daerah / cabang ke
pusat ada routing dan tidak dibatasi dengan firewall.)gunakan account
dialup curian dari ISP Centrin. Salah satu dari Warnet tersebut sedang
online dengan menggunakan account curian tersebut.
• April 2001. Majalah Warta Ekonomi1 melakukan polling secara online
selama sebulan dan hasilnya menunjukkan bahwa dari 75 pengunjung,
37% mengatakan meragukan keamanan transaksi secara online, 38%
meragukannya, dan 27% merasa aman.
• 16 April 2001. Polda DIY meringkus seorang carder2 Yogya.
Tersangka diringkus di Bantul dengan barang bukti sebuah paket yang
berisi lukisan (Rumah dan Orang Indian) berharga Rp 30 juta. Tersangka
berstatus mahasiswa STIE Yogyakarta.
• Juni 2001. Seorang pengguna Internet Indonesia membuat beberapa
situs yang mirip (persis sama) dengan situs klikbca.com, yang digunakan
oleh BCA untuk memberikan layanan Internet banking. Situs yang dia
buat menggunakan nama domain yang mirip dengan klikbca.com, yaitu
kilkbca.com (perhatikan tulisan “kilk” yang sengaja salah ketik),
wwwklikbca.com (tanpa titik antara kata “www” dan “klik”),
clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia medapat
memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan
nama situs layanan Internet banking tersebutma Connect-Ireland.
Pemerintah Indonesia yang disalahkan atau dianggap melakukan
kegiatan hacking ini. Menurut keterangan yang diberikan oleh
administrator Connect-Ireland, 18 serangan dilakukan secara serempak
dari seluruh penjuru dunia. Akan tetapi berdasarkan pengamatan,
domain Timor Timur tersebut dihack dan kemudian ditambahkan sub
domain yang bernama “need.tp”. Berdasarkan pengamatan situasi,
“need.tp” merupakan sebuah perkataan yang sedang dipopulerkan oleh
“Beavis and Butthead” (sebuah acara TV di MTV). Dengan kata lain,
crackers yang melakukan serangan tersebut kemungkinan penggemar
(atau paling tidak, pe• Seorang cracker Indonesia (yang dikenal dengan nama hc) tertangkap di
Singapura ketika mencoba menjebol sebuah perusahaan di Singapura.
• September dan Oktober 2000. Setelah berhasil membobol bank Lippo,
kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali.
Perlu diketahui bahwa kedua bank ini memberikan layanan Internet
banking.
• September 2000. Polisi mendapat banyak laporan dari luar negeri
tentang adanya user Indonesia yang mencoba menipu user lain pada situs
web yang menyediakan transaksi lelang (auction) seperti eBay.
• 24 Oktober 2000. Dua warung Internet (Warnet) di Bandung digrebeg
oleh Polisi (POLDA Jabar) dikarenakan mereka menggunakan account
dialup curian dari ISP Centrin. Salah satu dari Warnet tersebut sedang
online dengan menggunakan account curian tersebut.
• April 2001. Majalah Warta Ekonomi1 melakukan polling secara online
selama sebulan dan hasilnya menunjukkan bahwa dari 75 pengunjung,
37% mengatakan meragukan keamanan transaksi secara online, 38%
meragukannya, dan 27% merasa aman.
• 16 April 2001. Polda DIY meringkus seorang carder2 Yogya.
Tersangka diringkus di Bantul dengan barang bukti sebuKlasifikasi Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya
sampai ke yang hanya mengesalkan (annoying). Menurut David Icove [20]
berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi
empat, yaitu:
1. Keamanan yang bersifat fisik (physical security): termasuk akses
orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas
penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke
tempat sampah untuk mencari berkas-berkas yang mungkin memiliki
informasi tentang keamanan. Misalnya pernah diketemukan coretan
password atau manual yang dibuang tanpa dihancurkan. Wiretapping
atau hal-hal yang berhubungan dengan akses ke kabel atau komputer
yang digunakan juga dapat dimasukkan ke dalam kelas ini.
Pencurian komputer dan notebook juga merupakan kejahatan yang besifat
fisik. Menurut statistik, 15% perusahaan di Amerika pernah kehilangan
notebook. Padahal biasanya notebook ini tidak dibackup (sehingga
data-datanya hilang), dan juga seringkali digunakan untuk menyimpan
data-data yang seharusnya sifatnya confidential (misalnya pertukaran
email antar direktur yang menggunakan notebook tersebut).
Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak
dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini.
Denial of service dapat dilakukan misalnya dengan mematikan peralatan
atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat
berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan).
Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokol
TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana
sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadiah paket yang
berisi lukisan (Rumah dan Orang Indian) berharga Rp 30 juta. Tersangka
berstatus mahasiswa STIE Yogyakarta.
• Juni 2001. Seorang pengguna Internet Indonesia membuat beberapa
situs yang mirip (persis sama) dengan situs klikbca.com, yang digunakan
oleh BCA untuk memberikan layanan Internet banking. Situs yang dia
buat menggunakan nama domain yang mirip dengan klikbca.com, yaitu
kilkbca.com (perhatikan tulisan “kilk” yang sengaja salah ketik),
wwwklikbca.com (tanpa titik antara kata “www” dan “klik”),
clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia medapat
memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan
nama situs layanan Internet banking tersebutrnah nonton) acara Beavis dan Butthead itu. Jadi,
kemungkinan dilakukan oleh seseorang dari AmeSteganografi
Pengamanan dengan menggunakan steganografi membuat seolah-oleh
pesan rahasia tidak ada atau tidak nampak. Padahal pesan tersebut ada.
Hanya saja kita tidak sadar bahwa ada pesan tersebut di sana. Contoh
steganografi antara lain:
• Di jaman perang antara Yunani dan Persia, pesan rahasia disembunyikan
dengan cara menuliskannya di meja (mebel) yang kemudian dilapisi
dengan lilin (wax). Ketika diperiksa, pesan tidak nampak. Akan tetapi
sesampainya di tujuan pesan tersebut dapat diperoleh kembali dengan
mengupas (kerok) lilin yang melapisinya.
• Di jaman Histalaeus, pesan disembunyikan dengan cara membuat tato di
kepala budak yang telah digunduli. Kemudian ditunggu sampai rambut
budak tersebut mulai tumbuh baru sang budak dikirim melalui penjagaan
musuh. Ketika diperiksa di pintu gerbang lama memang sang budak
tidak membawa pesan apa-apa. Sesampainya di tujuan baru sang budak
dicukur oleh sang penerima pesan untuk dapat dibaca pesannya.
(Bagaimana cara menghapus pesannya? Sadis juga.)
• Pesan rahasia dapat juga dikirimkan dengan mengirim surat pembaca ke
sebuah surat kabar. Huruf awal setiap kalimat (atau bisa juga setiap kata)
membentuk pesan yang ingin diberikan. Cara lain adalah dengan
membuat puisi dimana huruf awal dari setiap baris membentuk kata-kata
pesan sesungguhnya.
• Hal yang sama dapat dilakukan dengan membuat urutan gambar buah
dimana pesan tersebut merupakan gabungan dari huruf awald dari nama
buah tersebut.
• Pengarang Dan Brown dalam buku novelnya yang berjudul “The Da
Vinci Code” [4] memberikan pesan di sampul bukunya dengan membuat
beberapa huruf dalam cetakan tebal (bold). Jika disatukan, huruf-huruf
yang ditulis dalam cetakan tebal tersebut membuat berita yang
dimaksud. (Silahkan lihat pada gambar berikut. Apa isi pesannya?)
• Di dunia digital, steganografi muncul dalam bentuk digital watermark,
yaitu tanda digital yang disisipkan dalam gambar (digital image) atau
suara. Hak cipta (copyright) dari gambar dapat disisipkan dengan
menggunakan high-bit dari pixel yang membentuk gambar tersebut.rika Utara.
• Beberapa web site Indonesia sudah dijebol dan daftarnya (beserta contoh
halaman yang sudah dijebol) dapat dilihat di koleksi <http://
www.2600.com> dan alldas.de
• Januari 2000. Beberapa situs web Indonesia diacak-acak oleh cracker
yang menamakan dirinya “fabianclone” dan “naisenodni” (indonesian
dibalik). Situs yang diserang termasuk Bursa Efek Jakarta, BCA,
Indosatnet. Selain situs yang besar tersebut masih banyak situs lainnya
yang tidak dilaporkan.
lojik (logical) ancaman keamanan dapat datang dari berbagai pihak.
Berdasarkan sumbernya, acaman dapat dikategorikan yang berasal dari luar
negeri dan yang berasal dari dalam negeri. Acaman yang berasal dari luar
negeri contohnya adalah hackers Portugal yang mengobrak-abrik beberapa
web site milik pemerintah Indonesia.
Berdasarkan motif dari para perusak, ada yang berbasis politik, eknomi, dan
ada juga yang hanya ingin mencari ketenaran. Masalah politik nampaknya
sering menjadi alasan untuk menyerang sebuah sistem (baik di dalam
maupun di luar negeri). Beberapa contoh dari serangan yang menggunakan
alasan politik antara lain:
• Serangan dari hackers Portugal yang mengubah isi beberapa web site
milik pemerintah Indonesia dikarenakan hackers tersebut tidak setuju
dengan apa yang dilakukan oleh pemerintah Indonesia di Timor Timur.
Selain mengubah isi web site, mereka juga mencoba merusak sistem
yang ada dengan menghapus seluruh disk (jika bisa).
• Serangan dari hackers Cina dan Taiwan terhadap beberapa web site
Indonesia atas kerusuhan di Jakarta (Mei 1998) yang menyebabkan etnis
Cina di Indonesia mendapat perlakukan yang tidak adil. Hackers ini
mengubah beberapa web site Indonesia untuk menyatakan ketidaksukaan
mereka atas apa yang telah terjadi.
• Beberapa hackers di Amerika menyatakan akan merusak sistem milik
pemerintah Iraq ketika terjeadi ketegangan politik antara Amerika dan
Irak.
Interpretasi Etika Komputasi
Salah satu hal yang membedakan antara crackers dan hackers, atau antara
Computer Underground dan Computer Security Industry adalah masalah
etika. Keduanya memiliki basis etika yang berbeda atau mungkin memiliki
interpretasi yang berbeda terhadap suatu topik yang berhubungan dengan
masalah computing. Kembali, Paul Taylor melihat hal ini yang menjadi
basis pembeda keduanya. Selain masalah kelompok, kelihatannya umurBerdasarkan motif dari para perusak, ada yang berbasis politik, eknomi, dan
ada juga yang hanya ingin mencari ketenaran. Masalah politik nampaknya
sering menjadi alasan untuk menyerang sebuah sistem (baik di dalam
maupun di luar negeri). Beberapa contoh dari serangan yang menggunakan
alasan politik antara lain:
• Serangan dari hackers Portugal yang mengubah isi beberapa web site
milik pemerintah Indonesia dikarenakan hackers tersebut tidak setuju
dengan apa yang dilakukan oleh pemerintah Indonesia di Timor Timur.
Selain mengubah isi web site, mereka juga mencoba merusak sistem
yang ada dengan menghapus seluruh disk (jika bisa).
• Serangan dari hackers Cina dan Taiwan terhadap beberapa web site
Indonesia atas kerusuhan di Jakarta (Mei 1998) yang menyebabkan etnis
Cina di Indonesia mendapat perlakukan yang tidak adil. Hackers ini
mengubah beberapa web site Indonesia untuk menyatakan ketidaksukaan
mereka atas apa yang telah terjadi.Klasifikasi Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya
sampai ke yang hanya mengesalkan (annoying). Menurut David Icove [20]
berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi
empat, yaitu:
1. Keamanan yang bersifat fisik (physical security): termasuk akses
orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas
penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke
tempat sampah untuk mencari berkas-berkas yang mungkin memiliki
informasi tentang keamanan. Misalnya pernah diketemukan coretan
password atau manual yang dibuang tanpa dihancurkan. Wiretapping
atau hal-hal yang berhubungan dengan akses ke kabel atau komputer
yang digunakan juga dapat dimasukkan ke dalam kelas ini.
Pencurian komputer dan notebook juga merupakan kejahatan yang besifat
fisik. Menurut statistik, 15% perusahaan di Amerika pernah kehilangan
notebook. Padahal biasanya notebook ini tidak dibackup (sehingga
data-datanya hilang), dan juga seringkali digunakan untuk menyimpan
data-data yang seharusnya sifatnya confidential (misalnya pertukaran
email antar direktur yang menggunakan notebook tersebut).
Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak
dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini.
Denial of service dapat dilakukan misalnya dengan mematikan peralatan
atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapatterlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang).
Mematikan jalur listrik sehingga sistem menjadi tidak berfungsi juga
merupakan serangan fisik.
Masalah keamanan fisik ini mulai menarik perhatikan ketika gedung
World Trade Center yang dianggap sangat aman dihantam oleh pesawat
terbang yang dibajak oleh teroris. Akibatnya banyak sistem yang tidak
bisa hidup kembali karena tidak diamankan. Belum lagi hilangnya
nyawa.
2. Keamanan yang berhubungan dengan orang (personel): termasuk
identifikasi, dan profil resiko dari orang yang mempunyai akses
(pekerja). Seringkali kelemahan keamanan sistem informasi bergantung
kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal
dengan istilah “social engineering” yang sering digunakan oleh
kriminal untuk berpura-pura sebagai orang yang berhak mengakses
informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang
lupa passwordnya dan minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi (communications).
Yang termasuk di dalam kelas ini adalah kelemahan dalam
software yang digunakan untuk mengelola data. Seorang kriminal dapat
memasang virus atau trojan horse sehingga dapat mengumpulkan informasi
(seperti password) yang semestinya tidak berhak diakses. Bagian
ini yang akan banyak kita bahas dalam buku ini.
4. Keamanan dalam operasi: termasuk kebijakan (policy) dan prosedur
yang digunakan untuk mengatur dan mengelola sistem keamanan, dan
juga termasuk prosedur setelah serangan (post attack recovery).
Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.• Transisi dari single vendor ke multi-vendor sehingga lebih banyak
sistem atau perangkat yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani. Untuk
memahami satu jenis perangkat dari satu vendor saja sudah susah,
apalagi harus menangani berjenis-jenis perangkat. Bayangkan, untuk
router saja sudah ada berbagai vendor; Cisco, Juniper Networks, Nortel,
Linux-based router, BSD-based router, dan lain-lain. Belum lagi jenis
sistem operasi (operating system) dari server, seperti Solaris (dengan
berbagai versinya), Windows (NT, 2000, 2003), Linux (dengan berbagai
distribusi), BSD (dengan berbagai variasinya mulai dari FreeBSD,
OpenBSD, NetBSD). Jadi sebaiknya tidak menggunakan variasi yang
terlalu banyak1.
• Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai
banyak pemakai yang mencoba-coba bermain atau membongkar sistem
yang digunakannya (atau sistem milik orang lain). Jika dahulu akses ke
komputer sangat sukar, maka sekarang komputer sudah merupakan
barang yang mudah diperoleh dan banyak dipasang di sekolah serta
rumah-rumah.
• Mudahnya diperoleh software untuk menyerang komputer dan jaringan
komputer. Banyak tempat di Internet yang menyediakan software yang
langsung dapat diambil (download) dan langsung digunakan untuk
menyerang dengan Graphical User Interface (GUI) yang mudah
digunakan. Beberapa program, seperti SATAN, bahkan hanya
membutuhkan sebuah web browser untuk menjalankannya. Sehingga,
seseorang yang hanya dapat menggunakan web browser dapat
menjalankan program penyerang (attack). Penyerang yang hanya bisa
menjalankan program tanpa mengerti apa maksudnya disebut dengan
istilah script kiddie.
berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan).
Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokolKeamanan dan management perusahaan
Seringkali sulit untuk membujuk management perusahaan atau pemilik
sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun
1997 majalah Information Week melakukan survey terhadap 1271 system
atau network manager di Amerika Serikat. Hanya 22% yang menganggap
keamanan sistem informasi sebagai komponen sangat penting (“extremely
important”). Mereka lebih mementingkan “reducing cost” dan “improving
competitiveness” meskipun perbaikan sistem informasi setelah dirusak
justru dapat menelan biaya yang lebih banyak.
Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan.
Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu
rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa
memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan
dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan.
Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari
budget tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan
200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar.
Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita
budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya
perangkat pengamanan (firewall, Intrusion Detection System, anti virus,
Dissaster Recovery Center, dan seterusnya).
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur
dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya
dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).
Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management
dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah
berapa contoh kegiatan yang dapat anda lakukan:
• Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1
jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan,
bayangkan jika server Amazon.com tidak dapat diakses selama beberapa
hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)
• Hitung kerugian apabila ada kesalahan informasi (data) pada sistem
informasi anda. Misalnya web site anda mengumumkan harga sebuah
barang yang berbeda dengan harga yang ada di toko anda.
TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana
sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi
• Beberapa hackers di Amerika menyatakan akan merusak sistem milik
pemerintah Iraq ketika terjeadi ketegangan politik antara Amerika dan
Irak
Tidak ada komentar:
Posting Komentar