Data Loading...

Pertemuan 1 - Pengantar Keamanan Komputer Flipbook PDF

Pertemuan 1 - Pengantar Keamanan Komputer


102 Views
99 Downloads
FLIP PDF 472.05KB

DOWNLOAD FLIP

REPORT DMCA

A. KEAMANAN KOMPUTER Masalah keamanan komputer merupakan salah satu aspek penting dari sebuah sistem informasi, namun masalah ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan komputer, dianggap tidak penting sehingga diabaikan atau dikesampingkan, bahkan apabila menggangu kinerja dari suatu sistem, seringkali aspek keamanan dikurangi atau ditiadakan. Faktanya, tindakan (keputusan) mengabaikan atau mengesampingkan keamanan komputer merupakan suatu kesalahan yang fatal, terutama saat berada di era information-based society. Suatu kondisi, dimana informasi menjadi sebuah komoditi yang sangat penting dan kemampuan mengakses serta menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi atau perusahaan maupun individual (pribadi). Sangat pentingnya nilai sebuah informasi, menyebabkan seringkali informasi tersebut hanya boleh diakses oleh orang-orang tertentu. Jika informasi tersebut sampai diketahui oleh pihak lain (misalnya pihak lawan bisnis atau kompetitor) dapat menimbulkan kerugian bagi pemilik informasi. Perkembangan jaringan komputer, seperti LAN dan internet, merupakan salah satu faktor utama yang memungkinkan seseorang mendapatkan informasi. Namun perkembangan tersebut juga memiliki resiko, terhubungnya komputer pada suatu Local Area Network (LAN) ke internet, membuka potensi adanya lubang keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri.

Menurut Stallings & Brown (2015), “Computer Security: The protection afforded to an automated information system in order to attain the applicable objectives of preserving the integrity, availability, and confidentiality of information system resources

(includes

hardware,

software,

firmware,

information/data,

and

telecommunications)”. Dapat diartikan, bahwa keamanan komputer merupakan perlindungan otomatis yang diberikan pada sistem informasi untuk mencapai tujuan tertentu dengan menjaga integritas, ketersediaan, dan kerahasiaan sumber daya sistem informasi (termasuk perangkat keras, perangkat lunak, firmware, informasi/data, dan telekomunikasi). Menurut Anderson (2020), “Security Engineering; is about building systems to remain dependable in the face of malice, error, or mischance. As a discipline, it focuses on the tools, processes, and methods needed to design, implement, and test complete systems, and to adapt existing systemsas their environment evolves”. Dapat diartikan, bahwa rekayasa keamanan adalah tentang membangun sistem agar tetap dapat diandalkan dalam menghadapi kejahatan, kesalahan, atau kesalahan. Sebagai suatu disiplin ilmu, ini berfokus pada alat, proses, dan metode yang diperlukan untuk merancang, menerapkan, dan menguji sistem lengkap, dan untuk mengadaptasi sistem yang ada saat lingkungan mereka berkembang.

B. KEJAHATAN KOMPUTER Cybercrime atau yang biasa kita kenal dengan kejahatan siber merupakan jenis kejahatan baru setelah munculnya teknologi informasi. Jika dilihat dari beberapa aspek terdapat banyak pengertian tentang kejahatan siber ini.

Menurut Kshetri (2010)⁠, “Kejahatan siber sebagai aktifitas kriminal yang dilakukan dengan komputer atau jaringan komputer yang secara prinsipnya melakukan serangan atau pelanggaran hukum, aturan dan perundang-undangan”. Menurut Cross (2014)⁠, “Kejahatan siber dalam artian luas berarti tindakan kriminal yang dilakukan dengan komputer dan internet, dan dapat secara umum didefinisikan sebagai salah satu kejahatan komputer”.

C. FAKTOR MENINGKATNYA KEJAHATAN KOMPUTER Berikut ini adalah beberapa faktor penyebab meningkatnya kejahatan komputer, antara lain: 1. Meningkatnya pengguna komputer dan internet. 2. Meningkatnya kemampuan pengguna komputer dan internet. 3. Semakin banyaknya perusahaan yang menghubungkan jaringan LAN mereka ke Internet. 4. Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer meningkat, seperti online banking, e-commerce, Electronic Data Interchange (EDI), dan lain sebagainya. 5. Semakin kompleksnya sistem yang digunakan, semakin besarnya source code program yang digunakan sehingga memunculkan banyak kelemahan (bugs). 6. Desentralisasi server, sehingga lebih banyak sistem yang harus ditangani. 7. Banyaknya penyalahgunaan software yang awalnya digunakan untuk melakukan audit sebuah sistem, kemudian digunakan untuk melakukan scanning system orang lain.

8. Transisi dari single vendor ke multi vendor yang biasanya akan memunculkan interoperability antar vendor. 9. Sulitnya penegak hukum dan belum adanya ketentuan aturan yang cukup jelas.

D. KLASIFIKASI KEJAHATAN KOMPUTER Menurut Howard (1997), “Berdasarkan kelemahan keamanan, kejahatan keamanan dapat diklasifikasikan menjadi empat, antara lain: 1. Kejahatan keamanan yang bersifat fisik (physical security) adalah kejahatan keamanan yang bersifat fisik artinya bisa tersentuh seperti akses orang ke gedung, peralatan, dan media yang digunakan, seperti: a. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan. b. Denial of Service, mematikan peralatan atau membanjiri saluran komunikasi dengan mengirimkan pesan dalam jumlah sangat banyak. c. Syn Flood Attack, dimana sistem (host) yang menjadi target dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang) 2. Kejahatan keamanan yang berhubungan dengan orang (personel) adalah kejahatan kamanan yang berkaitan dengan hak akses berdasarkan, seperti: a. Mencuri identitas pengguna (username dan password) b. Memanipulasi diri sebagai orang yang mempunyai akses kedalam suatu data (pemakai dan pengelola).

3. Kejahatan

keamanan

dari

data

dan

media

serta

teknik

komunikasi

(communications) adalah kejahatan keamanan yang terletak pada media, misalnya menyerang kelemahan software yang digunakan untuk mengelola data. 4. Kejahatan kamanan dalam kebijakan operasi (policy) adalah kejahatan keamanan yang memanfaatkan kelemahan kebijakan yang digunakan dalam mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery)”.

E. ASPEK DASAR KEAMANAN KOMPUTER Inti dari keamanan komputer adalah melindungi komputer dan jaringannya dengan tujuan mengamankan informasi yang berada di dalamnya. Menurut Garfinkel (1995), “Keamanan komputer sendiri meliputi beberapa aspek, antara lain : 1. Privacy. Intinya adalah pencegahan agar informasi tersebut tidak diakses oleh orang yang tidak berhak. Contohnya adalah email atau file-file lain yang tidak boleh dibaca orang lain meskipun oleh administrator. Pencegahan yang mungkin dilakukan adalah dengan menggunakan teknologi enksripsi, jadi hanya pemilik informasi yang dapat mengetahui informasi yang sesungguhnya. 2. Confidentiality. Merupakan data yang diberikan ke pihak lain untuk tujuan khusus tetapi tetap dijaga penyebarannya. Contohnya data yang bersifat pribadi seperti : nama, alamat, no KTP, no telpon dan sebagainya. Confidentiality akan terlihat apabila diminta untuk membuktikan kejahatan seseorang, apakah pemegang informasi

akan memberikan infomasinya kepada orang yang memintanya atau menjaga client-nya. 3. Integrity. Penekanannya adalah sebuah informasi tidak boleh diubah kecuali oleh pemilik informasi. Terkadang data yang telah terenskripsi pun tidak terjaga integritasnya karena ada kemungkinan chipertext dari enkripsi tersebut berubah. Contoh adalah penyerangan integritas ketika sebuah email dikirimkan ditengah jalan disadap dan diganti isinya, sehingga email yang sampai ketujuan sudah berubah. 4. Autentication. Dilakukan sewaktu user login dengan menggunakan username dan password-nya, apakah cocok atau tidak, jika cocok diterima dan tidak akan ditolak. Ini biasanya berhubungan dengan hak akses seseorang, apakah dia pengakses yang sah atau tidak. 5. Availability. Aspek ini berkaitan dengan apakah sebuah data tersedia saat dibutuhkan atau diperlukan. Apabila sebuah data atau informasi terlalu ketat pengamanannya akan menyulitkan dalam akses data tersebut. Disamping itu akses yang lambat juga menghambat terpenuhnya aspek availability. Serangan yang sering dilakukan pada aspek ini adalah Denial of Service (DoS), yaitu penggagalan service sewaktu adanya permintaan data sehingga komputer tidak bisa melayaninya. Contoh lain dari DoS ini adalah mengirimkan request yang berlebihan sehingga menyebabkan komputer tidak bisa lagi menampung beban tersebut dan akhirnya komputer down.

6. Access Control. Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & pengguna (guest, admin, top manager). Access control seringkali dilakukan dengan menggunakan kombinasi userID atau password serta dengan menggunakan mekanisme lain (seperti kartu, biometrics). 7. Non-Repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi, sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature, certicates, dan teknologi kriptografi secara umum dapat menjaga aspek ini.

F. KARAKTERISTIK PENYUSUP 1. Si Ingin Tahu (The Curious), tipe penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang seseorang atau organisasi (perusahaan) miliki. 2. Si Perusak (The Malicious), tipe penyusup ini berusaha untuk merusak sistem atau merubah web page atau mungkin sebaliknya membuat waktu dan uang kembali pulih. 3. Si Profil Tinggi (The High-Profile Intruder), tipe penyusup ini berusaha menggunakan sistem untuk memperoleh popularitas dan ketenaran.

4. Si Pesaing (The Competition), tipe penyusup ini tertarik pada data yang seseorang atau organisasi (perusahaan) miliki dalam suatu sistem. Ia mungkin beranggapan bahwa target memiliki sesuatu yang dapat menguntungkannya secara keuangan atau sebaliknya.

G. ISTILAH ATAU SEBUTAN BAGI PENYUSUP 1. Mundane (tahu mengenai hacking tapi tidak mengetahui metode dan prosesnya). 2. Lamer atau Script Kiddies (mencoba script-script yang pernah dibuat oleh aktivis hacking, tapi tidak paham bagaimana cara membuatnya). 3. Wannabe (paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah “HACK IS MY RELIGION” 4. Larva atau Newbie (hacker pemula, teknik hacking mulai dikuasai dengan baik, sering bereksperimen) 5. Hacker (aktivitas hacking sebagai profesi). 6. Wizard (hacker yang membuat komunitas pembelajaran di antara mereka). 7. Guru atau Master of The Master Hacker (lebih mengarah ke penciptaan toolstools yang powerfull yang salah satunya dapat menunjang aktivitas hacking, namun lebih jadi tools pemrograman sistem yang umum).

H. ASPEK ANCAMAN KEAMANAN KOMPUTER Ada banyak cara seorang intruder untuk dapat menyusup kedalam sistem komputer dengan motivasi yang beragam. Ketika seorang intruder masuk kedalam sistem secara ilegal, maka infrastruktur dan data sudah mulai terancam. Mulai dari

ancaman yang bersifat biasa sampai hal yang sangat mengganggu keberlangsungan sistem. Ancaman bisa dari internal maupun eksternal, namun dari sisi keamanan komputer, sistem yang aman adalah sistem yang dapat bertahan atau meminimalisir ancaman baik internal maupun eksternal. Menurut Stallings & Brown (2015), Ada beberapa model serangan keamanan, antara lain: 1. Interruption Merupakan ancaman terhadap availability. Informasi dan data yang ada dalam sistem komputer dirusak dan dihapus, sehingga jika dibutuhkan, data atau informasi sudah tidak ada lagi. Contoh: harddisk dirusak, kabel komunikasi dipotong, dan lain sebagainya yang bersifat diluar teknis secara software, biasanya harus dilakukan secara manual. Selain secara manual dapat juga dilakukan secara tersistem. Contoh serangan adalah “Denial of Service Attack”.

2. Interception Merupakan ancaman terhadap kerahasiaan (privacy atau confidentiaity). Informasi yang ada disadap untuk mendapatkan akses ke komputer dimana informasi tersebut disimpan. Pada aspek ini, data berhasil diambil sebelum atau sesudah data ditransmisikan ke tujuan. Teknik ini sangat sering dilakukan dan sangat transparan, bahkan mungkin saat ini kita sedang disadap namun kita tak pernah menyadari hal tersebut.

3. Modification Aspek modifikasi merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan tersebut. Pada Aspek ini informasi atau data tidak langsung terkirim ke tujuan, namun terkirim ke pelaku dan pelaku mempunyai otoritas full apakah data ingin diubah, dihapus bahkan pelaku bisa saja tidak meneruskan informasi tersebut ke tujuan.

4. Fabrication Merupakan ancaman terhadap integrity dan authentication. Orang yang tidak berhak berhasil meniru dengan memalsukan suatu informasi yang ada sehingga orang menerima informasi tersebut, menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.