Tugassim Bellaawalia Yanantomihadiputra Pertemuan10-Keamananinformasi 2018
Tugassim Bellaawalia Yanantomihadiputra Pertemuan10-Keamananinformasi 2018
Disusun oleh :
Jakarta
BAB I
PENDAHULUAN
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak
yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode
prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat
terkait (aset yang berhubungan bilamana diperlukan). Keamanan informasi diperoleh dengan
mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-
kebijakan, praktekpraktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan,
ketersediaan dan integritas.
2. Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data dan informasi bagi
mereka yang berwenang untuk menggunakannya. Tujuan ini penting khususnya bagi sistem
yang berorientasi informasi seperti SIM, DSS dan sistem pakar (ES).
3. Integritas. Semua sistem dan subsistem yang dibangun harus mampu memberikan
gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya.
Semakin meningkatnya kerentanan dan gangguan terhadap teknologi informasi telah
membuat para pengembang dan pengguna sistem informasi untuk menempatkan perhatian
yang khusus, terutama terhadap permasalahan-permasalahan yang dapat menjadi kendala
untuk penggunaan sistem informasi secara memadai. Paling tidak ada 3 hal yang menjadi
perhatian khusus di sini, yaitu:
b. Rencana Pemulihan Dampak Bencana “disaster recovery plan”, yaitu fasilitas atau
prosedur untuk memperbaiki dan/atau mengembalikan kerusakan/dampak suatu bencana ke
kondisi semula. Disaster recovery plan ini juga meliputi kemampuan untuk prosedur
organisasi dan “back up” pemrosesan, penyimpanan, dan basis data.
Merupakan kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah
akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem
informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras
dan lunak komputer, jaringan komunikasi, dan data.
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang
hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan,
keamanan dapat diklasifikasikan menjadi empat, yaitu:
1. Keamanan yang bersifat fisik (physical security): termasuk akses orang ke gedung,
peralatan, dan media yang digunakan. Beberapa bekas penjahat komputer (crackers)
mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas
yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan
coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau hal-
hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat
dimasukkan ke dalam kelas ini.Denial of service, yaitu akibat yang ditimbulkan sehingga
servis tidak dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial
of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran
komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan
adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari
implementasi pro- tokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana
sistem (host) yang dituju.
Didalam keamanan sistem informasi melingkupi empat aspek, yaitu privacy, integrity,
authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang
juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control
dan nonrepudiation.
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari
orang yang tidak berhak mengakses. Privacy lebih kearah data-datayang sifatnya
privatsedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke
pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah
servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang
berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca
oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi
(seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan,
penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data
yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality
adalah daftar pelanggan dari sebuah Internet Service Provider (ISP).
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi
tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja
“ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified),
kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah
tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi
masalah ini.Salah satu contoh kasus trojan horse adalah distribusi paket program TCP
Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi
akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab.
Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit
(compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang
kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari CERT
Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari
1999.Contoh serangan lain adalah yang disebut “man in the middle attack” dimana
seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli,
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang
dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.Masalah
pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking
dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan”
pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu
berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini
pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah,
misalnya dengan menggunakan password,biometric (ciriciri khas orang), dan
sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia:
4. Availability
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini
biasanya berhubungan dengan klasifikasi data (public, private, confidential, top
secret) & user (guest, admin, top manager, dsb.), mekanisme authentication dan
juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi
userid/password atau dengan
6. Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat
menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting
dalam hal electronic commerce. Penggunaan digital signature, certifiates, dan teknologi
kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung
oleh hukum sehingga status dari digital signature itu jelas legal. Hal ini akan dibahas
lebih rinci pada bagian tersendiri.
Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut
peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi.
Menurut W. Stallings ada beberapa kemungkinan serangan (attack):
Kriptografi
Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman.
(Cryptography is the art and science of keeping messages secure. *40+) “Crypto”
berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan). Para pelaku atau
praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographic
algorithm), disebut cipher, merupakan persamaan matematik yang digunakan untuk
proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan
dekripsi) tersebut memiliki hubungan matematis yang cukup erat.Proses yang dilakukan
untuk mengamankan sebuah pesan (yang disebut plaintext) menjadi pesan yang
tersembunyi (disebut ciphertext) adalah enkripsi (encryption). Ciphertext adalah pesan
yang sudah tidak dapat dibaca dengan mudah. Menurut ISO 7498-2, terminologi yang lebih
tepat digunakan
adalah “encipher”.
Enkripsi
Enkripsi digunakan untuk menyandikan data-data atau informasi sehingga tidak dapat dibaca
oleh orang yang tidak berhak. Dengan enkripsi data anda disandikan (encrypted) dengan
menggunakan sebuah Password (key). Untuk membuka (decrypt) data tersebut digunakan
juga sebuah Password yang dapat sama dengan Password untuk mengenkripsi
(untuk kasus private key cryptography) atau dengan Password yang berbeda (untuk
kasus public key cryptography).
Secara fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang
memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsidapat dilakukan di
tingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang
tidak berhak.
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan
mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”.
Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.Di sistem
UNIX dan Windows NT, untuk menggunakan sebuah sistem atau komputer, pemakai
diharuskan melalui proses authentication dengan menuliskan “userid” dan
“password”. Informasi yang diberikan ini dibandingkan dengan user id dan password yang
berada di sistem. Access control ini biasanya dilakukan dengan mengelompokkan pemakai
dalam “group”. Ada group yang berstatus pemakai biasa, ada tamu, dan ada juga
administrator atau super user yang memiliki kemampuan lebih dari group lainnya.
Pengelompokan ini disesuaikan dengan kebutuhan dari penggunaan sistem anda.
Shadow Password
Salah satu cara untuk mempersulit pengacau untuk mendapatkan berkas yang berisi
password (meskipun terenkripsi) adalah dengan menggunakan “shadow password”.
Mekanisme ini menggunakan berkas /etc/shadow untuk menyimpan encrypted
password, sementara kolom password di berkas /etc/passwd berisi karakter “x”. Berkas
/etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa.
Memasang Proteksi
Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan
internal Informasi yang keluar atau masuk harus melalui firewall ini.Tujuan utama dari
firewall adalah untuk menjaga (prevent) agar akses (kedalam maupun ke luar) dari orang
yang tidak berwenang (unauthorized access) tidak dapat dilakukan. Konfigurasi dari
firewall
bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan, yang dapat
dibagi menjadi dua jenis:
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem
dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil
menjebol sistem dan masuk sebagai super user (administrator), maka ada
kemungkinan dia dapat menghapus seluruh berkas. Untuk itu, adanya backup yang
dilakukan secara rutin merupakan sebuah hal yang esensial. Bayangkan apabila yang
dihapus oleh tamu ini adalah berkas penelitian, tugas akhir, skripsi, yang telah
dikerjakan bertahun-tahun. Untuk sistem yang sangat esensial, secara berkala perlu dibuat
backup yangletaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari
hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila
data-data dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan
hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
a) Membuat access log (log akses), merupakan komponen keamanan sistem pengoperasian,
mencatat seluruh upaya untuk berinteraksi dengan basis data/database. Log ini menampilkan
waktu, tanggal dan kode orang yang melakukan akses ke basis data. Log ini menghasilkan
jejak audit yang harus diperiksa oleh auditor internal atau administratur keamanan untuk
menetapkan ancaman-ancaman yang mungkin terhadap keamanan sistem informasi.
b) Console log Cocok bagi komputer mainframe yang menggunakan pemrosesan tumpuk.
Console log mencatat semua tindakan yang dilakukan sistem operasi dan operator
komputer.Console log mencatat seluruh tindakan yang dilakukan sistem operasi dan operator
komputer, seperti permintaan dan tanggapan yang dibuat selama pelaksanaan pemrosesan dan
aktivitas lainnya.
c) Perangkat lunak pengendalian akses, Beberapa perangkat lunak berinteraksi dengan sistem
operasi komputer untuk membatasi dan memantau akses terhadap file dan data.
d) Log perubahan program dan sistem. Log perubahan program dan sistem dapat memantau
perubahan terhadap program, file dan pengendalian. Manajer pengembangan sistem
memasukkan kedalam log ini seluruh perubahan dan tambahan yang diijinkan terhadap
program. Perubahan dan tambahan yang diijinkan terhadap program harus diperiksa internal
auditor untuk memeriksa kesesuaian dengan prosedur perubahan yang disarankan.
Dampak Positif
Dampak Negatif
Meskipun memiliki banyak dampak positif, akan tetapi ternyata teknologi informasi dan
komunikasi memiliki beberapa dampak negatif yang cukup mengganggu kehidupan sehari-
hari. Kebanyakan dampak tersebut disebabkan karena penyalahgunaan dari teknologi
informasi dan komunikasi, ataupun disebabkan karena kurangnya pemahaman user akan etika
dan juga cara untuk menggunakan teknologi informasi dan juga komunkasi dengan baik dan
juga benar.
Berikut ini adalah beberapa dampak negative dari teknologi informasi dan juga komunikasi:
1) Individu menjadi malas untuk bersosialisasi secara fisik
2) Meningkatnya penipuan dan juga kejahatan cyber
3) Cyber Bullying
4) Konten negative yang berkembang pesat
5) Fitnah dan juga pencemaran nama baik secara luas
6) Menjauhkan yang dekat
7) Mengabaikan tugas dan juga pekerjaan
8) Membuang-buang waktu untuk hal yang tidak berguna.
9) Menurunnya prestasi belajar dan juga kemampuan bekerja seseorang
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output
yang tidakdiharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini
dibagi menjadi empat jenis yaitu:
Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan
perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses,
hasilnya adalah hilangnya informasi atau uang.
Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-
orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan
hal tersebut.
Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau
menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional
komputer perusahaan tersebut tidak berfungsi.
Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti
lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna
output sistem tersebut mengambil keputusan yang salah.
I. PEMULIHAN DAN REKONSTRUKSI DATA YANG HILANG
1. Program pencatatan vital, yaitu program yang dibuat untuk mengidentifikasi dan melindungi
catatan komputer dan nonkomputer yang penting untuk operasi perusahaan, seperti catatan
pemegang saham, catatan karyawan, catatan pelanggan, catatan pajak dan bursa, atau catatan
sediaan.
2. Prosedur backup dan rekonstruksi. Backup merupakan tindasan (copy) duplikasi dari
dokumen, file, kumpulan data, program dan dokumentasi lainnya yang sangat penting bagi
perusahaan. Prosedur rekonstruksi terdiri dari penggunaan backup untuk mencipta ulang data
atau program yang hilang.
Studi Kasus
Pada tahun 2001, internet banking diributkan oleh kasus pembobolan internet banking
milik bank BCA, Kasus tersebut dilakukan oleh seorang mantan mahasiswa ITB Bandung
dan juga merupakan salah satu karyawan media online (satunet.com) yang bernama
Steven Haryanto. Anehnya Steven ini bukan Insinyur Elektro ataupun Informatika,
melainkan Insinyur Kimia. Ide ini timbul ketika Steven juga pernah salah mengetikkan
alamat website.
Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang
menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan
yang sama persis dengan situs internet banking BCA, http://www.klikbca.com , seperti:
wwwklikbca.com
kilkbca.com
clikbca.com
klickbca.com
klikbac.com
Orang tidak akan sadar bahwa dirinya telah menggunakan situs palsu tersebut karena
tampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut mampu
mendapatkan User ID dan password dari pengguna yang memasuki situs palsu tersebut,
namun hacker tersebut tidak bermaksud melakukan tindakan kriminal seperti mencuri
dana nasabah, hal ini murni dilakukan atas keingintahuannya mengenai seberapa banyak
orang yang tidak sadar menggunakan situs klikbca.com, Sekaligus menguji tingkat
keamanan dari situs milik BCA tersebut.
Steven Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu
sistem milik orang lain, yang dilindungi privasinya. Sehingga tindakan Steven ini disebut
sebagai hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-
hat hacker dan black-hat hacker, dimana Steven hanya mencoba mengetahui seberapa
besar tingkat keamanan yang dimiliki oleh situs internet banking Bank BCA. Disebut
white-hat hacker karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan User
ID dan password milik nasabah yang masuk dalam situs internet banking palsu. Namun
tindakan yang dilakukan oleh Steven, juga termasuk black-hat hacker karena membuat
situs palsu dengan diam-diam mengambil data milik pihak lain. Hal-hal yang dilakukan
Steven antara lain scans, sniffer, dan password crackers.
Karena perkara ini kasus pembobolan internet banking milik bank BCA, sebab dia
telah mengganggu suatu sistem milik orang lain, yang dilindungi privasinya dan
pemalsuan situs internet banking palsu. Maka perkara ini bisa dikategorikan sebagai
perkara perdata. Melakukan kasus pembobolan bank serta telah mengganggu suatu
sistem milik orang lain, dan mengambil data pihak orang lain yang dilindungi privasinya
artinya mengganggu privasi orang lain dan dengan diam-diam mendapatkan User ID dan
password milik nasabah yang masuk dalam situs internet banking palsu.
BAB III
PENUTUP
Jadi dapat dikatakan apa yang dilakukan Steven secara etik tidak benar karena
tindakan yang dilakukan Steven mengganggu privasi pihak lain dengan hanya
bermodalkan keingintahuan dan uang sejumlah kira-kira US$ 20 guna membeli domain
internet yang digunakan untuk membuat situs internet banking BCA palsu serta
pemalsuan situs internet banking BCA dan dengan diam-diam mendapatkan User ID dan
password milik nasabah yang masuk dalam situs internet banking palsu. Namun juga
menimbulkan sisi positif dimana pihak perbankan dapat belajar dari kasus tersebut. BCA
menggunakan internet banking yang dapat dipakai pengambilan keputusan atau yang
disebut decision support system, dimana data para nasabah yang bertransakasi serta
aktivitas lainnya melalui internet banking merupakan database milik BCA secara privasi
yang tidak boleh disebarluaskan ataupun disalahgunakan karena internet banking tersebut
merupakan salah satu layanan yang menguntungkan baik bagi nasabah maupun pihak
BCA. Database para nasabah internet banking dapat digunakan oleh pihak BCA untuk
membuat keputusan dalam berbagai bidang perbankan.
Solusi
Saran
1. Segera membuat regulasi yang berkaitan dengan cyberlaw pada umumnya dan
cybercrime pada khususnya.