keamanan cyber 1

keamanan cyber 1

   November 30, 2024       tewasx.blogspot.com

---

 

Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem

informasi. Sayang sekali masalah keamanan ini sering kali kurang

mendapat perhatian dari para pemilik dan pengelola sistem informasi.

Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan

terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu

performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan

[11]. Buku ini diharapkan dapat memberikan gambaran dan informasi

menyeluruh tentang keamanan sistem informasi dan dapat membantu para

pemilik dan pengelola sistem informasi dalam mengamankan informasinya.

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.

Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah

“information-based society”. Kemampuan untuk mengakses dan

menyediakan informasi secara cepat dan akurat menjadi sangat esensial

bagi sebuah organisasi, baik yang berupa organisasi komersial

(perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang

teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat

terbatas dan belum dipakai  untuk menyimpan hal-hal yang sifatnya

sensitif. penakai an komputer untuk menyimpan informasi yang sifatnya

classified baru dilakukan di sekitar tahun 1950-an.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali

informasi diinginkan hanya boleh diakses oleh orang-orang tertentu.

Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis)

dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh,

banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan

diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti

misalnya informasi tentang produk yang sedang dalam development,

algoritma-algoritma dan teknik-teknik yang dipakai  untuk menghasilkan

produk tersebut. Untuk itu keamanan dari sistem informasi yang dipakai 

harus terjamin dalam batas yang dapat diterima.

Jaringan komputer, seperti LAN1

 dan Internet, memungkinkan untuk

menyediakan informasi secara cepat. Ini salah satu alasan perusahaan atau

organisasi mulai berbondong-bondong membuat LAN untuk sistem

informasinya dan menghubungkan LAN tersebut ke Internet.

Terhubungnya LAN atau komputer ke Internet membuka potensi adanya

lubang keamanan (security hole) yang tadinya bisa ditutupi dengan

mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa

kemudahan (kenyamanan) mengakses informasi berbanding terbalik

dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi

tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses

informasi.

Menurut G. J. Simons, keamanan informasi yaitu  bagaimana kita dapat

mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya

penipuan di sebuah sistem yang berbasis informasi, dimana informasinya

sendiri tidak memiliki arti fisik.

Seringkali sulit untuk membujuk management perusahaan atau pemilik

sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun

1997 majalah Information Week melakukan survey terhadap 1271 system

atau network manager di Amerika Serikat. Hanya 22% yang menganggap

keamanan sistem informasi sebagai komponen sangat penting (“extremely

important”). Mereka lebih mementingkan “reducing cost” dan “improving

competitiveness” meskipun perbaikan sistem informasi setelah dirusak

justru dapat menelan biaya yang lebih banyak.

Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan.

Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu

rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa

memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan

dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan.

Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari

budget tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan

200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar.

Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita

budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya

perangkat pengamanan (firewall, Intrusion Detection System, anti virus,

Dissaster Recovery Center, dan seterusnya).

Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur

dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya

dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).

Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management

dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini yaitu 

berapa contoh kegiatan yang dapat anda lakukan:

• Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1

jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan,

bayangkan jika server Amazon.com tidak dapat diakses selama beberapa

hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)

• Hitung kerugian apabila ada kesalahan informasi (data) pada sistem

informasi anda. Misalnya web site anda mengumumkan harga sebuah

barang yang berbeda dengan harga yang ada di toko anda.

• Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian

yang diderita apabila daftar pelanggan dan invoice hilang dari sistem

anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.

• Apakah nama baik perusahaan anda merupakan sebuah hal yang harus

dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya

pengamanan data-datanya, bolak-balik terjadi security incidents.

Tentunya banyak nasabah yang pindah ke bank lain karena takut akan

keamanan uangnya.

Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko

(risk management). Lawrie Brown dalam [3] menyarankan memakai 

“Risk Management Model” untuk menghadapi ancaman (managing

threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,

yaitu Asset, Vulnerabilities, dan Threats.

TABLE 1. Kontribusi terhadap Risk

Nama komponen Contoh dan keterangan lebih lanjut

Assets

(aset)

• hardware

• software

• dokumentasi

• data

• komunikasi

• linkungan

• manusia

TABLE 1. Kontribusi terhadap Risk

Nama komponen Contoh dan keterangan lebih lanjut

Threats

(ancaman)

• pemakai (users)

• teroris

• kecelakaan (accidents)

• crackers

• penjahat kriminal

• nasib (acts of God)

• intel luar negeri (foreign intelligence)

Vulnerabilities

(kelemahan)

• software bugs

• hardware bugs

• radiasi (dari layar, transmisi)

• tapping, crosstalk

• unauthorized users

• cetakan, hardcopy atau print out

• keteledoran (oversight)

• cracker via telepon

• storage media

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut

“countermeasures” yang dapat berupa:

• usaha untuk mengurangi Threat

• usaha untuk mengurangi Vulnerability

• usaha untuk mengurangi impak (impact)

• mendeteksi kejadian yang tidak bersahabat (hostile event)

• kembali (recover) dari kejadian

Beberapa Statistik Sistem Keamanan

Ada beberapa statistik yang berhubungan dengan keamanan sistem

informasi yang dapat ditampilkan di sini. Data-data yang ditampilkan

umumnya bersifat konservatif mengingat banyak perusahaan yang tidak

ingin diketahui telah mengalami “security breach” dikarenakan informasi

ini dapat menyebabkan “negative publicity”. Perusahan-perusahaan

tersebut memilih untuk diam dan mencoba menangani sendiri masalah

keamanannya tanpa publikasi.

• Tahun 1996, U.S. Federal Computer Incident Response Capability

(FedCIRC) melaporkan bahwa lebih dari 2500 “insiden” di sistem

komputer atau jaringan komputer yang disebabkan oleh gagalnya sistem

keamanan atau adanya usaha untuk membobol sistem keamanan [20].

• Juga di tahun 1996, FBI National Computer Crimes Squad, Washington

D.C., memperkirakan kejahatan komputer yang terdeteksi kurang dari

15%, dan hanya 10% dari angka itu yang dilaporkan [20].

• Sebuah penelitian di tahun 1997 yang dilakukan oleh perusahaan

Deloitte Touch Tohmatsu menunjukkan bahwa dari 300 perusahaan di

Australia, 37% (dua diantara lima) pernah mengalami masalah

keamanan sistem komputernya. [23]

• Penelitian di tahun 1996 oleh American Bar Association menunjukkan

bahwa dari 1000 perusahaan, 48% telah mengalami “computer fraud”

dalam kurun lima tahun terakhir. [23]

• Di Inggris, 1996 NCC Information Security Breaches Survey

menunjukkan bahwa kejahatan komputer menaik 200% dari tahun 1995

ke 1996. Survey ini juga menunjukkan bahwa kerugian yang diderita

rata-rata US $30.000 untuk setiap insiden. Ditunjukkan juga beberapa

organisasi yang mengalami kerugian sampai US $1.5 juta.

• FBI melaporkan bahwa kasus persidangan yang berhubungan dengan

kejahatan komputer meroket 950% dari tahun 1996 ke tahun 1997,

dengan penangkapan dari 4 ke 42, dan terbukti (convicted) di pengadilan

naik 88% dari 16 ke 30 kasus.

• John Howard dalam penelitiannya di CERT yang belokasi di Carnegie

Mellon University mengamati insiden di Internet yang belangsung

selama kurun waktu 1989 sampai dengan 1995. Hasil penelitiannya

antara lain bahwa setiap domain akan mengalami insiden sekali dalam

satu tahun dan sebuah komputer (host) akan mengalami insiden sekali

dalam 45 tahun.

• Winter 1999, Computer Security Institute dan FBI melakukan survey

yang kemudian hasilnya diterbitkan dalam laporannya [9]. Dalam

laporan ini terdapat bermacam-macam statistik yang menarik, antara lain

bahwa 62% responden merasa bahwa pada 12 bulan terakhir ini ada penakai an sistem komputer yang tidak semestinya (unauthorized use),

57% merasa bahwa hubungan ke Internet merupakan sumber serangan,

dan 86% merasa kemungkinan serangan dari dalam (disgruntled

employees) dibandingkan dengan 74% yang merasa serangan dari

hackers.

• Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke

Bugtraq meningkat empat kali (quadruple) semenjak tahun 1998 sampai

dengan tahun 2000. Pada mulanya ada sekitar 20 laporan menjadi 80

setiap bulannya1

.

• Pada tahun 1999 CVE2

 (Common Vulnerabilities and Exposure)

mempublikasikan lebih dari 1000 kelemahan sistem. CVE terdiri dari 20

organisasi security (termasuk di dalamnya perusahaan security dan

institusi pendidikan).

• Juli 2001 muncul virus SirCam dan worm Code Red (dan kemudian

Nimda) yang berdampak pada habisnya bandwidth. Virus SirCam

mengirimkan file-file dari disk korban (beserta virus juga) ke orang￾orang yang pernah mengirim email ke korban. Akibatnya file-file rahasia

korban dapat terkirim tanpa diketahui oleh korban. Di sisi lain, orang

yang dikirimi email ini dapat terinveksi virus SirCam ini dan juga

merasa “dibom” dengan email yang besar-besar. Sebagai contoh,

seorang kawan penulis mendapat “bom” email dari korban virus SirCam

sebanyak ratusan email (total lebih dari 70 MBytes). Sementara itu

worm Code Red menyerang server Microsoft IIS yang mengaktifkan

servis tertentu (indexing). Setelah berhasil masuk, worm ini akan

melakukan scanning terhadap jaringan untuk mendeteksi apakah ada

server yang bisa dimasuki oleh worm ini. Jika ada, maka worm dikirim

ke server target tersebut. Di server target yang sudah terinfeksi tersebut

terjadi proses scanning kembali dan berulang. Akibatnya jaringan habis

untuk saling scanning dan mengirimkan worm ini. Dua buah security

hole ini dieksploit pada saat yang hampir bersamaan sehingga beban

jaringan menjadi lebih berat.

Jebolnya sistem kemanan tentunya membawa dampak. Ada beberapa

contoh akibat dari jebolnya sistem keamanan, antara lain:

• 1988. Keamanan sistem mail sendmail dieksploitasi oleh Robert Tapan

Morris sehingga melumpuhkan sistem Internet. Kegiatan ini dapat

diklasifikasikan sebagai “denial of service attack”. Diperkirakan biaya

yang dipakai  untuk memperbaiki dan hal-hal lain yang hilang yaitu 

sekitar $100 juta. Di tahun 1990 Morris dihukum (convicted) dan hanya

didenda $10.000.

• 10 Maret 1997. Seorang hacker dari Massachusetts berhasil mematikan

sistem telekomunikasi di sebuah airport lokal (Worcester,

Massachusetts) sehingga mematikan komunikasi di control tower dan

menghalau pesawat yang hendak mendarat. Dia juga mengacaukan

sistem telepon di Rutland, Massachusetts.

http://www.news.com/News/Item/Textonly/0,25,20278,00.html?pfv

http://www.news.com/News/Item/0,4,20226,00.html

• 7 Februari 2000 (Senin) sampai dengan Rabu pagi, 9 Februari 2000.

Beberapa web terkemuka di dunia diserang oleh “distributed denial of

service attack” (DDoS attack) sehingga tidak dapat memberikan layanan

(down) selama beberapa jam. Tempat yang diserang antara lain: Yahoo!,

Buy.com, eBay, CNN, Amazon.com, ZDNet, E-Trade. FBI

mengeluarkan tools untuk mencari program TRINOO atau Tribal Flood

Net (TFN) yang diduga dipakai  untuk melakukan serangan dari

berbagai penjuru dunia.

• 4 Mei 2001. Situs Gibson Research Corp. (grc.com) diserang Denial of

Service attack oleh anak berusia 13 tahun sehingga bandwidth dari

grc.com yang terdiri dari dua (2) T1 connection menjadi habis. Steve

Gibson kemudian meneliti software yang dipakai  untuk menyerang

(DoS bot, SubSeven trojan), channel yang dipakai  untuk

berkomunikasi (via IRC), dan akhirnya menemukan beberapa hal

tentang DoS attack ini. Informasi lengkapnya ada di situs www.grc.com.

[19].

• Juni 2001. Peneliti di UC Berkeley dan University of Maryland berhasil

menyadap data-data yang berada pada jaringan wireless LAN (IEEE

802.11b) yang mulai marak dipakai  oleh perusahaan-perusahaan [33]

• Maret 2005. Seorang mahasiswi dari UCSB dituduh melakukan

kejahatan mengubah data-data nilai ujiannya (dan beberapa mahasiswa

lainnya). Dia melakukan hal tersebut dengan mencuri identitas dua orang

profesor. Identity theft memang merupakan sebuah masalah yang cukup

pelik.

http://www.dailynexus.com/news/2005/9237.html

http://it.slashdot.org/article.pl?sid=05/03/31/

0339257&tid=146&tid=218

Masalah keamanan yang berhubungan dengan Indonesia

Meskipun Internet di Indonesia masih dapat tergolong baru, sudah ada

beberapa kasus yang berhubungan dengan keamanan di Indonesia. Di

bawah ini akan didaftar beberapa contoh masalah atau topik tersebut.

• Akhir Januari 1999. Domain yang dipakai  untuk Timor Timur (.TP)

diserang sehingga hilang. Domain untuk Timor Timur ini diletakkan

pada sebuah server di Irlandia yang bernama Connect-Ireland.

Pemerintah Indonesia yang disalahkan atau dianggap melakukan

kegiatan hacking ini. Menurut keterangan yang diberikan oleh

administrator Connect-Ireland, 18 serangan dilakukan secara serempak

dari seluruh penjuru dunia. Akan tetapi berdasarkan pengamatan,

domain Timor Timur tersebut dihack dan kemudian ditambahkan sub

domain yang bernama “need.tp”. Berdasarkan pengamatan situasi,

“need.tp” merupakan sebuah perkataan yang sedang dipopulerkan oleh

“Beavis and Butthead” (sebuah acara TV di MTV). Dengan kata lain,

crackers yang melakukan serangan tersebut kemungkinan penggemar

(atau paling tidak, pernah nonton) acara Beavis dan Butthead itu. Jadi,

kemungkinan dilakukan oleh seseorang dari Amerika Utara.

• Beberapa web site Indonesia sudah dijebol dan daftarnya (beserta contoh

halaman yang sudah dijebol) dapat dilihat di koleksi <http://

www.2600.com> dan alldas.de

• Januari 2000. Beberapa situs web Indonesia diacak-acak oleh cracker

yang menamakan dirinya “fabianclone” dan “naisenodni” (indonesian

dibalik). Situs yang diserang termasuk Bursa Efek Jakarta, BCA,

Indosatnet. Selain situs yang besar tersebut masih banyak situs lainnya

yang tidak dilaporkan.

• Seorang cracker Indonesia (yang dikenal dengan nama hc) tertangkap di

Singapura ketika mencoba menjebol sebuah perusahaan di Singapura.

• September dan Oktober 2000. Setelah berhasil membobol bank Lippo,

kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali.

Perlu diketahui bahwa kedua bank ini memberikan layanan Internet

banking.

• September 2000. Polisi mendapat banyak laporan dari luar negeri

tentang adanya user Indonesia yang mencoba menipu user lain pada situs

web yang menyediakan transaksi lelang (auction) seperti eBay.

• 24 Oktober 2000. Dua warung Internet (Warnet) di Bandung digrebeg

oleh Polisi (POLDA Jabar) dikarenakan mereka memakai  account

dialup curian dari ISP Centrin. Salah satu dari Warnet tersebut sedang

online dengan memakai  account curian tersebut.

• April 2001. Majalah Warta Ekonomi1

 melakukan polling secara online

selama sebulan dan hasilnya menunjukkan bahwa dari 75 pengunjung,

37% mengatakan meragukan keamanan transaksi secara online, 38%

meragukannya, dan 27% merasa aman.

• 16 April 2001. Polda DIY meringkus seorang carder2

 Yogya.

Tersangka diringkus di Bantul dengan barang bukti sebuah paket yang

berisi lukisan (Rumah dan Orang Indian) berharga Rp 30 juta. Tersangka

berstatus mahasiswa STIE Yogyakarta.

• Juni 2001. Seorang penakai  Internet Indonesia membuat beberapa

situs yang mirip (persis sama) dengan situs klikbca.com, yang dipakai 

oleh BCA untuk memberikan layanan Internet banking. Situs yang dia

buat memakai  nama domain yang mirip dengan klikbca.com, yaitu

kilkbca.com (perhatikan tulisan “kilk” yang sengaja salah ketik),

wwwklikbca.com (tanpa titik antara kata “www” dan “klik”),

clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia medapat

memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan

nama situs layanan Internet banking tersebut.

• 16 Oktober 2001. Sistem BCA yang memakai  VSAT terganggu

selama beberapa jam. Akibatnya transaksi yang memakai  fasilitas

VSAT, seperti ATM, tidak dapat dilaksanakan. Tidak diketahui (tidak

diberitakan) apa penyebabnya. Jumlah kerugian tidak diketahui.

• Maret 2005. Indonesia dan Malaysia berebut pulau Ambalat. Hacker

Indonesia dan Malaysia berlomba-lomba untuk merusak situs-situs

negara lainnya. Beberapa contoh halaman web yang dirusak di simpan di

situs http://www.zone-h.org.

Meningkatnya Kejahatan Komputer

Jumlah kejahatan komputer (computer crime), terutama yang berhubungan

dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal,

antara lain:

• Aplikasi bisnis yang memakai  (berbasis) teknologi informasi dan

jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai

bermunculan aplikasi bisnis seperti on-line banking, electronic

commerce (e-commerce), Electronic Data Interchange (EDI), dan masih

banyak lainnya. Bahkan aplikasi e-commerce akan menjadi salah satu

aplikasi pemacu di Indonesia (melalui “Telematika Indonesia” [48] dan

Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi e￾commerce terlihat mulai meningkat.

• Desentralisasi (dan distributed) server menyebabkan lebih banyak

sistem yang harus ditangani. Hal ini membutuhkan lebih banyak

operator dan administrator yang handal yang juga kemungkinan harus

disebar di seluruh lokasi. Padahal mencari operator dan administrator

yang handal yaitu  sangat sulit, apalagi jika harus disebar di berbagai

tempat. Akibat dari hal ini yaitu  biasanya server-server di daerah

(bukan pusat) tidak dikelola dengan baik sehingga lebih rentan terhadap

serangan. Seorang cracker akan menyerang server di daerah lebih dahulu

sebelum mencoba menyerang server pusat. Setelah itu dia akan

menyusup melalui jalur belakang. (Biasanya dari daerah / cabang ke

pusat ada routing dan tidak dibatasi dengan firewall.)

• Transisi dari single vendor ke multi-vendor sehingga lebih banyak

sistem atau perangkat yang harus dimengerti dan masalah

interoperability antar vendor yang lebih sulit ditangani. Untuk

memahami satu jenis perangkat dari satu vendor saja sudah susah,

apalagi harus menangani berjenis-jenis perangkat. Bayangkan, untuk

router saja sudah ada berbagai vendor; Cisco, Juniper Networks, Nortel,

Linux-based router, BSD-based router, dan lain-lain. Belum lagi jenis

sistem operasi (operating system) dari server, seperti Solaris (dengan

berbagai versinya), Windows (NT, 2000, 2003), Linux (dengan berbagai

distribusi), BSD (dengan berbagai variasinya mulai dari FreeBSD,

OpenBSD, NetBSD). Jadi sebaiknya tidak memakai  variasi yang

terlalu banyak1

.

• Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai

banyak pemakai yang mencoba-coba bermain atau membongkar sistem

yang dipakai nya (atau sistem milik orang lain). Jika dahulu akses ke

komputer sangat sukar, maka sekarang komputer sudah merupakan

barang yang mudah diperoleh dan banyak dipasang di sekolah serta

rumah-rumah.

• Mudahnya diperoleh software untuk menyerang komputer dan jaringan

komputer. Banyak tempat di Internet yang menyediakan software yang

langsung dapat diambil (download) dan langsung dipakai  untuk

menyerang dengan Graphical User Interface (GUI) yang mudah

dipakai . Beberapa program, seperti SATAN, bahkan hanya

membutuhkan sebuah web browser untuk menjalankannya. Sehingga,

seseorang yang hanya dapat memakai  web browser dapat

menjalankan program penyerang (attack). Penyerang yang hanya bisa

menjalankan program tanpa mengerti apa maksudnya disebut dengan

istilah script kiddie.

• Kesulitan dari penegak hukum untuk mengejar kemajuan dunia

komputer dan telekomunikasi yang sangat cepat. Hukum yang berbasis

ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah

yang justru terjadi pada sebuah sistem yang tidak memiliki ruang dan

waktu. Barang bukti digital juga masih sulit diakui oleh pengadilan

Indonesia sehingga menyulitkan dalam pengadilan. Akibatnya pelaku

kejahatan cyber hanya dihukum secara ringan sehingga ada

kecenderungan mereka melakukan hal itu kembali. (Hal ini akan dibahas

lebih detail pada bagian hukum.)

• Semakin kompleksnya sistem yang dipakai 1

, seperti semakin

besarnya program (source code) yang dipakai  sehingga semakin

besar probabilitas terjadinya lubang keamanan (yang disebabkan

kesalahan pemrograman, bugs). Lihat tabel di bawah untuk melihat

peningkatkan kompleksitas operating system Microsoft Windows.

Seperti diungkapkan oleh Bruce Schneier dalam bukunya [43],

“complexity is the worst enemy of security”.

• Semakin banyak perusahaan yang menghubungkan sistem informasinya

dengan jaringan komputer yang global seperti Internet. Hal ini membuka

akses dari seluruh dunia. (Maksud dari akses ini yaitu  sebagai target

dan juga sebagai penyerang.) Potensi sistem informasi yang dapat

dijebol dari mana-mana menjadi lebih besar.

Alasan-alasan di atas membuat populernya bidang security saat ini.

Klasifikasi Kejahatan Komputer

Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya

sampai ke yang hanya mengesalkan (annoying). Menurut David Icove [20]

berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi

empat, yaitu:

1. Keamanan yang bersifat fisik (physical security): termasuk akses

orang ke gedung, peralatan, dan media yang dipakai . Beberapa bekas

penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke

tempat sampah untuk mencari berkas-berkas yang mungkin memiliki

informasi tentang keamanan. Misalnya pernah diketemukan coretan

password atau manual yang dibuang tanpa dihancurkan. Wiretapping

atau hal-hal yang berhubungan dengan akses ke kabel atau komputer

yang dipakai  juga dapat dimasukkan ke dalam kelas ini.

Pencurian komputer dan notebook juga merupakan kejahatan yang besi￾fat fisik. Menurut statistik, 15% perusahaan di Amerika pernah kehilan￾gan notebook. Padahal biasanya notebook ini tidak dibackup (sehingga

data-datanya hilang), dan juga seringkali dipakai  untuk menyimpan

data-data yang seharusnya sifatnya confidential (misalnya pertukaran

email antar direktur yang memakai  notebook tersebut).

Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak

dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini.

Denial of service dapat dilakukan misalnya dengan mematikan peralatan

atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat

berisi apa saja karena yang diutamakan yaitu  banyaknya jumlah pesan).

Beberapa waktu yang lalu ada lubang keamanan dari implementasi pro￾tokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana

sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi

terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang).

Mematikan jalur listrik sehingga sistem menjadi tidak berfungsi juga

merupakan serangan fisik.

Masalah keamanan fisik ini mulai menarik perhatikan ketika gedung

World Trade Center yang dianggap sangat aman dihantam oleh pesawat

terbang yang dibajak oleh teroris. Akibatnya banyak sistem yang tidak

bisa hidup kembali karena tidak diamankan. Belum lagi hilangnya

nyawa.

2. Keamanan yang berhubungan dengan orang (personel): termasuk

identifikasi, dan profil resiko dari orang yang mempunyai akses

(pekerja). Seringkali kelemahan keamanan sistem informasi bergantung

kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dike￾nal dengan istilah “social engineering” yang sering dipakai  oleh

kriminal untuk berpura-pura sebagai orang yang berhak mengakses

informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang

lupa passwordnya dan minta agar diganti menjadi kata lain.

3. Keamanan dari data dan media serta teknik komunikasi (communi￾cations). Yang termasuk di dalam kelas ini yaitu  kelemahan dalam

software yang dipakai  untuk mengelola data. Seorang kriminal dapat

memasang virus atau trojan horse sehingga dapat mengumpulkan infor￾masi (seperti password) yang semestinya tidak berhak diakses. Bagian

ini yang akan banyak kita bahas dalam buku ini.

4. Keamanan dalam operasi: termasuk kebijakan (policy) dan prosedur

yang dipakai  untuk mengatur dan mengelola sistem keamanan, dan

juga termasuk prosedur setelah serangan (post attack recovery).

Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.

Aspek / servis dari security

Garfinkel [17] mengemukakan bahwa keamanan komputer (computer

security) melingkupi empat aspek, yaitu privacy, integrity, authentication,

dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang

juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu

access control dan non-repudiation.

Privacy / Confidentiality

Inti utama aspek privacy atau confidentiality yaitu  usaha untuk menjaga

informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah

data-data yang sifatnya privat sedangkan confidentiality biasanya

berhubungan dengan data yang diberikan ke pihak lain untuk keperluan

tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya

diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang

berhubungan dengan privacy yaitu  e-mail seorang pemakai (user) tidak

boleh dibaca oleh administrator. Contoh confidential information yaitu 

data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social

security number, agama, status perkawinan, penyakit yang pernah diderita,

nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin

diproteksi penakai an dan penyebarannya. Contoh lain dari confidentiality

yaitu  daftar pelanggan dari sebuah Internet Service Provider (ISP).

Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi.

Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda,

maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai

anda) bahwa kartu kredit anda hilang dan mohon penakai annya diblokir.

Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa

saya yaitu  anda dan akan menutup kartu kredit anda. Masih banyak lagi

kekacauan yang dapat ditimbulkan bila data-data pribadi ini dipakai  oleh

orang yang tidak berhak.

Ada sebuah kasus dimana karyawan sebuah perusahaan dipecat dengan

tidak hormat dari perusahaan yang bersangkutan karena kedapatan

mengambil data-data gaji karyawan di perusahaan yang bersangkutan. Di

perusahaan ini, daftar gaji termasuk informasi yang bersifat confidential /

rahasia1

.

Dalam bidang kesehatan (health care) masalah privacy merupakan topik

yang sangat serius di Amerika Serikat. Health Insurance Portability and

Accountability Act (HIPPA), dikatakan akan mulai dipakai  di tahun

2002, mengatakan bahwa rumah sakit, perusahaan asuransi, dan institusi

lain yang berhubungan dengan kesehatan harus menjamin keamanan dan

privacy dari data-data pasien. Data-data yang dikirim harus sesuai dengan

format standar dan mekanisme pengamanan yang cukup baik. Partner bisnis

dari institusi yang bersangkutan juga harus menjamin hal tersebut. Suatu hal

yang cukup sulit dipenuhi. Pelanggaran akan act ini dapat didenda US$

250.000 atau 10 tahun di penjara.

Serangan terhadap aspek privacy misalnya yaitu  usaha untuk melakukan

penyadapan (dengan program sniffer). Usaha-usaha yang dapat dilakukan

untuk meningkatkan privacy dan confidentiality yaitu  dengan

memakai  teknologi kriptografi (dengan enkripsi dan dekripsi).

Ada beberapa masalah lain yang berhubungan dengan confidentiality.

Apabila kita menduga seorang pemakai (sebut saja X) dari sebuah ISP (Z),

maka dapatkah kita meminta ISP (Z) untuk membuka data-data tentang

pemakai X tersebut? Di luar negeri, ISP Z akan menolak permintaan

tersebut meskipun bukti-bukti bisa ditunjukkan bahwa pemakai X tersebut

melakukan kejahatan. Biasanya ISP Z tersebut meminta kita untuk

menunjukkan surat dari pihak penegak hukum (subpoena). Masalah privacy

atau confidentiality ini sering dipakai  sebagi pelindung oleh orang yang

jahat/nakal.

Informasi mengenai privacy yang lebih rinci dapat diperoleh dari situs

Electronic Privacy Information Center (EPIC)1

 dan Electronic Frontier

Foundation (EFF)2

.

 Integrity

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin

pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang

mengubah informasi tanpa ijin merupakan contoh masalah yang harus

dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan,

diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat

yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga.

penakai an enkripsi dan digital signature, misalnya, dapat mengatasi

masalah ini.

Salah satu contoh kasus trojan horse yaitu  distribusi paket program TCP

Wrapper (yaitu program populer yang dapat dipakai  untuk mengatur dan

membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak

bertanggung jawab. Jika anda memasang program yang berisi trojan horse

tersebut, maka ketika anda merakit (compile) program tersebut, dia akan

mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan

dia masuk ke sistem anda. Informasi ini berasal dari CERT Advisory, “CA-

99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999.

Contoh serangan lain yaitu  yang disebut “man in the middle attack”

dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar

sebagai orang lain.

Authentication

Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi

betul-betul asli, orang yang mengakses atau memberikan informasi yaitu 

betul-betul orang yang dimaksud, atau server yang kita hubungi yaitu 

betul-betul server yang asli.

Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan

teknologi watermarking dan digital signature. Watermarking juga dapat

dipakai  untuk menjaga “intelectual property”, yaitu dengan menandai

dokumen atau hasil karya dengan “tanda tangan” pembuat.

Masalah kedua biasanya berhubungan dengan access control, yaitu

berkaitan dengan pembatasan orang yang dapat mengakses informasi.

Dalam hal ini penakai  harus menunjukkan bukti bahwa memang dia

yaitu  penakai  yang sah, misalnya dengan memakai  password,

biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat

ditanyakan kepada orang untuk menguji siapa dia:

• What you have (misalnya kartu ATM)

• What you know (misalnya PIN atau password)

• What you are (misalnya sidik jari, biometric)

penakai an teknologi smart card, saat ini kelihatannya dapat

meningkatkan keamanan aspek ini. Secara umum, proteksi authentication

dapat memakai  digital certificates.

Authentication biasanya diarahkan kepada orang (penakai ), namun tidak

pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa

mesin ATM yang sedang kita gunakan memang benar-benar milik bank

yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin

seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat

menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari

orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah.

Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang

menyamar sebagai web site sebuah bank yang memberikan layanan Internet

Banking. (Ini yang terjadi dengan kasus klikBCA.com.)

Availability

Aspek availability atau ketersediaan berhubungan dengan ketersediaan

informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol

dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan

yaitu  serangan yang sering disebut dengan “denial of service attack” (DoS

attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi￾tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani

permintaan lain atau bahkan sampai down, hang, crash. Contoh lain yaitu 

adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi

(katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai

tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya

(apalagi jika akses dilakukan melalui saluran telepon). Bayangkan apabila

anda dikirimi 5000 email dan anda harus mengambil (download) email

tersebut melalui telepon dari rumah.

Serangan terhadap availability dalam bentuk DoS attack merupakan yang

terpopuler pada saat naskah ini ditulis. Pada bagian lain akan dibahas

tentang serangan DoS ini secara lebih rinci. (Lihat “Denial of Service

Attack” pada halaman 119.)

Access Control

Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.

Hal ini biasanya berhubungan dengan klasifikasi data (public, private,

confidential, top secret) & user (guest, admin, top manager, dsb.),

mekanisme authentication dan juga privacy. Access control seringkali

dilakukan dengan memakai  kombinasi userid/password atau dengan

memakai  mekanisme lain (seperti kartu, biometrics).

Non-repudiation

Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan

sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk

memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan

email tersebut. Aspek ini sangat penting dalam hal electronic commerce.

penakai an digital signature, certifiates, dan teknologi kriptografi secara

umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung

oleh hukum sehingga status dari digital signature itu jelas legal. Hal ini

akan dibahas lebih rinci pada bagian tersendiri.

Serangan Terhadap Keamanan Sistem 

Informasi

Security attack, atau serangan terhadap keamanan sistem informasi, dapat

dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya

yaitu  sebagai penyedia informasi. Menurut W. Stallings [45] ada beberapa

kemungkinan serangan (attack):

• Interruption: Perangkat sistem menjadi rusak atau tidak tersedia.

Serangan ditujukan kepada ketersediaan (availability) dari sistem.

Contoh serangan yaitu  “denial of service attack”.

• Interception: Pihak yang tidak berwenang berhasil mengakses aset atau

informasi. Contoh dari serangan ini yaitu  penyadapan (wiretapping).

• Modification: Pihak yang tidak berwenang tidak saja berhasil

mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari

serangan ini antara lain yaitu  mengubah isi dari web site dengan pesan￾pesan yang merugikan pemilik web site.

• Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke

dalam sistem. Contoh dari serangan jenis ini yaitu  memasukkan pesan￾pesan palsu seperti e-mail palsu ke dalam jaringan komputer.

Electronic commerce: mengapa sistem 

informasi berbasis Internet

Sistem informasi saat ini banyak yang mulai memakai  basis Internet.

Ini disebabkan Internet merupakan sebuah platform yang terbuka (open

platform) sehingga menghilangkan ketergantungan perusahaan pada sebuah

vendor tertentu seperti jika memakai  sistem yang tertutup (proprietary

systems). Open platform juga mempermudah interoperability antar vendor.

Selain alasan di atas, saat ini Internet merupakan media yang paling

ekonomis untuk dipakai  sebagai basis sistem informasi. Hubungan antar

komputer di Internet dilakukan dengan menghubungkan diri ke link

terdekat, sehingga hubungan fisik biasanya bersifat lokal. Perangkat lunak

(tools) untuk menyediakan sistem informasi berbasis Internet (dalam bentuk

server web, ftp, gopher), membuat informasi (HTML editor), dan untuk

mengakses informasi (web browser) banyak tersedia. Perangkat lunak ini

banyak yang tersedia secara murah dan bahkan gratis.

Alasan-alasan tersebut di atas menyebabkan Internet menjadi media

elektronik yang paling populer untuk menjalankan bisnis, yang kemudian

dikenal dengan istilah electronic commerce (e-commerce). Dengan

diperbolehkannya bisnis memakai  Internet, maka penakai an Internet

menjadi meledak. Statistik yang berhubungan dengan kemajuan Internet

dan e-commerce sangat menakjubkan.

Statistik Internet

Jumlah komputer, server, atau lebih sering disebut host yang terdapat di

Internet menaik dengan angka yang fantastis. Sejak tahun 1985 sampai

dengan tahun 1997 tingkat perkembangannya (growth rate) jumlah host

setiap tahunnya yaitu  2,176. Jadi setiap tahun jumlah host meningkat lebih

dari dua kali. Pada saat naskah ini ditulis (akhir tahun 1999), growth rate

sudah turun menjadi 1,5.

Data-data statistik tentang pertumbuhan jumlah host di Internet dapat

diperoleh di “Matrix Maps Quarterly” yang diterbitkan oleh MIDS1

.

Beberapa fakta menarik tentang Internet:

• Jumlah host di Internet Desember 1969: 4

• Jumlah host di Internet Agustus 1981: 213

• Jumlah host di Internet Oktober 1989: 159.000

• Jumlah host di Internet Januari 1992: 727.000

Statistik Electronic Commerce

Hampir mirip dengan statistik jumlah host di Internet, statistik penakai an

Internet untuk keperluan e-commerce juga meningkat dengan nilai yang

menakjubkan. Berikut ini yaitu  beberapa data yang diperoleh dari

International Data Corporation (IDC):

• Perkiraan pembelian konsumer melalui Web di tahun 1999: US$ 31

billion (31 milyar dolar Amerika). Diperkirakan pada tahun 2003 angka

ini menjadi US$177,7 billion.

• Perkiraan pembelian bisnis melalui web di tahun 1999: US$80,4 billion

(80,4 milyar dolar Amerika). Diperkirakan pada tahun 2003 angka ini

menjadi US$1.1 trillion.

• Jika diperhatikan angka-angka di atas, maka e-commerce yang sifatnya

bisnis (business to business) memiliki nilai yang lebih besar

dibandingkan yang bersifat business to consumer.

Di Indonesia, e-commerce merupakan sebuah tantangan yang perlu

mendapat perhatian lebih serius. Ada beberapa hambatan dan juga peluang

di dalam bidang ini. Pembahasan tentang e-commerce di Indonesia dapat

dilihat di [26, 36].

Keamanan Sistem Internet

Untuk melihat keamanan sistem Internet perlu diketahui cara kerja sistem

Internet. Antara lain, yang perlu diperhatikan yaitu  hubungan antara

komputer di Internet, dan protokol yang dipakai . Internet merupakan

jalan raya yang dapat dipakai  oleh semua orang (public). Untuk

mencapai server tujuan, paket informasi harus melalui beberapa sistem

(router, gateway, hosts, atau perangkat-perangkat komunikasi lainnya) yang

kemungkinan besar berada di luar kontrol dari kita. Setiap titik yang dilalui

memiliki potensi untuk dibobol, disadap, dipalsukan [35]. Kelemahan

sebuat sistem terletak kepada komponen yang paling lemah.

Asal usul Internet kurang memperhatikan masalah keamanan. Ini mungkin

dikarenakan unsur kental dari perguruan tinggi dan lembaga penelitian yang

membangun Internet. Sebagai contoh, IP versi 4 yang dipakai  di Internet

banyak memiliki kelemahan. Hal ini dicoba diperbaiki dengan IP Secure

dan IP versi 6.

Hackers, Crackers, dan Etika

Hackers are like kids putting a 10 pence piece on a railway line to see if the train

can bend it, not realising that they risk de-railing the whole train

(Mike Jones: London interview).

Untuk mempelajari masalah keamanan, ada baiknya juga mempelajari

aspek dari pelaku yang terlibat dalam masalah keamanan ini, yaitu para

hackers and crackers. Buku ini tidak bermaksud untuk membahas secara

terperinci masalah non-teknis (misalnya sosial) dari hackers akan tetapi

sekedar memberikan ulasan singkat.

Hackers vs crackers

HACKER. noun. 1. A person who enjoys learning the details of computer systems 

and how to stretch their capabilities - as opposed to most users of computers, who 

prefer to learn only the minimum amount necessary. 2. One who programs enthusi￾astically or who enjoys programming rather than theorizing about programming. 

(Guy L. Steele, et al., The Hacker’s Dictionary)

hacker /n./ 

[originally, someone who makes furniture with an axe] 1. A person who enjoys 

exploring the details of programmable systems and how to stretch their capabili￾ties, as opposed to most users, who prefer to learn only the minimum necessary. 2. 

One who programs enthusiastically (even obsessively) or who enjoys program￾ming rather than just theorizing about programming. 3. A person capable of appre￾ciating hack value. 4. A person who is good at programming quickly. 5. An expert 

at a particular program, or one who frequently does work using it or on it; as in `a 

Unix hacker'. (Definitions 1 through 5 are correlated, and people who fit them con￾gregate.) 6. An expert or enthusiast of any kind. One might be an astronomy 

hacker, for example. 7. One who enjoys the intellectual challenge of creatively 

overcoming or circumventing limitations. 8. [deprecated] A malicious meddler 

who tries to discover sensitive information by poking around. Hence `password 

hacker', `network hacker'. The correct term for this sense is cracker.

Sementara itu menurut Concise Oxfor English Dictionary

hacker /n.

1. A person who or thing that hacks or cuts roughly.

2. A person whose uses computers for a hobby, esp. to gain unauthorized access to 

data.

Istilah hackers sendiri masih belum baku karena bagi sebagian orang

hackers mempunyai konotasi positif, sedangkan bagi sebagian lain

memiliki konotasi negatif. Bagi kelompok yang pertama (old school), untuk

pelaku yang jahat biasanya disebut crackers. Batas antara hacker dan

cracker sangat tipis. Batasan ini ditentukan oleh etika. moral, dan integritas

dari pelaku sendiri. Untuk selanjutnya dalam buku ini kami akan

memakai  kata hacker sebagai generalisir dari hacker dan cracker,

kecuali bila diindikasikan secara eksplisit.

Paul Taylor dalam disertasi PhDnya [47] mengungkapkan adanya tiga

kelompok, yaitu Computer Underground (CU), Computer Security Industry

(CSI), dan kelompok akademis. Perbedaan antar kelompok ini kadang￾kadang tidak tegas.

Untuk sistem yang berdomisili di Indonesia secara fisik (physical) maupun

lojik (logical) ancaman keamanan dapat datang dari berbagai pihak.

Berdasarkan sumbernya, acaman dapat dikategorikan yang berasal dari luar

negeri dan yang berasal dari dalam negeri. Acaman yang berasal dari luar

negeri contohnya yaitu  hackers Portugal yang mengobrak-abrik beberapa

web site milik pemerintah Indonesia.

Berdasarkan motif dari para perusak, ada yang berbasis politik, eknomi, dan

ada juga yang hanya ingin mencari ketenaran. Masalah politik nampaknya

sering menjadi alasan untuk menyerang sebuah sistem (baik di dalam

maupun di luar negeri). Beberapa contoh dari serangan yang memakai 

alasan politik antara lain:

• Serangan dari hackers Portugal yang mengubah isi beberapa web site

milik pemerintah Indonesia dikarenakan hackers tersebut tidak setuju

dengan apa yang dilakukan oleh pemerintah Indonesia di Timor Timur.

Selain mengubah isi web site, mereka juga mencoba merusak sistem

yang ada dengan menghapus seluruh disk (jika bisa).

• Serangan dari hackers Cina dan Taiwan terhadap beberapa web site

Indonesia atas kerusuhan di Jakarta (Mei 1998) yang menyebabkan etnis

Cina di Indonesia mendapat perlakukan yang tidak adil. Hackers ini

mengubah beberapa web site Indonesia untuk menyatakan ketidak￾sukaan mereka atas apa yang telah terjadi.

• Beberapa hackers di Amerika menyatakan akan merusak sistem milik

pemerintah Iraq ketika terjeadi ketegangan politik antara Amerika dan

Irak.

Interpretasi Etika Komputasi

Salah satu hal yang membedakan antara crackers dan hackers, atau antara

Computer Underground dan Computer Security Industry yaitu  masalah

etika. Keduanya memiliki basis etika yang berbeda atau mungkin memiliki

interpretasi yang berbeda terhadap suatu topik yang berhubungan dengan

masalah computing. Kembali, Paul Taylor melihat hal ini yang menjadi

basis pembeda keduanya. Selain masalah kelompok, kelihatannya umur

juga membedakan pandangan (interpretasi) terhadap suatu topik. Salah satu

contoh, Computer Security Industry beranggapan bahwa Computer

Underground masih belum memahami bahwa “computing” tidak sekedar

permainan dan mereka (maksudnya CU) harus melepaskan diri dari

“playpen1

”.

Perbedaan pendapat ini dapat muncul di berbagai topik. Sebagai contoh,

bagaimana pendapat anda tentang memperkerjakan seorang hacker sebagai

kepala keamanan sistem informasi anda? Ada yang berpendapat bahwa hal

ini sama dengan memperkerjakan penjarah (gali, preman) sebagai kepala

keamanan setempat. Jika analogi ini disepakati, maka akibat negatif yang

ditimbulkan dapat dimengerti. Akan tetapi para computer underground

berpendapat bahwa analogi tersebut kurang tepat. Para computer

underground berpendapat bahwa hacking lebih mengarah ke kualitas

intelektual dan jiwa pionir. Kalau dianalogikan, mungkin lebih ke arah

permainan catur dan masa “wild west” (di Amerika jaman dahulu).

Pembahasan yang lebih detail tentang hal ini dapat dibaca dalam disertasi

dari Paul Taylor [47].

Perbedaan pendapat juga terjadi dalam masalah “probing”, yaitu mencari

tahu kelemahan sebuah sistem. Computer security industry beranggapan

bahwa probing merupakan kegiatan yang tidak etis. Sementara para

computer underground menganggap bahwa mereka membantu dengan

menunjukkan adanya kelemahan dalam sebuah sistem (meskipun sistem

tersebut bukan dalam pengelolaannya). Kalau dianalogikan ke dalam

kehidupan sehari-hari (jika anda setuju dengan analoginya), bagaimana

pendapat anda terhadap seseorang (yang tidak diminta) yang mencoba-coba

membuka-buka pintu atau jendela rumah anda dengan alasan untuk menguji

keamanan rumah anda.

Hackers dan crackers Indonesia

Apakah ada hackers dan crackers Indonesia? Tentunya ada. Kedua “school

of thought” (madzhab) hackers ada di Indonesia. Kelompok yang menganut

“old school” dimana hacking tidak dikaitkan dengan kejahatan elektronik

umumnya bergabung di berbagai mailing list dan kelompok baik secara

terbuka maupun tertutup. Ada beberapa mailing list dimana para hackers

bergabung, antara lain:

• Mailing list pau-mikro. Mailing list ini mungkin termasuk yang tertua di

Indonesia, dimulai sejak akhir tahun 1980-an oleh yang sedang

bersekolah di luar negeri (dimotori oleh staf PAU Mikroelektronika ITB

dimana penulis merupakan salah satu motornya, yang kemudian malah

menjadi minoritas di milis tersebut). Milis ini tadinya berkedudukan di

jurusan elektro University of Manitoba, Canada (sehingga memiliki

alamat pau-mikro@ee.umanitoba.ca) dan kemudian pindah menjadi pau￾mikro@nusantara.net.

• Hackerlink

• Anti-Hackerlink, yang merupakan lawan dari Hackerlink

• Kecoa Elektronik yang memiliki homepage sendiri di 

<http://k-elektronik.org>

• Indosniffing

• dan masih banyak lainnya yang tidak mau dikenal atau kelopok yang

hanya semusiman (kemudian hilang dan tentuny muncul yang baru lagi)

Selain tempat berkumpul hacker, ada juga tempat profesional untuk

menjalankan security seperti di

• IDCERT - Indonesia Computer Emergency Response Team

http://www.cert.or.id

• Mailing list diskusi@cert.or.id

• Mailing list security@linux.or.id

Sebelum melangkah lebih jauh kepada hal yang praktis dalam pengamanan

sistem informasi, ada baiknya kita pelajari dasar-dasar (principles) dan

teori-teori yang dipakai  untuk pengamanan sistem informasi.

Kriptografi, enkripsi, dan dekrtipsi (baik dengan memakai  private-key

maupun dengan memakai  public-key) akan dibahas secara singkat di

dalam bab ini. Bagi yang ingin mendalami lebih jauh mengenai kriptografi,

disarankan untuk membaca buku-buku yang dipakai  sebagai referensi

pada bab ini karena bahasan kriptografi bisa menjadi satu buku tersendiri.

David Khan dalam bukunya The Code-breakers1

 [24] membagi masalah

pengamana informasi menjadi dua kelompo; security dan intelligence.

Security dikaitkan dengan pengamanan data, sementara intelligence

dikaitkan dengan pencarian (pencurian, penyadapan) data. Keduanya sama

pentingnya. Bagi sebuah perusahaan, biasanya masalah pengamanan data

yang lebih dipentingkan. Sementara bagi militer dan intel, masalah

penyadapan data merupakan hal yang penting juga karena ini menyangkut

keamanan negara. Hal ini menimbulkan masalah baru seperti masalah

privasi dan keamanan negara, masalah spy versus spy.

Majalah IEEE Spectrum bulan April 2003 menceritakan tentang

penyadapan internasional yang dilakukan oleh beberapa negara yang

dimotori oleh Amerika Serikat, Inggris, dan Australia. Penyadapan ini

dilakukan secara besar-besaran di udara, darat, dan laut. Jadi, masalah

penyadapan informasi negara bukan isapan jempol lagi. Ini sudah menjadi

informasi yang terbuka.

Melakukan penyadapan dan mengelola data yang disadap bukan hal yang

mudah. Apalagi jika volume dari data tersebut sangat besar. Masalah itu

menjadi fokus bahasan dari IEEE Spectrum edisi April 2003 tersebut.

Bagaimana melakukan penyadapan terhadap pembicaraan orang melalui

telepon? Bagaimana mendeteksi kata-kata tertentu? Perlukan semua hasil

sadapan disimpan dalam database? Seberapa besar databasenya?

Bagaimana proses data mining, pencarian informasi dari database tersebut.

Masih banyak pertanyaan-pertanyaan lain yang belum terjawab secara

teknis.

Pengamanan data dapat dilakukan dengan dua cara, yaitu steganography1

dan cryptography. Biasanya kita hanya familier dengan cara yang terakhir

saja. Namun steganografi juga memiliki banyak manfaat.

Pengamanan dengan memakai  steganografi membuat seolah-oleh

pesan rahasia tidak ada atau tidak nampak. Padahal pesan tersebut ada.

Hanya saja kita tidak sadar bahwa ada pesan tersebut di sana. Contoh

steganografi antara lain:

• Di jaman perang antara Yunani dan Persia, pesan rahasia disembunyikan

dengan cara menuliskannya di meja (mebel) yang kemudian dilapisi

dengan lilin (wax). Ketika diperiksa, pesan tidak nampak. Akan tetapi

sesampainya di tujuan pesan tersebut dapat diperoleh kembali dengan

mengupas (kerok) lilin yang melapisinya.

• Di jaman Histalaeus, pesan disembunyikan dengan cara membuat tato di

kepala budak yang telah digunduli. Kemudian ditunggu sampai rambut

budak tersebut mulai tumbuh baru sang budak dikirim melalui penjagaan

musuh. Ketika diperiksa di pintu gerbang lama memang sang budak

tidak membawa pesan apa-apa. Sesampainya di tujuan baru sang budak

dicukur oleh sang penerima pesan untuk dapat dibaca pesannya.

(Bagaimana cara menghapus pesannya? Sadis juga.)

• Pesan rahasia dapat juga dikirimkan dengan mengirim surat pembaca ke

sebuah surat kabar. Huruf awal setiap kalimat (atau bisa juga setiap kata)

membentuk pesan yang ingin diberikan. Cara lain yaitu  dengan

membuat puisi dimana huruf awal dari setiap baris membentuk kata-kata

pesan sesungguhnya.

• Hal yang sama dapat dilakukan dengan membuat urutan gambar buah

dimana pesan tersebut merupakan gabungan dari huruf awald dari nama

buah tersebut.

• Pengarang Dan Brown dalam buku novelnya yang berjudul “The Da

Vinci Code” [4] memberikan pesan di sampul bukunya dengan membuat

beberapa huruf dalam cetakan tebal (bold). Jika disatukan, huruf-huruf

yang ditulis dalam cetakan tebal tersebut membuat berita yang

dimaksud. (Silahkan lihat pada gambar berikut. Apa isi pesannya?)

• Di dunia digital, steganografi muncul dalam bentuk digital watermark,

yaitu tanda digital yang disisipkan dalam gambar (digital image) atau

suara. Hak cipta (copyright) dari gambar dapat disisipkan dengan

memakai  high-bit dari pixel yang membentuk gambar tersebut.

Gambar terlihat tidak berbeda - karena kemampuan (atau lebih tepatnya

ketidakmampuan) mata manusia yang tidak dapat membedakan satu bit

saja - akan tetapi sebenarnya mengandung pesan-pesan tertentu.

• Steganografi juga muncul dalam aplikasi digital audio, seperti misalnya

untuk melindungi lagu dari pembajakan. Contoh lain yaitu 

menyisipkan informasi sudah berapa kali lagu tersebut didengarkan.

Setelah sekian kali didengarkan, maka penakai  harus membayar sewa

lagu. (Meskipun pendekatan ini masih bermasalah.) 

Tugas: Anda diminta untuk membuat sebuah pesan rahasia yang isinya

yaitu  “Kami ketahuan. Bubar.” Lupakan tanda titik dan spasi. Gunakan

berbagai cara, misalnya dengan membuat kalimat yang awal hurufnya

yaitu  “k”, “a”, “m”, “i”, dan seterusnya. Atau anda dapat juga membuat

sebuah puisi atau daftar belanjaan, atau apa pun yang dapat

menyembunyikan pesan anda tersebut. Apa yang anda lakukan harus

mencerminkan steganografi bukan kriptografi, yang akan dibahas pada

bagian berikutnya. Catatan: Nampaknya membuat puisi yang paling mudah

dilakukan dan digemari oleh mahasiswa saya.

Versi 1.0 mulai didistribusikan secara gratis di Internet dengan format Adobe

PDF (Juli 1998). Salah satu tujuan penerbitan gratis ini yaitu  agar masalah

keamanan sistem informasi dapat dimengerti oleh para profesional Indonesia.

Penulis berhak mencabut kembali distribusi ini apabila diperlukan. Umpan balik,

koreksi, donasi, dan lain-lain harap diarahkan kepada penulis melalui media

elektronik.

Total halaman: 45 halaman isi, 5 halaman cover (50 halaman)

E-mail: <rahardjo@Insan.Co.Id>

Versi 2.0. Terima kasih kepada beberapa pembaca yang telah memberikan

umpan balik dan koreksi, antara lain dari IECI, Irvan Nasrun, dan masih banyak

lainnya yang tidak dapat saya sebutkan satu persatu. Bagian yang diperbaiki

antara lain:

Bab “Mengamankan Sistem Informasi” mendapat tambahan yang cukup

signifikan.

Adanya daftar indeks.

Total: 54 halaman isi.

Versi 3.0. Penambahan Bab “Keamanan Sistem WWW” dan Bab “Eksploitasi

Lubang Keamanan”.

Versi 3.1. Terima kasih kepada Indra Dermawan dan Saptoto Aji (mahasiswa

Teknik Elektro ITB) yang telah menyumbangkan informasi tambahan tentang

serangan terhadap sistem keamanan. Tambahan lain berupa keterangan tentang

DES. Beberapa materi dari buku ini sudah diuji dalam Short Course

Implementing Security yang diadakan oleh PIKSI ITB.

Jumlah halaman: 64 (total)

Versi 3.2. Tambah informasi tentang hackers, crackers, dan etika. dipakai 

untuk materi kuliah EL 776 di Pasca Sarjana, Institut Teknologi Bandung, tahun

1999.

Jumlah halaman: 76 (total)

Versi 3.3. Menambahkan beberapa informasi di berbagai bab, antara lain: queso,

nmap, smurf, ntop.

Jumlah halaman: 80 (total), 16 Mei 1999.

Versi 3.4. Menambahkan informasi tentang hash function (MD5). dipakai 

pada kuliah EL776, Jurusan Teknik Elektro ITB. 6 Februari 2000.

Jumlah halaman: 93 (total)

Versi 3.5: menambahkan informasi tentang kegagalan firewall Gauntlet. 23 Mei

2000.

Versi 3.6: menambahkan informasi tambahan tentang monoalphabetic chipers,

tabel frequency analysis untuk teks berbahasa Inggris, referensi Simon Singh’s

Code Book, update URL referensi. Ubah font dengan font standar dikarenakan

editing pindah ke komputer yang tidak memiliki font yang aneh-aneh. 3 Oktober

2000. Jumlah halaman total menjadi 95.

Versi 3.7: menambahkan informasi tentang trojan horse. 26 November 2000.

Menambahkan URL referensi dan toos. 24 Desember 2000. Menambahkan

informasi tentang tcpdump (contoh sesi tcpdump), buku R. Stevens, buku

Stephen Northcutt, dan buku Bruce Schneier yang baru (2 Januari 2001).

Versi 4.0: memakai  FrameMaker versi 6. Menambahkan informasi tentang

kasus klikbca.com. Bab baru tentang keamanan sistem wireless.

Versi 4.1: menambahkan bagian contoh dengan cara untuk mencari informasi

tentang DNS (dengan program host, nslookup, whois, dig, dan Sam Spade) dan

server-server yang ada di dalam sebuah domain. (20 Juli 2001) Menambahkan

informasi tentang virus SirCam dan Code Red (11 Agustus 2001).

Versi 5.0: telah lama buku ini tidak diupdate padahal buku ini sudah banyak

dipakai  di berbagai kelas di Indonesia. Data-data log web menunjukkan

ratusan penakai  sudah mendownload buku ini. Sayangnya saya tidak mendapat

feedback dari para penakai . Untuk kelas saya sendiri, telah banyak tulisan dan

penelitian dari siswa-siswa yang dimasukkan ke dalam situs web untuk kuliah

ini, yaitu di http://budi.insan.co.id/courses/el695

Semenjak versi terakhir yang dipublikasikan di Internet, telah banyak buku

(referensi) baru tentang masalah security. Pada versi ini telah ditambahkan data￾data buku baru tersebut. Demikian pula topik bahasan tentang security semakin

meningkat. Sebagai contoh, masalah cyberlaw sudah cukup matang untuk

dijadikan sebuah buku tersendiri. Tentang update. Bagian web sudah

ditambahkan dengan informasi baru.

Versi 5.1: Sudah lama buku ini tidak diupdate. Sebetulnya materi untuk update

sudah banyak, hanya saja saya belum memiliki waktu untuk memasukkannya ke

dalam tulisan ini. Perbaiki secara total bagian wireless (Agustus 2002), update

bagian pendahuluan (September 2002).

Versi 5.2: Beberapa bagian diperbaharui, khususnya bagian teori dengan

menambahkan steganografi. (Oktober 2004) Buku ini sudah dipakai  oleh

lebih dari 200 mahasiswa yang mengambil kuliah saya. (Belum termasuk kuliah

di tempat lain. Jika anda mengajar di tempat lain dan memakai  buku ini

sebagai panduan, mohon informasinya agar dapat saya perbaharui informasinya.)

Versi 5.3 (Maret 2005): Bagian yang diperbaharui anatara lain fungsi hash,

steganografi, sejarah kriptografi kunci publik, dan hukum. Terima kasih kepada

Pengamana dengan memakai  cryptography dilakukan dengan dua cara,

yaitu transposisi dan subsitutsi. Pada penakai an transposisi, posisi dari

huruf yang diubah-ubah, sementara pada substitusi, huruf (atau kata)

digantikan dengan huruf atau simbol lain. Jadi bedanya dengan steganografi

yaitu  pada kriptografi pesan nampak. Hanya bentuknya yang sulit dikenali

karena seperti diacak-acak.

Pengamanan informasi (dengan memakai  enkripsi) memiliki dampak

yang luar biasa dimana hidup atau mati seseorang sangat bergantung 

kepadanya. Mungkin contoh nyata tentang hal ini yaitu  terbongkarnya

pengamanan informasi dari Mary, Queen of Scots1

, sehingga akhirnya dia

dihukum pancung. Terbongkarnya enkripsi yang memakai  Enigma

juga dianggap memperpendek perang dunia kedua. Tanpa kemampuan

membongkar Enkripsi mungkin perang dunia kedua akan berlangsung lebih

lama dan korban perang akan semakin banyak.

Kriptografi

Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan

agar aman. (Cryptography is the art and science of keeping messages

secure. [45]) “Crypto”

Read More