Tujuan utama dengan adanya keamanan adalah untuk membatasi akses
informasi dan sesumber hanya untuk pemakai yang memiliki hak akses.
Ancaman keamanan:
- Leakage (Kebocoran) : pengambilan informasi oleh penerima yang
tidak berhak
- Tampering : pengubahan informasi yang tidak legal
- Vandalism (perusakan) : gangguan operasi sistem tertentu.
Beberapa Metode Penyerangan
- Eavesdropping: mendapatkan duplikasi pesan tanpa ijin
- Masquerading: Mengirim atau menerima pesanmenggunakan identitas
lain tanpa ijin mereka
- Message tampering: Mencegat atau menangkap pesan dan mengubah isinya sebelum
dilanjutkan ke penerima sebenarnya. “man-in-the-middle attack”
adalah bentuk message tampering dengan mencegat pesan pertama
pada pertukaran kunci enkripsi pada pembentukan suatu saluran
yang aman. Penyerang menyisipkan kunci lain yang memungkinkan
dia untuk mendekrip pesan berikutnya sebelum dienkrip oleh
penerima
- Replaying, menyimpan pesan yang ditangkap untuk pemakaian
berikutnya.
- Denial of Service, membanjiri saluran atau sesumber lain dengan pesan
yang bertujuan untuk menggagalkan pengaksesan pemakai lain.
Berdasar spesifikasi dari OSI, sebuah layanan (kebijakan) keamanan
meliputi :
• Access Control: Perlindungan terhadap pemakaian tak legak
• Authentication: Menyediakan jaminan identitas seseorang
• Confidentiality (kerahasiaan): Perlindungan terhadap pengungkapan
identitas tak legak
• Integrity: Melindungi dari pengubahan data yang tak legak
• Non-repudiation (penyangkalan): Melindungi terhadap penolakan
komunikasi yang sudah pernah dilakukan
Keamanan itu tidak dapat muncul demikian saja. Dia harus
direncanakan. Ambil contoh berikut. Jika kita membangun sebuah rumah,
maka pintu rumah kita harus dilengkapi dengan kunci pintu. Jika kita
terlupa memasukkan kunci pintu pada budget perencanaan rumah, maka kita
akan dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan.
Pengelolaan terhadap keamanan dapat dilihat dari sisi
pengelolaan resiko (riskmanagement). Lawrie Brown dalam menyarankan
menggunakan “Risk Management Model” untuk menghadapi ancaman (managing
threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,
yaitu :
1. Assets terdiri dari hardware, software, dokumnentasi, data, komunikasi, lingkungan dan manusia.
2. Threats (ancaman) terdiri dari pemakai (users), teroris, kecelakaan,
carakcers, penjahat, kriminal, nasib, (acts of God), intel luar negeri
(foreign intellegence)
3. Vulneribalities (kelemahan) terdiri dari software bugs, hardware
bugs, radiasi, tapping, crostalk, cracker via telepon, storage media.
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures”. yang dapat berupa :
* Mengurangi Threat, dengan menggunakan antivirus.
* Mengurangi Vulnerability, dengan meningkatkan security atau menambah firewall.
* Usaha untuk mengurangi impak (impact). yang ini kurang ngerti nih..klo ada yang tau komen di posting ini dong. :)
* Mendeteksi kejadian yang tidak bersahabat (hostile event) misalnya pop
up. jadi kita antisipasi dengan popup blocker. atau misalnya spyware
kita atasi dengan antispyware.
* Kembali (recover) dari kejadian, dengan system recovery atau tools-tools recovery lainnya.
Klasifikasi Kejahatan Komputer
Kalo kita bicara masalah kejahatan komputer pasti banyak sekali
macamnya, karena itu saiia menuliskan klasifikasi kejahatan komputer
agar mudah kita mengenali dan membedakan model-model kejahatan komputer.
Klasifikasi kali ini dibedakan berdasarkan lubang kemanan yang
dibedakan menjadi 4 (empat) yaitu :
-> Kemanan yang bersifat fisik (Phisycal Security), Adalah Lubang
keamanan yang bersifat fisik artinya bisa tersentuh seperti akses orang
ke gedung, peralatan, dan media yang digunakan.
Beberapa contoh kejahatan komputer yang bisa diakses dari lubang keamanan yang bersifat fisik :
1. Wiretapping, adalah istilah untuk penyadapan saluran komunikasi
khususnya jalur yang menggunakan kabel. misalnya penyadapan Telpon,
Listrik, dan atau Internet.
2. Denial of Service, aktifitas menghambat kerja sebuah layanan (servis)
atau mematikan-nya, sehingga user yang berhak/berkepentingan tidak
dapat menggunakan layanan tersebut. Denial of Service dapat dilakukan
dengan cara mematikan peralatan atau membanjiri saluran komunikasi
dengan permintaan yang menyebabkan jaringan menjadi sibuk, sistem hang,
bandwidth habis, ram terkuras.
3. Pencurian, yang jelas merupakan bentuk kejahatan fisik karena mengambil alih peralatan / media.
-> Keamanan yang Berhubungan dengan Orang (personel), Lubang keamanan
yang berkaitan dengan hak akses berdasarkan. Contohnya seorang user
yang memanipulasi hak aksesnya menjadi administrator.
-> Keamanan dari Data dan Media serta Teknik Komunikasi
(Comunication), Lubang keamanan yang terletak pada media. Misalnya
Kelemahan Software yang digunakan untuk mengelola data.
-> Keamanan dalam Kebijakan Operasi (Policy), Lubang keamanan yang
terletak pada kebijakan yang digunakan untuk mengatur dan mengelola
sistem.
Aspek dari Keamanan Jaringan
Garfinkel mengemukakan bahwa keamanan computer (computer security) melingkupi beberapa aspek, yaitu :
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga
informasi dari orang yang tidak berhak mengakses. Privacy lebih ke arah
data-data yang sifatnya privat sedangkan confidentiality biasanya
berhubungan dengan data yang diberikan ke pihak lain untuk keperluan
tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan
hanya diperbolehkan untuk keperluan tertentu tersebut.
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain yang
mengubah informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi. Sebuah email dapat saja “ditangkap” (intercept) di tengah
jalan, diubah isinya (altered, tampered, modified), kemudian diterukan
ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah
tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya
dapat mengatasi masalah ini.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli.
Untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi
watermarking dan digital signature. Sedangkan untuk menguji keaslian
orang atau server yang dimaksud bisa dilakukan dengan menggunakan
password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal
yang dapat ditanyakan kepada orang untuk menguji siapa dia :
* What you have (misalnya kartu identitas ~KTP,SIM,dll~)
* What you know (misalnya PIN atau password)
* What you are (misalnya sidik jari, biometric)
4. Availability
Aspek availability atau ketersedia hubungan dengan ketersediaan
informasi ketika dibutuhkan. Sistem informasi yang diserang dapat
menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah
serangan yang sering disebut dengan “Denial of Service attack” (DoS
attack), dimana server dikirimi permintaan (biasanya palsu) yang
bertubi-tubi atau permintaan diluar perkiraan sehingga tidak dapat
melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh
lain adanya mailbomb, dimana seorang pemakai dikirimi email bertubi-tubi
dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka
emailnya atau kesulitan mengakses emailnya.
5. Akses Kontrol
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana
user dan sistem berkomunikasi dan berinteraksi dengan system dan
sumberdaya yang lainnya. Akses kontrol melindungi sistem dan sumberdaya
dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi
setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe
mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem
komputer, jaringan, dan informasi. Kontrol akses sangatlah penting
karena menjadi satu dari garis pertahanan pertama yang digunakan untuk
menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya
jaringan.
6. Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan
sebuah transaksi. Penggunaan digital signature, certificates, dan
teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi
hal ini masih harus didukung oleh hukum sehingga status dari digital
signature itu jelas legal.
