1.

KERENTANAN DAN PENYALAHGUNAAN SISTEM

Ketika kita menjalankan bisnis saat ini, kita perlu menjadikan keamanan dan pengendalian
menjadi prioritas utama . Keamanan (security) berupa kebijakan, prosedur dan teknis yang
digunakan untuk mencegah akses yang tidak berwenang, pengubahan, pencurian atau kerusakan
fisik terhadap sistem informasi. Pengendalian (control) adalah metode, kebijakan dan prosedur
organisasi yang menjamin/memastikan keamanan aset-aset organisasi, akurasi dan kehandalan
pencatatan dan kepatuhan operasional terhadap standar manajemen.
1.1 Mengapa Sistem Sangat Rentan
Ketika data-data dalam jumlah besar yang tersimpan dalam bentuk elektronik,
mereka menjadi lebih rentan terhadap banyak ancaman daripada ketika tersimpan dalam
bentuk manual karena melalui jaringan komunikasi, sistem informasi di lokasi berbeda
menjadi terhubung. Hal ini menimbulkan potensi adanya akses yang tidak berwenang,
penyalahgunaan atau penipuan tidak terbatas pada satu lokasi , tetapi dapat terjadi pada
titik akses manapun dalam jaringan. Ancaman terhadap sistem dapat berasal dari faktor
teknis, organisasi, dan lingkungan yang digabungkan oleh keputusan manajemen yang
buruk.

Gambar 8.1 Kerentanan dan Tantangan Keamanan Komputer Saat Ini

a. Kerentanan Internet
Jaringan publik yang luas seperti internet lebih rentan daripada jaringan internal
karena secara virtual terbuka bagi siapapun. Kapasitas internet sangat besar sehingga
ketika penyalahgunaan terjadi, akan berdampak sangat luas dan besar. Ketika internet
menjadi bagian dari jaringan perusahaan, sistem informasi organisasi menjadi lebih
rentan terhadap tindakan-tindakan jahat dari pihak luar.
Komputer yang selalu terhubug dengan internet melalui kabel modern atau jalur
DSL (Digital Subscriber Line) lebih terbuka terhdap penetrasi pihak luar karena
mereka menggunakan alamat internet tetap yang mudah untuk diidentifikasi.
Sedangkan, layanan telepon berbasis teknologi internet lebih rentan dibandingkan
dengan switched voice network jika tidak dijalankan pada jaringan privat yang
terlindungi.
Kerentanan juga meningkat melalui penggunaan surel secara luas, pesan instan
dan program pembagian arsip peer to peer. Surel bisa berisi lampiran yang berfungsi
sebagai loncatan bagi perangkat lunak berbahaya atau akses tidak dikenali oleh sistem
internal perusahaan. Pembagian arsip peer to peer seperti pembagian music secara
illegal, memungkinkan transmisi perangkat lunak berbahaya atau menyingkap
informasi individu atau computer perusahaan kepada pihak luar.
Contoh : karyawan dapat menggunakan pesan surel untuk mengirimkan rahasia
dagang penting , data keuangan, atau informasi rahasia pelanggan kepada penerima
yang mungkin tidak dikenali.
b. Tantangan Keamanan Nirkabel
Jaringan nirkabel di bandara, perpustakaan , atau lokasi public bisa sangat rentan
tergantung pada kewaspadaan kita. Bahkan jaringan nirkabel dalam rumah pun
demikian karena frekuensi radionya mudah untuk dipindai/dilacak. Bahkan jaringan
Bluetooth dan Wi-Fi sangat mudah dimanfaatkan oleh para pengintai/penyusup atau
pencuri dengar.
Jaringan LAN dapat dengan mudah dimasuki oleh pihak luar yang dilengkapi
laptop, kartu nirkabel, antenna eksternal dan perangkat lunak peretasan. Peretasnya
menggunakan alat tersebut untuk mendeteksi jaringan yang tidak dilindungi, memantau
 lalu lintas jaringan, dan dalam beberapa kasus, memperoleh akses ke internet atau ke
jaringan perusahaan. Teknologi wifi dirancang untuk memudahkan berbagai pemancar
untuk menemukan dan mendengar satu sama lain dengan SSID (Service Set Identifier)
yang mengidentifikasi titik akses dalam jaringan wifi secara berulang-ulang.

1.2 Peranti Lunak Berbahaya: Virus, Worm, Trojan Horse dan Spyware
Malware adalah program peranti lunak yang berbahaya/malicious software termasuk
di dalamnya adalah beragam ancaman seperti virus, worm dan Trojan horses.
a. Virus komputer adalah program perangkat lunak berbahaya yang mengikatkan
dirinya kepada program perangkat lunak lain atau arsip data yang dijalankan dengan
tujuan untuk dieksekusi, biasanya tanpa sepengetahuan atau seizin pengguna.
Kebanyakan virus komputer mengirim “muatan”. Muatan bisa relatif tidak berbahaya
seperti hanya memunculkan pesan atau gambar namun bisa juga sangat merusak
(merusak program atau data, menghambat memori komputer, memformat ulang hard
drive komputer atau menyebabkan program komputer berjalan tak normal).
b. Worm adalah program komputer independen yang menggandakan dirinya sendiri dari
komputer ke komputer lainnya melalui suatu jaringan. Worm dapat beroperasi sendiri
tanpa menempel pada program komputer lain dan tidak terlalu bergantung pada
perilaku manusia untuk menyebar dari komputer ke komputer. Worm merusak data
dan program serta mengganggu dan bahkan menghentikan operasi jaringan komputer.
Contoh worm seperti : MyDoomA.
c. Trojan horses adalah program perangkat lunak yang tampak tidak berbahaya (begitu
jinak) namun kemudian melakukan hal-hal di luar dugaan . Trojan horse bukanlah
virus karena ia tidak bereplikasi, namun ia sering menjadi jalan untuk virus atau kode
berbahaya lain untuk masuk ke dalam sistem komputer. Salah satu contoh dari
Torjan Horses adalah M Market Pay A, torjan untuk telepon android dimana
bersembunyi pada beberapa aplikasi yang kelihatannya sah termasuk aplikasi peta dan
perjalanan. Ia menempatkan perintah untuk aplikasi dan film secara otomatis tanpa
izin pengguna, dan berpotensi menyebabkan pengguna memiliki tagihan telepon yang
tiba-tiba tinggi.
 d. Spyware merupakan program kecil yang dapat menginstal sendiri secara diam-diam
pada komputer untuk memonitor aktivitas pengguna dalam Web dan memunculkan
iklan-iklan. Beberapa spyware bahkan termasuk jahat. Misalnya keylogger yang
merekam pencetan tombol pada komputer untuk mencuri nomor seri software,
meluncurkan serangan internet, memperoleh akses ke akun e-mail atau mengambil
informasi pribadi seperti nomor kartu kredit. Seperti Zeus Trojan yang mampu
mencuri data finansial dan personal dengan diam-diam melacak tombol-tombol para
pengguna komputer saat mereka memasukkan informasi ke dalam komputer.

1.3 Peretas dan Kejahatan Komputer

A. Peretas
Seorang hacker adalah seseorang yang berniat memperoleh akses tanpa izin terhadap
sistem komputer. Dalam komunitas peretas, istilah cracker secara khusus digunakan untuk
merujuk pada peretas dengan maksud jahat/kriminal. Aktivitas peretas telah meluas mulai
hanya sekadar penyusupan hingga termasuk pencurian barang dan informasi termasuk
perusakan sistem dan cybervandalism yaitu gangguan yang disengaja, perusakan, atau
bahkan penghancuran situs Web atau sistem informasi perusahaan.
a. Spoofing
Spoofing mencakup pengalihan tujuan dari alamat Web yang seharusnya ke alamat
lain yang disamarkan agar mirip dengan alamat Web yang sebenarnya ingin dituju.
Dengan cara ini, peretas dapat mencuri informasi bisnis dan pelanggan yang sensitif
untuk disalahgunakan. Hal yang termasuk ke dalam spoofing adalah mengarahkan
tautan web ke sebuah alamat yang berbeda dengan yang dituju dengan adanya
penyamaran situs dari tujuan yang diinginkan. Sebagai contohnya yaitu peretas
mengarahkan pelanggan ke situs web palsu yang sangat menyerupai situs web aslinya,
nah dari sana mereka dapat mengumpulkan dan memproses pesanan, hal ini efektif
untuk pencurian bisnis.
b. Sniffing
Sniffing adalah jenis program pengintai yang memonitor informasi yang beredar
dalam jaringan. Bila digunakan dengan benar, sniffer membantu mengenali posisi-
posisi yang berpotensi menjadi permasalahan atau aktivitas kriminal dalam jaringan,
 namun ketika digunakan untuk tujuan kriminal, hal ini dapat sangat merusak dan susah
dideteksi karena peretas mampu mencuri informasi pribadi dari siapapun dalam
jaringan termasuk pesan e-mail, file perusahaan dan laporan rahasia.
c. Serangan Penolakan Layanan/Denial-of-Service (DoS)
Dalam serangan DoS, peretas membanjiri server jaringan atau Web dengan ribuan
komunikasi atau permintaan jasa yang salah untuk membuat jaringan mengalami
crash. Jaringan menerima terlalu banyak permintaan/query hingga tak mampu
menampung lagi dan tak bisa melayani permintaan yang sah.

B. Kejahatan Komputer
Sebagian besar aktivitas hacker adalah pelanggaran kriminal dan kerentanan yang
membuat sistem menjadi target kejahatan komputer (computer crime).
Komputer Sebagai Target Kejahatan Komputer Sebagai Instrumen Kejahatan

Menerobos kerahasiaan dari data yang Mencuri rahasia dagang

terkomputerisasi dan terlindungi
Mengakses sistem computer tanpa izin Merencanakan penipuan
Secara sadar mengakses computer yang Menggunakan surel untuk mengancam atau
terlindungi untuk tujuan penipuan mengganggu
Sadar mengirimkan program, kode Secara sengaja berniat untuk menahan
program , atau perintah yang secara komunikasi elektronik
sengaja menyebabkan kerusakan pada
computer yang terlindungi
Mengancam untuk membuat kerusakan Secara illegal mengakses komunikasi
pada computer yang terlindungi elektronik yang disimpan termasuk surel dan
pesan suara
Mengirimkan atau memiliki pornografi anak
menggunakan komputer

a. Pencurian Identitas
Pencurian identitas adalah kejahatan oleh penipu yang memperoleh informasi personal
kunci seperti nomor identifikasi jaminan sosial, nomor SIM atau nomor kartu kredit
untuk berpura-pura menjadi orang lain yang kemudian dapat digunakan untuk
 memperoleh pinjaman, membeli barang atau memesan jasa atas nama korban pencurian
identitas tersebut. Taktik yang terkenal digunakan yakni phising meliputi perancangan
situs web palsu atau mengirim pesan surel yang menyerupai bisnis yang sah untuk
menanyakan kepada pengguna data rahasia personal mereka. Phising adalah bentuk
penipuan melibatkan pembuatan halaman situs palsu atau pesan elektronik (e-mail)
seolah-olah berasal dari pihak yang sah dan menanyakan data pribadi yang rahasia.
Pharming adalah teknik phising yang mengarahkan pengguna ke halaman situs web
palsu, bahkan saat seseorang mengetikkan alamat halaman situs yang seharusnya.
b. Click Fraud (Penipuan Lewat Klik)
Click fraud terjadi ketika seseorang atau program komputer secara curang meng-klik
iklan online tanpa niat untuk mengetahui lebih jauh mengenai pengiklan atau
melakukan pembelian. Click fraud menjadi masalah serius pada Google dan situs Web
lain yang memiliki fitur iklan online pay-per-click. Beberapa perusahaan bahkan
memakai jasa pihak ketiga untuk secara curang meng-klik iklan perusahaan kompetitor
untuk melemahkan mereka dengan pembengkakan biaya iklan/pemasaran.

1.4 Ancaman Global : Cyberterrorism dan Cyberwarfare

Kerentanan internet dapat dimanfaatkan oleh teroris, badan intel luar negeri, atau
kelompok lain untuk menciptakan gangguan dan bahaya luas. Hal ini menjadi ancaman
Global (Cyberterrorism dan Cyberwarfare). Kekhawatiran mulai memuncak karena
kerentanan internet dan jaringan lain membuat jaringan digital menjadi target yang mudah
untuk serangan digital oleh teroris, intelijen asing atau kelompok lain yang ingin
menciptakan kekacauan dan kerugian yang luas atau Cyberterrorism.
Kerentanan internet telah mengubah individu dan bahkan keseluruhan Negara
menjadi target mudah bagi pembajakan yang didasari oleh motif politik untuk melakukan
spionase dan sabotase. Cyberwarfare adalah kegiatan yang disponsori Negara untuk
melumpuhkan dan mengalahkan Negara bagian atau Negara lain dengan melakukan
penetrasi pada computer atau jaringan yang bertujuan untuk menyebabkan kerusakan dan
gangguan. Cyberwarfare memiliki ancaman serius terhadap infrastruktur masyarakat
modern apalagi ketika sebagian besar kegiatan keuangan, kesehatan, pemerintahan, dan
institusi terkait industry bergantung pada internet untuk operasional sehari-hari.
1.5 Ancaman Internal: Para Karyawan
Kita cenderung berpikir bahwa ancaman keamanan sebuah bisnis berasal dari luar
organisasi. Pada kenyataannya, pihak di dalam (interal) perusahaan juga bisa menjadi
masalah keamanan yang serius. Karyawan memiliki akses terhadap informasi istimewa,
dan dalam prosedur keamanan yang ceroboh, mereka dapat dengan mudah berkeliaran
dalam sistem organisasi tanpa meninggalkan jejak.
Kurangnya pengetahuan sering menjadi penyebab utama pelanggaran keamanan
jaringan. Banyak karyawan membiarkan rekannya menggunakan password-nya yang
sebenarnya bisa disalahgunakan. Penyusup yang mencari akses ke dalam sistem kadang
mampu menipu karyawan untuk memberikan password mereka dengan berpura-pura
menjadi anggota penting perusahaan untuk mencari informasi. Praktik ini disebut sosial
engineering (rekayasa social).

1.6 Kerentanan Perangkat Lunak

Kesalahan-kesalahan peraangkat lunak membawa ancaman yang konstan terhadap
sistem informasi menyebabkan kerugian yang tak terhitung pada sisi produktivitas.
Pertumbuhan kompleksitas dan ukuran program perangkat lunak, disertai dengan
permintaan akan pengiriman yang tepat waktu ke pasaran telah berkontribusi pada
peningkatan kecacatan dan kerentanan perangkat lunak. Sebagai contoh kesalahan
perangkat lunak di aplikasi iPad untuk membayar tagihan menyebabkan Citibank untuk
meningkatkan tagihan pembayaran pelanggan dua kali lipat antara Juli dan Desember
2011. Beberapa pelanggan yang menggunakan iPad untuk melunasi tagihan kabel mereka
atau cicilan rumah mereka.
Permasalahan terbesar pada perangkat lunak adalah munculnya bug atau kecacatan
kode program. Penelitian menunjukkan bahwa hampir tidak mungkin menghilangkan
semua bug dalam program yang besar. Sumber utama bug adalah kompleksitas kode dalam
pengambilan keputusan.
Kecacatan pada perangkat lunak tidak hanya menghalangi kinerja, namun juga
menciptakan kerentanan keamanan yang membuka jaringan terhadap para penyusup.
Setiap tahun perusahaan keamanan mengidentifikasi ribuan kerentanan perangkat lunak di
internet dan perangkat lunak PC. Untuk memperbaiki kecacatan perangkat lunak setelah
mereka teridentifikasi , vendor perangkat lunak menciptakan bagian kecil perangkat lunak
yang bernama patches untuk memperbaiki kecacatan tanpa mengganggu pengoperasian
yang seharusnya dari perangkat lunak.
Dikarenakan infrastruktur TI pada perusahaan umumnya sarat akan berbagai aplikasi
bisnis, instalasi sistem operasi, dan layanan sistem lainnya, memelihara patch pada semua
perangkat dan layanan yang digunakan komputer terkadang memakan waktu dan biaya.
Malware diciptakan dengan sangat cepat dan perusahaan hanya memiliki waktu yang
sedikit untuk merespons di Antara waktu kerentanan dan saat patch diluncurkan serta pada
waktu perangkat lunak mencurigakan muncul untuk mengcksploitasi kelemahan sistem.