Keamanan sistem komputer adalah untuk menjamin sumber daya sistem tidak
digunakan/dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi.
Pengamanan termasuk masalah teknis, manajerial, legalitas dan politis.
Pendahuluan Kriptografi
Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita
[bruceSchneier Applied Cryptography]. Kata cryptography berasal dari kata Yunani kryptos
(tersembunyi) dan graphein (menulis). Selain pengertian tersebut terdapat pula pengertian
ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan
informasi seperti kerahasiaan data, keabsahan data, integritas data, serta autentikasi data
[A.Menezes, P. van Oorschot and S. Vanstone-Handbook of Applied Cryptography].
Cryptanalysis adalah aksi untuk memecahkan mekanisme kriptografi dengan cara
mendapatkan plaintext atau kunci dari ciphertext yang digunakan untuk mendapatkan
informasi berharga kemudian mengubah atau memalsukan pesan dengan tujuan untuk
menipu penerima yang sesungguhnya, memecahkan ciphertext. Cryptology adalah ilmu yang
mencakup cryptography dan cryptanalysis. Tidak semua aspek keamanan informasi ditangani
oleh kriptografi.
Tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi
yaitu:
Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari
siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka/mengupas
informasi yang telah disandi. Integritas data, adalah berhubungan dengan penjagaan
dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus
memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak
berhak, antara lain penyisipan, penghapusan, dan pensubtitusian data lain kedalam
data yang sebenarnya.
Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara
kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi
harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus
diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.
Non-repudiasi., atau nir penyangkalan adalah usaha untuk mencegah terjadinya
penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang
mengirimkan/membuat. Enkripsi adalah transformasi data kedalam bentuk yang tidak
dapat terbaca tanpa sebuah kunci tertentu. Tujuannya adalah untuk meyakinkan
privasi dengan menyembunyikan informasi dari orang-orang yang tidak ditujukan,
bahkan mereka mereka yang memiliki akses ke data terenkripsi. Dekripsi merupakan
kebalikan dari enkripsi, yaitu transformasi data terenkripsi kembali ke bentuknya
semula.
Berikut ini adalah berapa contoh kegiatan yang dapat kita lakukan:
Hitung kerugian apabila sistem informasi kita tidak bekerja selama 1 jam, selama 1
hari, 1 minggu, dan 1 bulan. (Sebagai perbandingan, bayangkan jika
server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia
dapat menderita kerugian beberapa juta dolar.)
Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi anda.
Misalnya web site anda mengumumkan harga sebuah barang yang berbeda dengan
harga yang ada di toko kita.
Hitung kerugian apabila ada data yang hilang. Misalnya berapa kerugian yang diderita
apabila daftar pelanggan dan invoice hilang dari sistem kita. Berapa biaya yang
dibutuhkan untuk rekonstruksi data.
Apakah nama baik perusahaan kita merupakan sebuah hal yang harus dilindungi?
Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan data-datanya,
bolak-balik terjadi security incidents. Tentunya banyak nasabah yang pindah ke bank
lain karena takut akan keamanan uangnya. Pengelolaan terhadap keamanan dapat
dilihat dari sisi pengelolaan resiko (risk management). Lawrie Brown dalam
menyarankan menggunakan Risk Management Model untuk menghadapi ancaman
(managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,
yaitu Asset, Vulnerabilities, dan Threats.
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi
tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja
ditangkap (intercept) di tengah jalan, diubah isinya (altered, tampered, modified),
kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi
sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat
mengatasi masalah ini. Salah satu contoh kasus trojan horse adalah distribusi paket
program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur
dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung
jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka ketika
anda merakit (compile) program tersebut, dia akan mengirimkan e-Mail kepada orang
tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini
berasal dari CERT Advisory, CA-99-01 Trojan-TCP-Wrappers yang didistribusikan 21
Januari 1999. Contoh serangan lain adalah yang disebut man in the middle attack
dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai
orang lain.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-
betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang
yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.
Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi
watermarking dan digital signature. Watermarking juga dapat digunakan untuk
menjaga intelectual property, yaitu dengan menandai dokumen atau hasil karya
dengan tanda tangan pembuat.
Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan
pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus
menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan
menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal
yang dapat ditanyakan kepada orang untuk menguji siapa dia:
What you have (misalnya kartu ATM)
What you know (misalnya PIN atau password)
What you are (misalnya sidik jari, biometric)
Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan
keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan
digital certificates. Authentication biasanya diarahkan kepada orang (pengguna),
namun tidak pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya
bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang
bersangkutan?
Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan
meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada
di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM
palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site
palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan
Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
4. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi
ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat
atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering
disebut dengan denial of service attack (DoS attack), dimana server dikirimi
permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan
sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang,
crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail
bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai
tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika
akses dilakukan melalui saluran telepon).
Jenis Cybercime
1. Unauthorized Acces: merupakan kejahatan yang terjadi ketika seseorang memasuki
atau menyusup ke dalam suatu system jaringan komputer secara tidak sah, tanpa
izin, atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang
dimasukinya. Contoh: probing dan port.
2. Illegal Contents: merupakan kejahatan yang dilakukan dengan memasukkan data
atau informasi ke internet tentang suatu hal yang tidak benar, tidak etis, dan dapat
dianggap melanggar hukum atau mengganggu ketertiban umum, Contoh:
penyebaran pornografi.
3. Penyebaran Virus Secara Sengaja: penyebaran vurus biasanya dilakukan dengan
menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak
menyadari hal tersebut.
4. Perlunya Dukungan Lembaga Khusus
Lembaga khusus yang dimaksud adalah milik pemerintah dan NGO (Non Government
Organization) diperlukan sebagai upaya penanggulangan kejahatan di internet.
Lembaga ini diperlukan untuk memberikan informasi tentang cybercrime, melakukan
sosialisasi secara intensif kepada masyarakat, serta melakukan riset-riset khusus
dalam penanggulangan cybercrime. Indonesia sendiri sudah memiliki IDCERT
(Indonesia Computer Emergency Response Team) yang diperlukan bagi orang-orang
untuk melaporkan masalah-masalah keamanan komputer.
5. Data Forgery: kejahatan ini dilakukan dengan tujuan memalsukan data pada
dokumen-dokumen penting yang terdapat internet. Hal ini biasanya dilakukan
terhadap dokumen yang merupakan milik institusi atau lembaga yang memiliki situs
berbasis web dataset.
6. Cyber Espionage, Sabitase dan Exortion: Cyber espionage merupakan kejahatan yang
memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap
pihak lain, dengan memasuki sistem jaringan komputer pihak sasaran.
Sabotase dan Extortion merupakan jenis kejahatan yang dilakukan dengan membuat
gangguan, perusakan atau penghancuran terhadap data, program komputer atau
sistem jaringan komputer yang terhubung ke internet.
6. Cyberstalking: kejahatan yang dilakukan untuk mengganggu atau melecehkan
seseorang dengan memanfaatkan komputer, misalnya: menggunakan e-mail dan
dilakukan berulang-ulang. Kejahatan ini menyerupai terror yang dilakukan kepada
seseorang dengan memanfaatkan media internet.
7. Carding: merupakan kejahatan yang dilakukan untuk mencuri nomor kartu kredit
milik orang lain, digunakan dalam transaksi perdagangan di internet.
8. Hacking dan Cracker: Hacker mengacu pada seseorang yang punya minat besar
untuk mempelajari sistem komputer secara detail dan cara meningkatkan
kapabilitasnya. Cracker merupakan orang yang sering melakukan aksi-aksi perusakan
di internet.
9. Cybersquatting dan Typosquatting: Cybersquatting merupakan kejahatan yang
dilakukan dengan mendaftarkan domain nama perusahaan orang lain dan kemudian
berusaha menjualnya kepada perusahaan tersebut dengan harga yang lebih mahal.
Typosquatting adalah kejahatan dengan membuat domain plesetan (domain yang
mirip dengan nama domain orang lain).
10. Hijacking: merupakan kejahatan yang melakukan pembajakan hasil karya orang lain.
Hal yang sering terjadi adalah pembajakan perangkat lunak (software provacy).
11. Cyber Terorism: merupakan tindakan yang mengancam pemerintah atau warga
negara ke situs pemerintah atau militer.
Penanggulangan Cybercrime
1. Pengamanan Sistem
Tujuan yang paling nyata dari suatu sistem keamanan adalah meminimasi dan
mencegah adanya perusakan bagian dalam sistem, karena dimasuki oleh pemakai
yang tidak diinginkan. Pengamanan sistem ini harus terintegrasi pada keseluruhan
subsistem untuk mempersempit atau bahkan menutup adanya celah-
celah unauthorized actions yang merugikan.
Pengamanan dapat dilakukan mulai dari tahap instalasi sistem sampai akhirnya tahap
pengamanan fisik dan pengamanan data.
2. Penanggulangan global (The Organization for Economic Cooperation and
Development)
Melakukan modernisasi hukum pidana nasional dengan hukum acaranya, yang
diselaraskan dengan konvensi internasional.
Meningkatkan sistem pengamanan jaringan komputer nasional sesuai standar
internasional.
Meningkatkan pemahaman serta keahlian aparatur penegak hukum mengenai
upaya pencegahan, investigasi dan penuntutan perkara-perkara yang
berhubungan cybercrime.
Meningkatkan kesadaran warga negara mengenai masalah cybercrime serta
pentingnya mencegah kejahatan tersebut terjadi.
Meningkatkan kerjasama antar negara, baik bilateral, regional maupun
multilateral, dalam upaya penanganan cybercrime, antara lain melalui perjanjian
ekstradisi dan mutual assistance treaties.
3. Perlunya Cyberlaw
Cyberlaw merupakan istilah hukum yang terkait dengan pemanfaatan TI. Istilah lain
adalah hukum TI (Low of IT), Hukum Dunia Maya (Virtual World Law) dan hukum
Mayantara. Perkembangan teknologi yang sangat pesat membutuhkan pengaturan
hukum yang berkaitan dengan pemanfaatan teknologi tersebut. Hanya saja, hingga
saat ini banyak negara yang belum memiliki perundang-undangan khusus di bidang
teknologi informasi, baik dalam aspek pidana maupun perdata-nya.
4. Perlunya Dukungan Lembaga Khusus
Lembaga khusus yang dimaksud adalah milik pemerintah dan NGO (Non Government
Organization) diperlukan sebagai upaya penanggulangan kejahatan di internet.
Lembaga ini diperlukan untuk memberikan informasi tentang cybercrime, melakukan
sosialisasi secara intensif kepada masyarakat, serta melakukan riset-riset khusus
dalam penanggulangan cybercrime. Indonesia sendiri sudah memiliki IDCERT
(Indonesia Computer Emergency Response Team) yang diperlukan bagi orang-orang
untuk melaporkan masalah-masalah keamanan komputer.
DAFTAR PUSTAKA
Ayuning Tyas Sapurti , Kriminalitas Penanganan Cybercrime di Indonesia. 2009,
UNILA:Lampung.
http://www.rachdian.com/content/view/10022/31/
Suryo Widiantoro, Modus Kejahatan dalam Teknologi Informasi, 2009, UBM.
Hidayatullah Himawan, Internet-Intranet, 2008, UPN Veteran Yogyakarta.
Romo Satrio Wahono, Rethink on Cybercrime and Cyberlaw, 2007, ITS Surabaya
(Seminar Hacking dan Security).
http://jnursyamsi.staff.gunadarma.ac.id/Downloads/files/22379/M08_+Kejahatan+B
idang+TI.ppt
http://mas-anto.com/wp-content/uploads/downloads/2010/04/Etika-Profesi-
BP_cetak.pdf