IPSec (singkatan dari IP Security) adalah sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam sebuah internetwork berbasis TCP/IP. IPSec mendefiniskan beberapa standar untuk melakukan enkripsi data dan juga integritas data pada lapisan kedua dalam DARPA Reference Model (internetwork layer). IPSec melakukan enkripsi terhadap data pada lapisan yang sama dengan protokol IP dan menggunakan teknik tunneling untuk mengirimkan informasi melalui jaringan Internet atau dalam jaringan Intranet secara aman. IPSec didefinisikan oleh badan Internet Engineering Task Force (IETF) dan diimplementasikan di dalam banyak sistem operasi. Windows 2000 adalah sistem operasi pertama dari Microsoft yang mendukung IPSec.
IPSec diimplementasikan pada lapisan transport dalam OSI Reference Model untuk melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan menggunakan beberapa kebijakan keamanan yang dapat dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan. IPSec umumnya diletakkan sebagai sebuah lapsian tambahan di dalam stack protokol TCP/IP dan diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat dinegosiasikan antara pengirim dan penerima. Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah paket datagram IP cocok dengan filter tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap paket IP tersebut.
Dalam sistem operasi Windows 2000, Windows XP, dan Windows Server 2003, kebijakan keamanan tersebut dibuat dan ditetapkan pada level domain Active Directory atau pada host individual dengan menggunakan snap-in IPSec Management dalam Microsoft Management Console (MMC). Kebijakan IPSec tersebut, berisi beberapa peraturan yang menentukan kebutuhan keamanan untuk beberapa bentuk komunikasi. Peraturan-peraturan tersebut digunakan ntuk memulai dan mengontrol komunikasi yang aman berdasarkan sifat lalu lintas IP, sumber lalu lintas tersebut dan tujuannya. Peraturan-peraturan tersebut dapat menentukan metode-metode autentikasi dan negosiasi, atribut proses tunneling, dan jenis koneksi.
Untuk membuat sebuah sesi komunikasi yang aman antara dua komputer dengan menggunakan IPSec, maka dibutuhkan sebuah framework protokol yang disebut dengan ISAKMP/Oakley. Framework tersebut mencakup beberapa algoritma kriptografi yang telah ditentukan sebelumnya, dan juga dapat diperluas dengan menambahkan beberapa sistem kriptografi tambahan yang dibuat oleh pihak ketiga. Selama proses negosiasi dilakukan, persetujuan akan tercapai dengan metode autentikasi dan kemanan yang akan digunakan, dan protokol pun akan membuat sebuah kunci yang dapat digunakan bersama (shared key) yang nantinya digunakan sebagi kunci enkripsi data. IPSec mendukung dua buah sesi komunikasi keamanan, yakni sebagai berikut:
- protokol Authentication Header (AH): menawarkan autentikasi pengguna dan perlindungan dari beberapa serangan (umumnya serangan man in the middle), dan juga menyediakan fungsi autentikasi terhadap data serta integritas terhadap data. Protokol ini mengizinkan penerima untuk merasa yakin bahwa identitas si pengirim adalah benar adanya, dan data pun tidak dimodifikasi selama transmisi. Namun demikian, protokol AH tidak menawarkan fungsi enkripsi terhadap data yang ditransmisikannya. Informasi AH dimasukkan ke dalam header paket IP yang dikirimkan dan dapat digunakan secara sendirian atau bersamaan dengan protokol Encapsulating Security Payload.
- protokol Encapsulating Security Payload (ESP): Protokol ini melakukan enkapsulasi serta enkripsi terhadap data pengguna untuk meningkatkan kerahasiaan data. ESP juga dapat memiliki skema autentikasi dan perlindungan dari beberapa serangan dan dapat digunakan secara sendirian atau bersamaan dengan Authentication Header. Sama seperti halnya AH, informasi mengenai ESP juga dimasukkan ke dalam header paket IP yang dikirimkan.
Beberapa perangkat keras serta perangkat lunak dapat dikonfigurasikan untuk mendukung IPSec, yang dapat dilakukan dengan menggunakan enkripsi kunci publik yang disediakan oleh Certificate Authority (dalam sebuah public key infrastructure) atau kunci yang digunakan bersama yang telah ditentukan sebelumnya (skema Pre-Shared Key/PSK) untuk melakukan enkripsi secara privat.
Sistem Keamanan Komputer
Yaitu suatu sistem yang kita gunakan untuk mengamankan komputer kita dari serangan pihak luar, baik berupa serangan virus, spyware, rootkit dll.
Apa saja yang diperlukan agar komputer saya aman...?
Untuk memperkuat keamanan komputer anda, minimal anda memiliki anti virus. Ya itu memang kata anti virus yang sering anda dengar.
Anti virus ini wajib dimiliki karena sebagian besar ancaman bagi komputer kita berasal dari virus. Tidak masalah anti virus apa yang anda gunakan, yang terpenting adalah selalu terupdate. Dan jangan lupa, anti virus yang baik memiliki fasilitas real time protection. Artinya tiap saat anti virus ini selalu melindungi kita, tidak menunggu perintah dari kita untuk scan HDD misalnya. Dan jika anda menggunakan e-mail client seperti outlook atau eudora, sebaiknya anti virus anda bisa berinteraksi dengan e-mail client tersebut. Dan menurut pengalaman saya, AVG free dapat diandalkan. AVG free memiliki semua kriteria yang disebutkan di atas. Dan yang penting lagi, GRATIS bro....
Selanjutnya anda perlu memiliki anti spyware. Karena memang sifat spyware dan virus ini berbeda, sehingga anti virus tidak bisa menangani spyware dengan baik. Seperti halnya anti virus, anti spyware juga haruslah terupdate tiap saat dan memiliki fasilitas real time protection. Apapun anti spyware yang anda pakai, sebaiknya memiliki fasilitas di atas. Namun saya sendiri sekarang menggunakan Comodo BOClean.
Senjata terakhir yang perlu anda miliki adalah firewall. Firewall ini melindungi dari tangan- tangan jahil di network anda. Jadi jika komputer anda hanya single alone, dipakai di rumah, maka firewall bisa diabaikan. Untuk firewall, anda bisa memakai bawaan windows, atau jika anda ingin yang lebih fleksible dan aman, anda bisa menggunakan firewall lain. Untuk saya pribadi, saya menggunakan Comodo firewall.
Sudahkah komputer saya aman....?
Tidak ada satu tempatpun di bumi ini yang benar-benar aman. Namun jika anda telah memiliki anti virus, anti spyware dan firewall, maka anda telah "lebih" aman dan bisa tidur dengan tenang.
Sistem Keamanan Komputer
Pokok masalah keamanan sistem salah satunya disebabkan karena sistem time sharing dan akses jarak jauh, apalagi dengan meningkatnya perkembangan jaringan komputer.
Keamanan sistem komputer adalah untuk menjamin sumber daya sistem tidak digunakan / dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi. Pengamanan termasuk masalah teknis, manajerial,
legalitas dan politis.
3 macam keamanan sistem, yaitu :
1. Keamanan eksternal / external security
Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran /kebanjiran.
2. Keamanan interface pemakai / user interface security
Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang
disimpan
3. Keamanan internal / internal security
Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga integritas program dan data.
2 masalah penting keamanan, yaitu :
1. Kehilangan data / data loss
Yang disebabkan karena :
· Bencana, contohnya kebakaran, banjir, gempa bumi, perang, kerusuhan, tikus, dll.
· Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk / tape.
yang tidak terbaca, kesalahan komunikasi, kesalahan program / bugs.
· Kesalahan / kelalaian manusia, contohnya kesalahan pemasukkan data, memasang tape / disk yang salah, kehilangan disk / tape.
2. Penyusup / intruder
· Penyusup pasif, yaitu yang membaca data yang tidak terotorisasi
· Penyusup aktif, yaitu mengubah data yang tidak terotorisasi.
Contohnya penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer / bisnis, lirikan pada saat pengetikan password.
Sasaran keamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem.
3 aspek kebutuhan keamanan sistem komputer, yaitu :
1. Kerahasiaan / secrecy, diantaranya privasi
Keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang terotorisasi
dan modifikasi tetap menjaga konsistensi dan keutuhan data di sistem
2. Integritas / integrity
Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oleh pihak-pihak yang
terotorisasi
3. Ketersediaan / availability
Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.
Tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan memandang fungsi sistem
komputeer sebagai penyedia informasi.
Berdasarkan fungsi ini, ancaman terhadap sistem komputeer dikategorikan menjadi 4 ancaman, yaitu :
1. Interupsi / interuption
Sumber daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna. Merupakan ancaman
terhadap ketersediaan. Contohnya penghancuran harddisk, pemotongan kabel komunikasi.
2. Intersepsi / interception
Pihak tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap kerahasiaan. Pihak tak
diotorissasi dapat berupa orang / program komputeer. Contohnya penyadapan, mengcopy file tanpa
diotorisasi.
3. Modifikasi / modification
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan ancaman
terhadap integritas. Contohnya mengubah nilai file, mengubah program, memodifikasi pesan
4. Fabrikasi / fabrication
Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Merupakan ancaman terhadap integritas. Contohnya memasukkan pesan palsu ke jaringan, menambah record file.
Petunjuk prinsip-prinsip pengamanan sistem komputer, yaitu :
1. Rancangan sistem seharusnya publik
Tidak tergantung pada kerahasiaan rancangan mekanisme pengamanan. Membuat proteksi yang bagus
dengan mengasumsikan penyusup mengetahui cara kerja sistem pengamanan.
2. Dapat diterima
Mekanisme harus mudah diterima, sehingga dapat digunakan secara benar dan mekanisme proteksi tidak
mengganggu kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan.
3. Pemeriksaan otoritas saat itu
Banyak sisten memeriksa ijin ketika file dibuka dan setelah itu (opersi lainnya) tidak diperiksa.
4. Kewenangan serendah mungkin
Program / pemakai sistem harusnya beroperasi dengan kumpulan wewenang serendah mungkin yang
diperlukan untuk menyelesaikan tugasnya.
5. Mekanisme yang ekonomis
Mekanisme proteksi seharusnya sekecil dan sesederhana mungkin dan seragam sehingga mudah untukverifikasi.
Otentifikasi pemakai / user authentification adalah identifikasi pemakai ketika login.
3 cara otentifikasi :
1. Sesuatu yang diketahui pemakai, misalnya password, kombinasi kunci, nama kecil ibu mertua, dll
Untuk password, pemakai memilih suatu kata kode, mengingatnya dan menggetikkannya saat akan mengakses sistem komputer, saat diketikkan tidak akan terlihat dilaya kecuali misalnya tanda *. Tetapi banyak kelemahan dan mudah ditembus karena pemakai cenderung memilih password yang mudah diingat,
misalnya nama kecil, nama panggilan, tanggal lahir, dll.
Upaya pengamanan proteksi password :
a. Salting, menambahkan string pendek ke string password yang diberikan pemakai sehingga mencapai
panjang password tertentu
b. one time password, pemakai harus mengganti password secara teratur, misalnya pemakai mendapat 1
buku daftar password. Setiap kali login pemakai menggunakan password berikutnya yang terdapat pada
daftar password.
c. satu daftar panjang pertanyan dan jawaban, sehingga pada saat login, komputer memilih salah satu dari
pertanyaan secara acak, menanyakan ke pemakai dan memeriksa jawaban yang diberikan.
d. tantangan tanggapan / chalenge respone, pemakai diberikan kebebasan memilih suatu algoritma
misalnya x3, ketika login komputer menuliskan di layar angka 3, maka pemakai harus mengetik angka 27.
2. Sesuatu yang dimiliki pemakai, misalnya bagde, kartu identitas, kunci, barcode KTM, ATM.
Kartu pengenal dengan selarik pita magnetik. Kartu ini disisipkan de suatu perangkat pembaca kartu
magnetik jika akan mengakses komputer, biasanya dikombinasikan dengan password.
3. Sesuatu mengenai / merupakan ciri pemakai yang di sebut biometrik, misalnya sidik jari, sidik suara, foto, tanda tangan, dll. Pada tanda tangan, bukan membandingkan bentuk tanda tangannya (karena mudah ditiru) tapi gerakan /
arah dan tekanan pena saat menulis (sulit ditiru).
Untuk memperkecil peluang penembusan keamanan sistem komputer harus diberikan pembatasan,
misalnya :
1. Pembatasan login, misalnya pada terminal tertentu, pada waktu dan hari tertentu.
2. Pembatasan dengan call back, yaitu login dapat dilakukan oleh siapapun, bila telah sukses, sistemmemutuskan koneksi dan memanggil nomor telepon yang disepakati. Penyusup tidak dapat menghibungu
lewat sembarang saluran telepon, tapi hanya pada saluran tetepon tertentu.
3. Pembatasan jumlah usaha login, misalnya dibatasi sampai 3 kali, dan segera dikunci dan diberitahukan keadministrator.
Objek yang perlu diproteksi :
1. Objek perangkat keras, misalnya pemroses, segment memori, terminal, diskdrive, printer, dll
2. Objek perangkat lunak, misalnya proses, file, basis data, semaphore, dll
Masalah proteksi adalah mengenai cara mencegah proses mengakses objek yang tidak diotorisasi. Sehingga
dikembangkan konsep domain. Domain adalah himpunan pasangan (objek,hak). Tiap pasangan
menspesifikasikan objek dan suatu subset operasi yang dapat dilakukan terhadapnya. Hak dalam konteks ini
berarti ijin melakukan suatu operasi.
Cara penyimpanan informasi anggota domain beerupa satu matrik besar, dimana :
· baris menunjukkan domain
· kolom menunjukkan objek
Pendahuluan Kriptografi
Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita [bruceSchneier - Applied Cryptography]. Kata cryptography berasal dari kata Yunani kryptos (tersembunyi) dan graphein (menulis). Selain pengertian tersebut terdapat pula pengertian ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti kerahasiaan data, keabsahan data, integritas data, serta autentikasi data [A.Menezes, P. van Oorschot and S. Vanstone - Handbook of Applied Cryptography]. Cryptanalysis adalah aksi untuk memecahkan mekanisme kriptografi dengan cara mendapatkan plaintext atau kunci dari ciphertext yang digunakan untuk mendapatkan informasi berhargakemudian mengubah atau memalsukan pesan dengan tujuan untuk menipu penerima yang
sesungguhnya, memecahkan ciphertext. Cryptology adalah ilmu yang mencakup cryptography dan cryptanalysis. Tidak semua aspek keamanan informasi ditangani oleh kriptografi.
Tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan
informasi yaitu :
Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas informasi yang telah disandi. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.
Non-repudiasi., atau nir penyangkalan adalah usaha untuk mencegah terjadinya
penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang
mengirimkan/membuat. Enkripsi adalah transformasi data kedalam bentuk yang tidak dapat terbaca tanpa sebuah kunci tertentu. Tujuannya adalah untuk meyakinkan privasi dengan menyembunyikan informasi dari orang-orang yang tidak ditujukan, bahkan mereka mereka yang memiliki akses ke data terenkripsi. Dekripsi merupakan kebalikan dari enkripsi, yaitu transformasi data terenkripsi kembali ke bentuknya semula.
Keamanan Dan Manajemen Perusahaan
Seringkali sulit untuk membujuk manajemen perusahaan atau pemilik sistem informasi
untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak. Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan. Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan. Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari budget tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar. Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya perangkat pengamanan (firewall, Intrusion Detection System, anti virus, Dissaster Recovery Center, dan seterusnya). Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak manajemen dapat mengerti pentingnya investasi di bidang keamanan.
Berikut ini adalah berapa contoh kegiatan yang dapat kita lakukan :
Hitung kerugian apabila sistem informasi kita tidak bekerja selama 1 jam, selama 1
hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika server
Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat
menderita kerugian beberapa juta dolar.)
Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda.
Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan
harga yang ada di toko kita.
Hitung kerugian apabila ada data yang hilang.
Misalnya berapa kerugian yang diderita apabila daftar pelanggan dan invoice hilang dari sistem kita. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
Apakah nama baik perusahaan kita merupakan sebuah hal yang harus dilindungi?
Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya,
bolak-balik terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank
lain karena takut akan keamanan uangnya. Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko (risk management). Lawrie Brown dalam menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset, Vulnerabilities, dan Threats.
Nama Komponen Contoh & Keterangan Lebih Lanjut
Asset (Aset)
Hardware
Software
Dokumentasi
Data
Komunikasi
Lingkungan
Manusia
Threats (Ancaman)
Pemakai (Users)
Teroris
Kecelakaan (Accidents)
Crackers
Penjahat Kriminal
Nasib (Acts Of God)
Intel Luar Negeri (Foreign Intelligence)
Vulnerability (Kelemahan)
Software Bugs
Hardware Bugs
Radiasi (dari layar, transmisi)
Tapping, Crosstalk
Unauthorized Users
Cetakan, Hardcopy
Keteledoran (Oversight)
Cracker via telepon
Strorage media
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures”
yang dapat berupa :
Usaha untuk mengurangi Threat
Usaha untuk mengurangi Vulnerability
Usaha untuk mengurangi impak (impact)
Mendeteksi kejadian yang tidak bersahabat (hostile event)
Kembali (recover) dari kejadian
MeningkatnyaMeningkatnya Kejahatan Komputer
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem
informasi, akan terus meningkat dikarenakan beberapa hal, antara lain :
Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan
komputer semakin meningkat.
Sebagai contoh saat ini mulai bermunculan aplikasibisnis seperti on-line banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya. Bahkan aplikasi e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia (melalui “Telematika Indonesia” dan Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi ecommerce terlihat mulai meningkat.
Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus
ditangani.
Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan administrator yang handal adalah sangat sulit, apalagi jika harus disebar di berbagai tempat. Akibat dari hal ini adalah biasanya server-server di daerah (bukan pusat) tidak dikelola dengan baik sehingga lebih rentan terhadap serangan. Seorang cracker akan menyerang server di daerah lebih dahulu sebelum mencoba menyerang server pusat. Setelah itu dia akan menyusup melalui jalur belakang. (Biasanya dari daerah / cabang ke pusat ada routing dan tidak dibatasi dengan firewall.)
Transisi dari single vendor ke multi-vendor
Sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat. Bayangkan, untuk router saja sudah ada berbagai vendor; Cisco, Juniper Networks, Nortel, Linux-based router, BSDbased router, dan lain-lain. Belum lagi jenis sistem operasi (operating system) dari server, seperti Solaris (dengan berbagai versinya), Windows (NT, 2000, 2003), Linux (dengan berbagai distribusi), BSD (dengan berbagai variasinya mulai dari FreeBSD, OpenBSD, NetBSD). Jadi sebaiknya tidak menggunakan variasi yang terlalu banyak.
Meningkatnya kemampuan pemakai di bidang komputer
Sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakanny (atau sistem milik orang lain). Jika dahulu akses ke komputer sangat sukar, maka sekarang komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah serta rumah-rumah.
Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer.
Banyak tempat di Internet yang menyediakan software yang langsung dapat diambil
(download) dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah digunakan. Beberapa program, seperti SATAN, bahkan hanya membutuhkan sebuah web browser untuk menjalankannya. Sehingga, seseorang yang hanya dapat menggunakan web browser dapat menjalankan program penyerang (attack). Penyerang yang hanya bisa menjalankan program tanpa mengerti apa maksudnya disebut dengan istilah script kiddie.
Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat.
Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah yang justru terjadi pada sebuah system yang tidak memiliki ruang dan waktu. Barang bukti digital juga masih sulit diakui oleh pengadilan Indonesia sehingga menyulitkan dalam pengadilan. Akibatnya pelaku kejahatan cyber hanya dihukum secara ringan sehingga ada kecenderungan mereka melakukan hal itu kembali.
Semakin kompleksnya sistem yang digunakan,
Seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman, bugs).
Klasifikasi Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, dapat diklasifikasikan menjadi empat, yaitu :
1. Keamanan yang bersifat fisik (physical security)
Termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa
bekas penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat
sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang
keamanan. Misalnya pernah diketemukan coretan password atau manual yang dibuang
tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Pencurian komputer dan notebook juga merupakan kejahatan yang besifat fisik. Menurut statistik, 15% perusahaan di Amerika pernah kehilangan notebook. Padahal biasanya notebook ini
tidak dibackup (sehingga data-datanya hilang), dan juga seringkali digunakan untuk
menyimpan data-data yang seharusnya sifatnya confidential (misalnya pertukaran
email antar direktur yang menggunakan notebook tersebut).
Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat
diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service
dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran
komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan
adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari
implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana
sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk
dan bahkan dapat berakibat macetnya sistem (hang).
Mematikan jalur listrik sehingga sistem menjadi tidak berfungsi juga merupakan
serangan fisik. Masalah keamanan fisik ini mulai menarik perhatikan ketika gedung
World Trade Center yang dianggap sangat aman dihantam oleh pesawat terbang yang
dibajak oleh teroris. Akibatnya banyak sistem yang tidak bisa hidup kembali karena
tidak diamankan. Belum lagi hilangnya nyawa.
2. Keamanan yang berhubungan dengan orang (personel)
Termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses
(pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada
manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah
“social engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai
orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai
pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi (communications).
Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang
digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan
horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya
tidak berhak diakses. Bagian ini yang akan banyak kita bahas dalam buku ini.
4. Keamanan dalam operasi
Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan
mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack
recovery). Seringkali perusahaan tidak memiliki dokumen kebijakan dan prosedur.
Aspek / Service Dari Keamanan (Security)
Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat
aspek, yaitu privacy, integrity, authentication, dan availability.
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga
informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang
sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang
diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari
pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.
Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user)
tidak boleh dibaca oleh administrator.
Contoh confidential information adalah data-data yang sifatnya pribadi (seperti
nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit
yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang
ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality
adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). Untuk
mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui
data-data pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui
telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon
penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan
percaya bahwa saya adalah anda dan akan menutup kartu kredit anda.
Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini
digunakan oleh orang yang tidak berhak. Ada sebuah kasus dimana karyawan sebuah
perusahaan dipecat dengan tidak hormat dari perusahaan yang bersangkutan karena
kedapatan mengambil data-data gaji karyawan di perusahaan yang bersangkutan. Di
perusahaan ini, daftar gaji termasuk informasi yang bersifat confidential /rahasia.
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi
tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja
“ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified),
kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi
sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat
mengatasi masalah ini.
Salah satu contoh kasus trojan horse adalah distribusi paket program TCP
Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi
akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda
memasang program yang berisi trojan horse tersebut, maka ketika anda merakit
(compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang
kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari CERT
Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999.
Contoh serangan lain adalah yang disebut “man in the middle attack” dimana
seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul
asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang
yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan
teknologi watermarking dan digital signature. Watermarking juga dapat digunakan
untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil
karya dengan “tanda tangan” pembuat.
Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan
dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna
harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya
dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada
tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :
• What you have (misalnya kartu ATM)
• What you know (misalnya PIN atau password)
• What you are (misalnya sidik jari, biometric)
Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan
keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital
certificates. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak
pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa mesin
ATM yang sedang kita gunakan memang benar-benar milik bank yang bersangkutan?
Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan
meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di
magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu
tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu
yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet
Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
4. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi
ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau
meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut
dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan
(biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak
dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain
adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi
(katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat
membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan
melalui saluran telepon).
Pentingnya Akses Kontrol
Bagi para profesional keamanan sistem/teknologi informasi, perhatian harus diberikan
pada kebutuhan akses kontrol dan metode-metode implementasinya untuk menjamin bahwa sistem memenuhi availability (ketersediaan), confidentiality (kerahasiaan), dan integrity (integritas). Dalam komputer jaringan, juga diperlukan pemahaman terhadap penggunaan akses kontrol pada arsitektur terdistribusi dan terpusat. Melakukan kontrol akses pada sistem informasi dan jaringan yang terkait juga merupakan hal penting untuk menjaga confidentiality, integrity, dan availability. Confidentiality atau kerahasiaan memastikan bahwa informasi tidak terbuka ke individu, program atau proses yang tidak berhak. Beberapa informasi mungkin lebih sensitive dibandingkan informasi lainnya dan memerlukan level kerahasiaan yang lebih tinggi. Mekanisme kontrol perlu ditempatkan untuk mendata siapa yang dapat mengakses data dan apa yang orang dapat lakukan terhadapnya saat pertama kali diakses. Aktivitas tersebut harus dikontrol, diaudit, dan dimonitor. Beberapa tipe informasi yang dipertimbangkan sebagai informasi rahasia adalah misalnya catatan kesehatan, informasi laporan keuangan, catatan kriminal, kode sumber program, perdagangan rahasia, dan rencana taktis militer. Sedangkan beberapa mekanisme yang memebrikan kemampuan kerahasiaan sebagai contoh yaitu enkripsi, kontrol akses fisikal dan logikal, protokol transmisi, tampilan database, dan alur trafik yang terkontrol. Bagi suatu institusi (skala besar, menengah maupun kecil), adalah merupakan hal penting untuk mengidentifikasi data dan kebutuhan-kebutuhan yang terklasifikasi sehingga dapat dipastikan bahwa suatu peringkat prioritas akan melindungi data dan informasi serta terjaga kerahasiaannya. Jika informasi tidak terklasifikasi maka akan diperlukan banyak waktu dan biaya yang dikeluarkan saat mengimplementasikan besaran yang sama pada tingkat keamanan untuk informasi kritis maupun informasi tidak penting. Integritas memiliki tujuan mencegah modifikasi pada informasi oleh user yang tidak berhak, mencegah modifikasi yang tidak sengaja atau tidak berhak pada informasi oleh orang yang tidak berkepentingan, dan menjaga konsistensi internal maupun eksternal. Konsistensi internal memastikan bahwa data internal selalu konsisten. Misalnya, diasumsikan sebuah database internal memiliki jumlah unit suatu komponen tertentu pada tiap bagian suatu organisasi. Jumlah bilangan dari komponen di tiap bagian tersebut harus sama dengan jumlah bilangan komponen pada database yang terekam secara internal pada keseluruhan organisasi. Konsistensi eksternal menjamin bahwa data yang tersimpan pada database konsisten dengan fisiknya. Sebagai contoh dari konsistensi internal di atas, konsistensi eksternal berarti bahwa besarnya komponen yang tercatat pada database untuk setiap bagian adalah sama dengan banyaknya komponen secara fisik di tiap bagian tersebut. Informasi juga harus akurat, lengkap, dan terlindungi dari modifikasi yang tidak berhak. Ketika suatu mekanisme keamanan memberikan integritas, ia akan melindungi data dari perubahan yang tidak lazim, dan jika memang terjadi juga modifikasi ilegal pada data tersebut maka mekanisme keamanan harus memperingatkan user atau membatalkan modifikasi tersebut. Availability (ketersediaan) memastikan bahwa untuk user yang berhak memakai sistem,
memiliki waktu dan akses yang bebas gangguan pada informasi dalam sistem. Informasi,sistem, dan sumberdaya harus tersedia untuk user pada waktu diperlukan sehingga produktifitas tidak terpengaruh. Kebanyakan informasi perlu untuk dapat diakses dan tersedia bagi user saat diminta sehingga mereka dapat menyelesaikan tugas-tugas dan memenuhi tanggung jawab pekerjaan mereka. Melakukan akses pada informasi kelihatannya tidak begitu penting hingga pada suatu saat informasi tersebut tidak dapat diakses. Administrator sistem mengalaminya saat sebuah file server mati atau sebuah database yang pemakaiannya tinggi tiba-tiba rusal untuk suatu alasan dan hal lainnya. Fault tolerance dan mekanisme pemulihan digunakan untuk menjamin
kontinuitas ketersediaan sumberdaya. Produktifitas user dapat terpengaruh jika data tidak siap tersedia. Informasi memiliki atribut-atribut yang berbeda seperti akurasi, relevansi, sesuai waktu, privacy, dan keamanan. Mekanisme keamanan yang berbeda dapat memberikan tingkat kerahasiaan, integritas, dan ketersediaan yang berbeda pula. Lingkungan, klasifikasi data yang dilindungi, dan sasaran keamanan perlu dievaluasi untuk menjamin mekanisme keamanan yang sesuai dibeli dan digunakan sebagaimana mestinya. Tujuan kontrol akses lainnya adalah reliability dan utilitas. Tujuan-tujuan tersebut mengalir dari kebijakan keamanan suatu organisasi. Kebijakan ini merupakan pernyataan tingkat tinggi dari pihak manajemen berkaitan dengan kontrol pada akses suatu informasi dan orang yang berhak menerima informasi tersebut. Tiga hal lainnya yang patut dipertimbangkan untuk perencanaan dan implementasi mekanisme kontrol akses adalah ancaman pada sistem (threats), kerawanan sistem pada ancaman (vulnerabilities), dan resiko yang ditimbulkan oleh ancaman tersebut. Ancaman (threats) adalah suatu kejadian atau aktivitas yang memiliki potensi untuk menyebabkan
kerusakan pada sistem informasi atau jaringan. Kerawanan (vulnerabilities) adalah kelemahan atau kurangnya penjagaan yang dapat dimanfaatkan oleh suatu ancaman, menyebabkan kerusakan pada sistem informasi atau jaringan. Sedangkan resiko adalah potensi kerusakan atau kehilangan pada sistem informasi atau jaringan; kemungkinan bahwa ancaman akan terjadi.
Penjelasan Akses Kontrol
Akses kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan
sistem berkomunikasi dan berinteraksi dengan sistem dan sumberdaya lainnya. Akses control melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Akses adalah aliran informasi antara subjek dan objek. Sebuah subjek merupakan entitas
aktif yang meminta akses ke suatu objek atau data dalam objek tersebut. Sebuah subjek dapat berupa user, program, atau proses yang mengakses informasi untuk menyelesaikan suatu tugas tertentu. Ketika sebuah program mengakses sebuah file, program menjadi subjek dan filemenjadi objek. Objek adalah entitas pasif yang mengandung informasi. Objek bisa sebuah komputer, database, file, program komputer, direktori, atau field pada tabel yang berada di dalam database. Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan. Saat user diminta memasukan username dan password hal ini disebut dengan control akses. Setelah user log in dan kemudian mencoba mengakses sebuah file, file ini dapat memiliki daftar user dan grup yang memiliki hak akses ke file tersebut. Jika user tidak termasuk dalam daftar maka akses akan ditolak. Hal itu sebagai bentuk lain dari kontrol akses. Hak dan ijin user adalah berdasarkan identitas, kejelasan, dan atau keanggotaan suatu grup. Kontrol akses memberikan organisasi kemampuan melakukan kontrol, pembatasan, monitor,
dan melindungi ketersediaan, integritas, dan kerahasiaan sumberdaya. Kontrol diimplementasikan untuk menanggulangi resiko dan mengurangi potensi kehilangan. Kontrol dapat bersifat preventif, detektif, atau korektif. Kontrol preventif dipakai
untuk mencegah kejadian-kejadian yang merusak. Kontrol detektif diterapkan untuk menemukan kejadian-kejadian yang merusak. Kontrol korektif digunakan untuk memulihkan sistem yang menjadi korban dari serangan berbahaya. Untuk menerapkan ukuran-ukuran tersebut, kontrol diimplementasikan secara administratif, logikal atau teknikal, dan fisikal. Kontrol administratif termasuk kebijakan dan prosedur, pelatihan perhatian terhadap keamanan, pemeriksaan latar belakang, pemeriksaan kebiasaan kerja, tinjauan riwayat hari libur, dan supervisi yang ditingkatkan.
Kontrol logikal atau teknikal mencakup pembatasan akses ke sistem dan perlindungan
informasi. Contoh kontrol pada tipe ini adalah enkripsi, smart cards, daftar kontrol akses, dan protokol transmisi. Sedangkan kontrol fisikal termasuk penjagaan dan keamanan bangunan secara umum seperti penguncian pintu, pengamanan ruang server atau laptop, proteksi kabel, pemisahan tugas kerja, dan backup data. Kontrol fisikal merupakan penempatan penjaga dan bangunan secara umum, seperti penguncian pintu, pengamanan ruang server atau laptop, perlindungan pada kabel, pembagian
tanggung jawab, dan backup file.
Model Kontrol Akses
Penerapan akses kontrol pada subjek sistem (sebuah entitas aktif seperti individu atau
proses) terhadap objek sistem (sebuah entitas pasif seperti sebuah file) berdasarkan aturan
(rules). Model kontrol akses merupakan sebuah framework yang menjelaskan bagaimana
subjek mengakses objek. Model ini menggunakan teknologi kontrol akses dan mekanisme sekuriti untuk menerapkan aturan dan tujuan suatu model. Ada tiga tipe utama model kontrol akses yaitu mandatory, discretionary, dan nondiscretionary (sering disebut juga role-based). Tiap tipe model memakai metode berbeda untuk mengkontrol bagaimana subjek mengakses objek dan mempunyai kelebihan serta keterbatasan masing-masing. Tujuan bisnis dan keamanan dari suatu organisasi akan membantu menjelaskan model kontrol akses mana yang sebaiknya digunakan, bersamaan dengan budaya perusahaan dan kebiasaan menjalankan bisnisnya. Beberapa model dipakai secara ekslusif dan kadang-kadang model tersebut dikombinasikan sehingga mampu mencapai tingkat keperluan kemanan lingkungan yang dibutuhkan.
Aturan pada akses kontrol diklasifikasikan menjadi :
Mandatory access control
Otorisasi suatu akses subjek terhadap objek bergantung pada label, dimana label
ini menunjukan ijin otorisasi suatu subjek dan klasifikasi atau sensitivitas dari objek.
Misalnya, pihak militer mengklasifikasikan dokumen sebagai unclassified,
confidential, secret, dan top secret. Untuk hal yang sama, individu dapat menerima ijin otorisasi tentang confidential, secret, atau top secret dan dapat memiliki akses ke dokumen bertipe classified atau tingkatan di bawah status ijin otorisasinya. Sehingga individu dengan ijin otorisasi secret dapat mengakses tingkatan secret dan confidential dokumen dengan suatu batasan. Batasan ini adalah bahwa individu memiliki keperluan untuk mengetahui secara relatif classified dokumen yang dimaksud. Meskipun demikian dokumen yang dimaksud harus benar-benar diperlukan oleh individu tersebut untuk menyelesaikan tugas yang diembannya. Bahkan jika individu memiliki ijin otorisasi untuk tingkat klasifikasi suatu informasi, tetapi tidak memiliki keperluan untuk mengetahui maka individu tersebut tetap tidak boleh mengakses informasi yang diinginkannya. Pada model mandatory access control, user dan pemilik data tidak memiliki banyak kebebasan untuk menentukan siapa yang dapat mengakses file-file mereka. Pemilik data dapat mengijinkan pihak lain untuk mengakses file mereka namun
operating system (OS) yang tetap membuat keputusan final dan dapat membatalkan kebijakan dari pemilik data. Model ini lebih terstruktur dan ketat serta berdasarkan label keamanan sistem. User diberikan ijin otorisasi dan data diklasifikasikan. Klasifikasi disimpan di label sekuriti pada sumber daya. Klasifikasi label menentukan tingkat kepercayaan user yang harus dimiliki untuk dapat mengakses suatu file. Ketika sistem membuat keputusan mengenai pemenuhan permintaan akses ke suatu objek, keputusan akan didasarkan pada ijin otorisasi subjek dan klasifikasi objek. Aturan-aturan bagaimana subjek mengakses data dibuat oleh manajemen, dikonfigurasikan oleh administrator, dijalankan oleh operating system, dan didukung oleh teknologi sekuriti.
Discretionary access control
Subjek memiliki otoritas, dengan batasan tertentu, untuk menentukan objek-objek
apa yang dapat diakses. Contohnya adalah penggunaan daftar kontrol akses (access
control list). Daftar kontrol akses merupakan sebuah daftar yang menunjuk user-user
mana yang memiliki hak ke sumber daya tertentu. Misalnya daftar tabular akan
menunjukan subjek atau user mana yang memiliki akses ke objek (file x) dan hak apa
yang mereka punya berkaitan dengan file x tersebut.
Kontrol akses triple terdiri dari user, program, dan file dengan hubungan hak akses
terkait dengan tiap user. Tipe kontrol akses ini digunakan secara lokal, dan mempunyai
situasi dinamis dimana subjek-subjek harus memiliki pemisahan untuk menentukan
sumber daya tertentu yang user diijinkan untuk mengakses.
Ketika user dengan batasan tertentu memiliki hak untuk merubah kontrol akses ke
objek-objek tertentu, hal ini disebut sebagai user-directed discretionary access control.
Sedangkan kontrol akses berbasis identitas (identity-based access control) adalah tipe
kontrol akses terpisah berdasarkan identitas suatu individu.
Dalam beberapa kasus, pendekatan hybrid juga digunakan, yaitu yang
mengkombinasi-kan fitur-fitur user-based dan identity-based discretionary access
control. Jika user membuat suatu file, maka ia merupakan pemilik file tersebut.
Kepemilikan juga bisa diberikan kepada individu spesifik. Misalnya, seorang manager
pada departemen tertentu dapat membuat kepemilikan suatu file dan sumber daya
dalam domain-nya. Pengenal untuk user ini ditempatkan pada file header. Sistem yang
menerapkan model discretionary access control memungkinkan pemilik sumber daya
untuk menentukan subjek-subjek apa yang dapat mengakses sumber daya spesifik.
Model ini dinamakan discretionary karena kontrol akses didasarkan pada
pemisahan pemilik. Pada model ini, akses dibatasi berdasarkan otorisasi yang
diberikan pada user. Ini berarti bahwa subjek-subjek diijinkan untuk menentukan tipe
akses apa yang dapat terjadi pada objek yang mereka miliki. Jika organisasi
menggunakan model discretionary access control, administrator jaringan dapat
mengijinkan pemilik sumber daya mengkontrol siapa yang dapat mengakses
file/sumber daya tersebut.
Implemetasi umum dari discretionary access control adalah melalui access control
list yang dibuat oleh pemilik, diatur oleh administrator jaringan, dan dijalankan oleh
operating system. Dengan demikian kontrol ini tidak termasuk dalam lingkungan
terkontrol terpusat dan dapat membuat kemampuan user mengakses informasi secara
dinamis, kebalikan dari aturan yang lebih statis pada mandatory access control.
Non-Discretionary access control
Otoritas sentral menentukan subjek-subjek apa yang mempunyai akses ke objekobjek
tertentu berdasarkan kebijakan keamanan organisasi. Kontrol akses bisa
berdasarkan peran individu dalam suatu organisasi (role-based) atau tanggung jawab
subjek dan tugasnya (task-based).
Dalam organisasi dimana sering terdapat adanya perubahan/pergantian personel,
nondiscretionary access control merupakan model yang tepat karena kontrol akses
didasarkan pada peran individu atau jabatan dalam suatu organisasi. Kontrol akses ini
tidak perlu dirubah saat individu baru masuk menggantikan individu lama. Tipe lain
dari non-discretionary access control adalah kontrol akses lattice-based. Dalam model
lattice (lapis tingkatan), terdapat pasangan-pasangan elemen yang memiliki batas
tertinggi terkecil dari nilai dan batas terendah terbesar dari nilai. Untuk menerapkan
konsep kontrol akses ini, pasangan elemen adalah subjek dan objek, dan subjek
memiliki batas terendah terbesar serta batas tertinggi terkecil untuk hak akses pada
suatu objek.
Selain itu terdapat model role-based access control yang juga sebagai
nondiscretionary access control. Model ini menerapkan seperangkat aturan terpusat
pada kontrol untuk menentukan bagaimana subjek dan objek berinteraksi. Tipe model
ini mengijinkan akses ke sumber daya berdasarkan peran yang user tangani dalam
suatu organisasi. Administrator menempatkan user dalam peran dan kemudian
memberikan hak akses pada peran tersebut.
Peran dan kelompok merupakan hal berbeda meskipun mereka mempunyai tujuan
yang sama. Mereka bekerja sebagai penampungan untuk para user. Perusahaan
mungkin memiliki kelompok auditor yang terdiri dari beberapa user yang berbeda.
Para user ini dapat menjadi bagian suatu kelompok lain dan biasanya memiliki hak
individunya masing-masing serta ijin yang diberikan kepada mereka. Jika perusahaan
menerapkan peran, tiap user yang ditugaskan pada peran tertentu yang hanya memiliki
hak pada peran tersebut. Hal ini menjadikan kontrol yang lebih ketat.
Tujuan Keamanan Jaringan
1. Availability / Ketersediaan
2. Reliability / Kehandalan
3. Confidentiality / Kerahasiaan
Cara Mengamankan Jaringan
1. Autentifikasi
2. Enkripsi
Enkripsi ialah proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengetahuan khusus. Dikarenakan enkripsi telah digunakan untuk mengamankan komunikasi di berbagai negara, hanya organisasi-organisasi tertentu dan individu yang memiliki kepentingan yang sangat mendesak akan kerahasiaan yang menggunakan enkripsi. Di pertengahan tahun 1970-an, enkripsi kuat dimanfaatkan untuk pengamanan oleh sekretariat agen pemerintah Amerika Serikat pada domain publik, dan saat ini enkripsi telah digunakan pada sistem secara luas, seperti Internet e-commerce, jaringan Telepon bergerak dan ATM pada bank.
Enkripsi dapat digunakan untuk tujuan keamanan, tetapi teknik lain masih diperlukan untuk membuat komunikasi yang aman, terutama untuk memastikan integritas dan autentikasi dari sebuah pesan. Contohnya, Message Authentication Code (MAC) atau digital signature. Penggunaan yang lain yaitu untuk melindungi dari analisis jaringan komputer.
Autentifikasi
- Proses pengenalan HW , OS , Proses , Aplikasi , dan indentitas user yang terhubung dengan jaringan computer
- Dimulai saat user login ke jaringan dengan cara memasukan password
Tahapan Autentifikasi
1. Mengetahui lokasi dari peralatan pada suatu simpul jaringan (data link layer & Network layer)
2. Mengenal OS yang terhubung ke jaringan (transport layer)
3. Mengetahui proses yang sedang terjadi (session & presentation layer)
4. Mengenali user & aplikasi yang digunakan (application layer)
MEDIA JARINGAN
1. Kabel
2.Radio/WiFi/Nirkabel
3. SO (Serat Optic)
4. Satelit
5. Inframerah
6. Bluetooth
Komponen Jaringan (HW)
- NIC / LAN Card
Pengertian
LAN atau NIC (Network Interface Card) merupakan perangkat keras yang sangt dibutuhkan untuk menghubungkan komputer satu dengan yang lainnya. Apakah anda pernah mendengar tentang ethernet ? istilah ethernet juga sama dengan kartu lan atau NIC. Penamaan ethernet si perkenalkan pertama kali oleh XEROX CORP pada tahun 1970.Selanjutnya istilah tersebut dipopulerkan oleh asosiasi internet bernama IEEE tahun 1980-an Di dalam perkembanganya ethernet dibagi menjadi 3 berdasrkan kecepatan akses yang dimiliki.Perhatikan perbedaan berikut :
1. Ethernet dengan kecepatan 10 Mbs
Ethernet dengan kecepatan 10 Mbs atau ber-Bandwitch 10Mbs merupakan NIC jenis pertama yang sering digunakan pada masa itu.Tipe ethernet card jenis ini biasanya memilliki 3 port yaitu Port RJ45 Port Serial dan Port BNC-female.
2. Ethernet dengan kexepatan 100 Mbs
Ethernet tipe ini memiliki kecepatan lebih besar dibandingkan dngan ethernet yang diatas yang memiliki keceptan akses 100 Mbs.Selain itu ethernet jenis ini hanya memiliki 1 port yaitu hanya Port RJ 45.Karena kecepatanya yang sangat tinggi, jenis kabel yang digunakan adalah kabel UTP kategori 5.
3. Ethernet dengan kecepatan 10/100 Mbs
Jenis ini merupakan ethernet transisi dari kecepatan 10 Mbps menuju 100 Mbps. Kelebihan yang dimiliki adalah mampu menyesuaikan kebutuhan transfer data. Jadi, Ethernet ini dapat berganti kecepatan menjadi 10 Mbps atau 100 Mbps dengan menyesuaikan kabel Penghantarnya.
LAN dapat definisikan sebagai network atau jaringan sejumlah sistem komputer yang lokasinya terbatas didalam satu gedung, satu kompleks gedung atau suatu kampus dan tidak menggunakan media fasilitas komunikasi umum seperti telepon, melainkan pemilik dan pengelola media komunikasinya
Dari definisi diatas dapat kita ketahui bahwa sebuah LAN dibatasi oleh lokasi secara fisik. Adapun penggunaan LAN itu sendiri mengakibatkan semua komputer yang terhubung dalam jaringan dapat bertukar data atau dengan kata lain berhubungan. Kerjasama ini semakin berkembang dari hanya pertukaran data hingga penggunaan peralatan secara bersama.
LAN yang umumnya menggunakan hub, akan mengikuti prinsip kerja hub itu sendiri. Dalam hal ini adalah bahwa hub tidak memiliki pengetahuan tentang alamat tujuan sehingga penyampaian data secara broadcast, dan juga karena hub hanya memiliki satu domain collision sehingga bila salah satu port sibuk maka port-port yang lain harus menunggu.
Hub/switch
Hub/switch merupakan terminal atau pembagi signal data bagi kartu jaringan (Network Card). Jika Hub mengalami kerusakan berarti seluruh jaringan juga tidak dapat berfungsi untuk berkomunikasi antar workstation atau komputer workstation dengan server. Apabila terjadi kerusakan pada
Hub dapat dilihat pada lampu indikator power dan lampu indikator untuk masing masing workstation. Apabila lampu indikator power Hub/switch mati berarti kemungkinan besar Hub tersebut rusak. Jika ada lampu indikator workstation yang tidak menyala menyatakan bahwa komputer workstation sedang tidak aktif (tidak hidup) atau ada gangguan pada komputer workstation tersebut.
Workstation
Workstation merupakan node atau host yang berupa suatu sistem komputer.
Sistem komputer ini dapat berupa PC atau dapat pula berupa suatu komputer
yang besar seperti sistem minicomputer, bahkan suatu mainframe.
Workstation dapat bekerja sendiri (stand-alone) dapat pula menggunakan
jaringan untuk bertukar data dengan workstation atau user yang lain.
NIC 10/100 Mbs
Fungsi Lan Card ( NIC )
Berfungsi sebagai jembatan penghubung dari komputer ke sebuah jaringan komputer. Jenis NIC yang beredar, terbagi menjadi dua jenis, yakni NIC yang bersifat fisik, dan NIC yang bersifat logis. Contoh NIC yang bersifat fisik adalah NIC Ethernet, Token Ring, dan lainnya; sementara NIC yang bersifat logis adalah loopback adapter dan Dial-up Adapter. Disebut juga sebagai Network Adapter. Setiap jenis NIC diberi nomor alamat yang disebut sebagai MAC address, yang dapat bersifat statis atau dapat diubah oleh pengguna.
NIC yang bersifat fisik
umumnya berupa kartu yang dapat ditancapkan ke dalam sebuah slot dalam motherboard komputer, yang dapat berupa kartu dengan bus ISA, bus PCI, bus EISA, bus MCA, atau bus PCI Express. Selain berupa kartu-kartu yang ditancapkan ke dalam motherboard, NIC fisik juga dapat berupa kartu eksternal yang berupa kartu dengan bus USB, PCMCIA, bus serial, bus paralel atau Express Card, sehingga meningkatkan mobilitas (bagi pengguna yang mobile).
NIC Fisik terbagi menjadi dua jenis, yakni:
* Kartu NIC dengan media jaringan yang spesifik (Media-specific NIC): yang membedakan kartu NIC menjadi beberapa jenis berdasarkan media jaringan yang digunakan. Contohnya adalah NIC Ethernet, yang dapat berupa Twisted-Pair (UTP atau STP), Thinnet, atau Thicknet, atau bahkan tanpa kabel (Wireless Ethernet).
* Kartu NIC dengan arsitektur jaringan yang spesifik (architecture-specific NIC): yang membedakan kartu NIC menjadi beberapa jenis, sesuai dengan arsitektur jaringan yang digunakan. Contohnya adalah Ethernet, Token Ring, serta FDDI (Fiber Distributed Data Interface), yang kesemuanya itu menggunakan NIC yang berbeda-beda.
* Kartu NIC Ethernet dapat berupa Ethernet 10 Megabit/detik, 100 Megabit/detik, 1 Gigabit/detik atau 10 Gigabit/detik.
Tugas NIC adalah untuk mengubah aliran data paralel dalam bus komputer menjadi bentuk data serial sehingga dapat ditransmisikan di atas media jaringan. Media yang umum digunakan, antara lain adalah kabel UTP Category 5 atau Enhanced Category 5 (Cat5e), kabel fiber-optic, atau radio (jika memang tanpa kabel).
Komputer dapat berkomunikasi dengan NIC dengan menggunakan beberapa metode, yakni I/O yang dipetakan ke memori, Direct Memory Access (DMA), atau memory yang digunakan bersama-sama. Sebuah aliran data paralel akan dikirimkan kepada kartu NIC dan disimpan terlebih dahulu di dalam memori dalam kartu sebelum dipaketkan menjadi beberapa frame berbeda-beda, sebelum akhirnya dapat ditransmisikan melalui media jaringan. Proses pembuatan frame ini, akan menambahkan header dan trailer terhadap data yang hendak dikirimkan, yang mengandung alamat, pensinyalan, atau informasi pengecekan kesalahan. Frame-frame tersebut akan kemudian diubah menjadi pulsa-pulsa elekronik (voltase, khusus untuk kabel tembaga), pulsa-pulsa cahaya yang dimodulasikan (khusus untuk kabel fiber-optic), atau gelombang mikro (jika menggunakan radio/jaringan tanpa kabel).
NIC yang berada dalam pihak penerima akan memproses sinyal yang diperoleh dalam bentuk terbalik, dan mengubah sinyal-sinyal tersebut ke dalam aliran bit (untuk menjadi frame jaringan) dan mengubah bit-bit tersebut menjadi aliran data paralel dalam bus komputer penerima. Beberapa fungsi tersebut dapat dimiliki oleh NIC secara langsung, diinstalasikan di dalam firmware, atau dalam bentuk perangkat lunak yang diinstalasikan dalam sistem operasi.
NIC yang bersifat logis
NIC logis merupakan jenis NIC yang tidak ada secara fisik dan menggunakan sepenuhnya perangkat lunak yang diinstalasikan di atas sistem operasi dan bekerja seolah-olah dirinya adalah sebuah NIC. Contoh dari perangkat NIC logis adalah loopback adapter (dalam sistem operasi Windows, harus diinstalasikan secara manual atau dalam sistem operasi keluarga UNIX, terinstalasi secara default, dengan nama interface lo) dan Dial-up adapter (yang menjadikan modem sebagai sebuah alat jaringan dalam sistem operasi Windows). Kartu NIC logis ini dibuat dengan menggunakan teknik emulasi.
Cara kerja
Prinsip kerja LAN CARD adalah menerima sinyal dari computer lain kemudian mentranmisikan kedalam masukan kemudain diolah menjadi data begitu sebaliknya saling berbagi. LAN CARD dapat digunakan untuk menghubungkan system computer satu dengan computer lain melalui perantara HUB sehingga dalam area tersebut membentuk suatu jaringan computer.
- Kabel (UTP, Coaxial)
Pengertian
Kabel UTP (Unshielded Twisted Pair ) merupakan salah satu jenis kabel yang paling banyak digunakan untuk membuat jaringan atau network komputer (komputer, hub, switch, router). Kabel ini berisi empat pasang (pair) kabel yang tiap pair-nya dipilin (twisted) atau disusun spiral atau saling berlilitan . Keempat pasang kabel (delapan kabel) yang menjadi isi kabel berupa kabel tembaga tunggal yang berisolator . Kabel ini tidak dilengkapi dengan pelindung (unshilded) sehingga kurang tahan terhadap interferensi elektromagnetik. Yang dimaksud dengan kabel UTP adalah hanya kabelnya, sedangkan kepala kabelnya adalah 8 position modular connectors (8P8C) yang biasa disebut RJ-45 (RJ=register jack).
- Konektor (RJ45, RJ 11)
Pengertian
RJ-11 : adalah alat untuk menghubungkan twister pair ke jaringan komputer.
- HUB/Switch
Pengertian
HUB adalah istilah umum yang digunakan untuk menerangkan sebuah central conection untuk komputer pada network. Fungsi dasar yang dilakukan oleh hub adalah menerima sinyal dari satu komputer dan mentransmisikannya ke komputer yang lain.
- Router
Pengertian
ROUTER adalah suatu alat pada dunia komputer yang berguna untuk membelokkan data dari suatu sistem jaringan ke sistem yang lain. Logikanya sebuah sistem jaringan tidak dapat berpindah ke sistem yang lain. Exp Sis A. Menggunakan IP 192.168.1.1 dan Sis B. Menggunakan IP 192.168.2.1 Maka Kompi yang menggunakan Sis A tidak dapat melakukan komunikasi dengan Sis B tanpa Router.
Prinsip Kerja router sangat mudah yakni membelokkan data dari satu Sis ke Sis yang lain. Untuk konfigurasi Router dengan menggunakan PC ( OS WIN Xp ) sangatlah Mudah :
1. Pastikan Kompi anda memiliki minimal 2 buah LAN Card ( Apabila anda hanya menggunakan 2 Sis )
2. Berikan konfigurasi jaringan sesuai Sis yang anda gunakan pada setiap LAN Card. ( Pastikan tiap lan menggunakan Sis yang berbeda )
3. Ping atau test koneksi ke tiap Sis, dari router. pastikan Semua koneksi dalam keadaan Baik
4. Share Lan card Anda dengan cara :
- Klik kanan pada Lan Card Kemudian pada Tab Advance Pastikan ada pilihan use another network to bla bla bla dst.
- Setelah itu coba lakukan ping dari komputer lain ( Antar client yang berbeda Sis ), Pastikan Jawaban Replay
- Acces Point
- Resiko yang Muncul Pada Tahapan Autentikasi Enkripsi
Teknik pengkodean data yang berguna untuk menjaga data / file baik di dalam komputer maupun pada jalur komunikasi dari pemakai yang tidak dikehendaki
Enkripsi diperlukan untuk menjaga kerahasiaan data
Teknik Enkripsi
• DES (Data Encription Standard)
• RSA (Rivest Shamir Adelman)
Resiko Jaringan Komputer
Segala bentuk ancaman baik fisik maupun logik yang langsung atau tidak langsung mengganggu kegiatan yang sedang berlangsung dalam jaringan
Faktor- Faktor Penyebab Resiko Dalam Jaringan Komputer
Kelemahan manusia (human error)
Kelemahan perangkat keras komputer
Kelemahan sistem operasi jaringan
Kelemahan sistem jaringan komunikasi
Ancaman Jaringan Komputer
• FISIK
Pencurian perangkat keras komputer atau perangkat jaringan
Kerusakan pada komputer dan perangkat komunikasi jaringan
Wiretapping
Bencana alam
• LOGIK
�� Kerusakan pada sistem operasi atau aplikasi
�� Virus
�� Sniffing
Beberapa Bentuk
Ancaman Jaringan
• Sniffer
�� Peralatan yang dapat memonitor proses yang sedang berlangsung
• Spoofing
�� Penggunaan komputer untuk meniru (dengan cara menimpa
identitas atau alamat IP.
• Phreaking
�� Perilaku menjadikan sistem pengamanan telepon melemah
• Remote Attack
�� Segala bentuk serangan terhadap suatu mesin dimana penyerangnya tidak memiliki kendali terhadap mesin tersebut karena dilakukan dari jarak jaruh di luar sistem jaringan atau media transmisi
• Hole
�� Kondisi dari software atau hardware yang bisa diakses oleh pemakai yang tidak memiliki otoritas atau meningkatnya tingkat pengaksesan tanpa melalui proses autorisasi
• Hacker
– Orang yang secara diam-diam mempelajari sistem yang biasanya sukar dimengerti untuk kemudian mengelolanya dan men-share hasil ujicoba yang dilakukannya. Hacker tidak merusak sistem
• Craker
– Orang yang secara diam-diam mempelajari sistem dengan maksud jahat ,Muncul karena sifat dasar manusia yang selalu ingin membangun (salah satunya merusak)
Beberapa Bentuk Ancaman Jaringan
Cracker
– Ciri-ciri cracker :
• Bisa membuat program C, C++ atau pearl
• Memiliki pengetahuan TCP/IP
• Menggunakan internet lebih dari 50 jam per-bulan
• Menguasai sistem operasi UNIX atau VMS
• Suka mengoleksi software atau hardware lama
• Terhubung ke internet untuk menjalankan aksinya
• Melakukan aksinya pada malam hari, dengan alasan waktu yang
memungkinkan, jalur komunikasi tidak padat, tidak mudah diketahui
orang lain
– Penyebab cracker melakukan penyerangan :
• spite, kecewa, balas dendam
• sport, petualangan
• profit, mencari keuntungan dari imbalan orang lain
• stupidity, mencari perhatian
• cruriosity, mencari perhatian
• politics, alasan politis
Cracker
– Ciri-ciri target yang dibobol cracker :
• Sulit ditentukan
• Biasanya organisasi besar dan financial dengan sistem
pengamanan yang canggih
• Bila yang dibobol jaringan kecil biasanya sistem pengamanannya
lemah, dan pemiliknya baru dalam bidang internet
– Ciri-ciri target yang “berhasil” dibobol cracker :
• Pengguna bisa mengakses, bisa masuk ke jaringan tanpa “nama”
dan “password”
• Pengganggu bisa mengakses, merusak, mengubah atau
sejenisnya terhadap data
• Pengganggu bisa mengambil alih kendali sistem
• Sistem hang, gagal bekerja, reboot atau sistem berada dalam
kondisi tidak dapat dioperasikan
Manajemen Resiko
• Pengumpulan Informasi
• Analisis
• Output
Pengumpulan Informasi
• Identifikasi Assets
– Perangakat Keras
– Perangkat Lunak (Sistem Operasi dan Aplikasi)
– Perangkat Jaringan dan Komunikasi Data
– Pengguna Jaringan
– Lingkungan
– Sarana Pendukung lainnya
Pengumpulan Informasi
• Penilaian terhadap bagian yang berpotensi terkena
gangguan (vulnerability)
• Penilaian terhadap perlindungan yang effektif (safeguard)
– keamanan fasilitas fisik jaringan
– keamanan perangkat lunak
– keamanan pengguna jaringan
– keamanan komunikasi data
– keamanan lingkungan jaringan
Peneliti keamanan komputer menemukan celah keamanan di Windows Vista
By roemasa - Posted on 21 November 2008
Sebuah vendor keamanan komputer di Austria menemukan kelemahan di Windows Vista yang memungkinkan penyerang menjalankan program yang tidak diinginkan di sebuah komputer.
Kelemahan yang ada itu berasal dari perangkat kontrol IO, yang mengatur komunikasi perangkat internal. Peneliti keamanan komputer di Phion Austria menemukan dua cara untuk menyebabkan 'buffer overflow' yang dapat membuat korup memori dari kernel sistem operasi Windows Vista.
Dalam salah satu skenario, untuk dapat memanfaatkan kelemahan yang ada di Windows Vista maka seseorang sebelumnya harus memiliki hak administrative pada suatu komputer. Secara umum, kelemahan yang membutuhkan akses level tidak terlalu dianggap beresiko karena si penyerang berarti harus seseorang yang memiliki akses ke komputer tersebut.
Namun dimungkinkan untuk memicu 'buffer overflow' tanpa hak administrative, ungkap Thomas Unterleitner, direktur software keamanan komputer Phion.
Kelemahan yang ada dapat membuat seorang hacker untuk menginstal rootkit, sebuah software jahat yang sangat sulit untuk dideteksi dan dihilangkan dari komputer, menurut Unterleitner.
Pihak Phion telah mengingatkan Microsoft tentang masalah yang ada pada 22 Oktober bulan lalu. Dan Microsoft mengatakan kepada Phion mereka akan memperbaiki kelemahan yang dimaksud pada service pack Windows Vista berikutnya. Microsoft merilis versi beta dari service pack kedua Windows Vista pada bulan lalu. Service Pack 2 dari Windows Vista direncanakan akan dirilis pada bulan Juni 2009.
Unterleitner juga mengatakan banyak pihak yang tertarik ingin mengetahui tentang kelemahan tersebut. "Kami telah menerima banyak permintaan dari seluruh dunia tentang informasi yang lebih lengkap bagaimana memanfaatkan dari eksploit ini," ungkapnya.
PENDAHULUAN
Dalam membangun sebuah sistem jaringan berbasis internet, masalah keamanan menjadi suatu hal yang mutlak diperlukan. Sistem yang dibangun tanpa adanya sistem keamanan yang baik sama halnya dengan mengajak pencuri untuk masuk ke rumah kita dan membiarkan dia mengambil segala sesuatu yang kita miliki.
Seringkali ketika membangun sebuah sistem, kita menemukan berbagai kerawanan dalam sistem kita. Namun hal itu kita anggap sebagai hal kecil karena kita tidak menganggapnya sebagai lubang keamanan (hole). Kita tidak sadar bahwa kerawanan-kerawanan kecil seperti inilah yang dimanfaatkan oleh orang-orang yang tidak bertanggungjawab untuk menjalankan aksi kejahatannya.
HACKER VS CRACKER
Dua istilah ini paling sering disebutkan ketika kita berbicara mengenai keamanan data. Hacker dan cracker dianggap sebagai orang yang bertanggung jawab atas berbagai kasus kejahatan komputer (cybercrime) yang semakin marak dewasa ini. Padahal jika kita mau melihat siapa dan apa yang dilakukan oleh hacker dan cracker, maka anggapan tersebut bisa dikatakan tidak 100 % benar.
Hacker adalah sebutan untuk mereka yang menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer ataupun dalam sebuah software. Hasil pekerjaan mereka biasanya dipublikasikan secara luas dengan harapan sistem atau software yang didapati memiliki kelemahan dalam hal keamanan dapat disempurnakan di masa yang akan datang. Sedangkan cracker memanfaatkan kelemahan-kelamahan pada sebuah sistem atau software untuk melakukan tindak kejahatan.
Dalam masyarakat hacker, dikenal hirarki atau tingkatan. Hacker menduduki tempat kedua dalam tingkatan tersebut dan cracker berada pada tingkat ketiga. Selain itu masih ada beberapa tingkatan lain seperti lamer (wanna be). Berbeda dengan hacker dan craker yang mencari dan menemukan sendiri kelemahan sebuah sistem, seorang lamer menggunakan hasil temuan itu untuk melakukan tindak kejahatan. Seorang lamer biasanya hanya memiliki pengetahuan yang sedikit mengenai komputer terutama mengenai sistem keamanan dan pemrograman. Dalam komunitas hacker, lamer merupakan sebutan yang bisa dibilang memalukan.
Seorang hacker memiliki tujuan yaitu untuk menyempurnakan sebuah sistem sedangkan seorang cracker lebih bersifat destruktif. Umumnya cracker melakukan cracking untuk menggunakan sumber daya di sebuah sistem untuk kepentingan sendiri.
MENGUJI KEAMANAN SISTEM
Berbicara mengenai keamanan dalam sebuah sistem komputer, tak akan lepas dari bagaimana seorang cracker dapat melakukan penetrasi ke dalam sistem dan melakukan pengrusakan. Ada banyak cara yang biasanya digunakan untuk melakukan penetrasi antara lain : IP Spoofing (Pemalsuan alamat IP), FTP Attack, Unix Finger Exploit, Flooding, Email Exploitsm Password Attacks, Remote File Sisem Attacks, dll.
Pada umumnya, cara-cara tersebut bertujuan untuk membuat server dalam sebuah sistem menjadi sangat sibuk dan bekerja di atas batas kemampuannya sehingga sistem akan menjadi lemah dan mudah dicrack.
Seorang hacker bisa dipekerjakan untuk mencari celah-celah (hole) dalam sebuah sistem keamanan. Hacker akan menggunakan berbagai teknik yang diketahuinya termasuk teknik-teknik di atas untuk melakukan penetrasi ke dalam sistem. Hacker juga akan mengkombinasikan berbagai cara di atas dan menggunakan berbagai teknik terbaru yang lebih canggih. Dengan demikian diharapkan titik rawan dalam sebuah sistem dapat diketahui untuk kemudian dilakukan perbaikan. Setelah perbaikan dilakukan (dengan melibatkan sang hacker), sistem akan kembali diuji. Demikianlah proses ini dilakukan berulang-ulang sehingga semua celah yang ada dalam sistem kemanan bisa ditutup.
Untuk melakukan proses ini, tentunya dibutuhkan seorang hacker yang benar-benar berpengalaman dan memiliki tingkat pengetahuan yang tinggi. Tidak semua hacker bisa melakukan hal ini dengan baik, apalagi jika kita memakai seorang cracker.
PENUTUP
Seorang hacker kini bisa memainkan peran sebagai konsultan keamanan bagi para vendor ataupun developer software maupun bagi perusahan-perusahaan yang menggunakan sistem komputer sebagai tulang punggung berjalannya kegiatan perusahaan. Dengan perannya ini, hacker diharapakan bisa membuat sebuah sistem ataupun sebuah software tetap survive dan tidak mengalami kehancuran akibat tindak kejahatan komputer yang dilakukan oleh para cracker.
Menjadi hacker adalah sebuah kebaikan tetapi menjadi seorang cracker adalah sebuah kejahatan.
Posting Komentar