Disusun oleh :
MAKSI XXXVI A
PASCA SARJANA UNIVERSITAS DIPONEGORO
SEMARANG
2017
COMPUTER CRIME
1
PENDAHULUAN
Teknologi memainkan berbagai peran dalam lingkungan kecurangan. Sistem dan
data dapat digunakan untuk mencegah, mendeteksi, dan menyelidiki kecurangan. Ketika
teknologi digunakan untuk melakukan kecurangan, mekanisme yang biasanya
digunakan adalah komputer. Komputer tidak memunculkan kejahatan baru, melainkan
hanya berubah bentuk kejahatan yang sudah ada.
Biasanya, kejahatan yang berkaitan dengan komputer adalah kejahatan dalam
pekerjaan. Maksudnya, dilakukan oleh orang dalam, atau mantan orang dalam, dengan
syarat keterampilan, pengetahuan, dan akses. Akses tidak sah umumnya dapat diperoleh
dengan lebih mudah oleh orang dalam (karyawan) organisasi daripada pihak luar.
Penelitian tentang subjek ini menemukan sekitar 70 persen menjadi 80 persen dari
tindakan berbahaya yang berhubungan dengan komputer dilakukan oleh orang dalam,
meskipun komentator media massa, yang sering muncul untuk menggambarkan
sebaliknya.
2
penyalahgunaan komputer mungkin tidak dilaporkan secara terbuka sehingga insiden
yang dilaporkan tidak cukup mewakili semua kejadian penyalahgunaan yang
sebenarnya. Dengan semakin banyaknya komputer yang digunakan, orang bisa
memperkirakan peningkatan dalam jumlah insiden penyalahgunaan. Angka
penyalahgunaan tidak akan menjelaskan fenomena itu sendiri atau faktor-faktor
penyebabnya. SRI memilih untuk melihat setiap kasus secara individual.
3
secara bawaan sulit untuk dihitung karena sifat tidak berwujud dari kerugian seperti
waktu, loyalitas pelanggan, dan informasi rahasia. Meskipun demikian, kejahatan jelas
sangat merugikan. Tren bervariasi dalam jenis kejahatan komputer seperti perkiraan
biaya, namun beberapa diantaranya memiliki kecenderungan yang jelas. Pencurian
identitas terus meningkat, e-mail terus berkembang baik sebagai metode kejahatan
(pencurian identitas, phishing, virus, dll) maupun sebagai bukti kejahatan (penemuan e-
mail dalam litigasi). Dua mekanisme utama yang dengannya kecurangan terjadi adalah
e-mail (74 persen) dan halaman web (29 persen), menunjukkan fakta bahwa hal ini
merupakan kejahatan komputer. Bahkan, statistik dari tahun 2008 IFCC menunjukkan
pertumbuhan pesat dalam kejahatan komputer.
Estimasi Kerugian U. S. Computer Crime
4
mirip dengan segitiga kecurangan tetapi khusus untuk kejahatan komputer, adalah
konsep yang dikenal sebagai MOMM.
5
Kategorisasi Computer Crime
Komputer bisa menjadi target dari pelaku (menghancurkan komputer, penolakan
layanan, dll), alat yang digunakan untuk melakukan kejahatan (pencurian identitas
online, set kedua kecurangan dari catatan akuntansi, dll), atau alat pendukung kejahatan.
Kejahatan komputer juga dapat diklasifikasikan oleh hilangnya data (kerahasiaan,
ketersediaan, atau integritas), jenis kerugian yang ditimbulkan (keuangan, kerusakan
fisik, dll), atau jenis kejahatan (kecurangan, pencurian, dll)
Kejahatan komputer juga dapat dikelompokkan menjadi tiga kategori sederhana
yang paralel dengan tiga tahap pengolahan data: masukan, proses, dan output. Kejahatan
masukan melibatkan entri data palsu ke komputer, atau data yang telah diubah, atau
dipalsukan. Kejahatan pengolahan mencakup mengubah pengolahan komputer untuk
sarana kecurangan atau penyerangan seperti penolakan layanan yang mengubah sistem
pengolahan menimbulkan kerugian bagi korban. Kejahatan output, seperti pencurian
laporan dan file data yang dihasilkan komputer (milis pelanggan, hasil penelitian dan
pengembangan, rencana jangka panjang, daftar karyawan, formula rahasia, dll)
tampaknya akan meningkat di era persaingan yang ketat.
Kategorisasi lain yang penting yaitu kejahatan internal dan eksternal. Kejahatan
internal jauh lebih besar jumlahnya. Bahkan, jenis yang paling umum dari kejahatan
komputer mungkin adalah pencurian aset oleh karyawan. Mereka memiliki peluang
karena berada di dalam organisasi, dengan beberapa tekanan untuk mencuri (masalah
kas pribadi arus) dan etika pribadi yang lemah, maka segitiga kecurangan tercukupi.
Jika ada kelemahan dalam kontrol, godaan bisa menjadi terlalu besar bagi karyawan
untuk tidak mencuri dari organisasi. Lalu ada orang-orang dari luar untuk mencuri data,
sabotase sistem, atau memata-matai. Lainnya merusak sistem dan membuatnya tidak
dapat digunakan. Apapun kerusakannya, tindakan tersebut disengaja supaya
menyebabkan kerugian.
Konektivitas
Komunikasi komputer dapat didefinisikan sebagai kemampuan untuk
mentransfer pesan antara perangkat independen. Dalam rangka untuk berkomunikasi,
6
perangkat komputer harus dihubungkan dalam beberapa cara. Peningkatan konektivitas
teknologi informasi telah meningkatkan kerentanan terhadap kejahatan komputer,
singkatnya karena konektivitas yang memfasilitasi manfaat yang diinginkan juga
memfasilitasi kejahatan yang tidak diinginkan. Internet memperparah risiko karena
membuka jaringan kepada siapa pun di seluruh dunia dengan pengetahuan dan
kesempatan untuk melakukan kecurangan komputer. Yang dibutuhkan untuk membuat
kejahatan komputer terjadi adalah salah satu ahli komputer menjadi termotivasi untuk
menyerang komputer organisasi. Proposisi nilai dasar dari internet adalah kesempatan
untuk terhubung, hampir setiap saat, dari mana saja, untuk jutaan komputer (dan karena
itu data dan orang) di seluruh dunia. Sisi lemah internet adalah kompleksitas dalam
sistem meningkat, serangan, dan kemampuan untuk melihat siapa melakukan apa,
kapan, dan bagaimana.
Ide menghubungkan komputer terus mengalami bentuk-bentuk baru. Dalam
banyak hal, komputasi terdistribusi memungkinkan pengungkapan risiko lebih daripada
lingkungan komputer mainframe tradisional, sebagai (bagian dari) aplikasi dan database
yang terintegrasi, meskipun disimpan secara terpisah pada beberapa server di lokasi
yang jauh. Dengan cara lain, risiko dapat lebih terkontrol dengan memisahkan akses,
mensyaratkan otentikasi berlapis, dan menempatkan sistem yang paling signifikan jauh
dari titik masuk jaringan atau di lingkungan yang mudah dipantau. Tak pelak, trade-off
dalam manajemen sistem selalu terjadi antara kenyamanan dan keamanan.
Jaringan meningkatkan kerentanan sistem komputer dengan membukanya ke
internet atau sistem eksternal. Informasi dapat dicuri dengan menyalin melalui
workstation atau dengan menekan ke dalam mekanisme komunikasi. Entry tidak sah
melalui saluran telepon umum atau akses internet dapat terjadi. Data dapat didownload
jarak jauh hampir tak terlihat. Dan sekali peristiwa yang tidak diinginkan terjadi,
dampaknya bisa eksponensial.
Konsentrasi Data
Transfer data memungkinkan dalam transaksi moneter dalam berbagai cara,
cepat, setiap saat, dan dalam jarak jauh. Data merupakan objek digital berupa program
rahasia, file data penelitian, suatu program dari perusahaan yang dapat dijual dan
menghasilkan laba, serta data informasi keuangan yang rahasia.
Sistem komputer mengumpulkan dan menggabungkan data dari semua
departemen dalam sebuah organisasi. Data-data ini diproses dan biasanya
7
penyimpananya secara terpusat. Sentralisasi ini bertujuan untuk keamanan, yaitu
wewenang dalam mengakses data keuangan perusahaan. Human error bisa
mengakibatkan kerugian data.
Positions of Trust
Tingkat kepercayaan tinggi dan risiko tinggi pula bagi database administrator,
programmer, dan entri data. Banyak analis komputer dan programmer yang tidak
memiliki pengetahuan tentang pengendalian akuntansi atau prinsip-prinsip umum
pengendalian internal. Sehingga tidak ada kesesuaian antara struktur dan proses
organisasi dengan pengendalian internal yang memadai.
Karakteristik penting lainnya dari lingkungan komputer adalah sebagai berikut :
Obscure audit trail.
Adanya banyak akses online dan jaringan mengakibatkan hilangnya jejak audit
Complex technology
Ketidakmampuan memahami substansi dan integrasi teknologi
Built-in insecurity.
Tidakadanya update pengamanan didalam hardware dan software
Instant access.
Sistem akses yang terkendali
8
Manajemen perlu menetapkan tujuan keamanan yang terkait dengan tujuan
bisnis dan mengidentifikasi aset yang membutuhkan perlindungan dari risiko. Sebuah
kebijakan yang baik bergantung pada penilaian risiko yang tepat dan menyeluruh.
Salah satu tujuan dari kebijakan keamanan adalah untuk menekankan kepada
seluruh pemangku kepentingan (karyawan, khususnya) bahwa informasi dan data adalah
aset yang memiliki nilai, dan tidak hanya file komputer. Sebuah kebijakan keamanan
mengingatkan karyawan bahwa itu adalah hal penting dan informasi yang bernilai
dalam menangani risiko. Hal ini membuat budaya perusahaan menjadi sadar akan
keamanan. SANS (SysAdmin, Audit, Network, Security) menyajikan pengembangan
yang lebih baik kebijakan Infosec yang efektif pada web sitenya.
Hal yang mengherankan, risiko terbesar adalah dari karyawan organisasi sendiri.
Karyawan yang tidak puas, karyawan baru-baru ini diberhentikan, pelaku penggelapan,
mantan kontraktor atau konsultan, dan lain-lain termotivasi untuk membuat serangan
(threats). Bahkan, sebuah penelitian terbaru menemukan bahwa kekhawatiran
keamanan terbesar adalah 90% dari manager eksekutif.
Gartner (ahli komputer dan teknologi penelitian) memperkirakan bahwa lebih
dari 70% dari akses tidak terautorisasi ke sistem informasi yang dilakukan oleh
karyawan, lebih dari 95% mengalami gangguan yang berakibat kerugian finansial
secara signifikan. Semua bisnis harus memeriksa risiko yang terkait dengan karyawan
ketika mengembangkan sistem perlindungan yang efektif terhadap serangan.
Criminal Intent
9
Kelompok kriminal dengan tujuan bersama, dalam istilah teknis adalah hacker,
cracker, dan script kiddies.
Hacker (white hats) ini mencoba untuk melakukan pelayanan untuk komunitas
internet. Mereka mencari kerentanan dan kelemahan, kemudian mengkomunikasikan
''celah (hole)'' untuk entitas. Orang-orang ini menikmati tantangan intelektual kegiatan
mereka. Secara tradisional, istilah konotasi positif dari hacker adalah simbol
kehormatan dalam keahlian teknis seseorang.
Kebanyakan orang mengartikan hacker adalah “bad guys”. Bad guys secara
teknis disebut crackers (black hats). Tujuannya adalah mencuri atau mneghancurkan.
Script kiddie adalah untuk penggemar komputer muda/pemula yang men-
download kode berbahaya (misalnya, virus, denial of service [DoS]) yang dihasilkan
oleh cracker, bukan pembuatnya, dan melakukan eksploitasi nakal. Mereka tidak
memandang korban dari perbuatannya tersebut, anggapan mereka adalah sebuah bentuk
seni, hobi yang menyenangkan dan menikmati kesenangan untuk melatih
pemrogramannya tersebut.
Pencurian Identitas
Pencuri mencuri barang-barang fisik seperti kartu kredit atau data mereka, atau
mereka mencuri login untuk akun keuangan, atau bahkan identitas seseorang. Ada
berbagai cara kriminal untuk mencuri identitas seseorang, termasuk pencurian data
melalui cracking, akses yang berlebihan, atau rekayasa sosial, spyware (software untuk
memata – matai), atau snifing (program perangkat lunak yang mengcapture/screenshoot
pesan internet). Masalah pencurian identitas akan terus berkembang dimasa yang akan
datang.
Blackmail
Pemerasan menggunakan internet telah menjadi bidang kegiatan kriminal yang
tinggi, dengan target seperti kasino online, perusahaan keamanan dan teknologi, dan
siapa tau ada yang lain, karena kebanyakan korban tidak melaporkan pemerasan secara
publik. Mafia, geng jalanan, dan penipu semakin bermigrasi ke operasi berbasis
10
komputer, dan sering menggunakan pemerasan atau ancaman lainnya. Uang tebusan
dari serangan ini telah dilaporkan dalam jutaan dolar. Jika jenis kejahatan ditemui, salah
satu harus mencari bantuan dari seorang spesialis teknologi dan pengacara segera
mungkin.
E-Mail Attacks
Penjahat mungkin menggunakan berbagai serangan e-mail jahat, termasuk spamming,
spoofing, virus, dan spyware. Spam adalah email yang tidak kita inginkan atau email
sampah. Teknik spamming dapat digunakan untuk menyumbat server e-mail ke titik
dimana server tersebyt terkunci. Virus yang pertama dikenal adalah Virus Natal
dilepaskan ke komputer buatan IBM. Sebuah pesan kartu Natal dikirim yang berisi kode
pemrograman untuk meniru pesan kepada semua orang di buku alamat penerima,
mengunci sistem IBM untuk beberapa waktu. Spamming sistem yang tepat dengan kode
yang tepat dapat bekerja seperti serangan DoS.
Spoofing berpura-pura menjadi orang lain atau beberapa entitas. Tujuannya
adalah untuk menipu pihak lain dalam mengambil tindakan yang mengakibatkan malu
atau membahayakan. Spoofing telah dikaitkan dengan phishing, tapi sekarang
digunakan untuk menjadi diri sebagai orang lain yang lebih dalam. Spoofing sering
menjadi gerbang kejahatan, semakin terbuka lebar semakin besar peluang fraud.
Virus adalah ancaman yang sangat signifikan untuk bisnis dalam hal kehilangan
sumber daya. Para ahli memperkirakan perusahaan-perusahaan AS menghabiskan
sekitar $ 12,3 miliar untuk membersihkan kerusakan dari virus komputer pada tahun
2001, dan 1 virus itu biasanya menghabiskan biaya $1juta.Sebuah virus dapat
menghapus atau menonaktifkan sistem data, sistem operasi, atau perangkat lunak
aplikasi. Salah satu penjahat cyber hampir menghancurkan sebuah bisnis dengan
11
menghapus semua data untuk suatu proyek. Bisnis adalah sebuah perusahaan konsultan
yang menyimpan file proyek pada jaringannya. Pelaku memiliki informasi dari dalam
bahwa bisnis tidak memiliki cadangan, dan dengan mengirimkan virus untuk
menghapus file kunci dan drive pada jaringan, perusahaan kehilangan semua informasi
tentang proyek itu dan memiliki masalah serius merekonstruksi pekerjaan yang
dilakukan pada tanggal yang ditentukan. Bisnis itu akan runtuh.
Spyware terus berkembang biak sebagai media kriminal. Menurut
pcwebopedia.com, spyware, juga disebut adware, adalah perangkat lunak yang diam-
diam mengumpulkan informasi melalui koneksi internet pengguna tanpa
sepengetahuannya, biasanya untuk tujuan iklan. Spyware berkisar dari iklan pop-up
berbahaya yang memiliki kemampuan untuk merekam apa pun yang terjadi pada
komputer dan mengirimkan data ke orang yang bikin spyware tersebut. Sebagai contoh,
WinWhatWhere software dapat merekam semua penekanan tombol pada komputer
pribadi dan mengirimkannya ke beberapa lokasi server di internet. Spyware kadang-
kadang dipaketkan sebagai komponen tersembunyi dari program freeware atau
shareware yang dapat didownload dari internet, dan kadang-kadang ditempatkan pada ''
hack '' komputer. Setelah terinstal, spyware memonitor aktivitas pengguna di Internet
dan mengirimkan informasi secara tidak diketahui untuk orang lain. Spyware juga dapat
mengumpulkan informasi tentang alamat e-mail dan bahkan password dan nomor kartu
kredit.
12
dari dua metode keamanan pertama adalah bahwa mereka telah com- dijanjikan, dan
penyusup telah menyebabkan kerusakan besar dan kerugian keuangan yang signifikan.
Pendekatan yang terakhir, biometrik, memiliki potensi untuk memberikan tingkat uji
grea- keamanan karena menyangkut sesuatu yang Anda, dan karena dapat lebih
diandalkan daripada password atau firewall, terutama berdiri sendiri password atau
firewall sistem. Biaya dan presisi (terlalu banyak positif palsu) terus biometrik dari
menjadi kontrol akses sehari-hari.
Perbedaan antara verifikasi (otentikasi) dan identifikasi (otorisasi) perlu
ditekankan. Otorisasi adalah pengakuan integrasi individu dalam satu sistem. Artinya,
token atau ID / password itu valid dan ID itu memiliki akses ke sistem. Otentikasi,
bagaimanapun, adalah proses yang mengkonfirmasi bahwa orang yang membawa token
(misalnya, lencana, kartu, atau sandi, yang merupakan klaim identitas) adalah pemilik
sah token. Idealnya, sistem kontrol akses yang baik memiliki dua hal tersebut.
Sandi adalah garis pertahanan pertama dalam otentikasi akses ke sistem dan
data, dan berfungsi sebagai sistem pencegahan yang cukup efektif. Salah satu strategi
adalah membuat password multifaset, terutama di mana akses remote sering terjadi atau
e-commerce digunakan. Salah satu pendekatan yang lebih canggih adalah untuk
menghasilkan password sementara (PIN) yang berlangsung untuk waktu yang sangat
singkat, kadang kurang dari satu menit. Ketika pengguna jauh login, mereka memeriksa
pager untuk PIN terbaru dan bisa login hanya dengan kedua password mereka dan PIN
sementara.
Meskipun mereka tampak jauh lebih murah daripada sistem biometrik
(sidikjari), tetapi ada sistem sandi itu lebih beresiko. Biaya ini biasanya terjadi dalam
dua cara: password yang lupa dan password yang dicuri. Bekas pengguna membutuhkan
waktu dan sumber daya untuk me-reset password. Yang terakhir adalah pelanggaran
keamanan dan bisa jauh lebih mahal, jika sistem terganggu. Karena otak manusia
bukanlah suatu sistem penyimpanan yang sempurna untuk password yang panjang dan
kompleks, , password yang lebih rumit mungkin akan lebih mudah dilupakan. Dalam
situasi seperti itu, password harus direset dan harus membuat password baru. Menurut
Mandylion Research Labs, ulang sistem keamanan password dari sebuah perusahaan
dengan 100 pekerja akan mengahabiskan biaya $ 3.850 per tahun. Jika perusahaan
memiliki 1.000 personil yang berwenang, proses yang sama akan menghabiskan biaya
hingga $ 38.500 per tahun
13
Perangkat biometrik yang paling umum digunakan untuk akses kontrol adalah
pemindai sidik jari, meskipun pemindai wajah dan iris serta sistem pengenalan suara
ditingkatkan untuk digunakan. scanner sidik jari datang dalam berbagai format, dari
perangkat yang berdiri sendiri untuk pembaca dibangun ke keyboard dan mouse.
Mereka tidak mengganggu, murah, dan, pada dasarnya, mereka bekerja. Sebagai contoh,
Administrator Public Benefit di Texas dan New York mengklaim bahwa
pengidentifikasi sidik jari telah hampir menghilangkan fraud dalam program mereka.
Model komputer me\reka sudah tersedia dengan pembaca sidik jari biometrik bawaan
dan mouse biometrik.
Tren lain yang muncul yaitu pada “melapisi” perangkat lunak keamanan akun
atau alat di atas aplikasi. Solusi untuk celah keamanan ini bisa diperlukan karena
berbagai alasan dan melayani berbagai keperluan, Misalnya paket keamanan seperti
ACF2 dapat dilapisi di atas sistem mainframe lawas yang tidak termasuk dalam
menerapkan perangkat lunak keamanan (seperti RACF, atau Blockade) server "utama"
yang membutuhkan surat kepercayaan yang aman secara terpisah (misalnya, Citrix )
Atau skrip kustom (misalnya UNIX) atau miniprogram yang melakukan pemeriksaan
otentikasi.
Prosedur keamanan informasi yang ceroboh adalah masalah besar. Pertama ada
masalah dengan account yang tetap dalam sistem perusahaan. IDC memperkirakan
bahwa 30 persen menjadi 60 persen dari rekening di perusahaan-perusahaan besar tidak
lagi valid. account ini berfungsi yang mungkin menjadi magnet diantara pekerja orang
dalam dengan hacker, cracker atau penjahat pihak luar. Masalah lain adalah password
basi, atau password yang tidak berubah untuk jangka waktu yang lama. Entitas mungkin
tidak memiliki kebijakan password dan prosedur untuk mengubah password, atau
kebijakan tersebut tak dilaksanakan, menjadikan korporasi tersebut rentan.
Ada banyak kegiatan infosec lain yang memiliki manfaat signifikan. Ini
termasuk proses perubahan kontrol, ulasan konfigurasi periodik, penetrasi dan simulasi
serangan, dikelola layanan perangkat lunak yang berhubungan dengan keamanan, data
yang memonitor data dan rekonsiliasi, dan enkripsi data. Proses perubahan kontrol
memastikan perubahan aplikasi, script, database, dan sistem lain yang berwenang dan
diuji sebelum implementasi yang sesuai. Meninjau konfigurasi perangkat lunak
(aplikasi, sistem operasi, database, dll) dan perangkat keras (router, firewall, dll)
terhadap menetapkan kebijakan keamanan perusahaan atau praktik terbaik dapat
14
mengidentifikasi kelemahan kontrol potensial. Penetrasi dan simulasi serangan, sering
dilakukan dengan khusus, di luar ahli, termasuk berusaha untuk menembus sistem
seharusnya dijamin atau berhasil menyerang mereka dengan penolakan layanan, virus,
dan sebagainya. Layanan perangkat lunak dikelola berhubungan dengan keamanan
terpusat mengelola memperbarui perangkat lunak yang berhubungan dengan keamanan
dengan patch atau update lainnya (seperti memperbarui paket sistem operasi layanan,
patch aplikasi, definisi antivirus, atau kebijakan keamanan komputer lokal). Data
pemantauan termasuk program yang memantau dan mengirimkan peringatan otomatis
sekitar perubahan data; rekonsiliasi upaya untuk mencocokkan data dari dua sumber
untuk memastikan pengolahan antara dua terjadi lengkap dan akurat. Alat enkripsi data,
baik dalam penyimpanan atau dalam komunikasi, melindungi data dari pengguna yang
tidak resmi atau memungkinkan untuk penghapusan jarak jauh atau penghapusan
otomatis.
15