Monday, October 28, 2019

SEJARAH HACKER TEKRENAL DAN KEAMANAN SISTEM INFORMASI

KEAMANAN SISTEM INFORMASI


KEAMANAN SISTEM INFORMASI

Pada era pertumbuhan sistem informasi yang sangat cepat saat ini keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan, karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan. Pada dasarnya suatu sistem yang aman akan melindungi data didalamnya seperti identifikasi pemakai (user identification), pembuktian keaslian pemakai (user authentication), otorisasi pemakai (user authorization).

Beberapa kemungkinan serangan (Hacking) yang dapat dilakukan, seperti Intrusion , denial of services. joyrider, vandal, hijacking, sniffing, spoofing dan lain-lain. Ancaman terhadap sistem informasi banyak macamnya, antara lain : pencurian data, penggunaan sistem secara ilegal, penghancuran data secara ilegal,modifikasi data secara ilegal, kegagalan pada sistem, kesalahan manusia (SDM-sumber daya manusia), bencana alam.

Tujuan dari keamanan sistem informasi yaitu mencegah ancaman terhadap sistem serta mendeteksi dan memperbaiki kerusakan yang terjadi pada sistem.Keamanan sistem informasi pada saat ini telah banyak dibangun oleh para kelompok analis dan programmer namun pada akhirnya ditinggalkan oleh para pemakainya. Hal tersebut terjadi karena sistem yang dibangun lebih berorientasi pada pembuatnya sehingga berakibat sistem yang dipakai sulit untuk digunakan atau kurang user friendly bagi pemakai, sistem kurang interaktif dan kurang memberi rasa nyaman bagi pemakai, sistem sulit dipahami interface dari sistem menu dan tata letak kurang memperhatikan kebiasaan perilaku pemakai, sistem dirasa memaksa bagi pemakai dalam mengikuti prosedur yang dibangun sehingga sistem terasa kaku dan kurang dinamis, keamanan dari sistem informasi yang dibangun tidak terjamin.

Hal-hal yang disebutkan diatas dapat disimpulkan bahwa dalam membangun sebuah keamanan sistem informasi harus memiliki orientasi yang berbasis perspektif bagi pemakai bukan menjadi penghalang atau bahkan mempersulit dalam proses transaksi dan eksplorasi dalam pengambilan keputusan.

Terdapat banyak cara untuk mengamankan data maupun informasi pada sebuah sistem. Pengamanan data dapat dibagi menjadi dua jenis yaitu : penecegahan dan pengobatan. Pencegahan dilakukan supaya data tidak rusak, hilang dan dicuri, sementara pengobatan dilakukan apabila data sudah terkena virus, sistem terkena worm, dan lubang keamanan sudah diexploitasi. Keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan.

 Masalah tersebut penting karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan.Ada banyak cara mengamankan data atau informasi pada sebuah sistem. Pada umumnya pengamanan data dapat dikategorikan menjadi dua jenis, yaitu : penecegahan (presentif) dan pengobatan (recovery). Pencegahan dilakukan supaya data tidak rusak, hilang dan dicuri, sementara pengobatan dilakukan apabila data sudah terkena virus, sistem terkena worm, dan lubang keamanan sudah diexploitasi.

Pengertian dasar keamanan informasi

Sistem keamanan informasi (information security) memiliki empat tujuan yang sangat mendasar adalah:

a)Kerahasiaan (Confidentiality).

Informasi pada sistem komputer terjamin kerahasiaannya, hanya dapat diakses oleh pihak-pihak yang diotorisasi, keutuhan serta konsistensi data pada sistem tersebut tetap terjaga. Sehingga upaya orang-orang yang ingin mencuri informasi tersebut akan sia-sia.

b)Ketersediaan (Availability).

Menjamin pengguna yang sah untuk selalu dapat mengakses informasi dan sumberdaya yang diotorisasi. Untuk memastikan bahwa orang-orang yang memang berhak untuk mengakses informasi yang memang menjadi haknya.

c)Integritas (Integrity)

Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya, sehingga upaya orang lain yang berusaha merubah data akan segera dapat diketahui.
 d)Penggunaan yang sah (Legitimate Use). Menjamin kepastian bahwa sumberdaya tidak dapat digunakan oleh orang yang tidak berhak. Masalah keamanan dalam sistem informasi Ancaman terhadap sistem informasi dibagi menjadi 2 macam, yaitu ancaman aktif dan ancaman pasif.

a.Ancaman aktif mencakup:

1. Pencurian data

Jika informasi penting yang terdapat dalam database dapat diakses oleh orang yang tidak berwenang maka hasilnya dapat kehilangan informasi atau uang. Misalnya, mata-mata industri dapat memperoleh informasi persaingan yang berharga, penjahat komputer dapat mencuri uang bank.

2. Penggunaan sistem secara ilegal

Orang yang tidak berhak mengakses informasi pada suatu sistem yang bukan menjadi hak-nya, dapat mengakses sistem tersebut. Penjahat komputer jenis ini umumnya adalah hacker yaitu orang yang suka menembus sistem keamanan dengan tujuan mendapatkan data atau informasi penting yang diperlukan, memperoleh akses ke sistem telepon, dan membuat sambungan telepon jarak jauh secara tidak sah.

3. Penghancuran data secara ilegal

Orang yang dapat merusak atau menghancurkan data atau informasi dan membuat berhentinya suatu sistem operasi komputer. Penjahat komputer ini tidak perlu berada ditempat kejadian. Ia dapat masuk melalui jaringan komputer dari suatu terminal dan menyebabkan kerusakan pada semua sistem dan hilangnya data atau informasi penting. Penjahat komputer jenis ini umumnya disebut sebagai cracker yaitu penjebol sistem komputer yang bertujuan melakukan pencurian data atau merusak sistem.

4. Modifikasi secara ilegal

Perubahan-perubahan pada data atau informasi dan perangkat lunak secara tidak disadari. Jenis modifikasi yang membuat pemilik sistem menjadi bingung karena adanya perubahan pada data dan perangkat lunak disebabkan oleh progam aplikasi yang merusak (malicious software). Program aplikasi yang dapat merusak tersebut terdiri dari program lengkap atau segemen kode yang melaksanakan fungsi yang tidak dikehendaki oleh pemilik sistem. Fungsi ini dapat menghapus file atau menyebabkan sistem terhenti. Jenis aplikasi yang dapat merusak data atau perangkat lunak yang paling populer adalah virus.

b.Ancaman pasif mencakup:

1. Kegagalan sistem

Kegagalan sistem atau kegagalan software dan hardware dapat menyebabkan data tidak konsisten, transaksi
tidak berjalan dengan lancar sehingga data menjadi tidak lengkap atau bahkan data menjadi rusak. Selain itu,
tegangan listrik yang tidak stabil dapat membuat peralatan-peralatan menjadi rusak dan terbakar.

2. Kesalahan manusia

Kesalahan pengoperasian sistem yang dilakukan oleh manusia dapat mengancam integritas sistem dan data.

3.Bencana alam

Bencana alam seperti gempa bumi, banjir, kebakaran, hujan badai merupakan faktor yang tidak terduga yang dapat mengancam sistem informasi sehingga mengakibatkan sumber daya pendukung sistem informasi menjadiluluhlantah dalam waktu yang singkat. Klasifikasi metode penyerangan Pada dasarnya suatu sistem yang aman akan mencoba melindungi data didalamnya, beberapa kemungkinan serangan yang dapat dilakukan antara lain :

1.Intrusion.

Pada metode ini seorang penyerang dapat menggunakan sistem komputer yang dimiliki orang lain. Sebagian penyerang jenis ini menginginkan akses sebagaimana halnya pengguna yang memiliki hak untuk mengakses sistem.

2. Denial of services.

Penyerangan jenis ini mengakibatkan pengguna yang sah tak dapat mengakses sistem karena terjadi kemacetan pada sistem. Contoh dari metode penyerangan ini adalah Distributed Denial of Services (DDOS) yang mengakibatkan beberapa situs Internet tak bisa diakses. Banyak orang yang melupakan jenis serangan ini dan hanya berkonsentrasi pada intrusion saja.

3. Joyrider.

Pada serangan ini disebabkan oleh orang yang merasa iseng dan ingin memperoleh kesenangan dengan cara menyerang suatu sistem. Mereka masuk ke sistem karena beranggapan bahwa mungkin didalam sistem terdapat data yang menarik. Rata-rata mereka hanya terbawa rasa ingin tahu, tapi hal tersebut menyebabkan terjadinya kerusakan atau kehilangan data.

4.Vandal.

Jenis serangan ini bertujuan untuk merusak sistem, namun hanya ditujukan untuk situs-situs besar.

5. Hijacking.

Seseorang menempatkan sistem monitoring atau spying terhadap pengetikan yang dilakukan pengguna pada PC yang digunakan oleh pengguna. Biasaya teknik penyerangan ini membutuhkan program khusus seperti program keylog atau sejenisnya. Saat ini semakin banyak perusahaan yang memanfaatkan jasa dari seseorang yang memiliki kemampuan ini.

Terdapat beberapa jenis macam mata-mata, yaitu :

a)The curious (Si ingin tahu)
Tipe penyusup yang pada dasarnya tertarik menemukan jenis sistem dan data yang dimiliki orang lain.
b)The malicious (Si perusak)
Tipe penyusup yang berusaha untuk merusak sistem, atau merubah halaman web site.

c)The high profile intruder (Si profil tinggi)
Penyusup yang berusaha menggunakan sistem untuk memperoleh popularitas dan ketenaran.

d) The competition (Si Pesaing)
Penyusup yang tertarik pada data yang terdapat dalam sebuah sistem.

6. Sniffing
Sesorang yang melakukan monitoring atau penangkapan terhadap paket data yang ditransmisikan dari komputer client ke web server pada jaringan internet (saluran komunikasi).

7. Spoofing

Seseorang berusaha membuat pengguna mengunjungi sebuah halaman situs yang salah sehingga membuat pengunjung situs memberikan informasi rahasia kepada pihak yang tidak berhak. Untuk melakukan metode penyerangan ini seseorang terlebih dahulu membuat situs yang mirip namanya dengan nama server eCommerce asli. Contoh dari kasus yang pernah terjadi dan menimpa pada salah satu nasabah bank bca, ketika itu ada seseorang membuat situs palsu yang hampir sama dengan situs asli dengan nama www.klik_bca.com,www.klikbca.org, www.klik-bca.com, www.klikbca.co.id, www.clickbca.com, www.clicbca.com, www.clikbca.com. Dengan demikian ketika salah satu nasabah atau pengguna membuka alamat situs palsu yang sekilas terlihat sama akan tetap menduga bahwa situs yang dikunjungi adalah situs klikbca yang benar. Tujuan dari metode ini adalah menjebak nasabah atau pengunjung situs agar memasukkan inforasi yang penting dan rahasia, seperti data kartu kredit, id dan nomor pin atau password.

8. Website Defacing

Seseorang melakukan serangan pada situs asli (misalkan www.upnyk.ac.id) kemudian mengganti isi halaman pada server tersebut dengan halaman yang telah dimodifikasi. Dengan demikian pengunjung akan mengunjungi alamat dan server yang benar namun halaman yang asli telah berubah. Tujuan dari seseorang yang menggunakan metode penyerangan ini yaitu agar instansi, perusahaan, pemerintahan dan organisasi tertentu yang memiliki situs sebagai sarana untuk memberikan kemudahan bagi masyarakat terkait menjadi tidak berfungsi dengan sebagaimana mestinya.

9.Virus

Virus adalah kode program yang dapat mengikatkan diri pada aplikasi atau file, di mana program tersebut bisa menyebabkan komputer bekerja di luar kehendak pemakai sehingga file yang berkestensi terntentu menjaditerinfeksi yangmengakibatkan file menjadi hilang karena disembunyikan (hide), termodifikasi (encrypt) bahkan terhapus (delete).

10. Trojan Horse

Salah satu metode penyerangan yang sangat ampuh dan sering digunakan dalam kejahatan-kejahatan di internet. Seseorang memberikan program yang bersifat free atau gratis, yang memiliki fungsi dan mudah digunakan (user friendly), tetapi di dalam program tersebut terdapat program lain yang tidak terlihat oleh user yang berfungsi menghapus data. Misalnya program untuk cracking password, credit-card generator dan lain-lain.

11. Worm

Program yang dapat menduplikasikan dirinya sendiri dengan menggunakan media komputer yang
mengakibatkan kerusakan pada sistem dan memperlambat kinerja komputer dalam mengaplikasi sebuah program.

Mengamankan sistem inforamasi.
Ada banyak cara mengamankan data atau informasi pada sebauh sistem. Pada umumnya pengamanan data dapat dikategorikan menjadi dua jenis, yaitu : penecegahan (presentif) dan pengobatan (recovery).

1. Pengendalian akses.

Pengendalian akses dapat dicapai dengan tiga langkah, yaitu:

a) Identifikasi pemakai (user identification).

Mula-mula pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi tersebut dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon.
b)Pembuktian keaslian pemakai (user authentication).

Setelah melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan menyediakan sesuatu yang ia punya, seperti kartu id (smart card, token dan identification chip), tanda tangan, suara atau pola ucapan.

c)Otorisasi pemakai (user authorization).
Setelah melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut dapat diberi hak wewenang untuk mengakses dan melakukan perubahan dari suatu file atau data.

2. Memantau adanya serangan pada sistem.

Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS cara yang pasif misalnya dengan melakukan pemantauan pada logfile.

Berbagai macam software IDS antara lain, yaitu:

a) Autobuse yaitu mendeteksi port scanning dengan melakukan pemantauan pada logfile.

b) Port blocker yaitu memblok port tertentu terhadap serangan. Biasanya untuk melakukan port blok memerlukan software tertentu, seperti NinX atau sejenisnya.

c) Courtney dan portsentry yaitu mendeteksi port scanning dengan melakukan pemantauan paket data yang sedang lewat.

d) Snort yaitu mendeteksi pola pada paket data yang lewat dan mengirimkan instruksi siaga jika pola tersebut terdeteksi. Pola disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan.

3. Penggunaan enkripsi .

Salah satau mekanisme untuk meningkatkan keamanan sistem yaitu dengan menggunakan teknologi
enkripsi data. Data-data yang dikirimkan diubah sedemikian rupa sehingga tidak mudah diketahui oleh orang lain yang tidak berhak.

Ada tiga kategori enkripsi yaitu:

a. Enkripsi rahasia.

 Terdapat sebuah kunci yang dapat digunakan untuk meng-enkripsi dan men-dekripsi datadata.

b. Enkripsi publik.

Terdapat dua kunci yang digunakan, satu kunci digunakan untuk melakukan enkripsi dan kunci yang lain digunakan untuk melakukan proses dekripsi.

c. Fungsi one-way.

 Suatu fungsi dimana informasi di enkripsi untuk menciptakan “signature” dari data asli yang dapat digunakan untuk keperluan autentifikasi. Enkripsi dibentuk berdasarkan algoritma yang dapat mengacak data kedalam bentuk yang tidak bisa dibaca atau rahasia, sedangkan dekripsi dibentuk berdasarkan algoritma yang sama untuk mengembalikan data yang teracak menjadi bentuk asli atau dapat dibaca.Metode enkripsi.

Ada beberapa metode enkripsi yaitu:

a)DES (Data Encryption Standard)

DES merupakan nama dari sebuah algoritma untuk mengenkripsi data yang dikeluarkan oleh Federal Information Processing Stadard (FIPS) Amerika Serikat. DES memiliki blok kunci 64-bit, tetapi yang digunakan dalam proses eksekusi adalah 54 bit. Algoritma enkripsi ini termasuk algoritma yang tidak mudah untuk diterobos.

b)3DES (Triple DES)

Triple DES dikembangkan untuk mengatasi kelemahan ukuran kunci yang digunakan pada proses enkripsi-deskripsi DES sehingga teknik kriptografi ini lebih tahan terhadap exhaustive key search yang dilakukan oleh kriptoanalis. Penggunaan triple DES dengan suatu kunci tidak akan menghasilkan pemetaan yang sama seperti yang dihasilkan oleh DES dengan kunci tertentu. Hal itu disebabkan oleh sifat DES yang tidak tertutup (not closed). Sedangkan dari hasil implementasi dengan menggunakan modus Electronic Code Book (ECB) menunjukkan bahwa walaupun memiliki kompleksitas atau notasi O yang sama (O(n)), proses enkripsi-deskripsi pada DES lebih cepat dibandingkan dengan triple DES.

c)Kerberos.

Kerberos adalah suatu sistem keamanan berdasarkan enkripsi yang menyediakan pembuktuan keaslian (mutual authentication) bersama-sama antara komponen client dan komponen server dalam lingkungan computing terdistribusi. Kerberos juga menyediakan hak-hak layanan yang dapat digunakan untuk mengontrol client mana yang berwenang mengakses suatu server.

4. Melakukan backup secara rutin.
Dengan adanya backup data yang dilakukan secara rutin merupakan sebuah hal yang esensial, sehingga apabila ada penyusup yang mencuri, menghapus, bahkan melakukan modifikasi seluruh isi berkas penting dapat diatasi dengan cepat.

Sejarah Hacker 


Hacker muncul pada awal tahun 1960-an diantara para anggota organisasi mahasiswa Tech Model Railroad Club di Laboratorium Kecerdasan Artifisial Massachusetts Institute of Technology (MIT). Kelompok mahasiswa tersebut merupakan salah satu perintis perkembangan teknologi komputer dan mereka beroperasi dengan sejumlah komputer mainframe.

Kata hacker pertama kali muncul dengan arti positif untuk menyebut seorang anggota yang memiliki keahlian dalam bidang komputer dan mampu membuat program komputer yang lebih baik dari yang telah dirancang bersama. Kemudian pada tahun 1983, analogi hacker semakin berkembang untuk menyebut seseorang yang memiliki obsesi untuk memahami dan menguasai sistem komputer. Pasalnya, pada tahun tersebut untuk pertama kalinya FBI menangkap kelompok kriminal komputer The 414s yang berbasis di Milwaukee AS. 414 merupakan kode area lokal mereka. Kelompok yang kemudian disebut hacker tersebut dinyatakan bersalah atas pembobolan 60 buah komputer, dari komputer milik Pusat Kanker Memorial Sloan-Kettering hingga komputer milik LaboratoriumNasional Los Alamos.

 Salah seorang dari antara pelaku tersebut mendapatkan kekebalan karena testimonialnya, sedangkan 5 pelaku lainnya mendapatkan hukuman masa percobaan. Para hacker mengadakan pertemuan setiap setahun sekali yaitu diadakan setiap pertengahan bulan Juli diLas Vegas. Ajang pertemuan hacker terbesar di dunia tersebut dinamakan Def Con. Acara Def Con tersebutlebih kepada ajang pertukaran informasi dan teknologi yang berkaitan dengan aktivitas hacking.

Tokoh-tokoh Hacker ternama

a. Dennis M. Ritchie

Dennis (nama handle “dmr”) lahir di Bronxville, New York pada tanggal 09 September 1941. Ia
memperoleh gelar BSc di bidang fisika dan gelar PhD matematika terapan di Havard University. Pada tahun 1967 atau tepatnya setahun sebelum doktoral selesai, ia mengikuti jejak ayahnya bekerja di Bell Laboratories. Proyek komputer pertamanya di Bell adalah sistem operasi multics, yang merupakan proyek kerjasama BellLaboratories, MIT dan General Electric.

Dennis kemudian bekerjasama dengan Ken Thompson, dan menulis sistem operasi UNIX yang kemudian diketahui sebagai sistem operasi pertama yang dapat digunakan diberbagai jenis komputer. Untuk menghasilkan sistem operasi ini, Dennis dan Ken menyempurnakan bahasa pemrograman B karya Ken, kemudian menghasilkan bahasa C, yang digunakan untuk menulis UNIX dan program bantuannya. Sampai sekarang Dennis dan Ken masih aktif di Bell Labs. Proyeknya yang sudah diselesaikan antara lain sistem operasi Plan9 dan inferno.

b. Ken Thompson

Ken Thompson adalah mitra kerja Dennis M. Ritchie yang bisa dibilang paling dekat, mulai dari proyek penyempurnaan bahasa pemrograman B, yang kemudian menghasilkan bahasa C, lalu membuat sistem operasi UNIX, dan lainnya. Kerjasama Ken dan Dennis yang kompak ini terlihat dari hasil dan beberapa penghargaan yang mereka terima. Bahkan semua penghargaan yang pernah Ken dan Dennis adalah hasil kerjasama mereka. Penghargaan-penghargaan tersebut antara lain ACM Award (1974), IEEE Emmanuel Piore Award(1982), Bell Laboratories Fellow(1983), Association for Computing Machinery Turing Award(1983), U.S.National Medal of Tecknology(1999) dan masih banyak lagi.

c. Richard M. Stallman

R.M. Stallman lahir ditahun 1953 dan merupakan salah seorang hacker generasi pertama yang paling terkenal. Ia pertama kali menggunakan komputer pada saat berumur 16 tahun, di IBM Scientific Center. Tahun 1971, setelah lulus undergraduate (S1) Havard, ia bekerja di laboratorium kecerdasan buatan Massacusets Institute of Technology. Handle dengan nama sebutannya saat itu adalah “RMS”. Ia bersama hacker-hacker generasi pertama MIT membuat berbagai program bantu untuk komputer-komputer raksasa yang digunakan di lab MIT saat itu. Pada tahun 1980, ia secara resmi keluar dari MIT. Ia juga membuat sistem operasi GNU.

Pengalamannya selama di MIT digunakannya untuk membantu Steven Levy menulis bukunya yang berjudul Hackers: Heroes of the Computer Revolution, tahun 1984. Belakangan, ia menentang anggapan bahwa perangkat lunak adalah hak milik pribadi, dan mendirikan free software foundation. Modul-modul program buatan free software foundation-lah yang kemudian menolong Linus Torvalds dalam menciptakan Linux. Selain itu, Stallman juga menyatakan ketidak puasannya terhadap trend hacker dewasa ini, dan secara pribadi menolak penggunaan kata hacker untuk menunjuk kepada orang-orang yang memasuki sistem orang lain.

d. Steve Wozniak

Steve tumbuh di Sunnyville, di saat masih muda steve becita-cita ingin memiliki komputer sendiri. Semasa sekolah, ia sering membuat desain-desain dengan menggunakan komputernya sendiri. Kepandaian dankecerdasannya dalam bidang matematik berkembang secara pesat berkat bantuan sang ayah, yang merupakan seorang insinyur. Hingga pada pertengahan tahun 1975, Steve berhasil merancang komputer pribadinya. Saat itu konsep komputer pribadi steve diremehkan oleh perusahaan-perusahaan besar seperti IBM, yang memilih untuk memproduksi komputer-komputer berkemampuan besar yang berukuran raksasa dan harganya sangat mahal. Steve kemudian bekerjasama dengan rekannya yaitu Steve Jobs, dan mendirikan Apple Computer.

Produk pertama dari perusahaan dengan dua karyawan itu adalah Apple I, tetapi produk yang benar-benar membuat Apple Computer terkenal adalah Apple II, yang keluar pada tahun 1977. Setelah produk Apple II muncul, Apple Computer go public dan Steve Wozniak, saat itu berusia 30 tahun, menjadi jutawan baru. Setelah beberapa lama menikmati kesuksesan Apple Computer, Steve Wozniak memutuskan untuk keluar dari Apple Computer. Tetapi pada tahun 1996, ia kembali lagi keperusahaan tersebut dengan jabatan sebagai penasihat.

e. Robert Morris

Robert Tappan Morris lahir pada tahun 1966, yang merupakan putra seorang ilmuan National Computer Security Center atau bagian dari National Security Agency Amerika Serikat, yaitu Robert Morris senior, ia dikenal karena telah mengacaukan internet dengan program Worm ciptaannya. Pertemuan Robert Morris muda dengan komputer sebenarnya berawal ketika ayahnya membawa salah satu komputer penyandi pesan “Enigma” (yang digunakan jerman semasa perang) dari tempat kerjannya.

 Pada saat remaja, Robert Tappan Morris sudah berhasil menghack sistem komputer Bell Labs dan memperoleh akses superuser. Nama handlenya adalah “rtm”. Pada tanggal 02 November 1988, saat masih kuliah di Cornell University, Robert Morris menulis sebuah program Worm yang menurutnya ditujukan untuk penelitian. Worm yang dibuat Morris memiliki kemampuan untuk menyebar di Internet secara otonom, memanfaatkan kelemahan yang umum pada sistem UNIX, mengeksploitasi sendmail dan berbagai kemampuan lainnya. Program Worm tersebut kemudian menyebar secara tak terkendali, dan akhirnya memacetkan ribuan komputer di Internet. Kasus ini akhirnya mendorong pembentukan CERT (Computer Emergency Response Team) yaitu badan yang menangani kasus-kasus keamanan di Internet. Robert Morris sendiri dikenakan denda sebesar US$10.000, dan menjadi orang yang paling terkenal karena membuat virus.

f. Linus Torvalds

Linus Benedict Torvalds lahir di Helsinki, Finlandia pada tahun 1970. Pada saat linus masih muda, komputer pribadi berkembang pesat. Saat menjadi seorang mahasiswa, ia bercita-cita menulis sistem operasi yang lebih bagus dari MS-DOS, dan gratis. Pada masa itu ia masih menggunakan MINIX, klon UNIX yang berukuran kecil, dan fasilitasnya masih terbatas. Mahasiswa Ilmu Komputer University of Helsinki ini lalu mendiskusikan idenya dengan rekan-rekannya.

Dengan bantuan rekan-rekannya itu, ia berhasil merancang sistem operasi Linux, sistem operasi yang mirip UNIX yang fasilitasnya jauh diatas MS-DOS. Dalam waktu sekitar tiga tahun, mereka berhasil menyelesaikan Linux, dan mendistribusikannya secara cuma-cuma.

Linux lalu berkembang menjadi berbagai versi. Pada tahun 1997, linus dan keluarganya pindah ke Santa Clara, Clifornia, AS. Mereka dikaruniai dua orang putri, Patricia Miranda Torvalds dan Daniela Torvalds. Linus sendiri sekarang bekerja di perusahaan TransMeta.

g. Kevin Poulsen
Komputer pribadi Kevin Poulsen adalah Trash atau sering disebut TRS-80, komputer yang sama dengan yang digunakan tokoh film “War Games”. Poulsen pada akhir tahun 1980-an berurusan dengan FBI karena berhasil membobol sistem komputer mereka. Dengan aksesnya itu, ia berhasil medapatkan seluruh data perusahaan yang dijalankan oleh agen-agen FBI. Dicari dengang tuduhan membahayakan keamanan nasional, Kevin Polsen menyembunyikan diri.

Pada tahun1990, Kevin Poulsen berhasil memenangkan kontes telpon yang diselenggarakan oleh sebuah radio di Los Angeles. Caranya cukup menarik, yakni mengambil alih sistem komputer perusahaan LA, dengan memblokir semua telepon ke stasiun radio tersebut dan membuat dirinya sendiri menjadi penelepon ke 102 dan secara otomatis menjadi pemenang dalam kontes tersebut.

Sebagai hadiah, ia memperoleh sebuah Porsche 944 S2 dan juga liburan gratis ke Hawaii. Setelah Kevil Poulsen tertangkap, ia dihukum lima tahun atas tuduhan pencucian uang dan kejahatan telepon. Pada tahun 1998 lalu, ia kembali kemasyarakat, dan menjadi penulis tetap pada perusahaan berita ZDTV. Rubrik yang diasuhnya adalah Chaos Theory, yaitu sebuah rubrik yang membahas kejahat komputer yang ditayangkan setiap hari jumat.

h. Kevin Mitnick
Kevin David Mitnick merupakan hacker paling banyak dipublikasikan karena terlibat perkara-perkara kriminal. Lahir di tahun 1963, Kevin Mitnick memulai karir hackingnya semasa masih remaja di Los Angeles, sekitar tahun 1970-an. Orang tuanya bercerai dan ia tinggal bersama ibunya. Dimasa remaja, karena tidak mampu untuk membeli sebuh komputer, ia menghabiskan waktunya disebuah toko Radio Shack dan bermain-main dengan komputer disana.

Belakangan, Mitnick meneruskan kegiatan hackingnga, dan menimbulkan konflik dengan penegak hukum di AS. Aksinya antara lain adalah WELL (Whole Earth ‘Lectronic Link), dan dikomputer-komputer pakar keamanan komputer dan Farmer, Eric Allman, dsb. Akhirnya ia ditangkap untuk kelima kalinya pada bulan februari 1995 setelah pelacakan FBI dibantu pakar keamanan Tsutomu Shimo-mura. Tuduhannya antara lain pemilikan 20.000 kartu kredit curian, menyalin sistem operasi Digital Equepment Corporation secara ilegal dan menggunakan komputernya untuk mengambil alih seluruh hub jaringan telepon New York dan California.

Namun perlakuan tidak adil para penegak hukum antara lain penahanan sejak tahun 1995 tanpa uang jaminan dan tanpa proses peradilan dan media masa telah menimbulkan gelombang pro-Mitnick. Ini ditunjukkan antara lain dengan aksi protes, pembuata home page yang dikhususkan untuk mendukung Mitnick, dan pemasangan logo “Free Kevin” diperbagai situs bawah tanah yang mendukung.

Ciri-ciri seorang Hacker

Menurut Eric Raymond, pengarang buku The New Hacker’s Dictionary mendefinisikan hacker sebagai programer yang cerdas. “Hacker yang baik memberikan solusi terhadap masalah pemrograman yang timbul,” tulisnya. Lebih jauh, Raymond memberikan lima kriteria tentang seorang hacker. Pertama, mereka adalah orang yang menyukai pemrograman ketimbang hanya sekadar berteori. Kedua, mereka adalah orang yang jeli mengutak-atik detail pemrograman, dan ketiga, hacker selalu menangkap bahasa pemrograman dengan cepat.

4.Mereka biasanya adalah orang-orang yang jago dalam bahasa pemrograman atau sistem tertentu seperti UNIX atau Windows. Dan terakhir, hacker adalah seorang yang mampu menginterpretasi dan mengapresiasi tindakan hacking yang dilakukan.

Target yang diserang oleh Hacker

Hacker menyerang suatu sistem dengan bermacam-macam target, antara lain:
a. Database kartu kredit (credit card).
b. Database account bank, berupa ID dan nomor PIN.
c. Database informasi pelanggan.
d. Mengacaukan sistem pada komputer.

Cara Hacker Berinteraksi

Para hacker melakukan interaksi dengan sesama hacker melalui:
a. Internet Relay Chat (IRC)
b.Voice over IP (VoIP)
c. ICQ
d. Online forums
e. Encryption

Yang Dilakukan Hacker Setelah Menembus Keamanan Sistem.

a. Menginstall Backdoors, Trojan Horses, dan Rootkits dengan tujuan:
•Memudahkan akses masuk kembali
•Memperdayai sysadmin untuk mendapatkan akses penuh (root)
• Menginstal sekumpulan tools untuk menjadi invisible ketika login
b. Menghapus jejak dengan cara memodifikasi logfiles sehingga tidak menimbulkan kecurigaan sysadmin.
c. Menyalin /etc/passwd dan /etc/shadow atau /etc/master passwd sehingga dapat diperlukan sewaktu-waktu jika semua backdoor terhapus.

Dengan mengetahui bagaimana seorang penerobos atau penyusup (hacker) melakukan penerobosan pada sebuah sistem (hacking) dan melakukan pencurian, penghapusan atau melakukan modifikasi suatu data atau informasi maka seorang administrator atau user dapat mencegah terjadinya hacking, sehingga data atau informasi dapat tersimpan dengan aman.

KESIMPULAN
a. Mengerti dan memahami bagaimana aksi hacker dalam menerobos sistem, sehingga kegiatan hacking dapat dikontrol dan dicegah.
b. Dapat mengetahui dan mengerti bagaimana melakukan teknik pengamanan data dan bagaimana menjaga kerahasiaannya.

Sunday, October 27, 2019

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI PEMERINTAHAN

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN


ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN

Keamanan website merupakan satu hal penting dalam perancangan sebuah website. Namun masih banyak developer website yang kurang teliti dalam
meningkatkan keamanan website mereka.
Seharusnya para developer website harus menerapkan keamanan website yang baik di awal perancangan website mereka, karena mungkin suatu saat website yang telah mereka bangun akan menjadi target pengerusakan oleh hacker. Selain itu developer website juga harus sering mengikuti tren serangan terbaru agar mereka dapat mempertahankan dan memperbaiki website mereka dari
hal-hal yang tidak diinginkan.

 Ada beberapa masalah pada celah keamanan diantaranya : cross-site
scripting, information leakage, authentication and authorization, Session management, SQL injection, CSRF dan lain – lain. Pada penelitian ini dianalisis beberapa celah keamanan pada beberapa website instansi pemerintahan di sumatera utara yang diambil dari domain *.go.id, karena
biasanya website ini sangat rentan dari cybercrime. Dari hasil analisis ini akan dirancang sebuah model penanganan dari setiap celah keamanan pada setiap website. Tujuan jangka panjang dari
penelitian ini adalah menghasilkan model penanganan yang baik dari setiap celah keamanan pada website berdasarkan tingkat kerentanan sebuah website.

Sedangkan tujuan khusus dari penelitian ini menganalisis beberapa celah keamanan yang terdapat pada website dan tingkat kerentanan setiap website. Metode penelitian yang dilakukan ialah Model Black Box dengan tiga tahapan yaitu
Post-attack phase, Attack phase dan Pre-attack phase. Dari hasil pengujian 64 alamat website diperoleh 3 alamat website yang memiliki celah keamanan yang terbanyak yaitu :


  1. www.binjaikota.go.id (kota binjai).
  2.  www.taputkab.go.id (kabupaten tapanuli utara) dan
  3. www.dairikab.go.id (kabupaten dairi).


Selain itu dari 64 alamat webiste yang diuji menunjukkan 48% dengan tingkat celah keamanan yang tinggi dan 52% dengan tingkat celah keamanan yang menengah. Hasil akhir dari pengujian ini telah
dimodelkan kedalam bentuk use case diagram untuk mempermudah penelitian-penelitian selanjutnya.

Perkembangan website di Indonesia sekarang ini sangat pesat, hal ini terjadi karena semakin bertambahnya jumlah pengguna layanan internet dari tahun ke tahun. Beberapa website yang sering
diakses oleh pengguna diantaranya search engine, e-commerce, social networking, forum, portal berita dan lain – lain. Akan tetapi dibalik kemudahan layanan yang disediakan oleh setiap website tersebut ternyata terdapat beberapa masalah pada celah keamanan diantaranya : cross-site scripting, information leakage, authentication and authorization, Session management, SQL injection, CSRF
dan lain–lain. Dengan memanfaatkan celah kemanan ini seseorang dapat melakukan hacking pada
website tersebut.

Pada penelitian ini dianalisis beberapa celah keamanan pada beberapa website instansi pemerintahan di sumatera utara yang diambil dari domain *.go.id, karena biasanya website ini sangat rentan dari cybercrime. Beberapa celah keamanan yang diuji diambil dari hasil survey Application Vulnerability Trends Report : 2014. Dari hasil analisis ini akan dirancang sebuah model penanganan dari setiap celah keamanan pada setiap website.

Penelitian ini menggunakan konsep ethical hacking karena berhubungan erat dengan
beberapa materi cybercrimes yang diatur dalam UU ITE, antara lain: 1. konten ilegal, yang terdiri dari, antara lain: kesusilaan, perjudian, penghinaan/pencemaran nama baik, pengancaman dan pemerasan (Pasal 27, Pasal 28, dan Pasal 29 UU ITE); 2. akses ilegal (Pasal 30); 3. intersepsi ilegal (Pasal 31); 4. gangguan terhadap data (data interference, Pasal 32 UU ITE); 5. gangguan terhadap sistem (system interference, Pasal 33 UU ITE); 6. penyalahgunaan alat dan perangkat (misuse of device, Pasal 34 UU ITE).

Adapun yang menjadi rumusan masalah dalam penelitian ini, yaitu : Seberapa berapa besar tingkat kerentanan sebuah website jika dilakukan pengujian pada beberapa jenis celah keamanan dan bagaimana menghasilkan model penanganan yang baik dari setiap celah keamanan pada website. Manfaat dari penelitian ini adalah memberikan kontribusi dalam meningkatkan keamanan
dan penanganan kepada pengelola website sehingga dapat mengoptimalkan siklus hidup, pemeliharaan dan pengujian website.

Tahapan–Tahapan Penelitian
Penelitian ini menggunakan model black box dengan tiga tahapan dalam uji penetrasi website, yaitu :

1) Pre-attack phase : mengumpulkan informasi dengan footprinting dari website yang akan di uji. Website yang akan diuji diambil dari domain *.go.id yang merupakan website resmi pemerintahan daerah yang berada di sumatera utara.
2) Attack phase : mencoba melakukan serangan dari informasi yang didapat dari tahapan sebelumnya, misalnya menembus sistem, mendapatkan hak akses ke dalam sistem,mengekspolitasi data yang sensitif dan menanamkan kode yang berbahaya. Pada tahap ini celah keamanan yang akan diuji berdasarkan laporan dari Application Vulnerability TrendsReport : 2014.
3) Post-attack phase : menghasilkan analisis dari semua serangan berdasarkan celah keamanan yang telah di uji pada tahap kedua sehingga akan ditemukan tingkat kerentanan website berdasarkan serangan yang telah dilakukan. Hasil akhir analisis berupa model penanganan celah keamanan yang akan direkomendasikan kepengelola website.

Kegiatan penelitian dilakukan di laboratorium komputer Politeknik LP3I Medan, Jl. Sisingamangaraja No. 24/275 Simp. Limun Medan–Sumatera Utara.

Peubah Penelitian
Peubah yang diamati dalam penelitian ini yaitu, beberapa alamat website resmi pemerintahan daerah di sumatera utara dengan domain *go.id, beberapa celah keamanan yang diuji berdasarkan
laporan dari Application Vulnerability Trends Report : 2014 dan tingkat kerentanan dari setiap celah kemanan yang ada.

Teknik Pengumpulan Dan Analisis Data
Teknik pengumpulan data yang digunakan sebagai berikut :

1) Observasi : melakukan pengamatan dan analisis beberapa celah keamanan dan tingkat kerentanan website dengan menggunakan Arachni Web Application Security Scanner.

2) Kepustakaan : mencari data yang berhubungan dengan variabel yang diamati berupa buku, jurnal, surat kabar, artikel, majalah dan sebagainya.

Proses analisis data yang dilakukan yaitu menghitung presentase dan
mengklasifikasikan beberapa celah keamanan sesuai dengan tingkat kerentanan yang ditimbulkan serta disajikan dalam bentuk tabel, diagram dan grafik. Dari hasil analisis ini dirancang sebuah model penanganan dari setiap celah keamanan dan tingkat kerentanan yang ada dalam bentuk UML.

Rancangan Penelitian

Rancangan penelitian yang direncanakan digambarkan dalam bentuk diagram blok seperti gambar berikut :

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN

Pada sub bab ini dipaparkan hasil penelitian dari tahapan pre-attack phase dari 64 alamat website yang aktif dengan kategori domain *.go.id. Berikut ini alamat website dengan jumlah celah keamanan yang terbanyak yaitu :

1) www.binjaikota.go.id (kota binjai) dengan 5 celah keamanan
2) www.taputkab.go.id (kabupaten tapanuli utara) dengan 3 celah keamanan
3) www.dairikab.go.id (kabupaten dairi) dengan 2 celah keamanan pada alamat website tersebut juga memiliki celah keamanan dengan tingkat yang tinggi.

Berikut ini ditampilkan perbandingan jenis celah keamanan dari 64 alamat website dapat dilihat pada gambar 2.

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN
Serta perbandingan tingkat celah keamanan dari 64 alamat website dapat dilihat pada gambar 3.


ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN

Selanjutnya pada tahapan attack phase dipaparkan beberapa URL dari seluruh alamat website yang memiliki celah keamanan sesuai dengan jenis celah keamanannya. Pada sub bab ini dipaparkan beberapa model penanganan terhadap URL yang memiliki celah keamanan dalam bentuk use case diagram.

1. Use case Diagram : Celah Keamanan (gambar 4)

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN

2. Use case Diagram : SQL Injection & Blind SQL Injection (gambar 5)

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN
3. Use case Diagram : Code Injection (gambar 6)

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN
4. Use case Diagram : File Inclusion & Remote File Inclusion (gambar 7)

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN

5. Use case Diagram : Cross Site Scripting & Cross Site Request Forgery (gambar 8)

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN
6. Use case Diagram : Path Traversal (gambar 9)

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN
7. Use case Diagram : Clickjacking (gambar 10)

ANALISIS CELAH KEAMANAN WEBSITE INSTANSI  PEMERINTAHAN

Dari keseluruhan gambar use case diagram tersebut, terdapat komponen actor yaitu admin. Admin merupakan pengelola website yang bertanggung jawab dalam menjaga keamanan website. Dalam menjaga keamanan website tersebut seorang admin harus dapat memantau secara priodik kemungkinan terjadinya penyusupan, pengerusakan dan tindakan–tindakan ilegal lainnya.

Oleh karena itu admin dapat menggunakan model use case diagram tersebut dalam menjalankan aktifitas pemantauan terhadap websitenya. Seluruh use case diagram tersebut dibagi menjadi beberapa bagian sesuai dengan jenis celah kemanan yang didapat. Selain itu admin juga dapat menentukan tindakan pencegahan terhadap kemungkinan serangan yang akan terjadi dan tindakan perbaikan jika seandainya website telah dirusak oleh orang lain.

KESIMPULAN

Website pemerintahan di provinsi sumatera utara memiliki beberapa celah keamanan seperti SQL injection, Blind SQL Injection, Code Injection, File Inclusion, Remote FileInclusion, Cross Site Request Forgery, Cross Site Scripting, Path Traversal dan Clickjacking. Dari hasil penelitian terdapat beberapa website yang memiliki celah keamanan yang terbanyak yaitu :

www.binjaikota.go.id,
www.taputkab.go.id, www.dairikab.go.id

Dengan tingkat celah keamanan yang tinggi. Hasil pembahasan dapat dirancang beberapa model penanganan dalam bentuk use casediagram. Dimana model ini dapat digunakan oleh pengelola website untuk melakukan kegiatan pencegahan dan perbaikan dari setiap celah keamanan yang ditemukan.

Saturday, October 26, 2019

Keamanan Sistem Informasi Berbasis Internet

Keamanan Sistem Informasi 

Berbasis Internet


Keamanan Sistem Informasi  Berbasis Internet

Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem
informasi. Sayang sekali masalah keamanan ini sering kali kurang
mendapat perhatian dari para pemilik dan pengelola sistem informasi.

Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan
terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu
performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Buku ini diharapkan dapat memberikan gambaran dan informasi  menyeluruh tentang keamanan sistem informasi dan dapat membantu para pemilik dan pengelola sistem informasi dalam mengamankan informasinya.Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.

Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah“information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial(perusahaan),p tinggi, lembaga pemerintahan, maupun individual (pribadi). 

Hal ini dimungkinkan dengan perkembangan pesat di bidang
teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat
terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya
sensitif. Penggunaan komputer untuk menyimpan informasi yang sifatnya
classified baru dilakukan di sekitar tahun 1950-an.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali
informasi diinginkan hanya boleh diakses oleh orang-orang tertentu.
Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis)
dapat menimbulkan kerugian bagi pemilik informasi. 

Sebagai contoh,banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development,
algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.

Jaringan komputer, seperti LAN1 dan Internet, memungkinkan untuk menyediakan informasi secara cepat. Ini salah satu alasan perusahaan atau
organisasi mulai berbondong-bondong membuat LAN untuk sistem
informasinya dan menghubungkan LAN tersebut ke Internet.

Terhubungnya LAN atau komputer ke Internet membuka potensi adanya
lubang keamanan (security hole) yang tadinya bisa ditutupi dengan
mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa
kemudahan (kenyamanan) mengakses informasi berbanding terbalik
dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi
tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses
informasi.

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya
penipuan di sebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik.

Keamanan dan management perusahaan


Seringkali sulit untuk membujuk management perusahaan atau pemilik
sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun
1997 majalah Information Week melakukan survey terhadap 1271 system atau network manager di Amerika Serikat. 

Hanya 22% yang menganggap
keamanan sistem informasi sebagai komponen sangat penting (“extremely
important”). Mereka lebih mementingkan “reducing cost” dan “improving
competitiveness” meskipun perbaikan sistem informasi setelah dirusak
justru dapat menelan biaya yang lebih banyak.

Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan.
Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu
rumah kita harus dilengkapi dengan kunci pintu.

 Jika kita terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan.
Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari budget tidak seberapa. 

Bayangkan bila kita mendesain sebuah hotel dengan 200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar.Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya
perangkat pengamanan (firewall, Intrusion Detection System, anti virus, Dissaster Recovery Center, dan seterusnya).

Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur
dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya
dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).

Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management
dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah
berapa contoh kegiatan yang dapat anda lakukan:

• Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1
jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan,
bayangkan jika server Amazon.com tidak dapat diakses selama beberapa
hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)

• Hitung kerugian apabila ada kesalahan informasi (data) pada sistem
informasi anda. Misalnya web site anda mengumumkan harga sebuah
barang yang berbeda dengan harga yang ada di toko anda.

• Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian
yang diderita apabila daftar pelanggan dan invoice hilang dari sistem
anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.

• Apakah nama baik perusahaan anda merupakan sebuah hal yang harus
dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya
pengamanan data-datanya, bolak-balik terjadi security incidents.
Tentunya banyak nasabah yang pindah ke bank lain karena takut akan
keamanan uangnya.

Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko
(risk management). Lawrie Brown dalam menyarankan menggunakan
“Risk Management Model” untuk menghadapi ancaman (managing
threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,
yaitu Asset, Vulnerabilities, dan Threats.

Keamanan Sistem Informasi  Berbasis Internet

Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut
“countermeasures” yang dapat berupa:
• usaha untuk mengurangi Threat
• usaha untuk mengurangi Vulnerability
• usaha untuk mengurangi impak (impact)
• mendeteksi kejadian yang tidak bersahabat (hostile event)
• kembali (recover) dari kejadian

Beberapa Statistik Sistem Keamanan
Ada beberapa statistik yang berhubungan dengan keamanan sistem
informasi yang dapat ditampilkan di sini. Data-data yang ditampilkan
umumnya bersifat konservatif mengingat banyak perusahaan yang tidak
ingin diketahui telah mengalami “security breach” dikarenakan informasi
ini dapat menyebabkan “negative publicity”. Perusahan-perusahaan
tersebut memilih untuk diam dan mencoba menangani sendiri masalah
keamanannya tanpa publikasi.

• Tahun 1996, U.S. Federal Computer Incident Response Capability
(FedCIRC) melaporkan bahwa lebih dari 2500 “insiden” di sistem
komputer atau jaringan komputer yang disebabkan oleh gagalnya sistem
keamanan atau adanya usaha untuk membobol sistem keamanan .

• Juga di tahun 1996, FBI National Computer Crimes Squad, Washington
D.C., memperkirakan kejahatan komputer yang terdeteksi kurang dari
15%, dan hanya 10% dari angka itu yang dilaporkan.

• Sebuah penelitian di tahun 1997 yang dilakukan oleh perusahaan
Deloitte Touch Tohmatsu menunjukkan bahwa dari 300 perusahaan di
Australia, 37% (dua diantara lima) pernah mengalami masalah
keamanan sistem komputernya.

• Penelitian di tahun 1996 oleh American Bar Association menunjukkan
bahwa dari 1000 perusahaan, 48% telah mengalami “computer fraud”
dalam kurun lima tahun terakhir.

• Di Inggris, 1996 NCC Information Security Breaches Survey
menunjukkan bahwa kejahatan komputer menaik 200% dari tahun 1995
ke 1996. Survey ini juga menunjukkan bahwa kerugian yang diderita
rata-rata US $30.000 untuk setiap insiden. Ditunjukkan juga beberapa
organisasi yang mengalami kerugian sampai US $1.5 juta.

• FBI melaporkan bahwa kasus persidangan yang berhubungan dengan
kejahatan komputer meroket 950% dari tahun 1996 ke tahun 1997,
dengan penangkapan dari 4 ke 42, dan terbukti (convicted) di pengadilan
naik 88% dari 16 ke 30 kasus.

• John Howard dalam penelitiannya di CERT yang belokasi di Carnegie
Mellon University mengamati insiden di Internet yang belangsung
selama kurun waktu 1989 sampai dengan 1995. Hasil penelitiannya
antara lain bahwa setiap domain akan mengalami insiden sekali dalam
satu tahun dan sebuah komputer (host) akan mengalami insiden sekali
dalam 45 tahun.

• Winter 1999, Computer Security Institute dan FBI melakukan survey
yang kemudian hasilnya diterbitkan dalam laporannya [8]. Dalam
laporan ini terdapat bermacam-macam statistik yang menarik, antara lain
bahwa 62% responden merasa bahwa pada 12 bulan terakhir ini ada
penggunaan sistem komputer yang tidak semestinya (unauthorized use),
57% merasa bahwa hubungan ke Internet merupakan sumber serangan,
dan 86% merasa kemungkinan serangan dari dalam (disgruntled
employees) dibandingkan dengan 74% yang merasa serangan dari
hackers.

• Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke
Bugtraq meningkat empat kali (quadruple) semenjak tahun 1998 sampai
dengan tahun 2000. Pada mulanya ada sekitar 20 laporan menjadi 80
setiap bulannya1.

• Pada tahun 1999 CVE2 (Common Vulnerabilities and Exposure)
mempublikasikan lebih dari 1000 kelemahan sistem. CVE terdiri dari 20
organisasi security (termasuk di dalamnya perusahaan security dan
institusi pendidikan).

• Juli 2001 muncul virus SirCam dan worm Code Red (dan kemudian
Nimda) yang berdampak pada habisnya bandwidth. Virus SirCam
mengirimkan file-file dari disk korban (beserta virus juga) ke orang-
orang yang pernah mengirim email ke korban. Akibatnya file-file rahasia
korban dapat terkirim tanpa diketahui oleh korban.

Di sisi lain, orang yang dikirimi email ini dapat terinveksi virus SirCam ini dan juga
merasa “dibom” dengan email yang besar-besar. Sebagai contoh,seorang kawan penulis mendapat “bom” email dari korban virus SirCam sebanyak ratusan email (total lebih dari 70 MBytes). Sementara itu
worm Code Red menyerang server Microsoft IIS yang mengaktifkan
servis tertentu (indexing).

Di server target Setelah berhasil masuk, worm ini akan melakukan scanning terhadap jaringan untuk mendeteksi apakah ada server yang bisa dimasuki oleh worm ini. Jika ada, maka worm dikirim
ke server target tersebut. Di server target yang sudah terinfeksi tersebut
terjadi proses scanning kembali dan berulang. Akibatnya jaringan habis
untuk saling scanning dan mengirimkan worm ini. Dua buah security
hole ini dieksploit pada saat yang hampir bersamaan sehingga beban
jaringan menjadi lebih berat.

Jebolnya sistem kemanan tentunya membawa dampak. Ada beberapa
contoh akibat dari jebolnya sistem keamanan, antara lain:

• 1988. Keamanan sistem mail sendmail dieksploitasi oleh Robert Tapan
Morris sehingga melumpuhkan sistem Internet. Kegiatan ini dapat
diklasifikasikan sebagai “denial of service attack”. Diperkirakan biaya
yang digunakan untuk memperbaiki dan hal-hal lain yang hilang adalah
sekitar $100 juta. Di tahun 1990 Morris dihukum (convicted) dan hanya
didenda $10.000.

• 10 Maret 1997. Seorang hacker dari Massachusetts berhasil mematikan
sistem telekomunikasi di sebuah airport lokal (Worcester,
Massachusetts) sehingga mematikan komunikasi di control tower dan
menghalau pesawat yang hendak mendarat. Dia juga mengacaukan
sistem telepon di Rutland, Massachusetts.

• 7 Februari 2000 (Senin) sampai dengan Rabu pagi, 9 Februari 2000.
Beberapa web terkemuka di dunia diserang oleh “distributed denial of
service attack” (DDoS attack) sehingga tidak dapat memberikan layanan
(down) selama beberapa jam. Tempat yang diserang antara lain: Yahoo!,
Buy.com, eBay, CNN, Amazon.com, ZDNet, E-Trade.

FBI mengeluarkan tools untuk mencari program TRINOO atau Tribal Flood
Net (TFN) yang diduga digunakan untuk melakukan serangan dari
berbagai penjuru dunia.

• 4 Mei 2001. Situs Gibson Research Corp. (grc.com) diserang Denial of
Service attack oleh anak berusia 13 tahun sehingga bandwidth dari
grc.com yang terdiri dari dua (2) T1 connection menjadi habis. Steve
Gibson kemudian meneliti software yang digunakan untuk menyerang
(DoS bot, SubSeven trojan), channel yang digunakan untuk
berkomunikasi (via IRC), dan akhirnya menemukan beberapa hal
tentang DoS attack ini. Informasi lengkapnya ada di situs www.grc.com.
.
• Juni 2001. Peneliti di UC Berkeley dan University of Maryland berhasil
menyadap data-data yang berada pada jaringan wireless LAN (IEEE
802.11b) yang mulai marak digunakan oleh perusahaan-perusahaan.

Masalah keamanan yang berhubungan dengan Indonesia Meskipun Internet di Indonesia masih dapat tergolong baru, sudah ada beberapa kasus yang berhubungan dengan keamanan di Indonesia. Dibawah ini akan didaftar beberapa contoh masalah atau topik tersebut.

• Akhir Januari 1999. Domain yang digunakan untuk Timor Timur (.TP)
diserang sehingga hilang. Domain untuk Timor Timur ini diletakkan
pada sebuah server di Irlandia yang bernama Connect-Ireland.

Pemerintah Indonesia yang disalahkan atau dianggap melakukan
kegiatan hacking ini. Menurut keterangan yang diberikan oleh administrator Connect-Ireland, 18 serangan dilakukan secara serempak dari seluruh penjuru dunia. Akan tetapi berdasarkan pengamatan,
domain Timor Timur tersebut dihack dan kemudian ditambahkan sub
domain yang bernama “need.tp”.

Berdasarkan pengamatan situasi,
“need.tp” merupakan sebuah perkataan yang sedang dipopulerkan oleh
“Beavis and Butthead” (sebuah acara TV di MTV). Dengan kata lain,
crackers yang melakukan serangan tersebut kemungkinan penggemar
(atau paling tidak, pernah nonton) acara Beavis dan Butthead itu. Jadi,
kemungkinan dilakukan oleh seseorang dari Amerika Utara.

• Beberapa web site Indonesia sudah dijebol dan daftarnya (beserta contoh
halaman yang sudah dijebol) dapat dilihat di koleksi <http://
www.2600.com> dan alldas.de

• Januari 2000. Beberapa situs web Indonesia diacak-acak oleh cracker
yang menamakan dirinya “fabianclone” dan “naisenodni” (indonesian
dibalik). Situs yang diserang termasuk Bursa Efek Jakarta, BCA,
Indosatnet. Selain situs yang besar tersebut masih banyak situs lainnya
yang tidak dilaporkan.

• Seorang cracker Indonesia (yang dikenal dengan nama hc) tertangkap di
Singapura ketika mencoba menjebol sebuah perusahaan di Singapura.

• September dan Oktober 2000. Setelah berhasil membobol bank Lippo,
kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali.
Perlu diketahui bahwa kedua bank ini memberikan layanan Internet
banking.

• September 2000. Polisi mendapat banyak laporan dari luar negeri
tentang adanya user Indonesia yang mencoba menipu user lain pada situs
web yang menyediakan transaksi lelang (auction) seperti eBay.

• 24 Oktober 2000. Dua warung Internet (Warnet) di Bandung digrebeg
oleh Polisi (POLDA Jabar) dikarenakan mereka menggunakan account
dialup curian dari ISP Centrin. Salah satu dari Warnet tersebut sedang
online dengan menggunakan account curian tersebut.

• April 2001. Majalah Warta Ekonomi1 melakukan polling secara online
selama sebulan dan hasilnya menunjukkan bahwa dari 75 pengunjung,
37% mengatakan meragukan keamanan transaksi secara online, 38%
meragukannya, dan 27% merasa aman.

• 16 April 2001. Polda DIY meringkus seorang carder2 Yogya.Tersangka diringkus di Bantul dengan barang bukti sebuah paket yang berisi lukisan (Rumah dan Orang Indian) berharga Rp 30 juta. Tersangka berstatus mahasiswa STIE Yogyakarta.

• Juni 2001. Seorang pengguna Internet Indonesia membuat beberapa
situs yang mirip (persis sama) dengan situs klikbca.com, yang digunakan
oleh BCA untuk memberikan layanan Internet banking.

Situs yang dia buat menggunakan nama domain yang mirip dengan klikbca.com, yaitu kilkbca.com (perhatikan tulisan “kilk” yang sengaja salah ketik),
wwwklikbca.com (tanpa titik antara kata “www” dan “klik”),
clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia medapat
memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan
nama situs layanan Internet banking tersebut.

• 16 Oktober 2001. Sistem BCA yang menggunakan VSAT terganggu
selama beberapa jam. Akibatnya transaksi yang menggunakan fasilitas
VSAT, seperti ATM, tidak dapat dilaksanakan. Tidak diketahui (tidak
diberitakan) apa penyebabnya. Jumlah kerugian tidak diketahui.

Meningkatnya Kejahatan Komputer
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan
dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal,
antara lain:

• Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan
jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai
bermunculan aplikasi bisnis seperti on-line banking, electronic
commerce (e-commerce), Electronic Data Interchange (EDI), dan masih
banyak lainnya.

Bahkan aplikasi e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia (melalui “Telematika Indonesia” dan
Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi e-
commerce terlihat mulai meningkat.

• Desentralisasi (dan distributed) server menyebabkan lebih banyak
sistem yang harus ditangani. Hal ini membutuhkan lebih banyak
operator dan administrator yang handal yang juga kemungkinan harus
disebar di seluruh lokasi. Padahal mencari operator dan administrator
yang handal adalah sangat sulit.

• Transisi dari single vendor ke multi-vendor sehingga lebih banyak
sistem atau perangkat yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani. Untuk
memahami satu jenis perangkat dari satu vendor saja sudah susah,
apalagi harus menangani berjenis-jenis perangkat.

• Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai
banyak pemakai yang mencoba-coba bermain atau membongkar sistem
yang digunakannya (atau sistem milik orang lain). Jika dahulu akses ke
komputer sangat sukar, maka sekarang komputer sudah merupakan
barang yang mudah diperoleh dan banyak dipasang di sekolah serta
rumah-rumah.

• Mudahnya diperoleh software untuk menyerang komputer dan jaringan
komputer. Banyak tempat di Internet yang menyediakan software yang
langsung dapat diambil (download) dan langsung digunakan untuk
menyerang dengan Graphical User Interface (GUI) yang mudah
digunakan. Beberapa program, seperti SATAN, bahkan hanya
membutuhkan sebuah web browser untuk menjalankannya. Sehingga,
seseorang yang dapat menggunakan web browser dapat menjalankan
program penyerang (attack).

• Kesulitan dari penegak hukum untuk mengejar kemajuan dunia
komputer dan telekomunikasi yang sangat cepat. Hukum yang berbasis
ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah
yang justru terjadi pada sebuah sistem yang tidak memiliki ruang dan
waktu.

• Semakin kompleksnya sistem yang digunakan1, seperti semakin
besarnya program (source code) yang digunakan sehingga semakin
besar probabilitas terjadinya lubang keamanan (yang disebabkan
kesalahan pemrograman, bugs). Lihat tabel di bawah untuk melihat
peningkatkan kompleksitas operating system Microsoft Windows.
Seperti diungkapkan oleh Bruce Schneier dalam bukunya ,
“complexity is the worst enemy of security”.

Keamanan Sistem Informasi  Berbasis Internet

• Semakin banyak perusahaan yang menghubungkan sistem informasinya
dengan jaringan komputer yang global seperti Internet. Hal ini membuka
akses dari seluruh dunia. (Maksud dari akses ini adalah sebagai target
dan juga sebagai penyerang.) Potensi sistem informasi yang dapat
dijebol dari mana-mana menjadi lebih besar.

Klasifikasi Kejahatan Komputer


Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya
sampai ke yang hanya mengesalkan (annoying). Menurut David Icove
berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi
empat, yaitu:

1. Keamanan yang bersifat fisik (physical security): termasuk akses
orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas
penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke
tempat sampah untuk mencari berkas-berkas yang mungkin memiliki
informasi tentang keamanan. Misalnya pernah diketemukan coretan
password atau manual yang dibuang tanpa dihancurkan. Wiretapping
atau hal-hal yang berhubungan dengan akses ke kabel atau komputer
yang digunakan juga dapat dimasukkan ke dalam kelas ini.

Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak
dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini.
Denial of service dapat dilakukan misalnya dengan mematikan peralatan
atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat
berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan).

Beberapa waktu yang lalu ada lubang keamanan dari implementasi pro-
tokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana
sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi
terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang).

2. Keamanan yang berhubungan dengan orang (personel): termasuk
identifikasi, dan profil resiko dari orang yang mempunyai akses
(pekerja). Seringkali kelemahan keamanan sistem informasi bergantung
kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dike-
nal dengan istilah “social engineering” yang sering digunakan oleh
kriminal untuk berpura-pura sebagai orang yang berhak mengakses
informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang
lupa passwordnya dan minta agar diganti menjadi kata lain.

3. Keamanan dari data dan media serta teknik komunikasi (communi-
cations). Yang termasuk di dalam kelas ini adalah kelemahan dalam
software yang digunakan untuk mengelola data. Seorang kriminal dapat
memasang virus atau trojan horse sehingga dapat mengumpulkan infor-
masi (seperti password) yang semestinya tidak berhak diakses.

ALAT UNTUK MENGHUBUNGKAN KE INTERNET

Alat Untuk Menghubungkan Ke Internet

ALAT UNTUK MENGHUBUNGKAN KE INTERNET

Rachtroper-Hallo sobat semuanya, Kali ini admin akan membahas seputar Alat yang biasa digunakan untuk menghubungkan komputer ke internet. Di zaman modern seperti sekarang ini Internet bukanlah hal yang baru lagi, karena hampir semua orang pernah menggunakannya.

Maka daripada itu orang-orang banyak yang mencari alat yang bagus untuk menghubungkan perangkat mereka ke internet. 

Alat untuk menghubungkan ke internet sebenarnya sudah banyak di produksi di dunia ini, nah penasaran alat apa saja yang digunakan untuk menghubungkan ke internet? Simak ulasannya yuk...

Alat untuk menghubungkan ke internet adalah modem

ALAT UNTUK MENGHUBUNGKAN KE INTERNET

Modem (singkatan dari modulator demodulator) adalah salah satu perangkat keras komputer. Modem digunakan untuk berkomunikasi antar komputer yang jauh, termasuk untuk menghubungkan komputer dengan jaringan internet.

Modem memiliki dua proses utama dalam fungsinya yaitu:

Modulasi: mengubah data digital dari komputer ke data analog untuk dikirim melalui saluran telepon, kabel fiber optik atau secara wireless dengan gelombang radio.
Demodulasi: mengubah data analog yang diterima kembali menjadi data digital yang akan digunakan oleh komputer.
Modem diklasifikasikan berdasarkan jumlah data yang dapat mereka kirimkan dalam waktu tertentu, biasanya diukur dalam bit per detik (disingkat bps). Semakin cepat data yang dapat dikirimkan, maka semakin cepat pula koneksi internet dari komputer.

Modem juga diklasifikasikan berdasarkan metode koneksi yang digunakan. menjadi Modem dial-up ( jenis yang biasa di abad ke-20), modem DSL dan modem TV Kabel sekarang lebih banyak digunakan.

Modem yang terhubung ke komputer dengan kabel disebut modem eksternal. Modem yang berada di dalam komputer adalah modem internal.  

HUB/SWITCH

ALAT UNTUK MENGHUBUNGKAN KE INTERNET

 SWITCH/HUB adalah sebuah perangkat atau alat yang menyambungkan kabel-kabel network dari tiap-tiap workstation(client) yang ada, server maupun perangkat lainnya. Dalam topologi star, kabel UTP (bisa juga menggunakan kabel lainnya seperti TP), datang dari sebuah workstation yang dihubungkan kedalam hub. Hub memiliki banyak slot concentrator yang dapat dipasang atau dihubungkan berdasarkan menurut nomor port dari card yang dituju.

BRIDGE
ALAT UNTUK MENGHUBUNGKAN KE INTERNET

Bridge adalah suatu alat yang bisa menghubungkan jaringan komputer jenis LAN (Local area Network) dengan jaringan LAN yang lainnya. Bridge juga bisa menghubungkan tipe jaringan komputer yang berbeda-beda (misalnya kayak Ethernet & Fast Ethernet), ataupun tipe jaringan yang serupa atau sama.

KABEL RJ
ALAT UNTUK MENGHUBUNGKAN KE INTERNET

RJ Merupakan singkatan dari Register Jack yang berarti standard peralatan pada jaringan komputer yang mengatur tentang pemasangan kepala konektor dan urutan kabel, yang digunakan untuk menghubungkan 2 atau lebih peralatan telekomunikasi (Telephone Jack) ataupun peralatan jaringan (Computer Networking). Salah satu kabel RJ yang sering digunakan adalah RJ45, dan RJ11 menurut saya.

Oke itulah tadi beberapa alat yang digunakan untuk menghubungkan komputer ke internet. Alat untuk menghubungkan ke internet yang admin post hari ini mungkin belum lengkap, silahkan browsing lagi ya hehe...