ITB101

Information Security: Protecting Your

Information in The Digital Age

Transkrip
Minggu 1: Pemanfaatan Teknologi Informasi

Video 1: IT Telah Menjadi Bagian Kehidupan Sehari-hari

Video 2: Besarnya Jumlah Pengguna Internet di Indonesia
Video 3: Cerita Sukses di Luar Negeri.
Video 4: Kemudahan Teknologi Informasi Mengandung Risiko
Video 5: Wacana Pembentukan Badan Cyber Nasional
Video 6: Security Life Cycle - Part 1
Video 7: Security Life Cycle – Part 2
Video 8: Keamanan Berbanding Lurus dengan Kenyamanan
Video 9: Teori Security – Part 1
Video 10: Teori Security – Part 2

Video 1: IT Telah Menjadi Bagian Kehidupan Sehari-hari

Halo Siswa IndonesiaX. Kita mulai kursus Information Security kita hari ini. Nanti di sini saya
akan bercerita panjang lebar tentang materi yang terkait dengan security. Awalnya, saya akan
cerita dulu tentang pemanfaatan teknologi informasi. Karena di Indonesia, pemanfaatan
teknologi informasi sudah luar biasa.

Saya mau tanya, di sini yang sering atau sudah pernah ke kantor cabang bank bulan lalu
siapa? Coba. Saya enggak pernah tuh. Sekarang kalau saya tanya ke orang-orang, mereka juga
enggak pernah tuh. Biasanya yang pergi ke kantor cabang bank, orang suruhan. Nah, kalau
saya tanya sekarang, siapa yang bulan lalu sudah pergi ke mesin ATM? Nah, sekarang semua
orang pasti pergi ke mesin ATM ya. Padahal dulu, waktu mesin ATM di-deploy pertama kali di
Indonesia, wah itu susah sekali. Butuh waktu satu tahun untuk mengedukasinya.

Orang takut uangnya diambil. Ada ibu-ibu, “Ibu uangnya nanti bisa diambil dari ATM.” “Wah
bisa diambil dari kota lain? Wah saya enggak mau pakai ATM.” Gitu. Sekarang kita sudah
enggak bisa lepas lagi dari ATM. Bahkan kalaupun ada bank yang bilang, “Wah saya bank
paling aman seluruh Indonesia, enggak ada ATM-nya.” Enggak mau kita. Jadi kita semua ini
demikian bergantungnya pada mesin ATM.

Ada sebuah bank yang waktu itu, dia enggak online selama dua minggu. Itu kantor cabangnya
di-pylox sama warga setempat. Saya bilang ke itunya, “Masih mending dipilox, coba dibakar.
Ah sudah.” Gitu ya. Coba bayangin, kita mau bayar uang sekolah, mau bayar kos-kosan, uang
kerja, dan lain sebagainya, kalau ATM enggak bisa diakses, ya sudah luar biasa deh. Kita sudah
bergantung sama ATM ya.

Yang kedua mobile phone. Semua orang sudah pasti punya mobile phone. Masing-masing
punya mobile phone. Saya punya mobile phone. Anda punya mobile phone. Bahkan di
Indonesia ini, mobile phone katanya satu orang punya lebih dari satu. Di antara Anda, ada

Halaman 1 dari 20
 ITB101

yang punya lebih dari satu mobile phone? Saya punya empat. Bukan mau sok-sok-an sih
sebetulnya. Cuma ya itulah ya, keadaan di Indonesia memaksa kita punya lebih dari satu
mobile phone.

Mobile phone demikian personal bagi kita sehingga kalau ada orang berkata, kalau
handphone ketinggalan, kita balik ke rumah. Duit atau dompet ketinggalan, yah biarin saja
tuh. Mobile phone demikian personal bagi kita sehingga kita balik ke rumah. Kalau Anda tidak
percaya coba ya. Anda tukar-tukaran handphone Anda dengan teman Anda, atau orangtua
Anda, seminggu saja. Pasti enggak mau gitu ya. Demikian personal-nya mobile phone bagi kita
gitu ya.

Mungkin kalau mau menghukum anak-anak sekarang. Kalau dulu kan, “Ayo pergi ke kamar.”
Kalau sekarang, “Ayo enggak boleh mobile phone tiga bulan.” Gitu ya. Wah itu udah sakaw
tuh. Pagi-pagi udah tangan bergetar, ini SMS, atau apa, chatting enggak selesai-selesai. Mobile
phone sudah menjadi bagian dari kehidupan kita sehari-hari.

Berikutnya lagi digital camera. Sekarang semua handphone sudah ada kameranya. Kalau dulu
kamera itu mahal, harus nyetak lagi. Kalau sekarang, ah orang-orang sedikit-sedikit selfie,
selfie gitu ya. Sudah biasa begitu. Kalau dulu kita ketemu dengan keluarga-keluarga, “Ayo kita
ketemu. Kita lihat ini foto-foto Lebaran tahun lalu. Kita lihat ada tujuh foto Lebaran tahun
lalu.”

Sekarang tidak ya. “Ayo kita lihat 30.000 foto tahun lalu.” Jadi sudah luar biasa banyak. Jadi
digital camera sudah menjadi bagian kehidupan kita sehari-hari. Bahkan, kalau orang beli
handphone, kadang-kadang yang dipilihnya yang kameranya bagus. Jadi ini semua sudah
menjadi bagian dari kehidupan kita sehari-hari. Tidak bisa dipisahkan, gitu ya.

Kalau komputer, notebook, tablet, itu sudah biasalah ya. Tapi yang sangat merasuk dalam
kehidupan kita sehari-hari adalah ATM, handphone, dan digital camera.

Tadi sudah kita bahas bagaimana IT menjadi bagian dari kehidupan kita sehari-hari.
Sebetulnya, katanya secara teori, ada teori Abraham Maslow, gitu ya, yang mengatakan,
bahwa sebetulnya kebutuhan orang itu ada levelnya, tingkatan-tingkatannya. Mulai dari yang
paling bawah: sandang, papan, pangan. Itu adalah kebutuhan utama dari orang gitu.

Tapi kalau sekarang bukan itu lagi. Kalau kata anak-anak sekarang, kebutuhan utama itu
adalah WiFi. Jadi kalau ke mana-mana, selalu cari free WiFi. Masuk ke restoran, yang ditanya,
“Mas, di sini ada free WiFi nggak?” Kalau enggak ada, dia pergi ke restoran yang lain gitu.
Bahkan kalau di kampus itu, warung-warung di depan kampus pun, itu juga punya free WiFi.
Meskipun kalau kita tanya, dia selalu nanya, “Sebentar, sebentar, sebentar ya. Saya cek di
belakang dulu ya. Restoran WiFi-nya nyala enggak ya.” Ternyata dia mendompleng dengan
WiFi yang di belakang, gitu ya.

Nah katanya, sekarang bukan WiFi lagi. Sekarang adalah baterai atau cas-casan. Jadi kita-kita
ini, dan juga anak-anak, kalau lihat dalam, masuk ke ruangan pasti yang dicari colokan listrik
dulu. Itu kebutuhan utama. Bahkan kalau sekarang orang bukan lagi bawa handphone tetapi
juga bawa power bank.

Power bank yang punya saya, juga hebat ini. Power bank dengan handphone-nya lebih gede
power bank-nya. Luar biasa gitu. Tidak tahu ini bisa nge-charge apa, motor kali ya. Mungkin

Halaman 2 dari 20
 ITB101

di masa yang akan datang, saya juga pakai ransel. Saya bawa aki gitu ya. Power bank-nya
seperti itu. Jadi kalau lihat saya menunggu elevator gitu, lagi pakai ransel, boleh, boleh, “Pak,
Pak, ikut nyolok ya, Pak ya, ikut baterai-nya.” Boleh.

Jadi sekarang kebutuhannya mendasar dari IT adalah WiFi dan baterai. Dan ini sudah menjadi
kebutuhan yang tidak bisa kita pisahkan dari kebutuhan sehari-hari. Jadi sudah bisa kita
katakan, IT sudah menjadi bagian dari kehidupan kita.

Video 2: Besarnya Jumlah Pengguna Internet di Indonesia

Nah di Indonesia sendiri bagaimana? Di Indonesia ternyata jumlah pengguna internet di

Indonesia itu luar biasa besarnya, gitu ya. Kalau dalam statistik, statistik saya agak lama gitu
ya. Tapi di Indonesia ini, jumlah nomor telepon melebihi jumlah penduduknya. Luar biasa ya.
Jadi jumlah penduduk Indonesia saya enggak tahu, 200 sekian puluh juta itu. Nomor
handphone-nya lebih dari segitu. Yang aktif mungkin tidak sampai segitu ya. Tapi jumlah
nomor telepon atau SIM card-nya sudah lebih dari jumlah penduduk Indonesia gitu.

Bayangkan, katakanlah kalau kita punya 100 juta, 100 juta pengguna internet di Indonesia.
Wah itu sudah luar biasa besarnya. Singapura ya paling cuma 5 juta gitu. Lima juta itu paling
sama seperti Bandung ya. Sama Jakarta, mungkin lebih kecil dari Jakarta. Seluruh negara itu
ya. Singapura itu lebih kecil daripada Bandung atau Jakarta. Bayangkan ya. Jadi misalnya
kalau saya punya layanan di Singapura, semua penduduk di Singapura, kucing, anjing, semua
saya kasih layanan, masih kurang.

Di Indonesia itu pasarnya luar-luar biasa besar. Yang menariknya tuh begini. Kalau saya lihat
statistik di luar negeri, venture capital itu biasanya punya statistik-statistik. Yang diincar oleh
mereka itu biasanya adalah China dan India. Nah mereka enggak ngincar Indonesia. Menurut
saya bagus sih sebetulnya. Karena Indonesia itu pasar untuk kita. Kalau bisa, mereka enggak
tahu ya. Jadi sebetulnya ini pasar untuk kita-kita saja gitu.

Masalahnya, Anda bisa enggak meraup pasar ini? Pasalnya, kalau dilihat dari aplikasi-aplikasi
yang ada itu, kebanyakan aplikasi-aplikasi dari luar negeri. Ada Facebook, Twitter, Instagram,
Path, dan lain-lainnya gitu ya. Semuanya itu di luar negeri. Datanya juga, data kita, data
personal kita, ada di luar negeri.

Bayangkan kalau di Indonesia sendiri, Twitter tahun 2009 tuh kita enggak pernah dikenal. Di
dunia ini, twitter orang Indonesia tuh apa gitu ya. Sekarang ini, mungkin tahun lalu, nomor
satu yang paling cerewet itu Jakarta. Bandung itu nomor 6. Jadi di Indonesia itu, sedikit-
sedikit Twitter, sedikit-sedikit Twitter.

Bahkan Path itu di kantornya sana bingung, kenapa pengguna Path di Indonesia itu lebih
besar daripada penggunanya di seluruh Amerika gitu ya. Ini luar biasa gitulah ya di Indonesia
ini.

Nah dengan jumlah yang besar ini, tentu saja, pasti akan ada masalah. Bayangkan kalau kita
satu orang ketemu teman dua orang saja sudah mulai ada masalah. Tiga orang masalah, nanti
kalau grup bermasalah. Kalau kita punya 10 juta, masalah. 100 juta, uh, masalahnya lebih
besar lagi. Nah yang akan kita bahas ini adalah masalah-masalah yang terkait dengan
security.

Halaman 3 dari 20
 ITB101

Kalau kita bicara statistik, ya, statistik di luar negeri sekarang itu statistik di Indonesia, ada
statistik dari Asosiasi Penyelenggara Jasa Internet di Indonesia atau APJII, mereka juga
mengumpulkan data dan memprediksi pengguna internet di Indonesia. Kalau Anda lihat di
slide-nya gitu ya, bisa dilihat jumlah pengguna kita itu sudah di atas 100 juta. Yang disebut
pengguna itu adalah orang yang berbayar.

Nah kita juga pusing. Kadang-kadang kalau dibilang, “Anda pengguna internet bukan?”
“Bukan,” gitu. “Tapi saya Facebook-an.” Jadi rada bingung, orang yang pakai Facebook-an itu
pengguna internet bukan ya? Kalau menurut saya sih iya gitu. Jadi jumlahnya lebih banyak
lagi.

Bahkan kalau di beberapa daerah di Indonesia ya, kalau yang lagi ramai sekarang itu adalah
Gojek gitu ya. Ini aplikasi yang luar biasa bikin “gara-gara”, kita sebut “gara-gara” gitu ya.
Dimana orang mau pesen ojek tinggal pakai aplikasinya. Dan ada juga aplikasi GrabBike. Ini
adalah untuk menunjukkan demikian hebatnya pemanfaatan IT di Indonesia.

Memang suatu kasus yang hanya ada di Indonesia atau mungkin di Asia ya. Kalau di Amerika
enggak ada yang tahu tuh, kalau dibilang Gojek. Apa sih Gojek? Maaf, ojek, gitu ya. Ojek itu
apa, gitu. Wah, enggak ngerti dia. Apakah itu aman ya, naik motor orang lain ya. Kalau di
Indonesia kan orang naik motor bisa ibu, bapak, anak, anak satu lagi. Ada ini, ada ini. Wah,
gitu ya. Pokoknya, satu motor bisa ramai-ramai.

Tapi balik lagi ya ke aplikasi ini, banyak aplikasi-aplikasi yang sekarang kalau kita lihat di
internet itu, aplikasi-aplikasi yang menduduki papan atas untuk penggunaan layanan-
layanan seperti ini. Yang juga menarik, selain tadi Gojek dan GrabBike, aplikasi yang kita sebut
market place, tempat orang berdagang, gitu. Jadi kalau dulu di Indonesia ada tempat
berdagang-dagang di pinggir jalan tuh, warung-warung gitu.

Nah sekarang itu dagangnya online. Ada macam-macam, kalau kita lihat di slide ini bisa dilihat
ada Olx, ada Lazada, ada Bukalapak, MatahariMall, Tokopedia, shop ol, dan lain-lain banyak
lagi gitu ya. Banyak semuanya itu.

Nah electronic market place ini juga suatu fenomena yang baru yang kita sendiri masih
bingung gitu ya, tetapi akan menjadi masalah. Karena di situ banyak terjadi kasus-kasus
penipuan gitu ya. Misalnya kita belanja sesuatu, barang tidak dikirim. Atau sebaliknya, saya
jualan sesuatu, enggak dibayar. Nah ini juga bingung gitu ya, ini masih sebuah perubahan
culture yang menurut saya agak sedikit bermasalah di Indonesia.

Kalau di luar negeri karena mungkin mereka, kalau di Amerika ya trusted society enggak
terlalu masalah. Bayar pakai credit card-lah, semua. Dia, mereka itu sudah, dulunya itu sudah
beli dari catalog-catalog, sekarang menjadi online. Kalau di Indonesia enggak. Kita itu distrust
society. Sebelum apa-apa kita curiga dulu. Kalau di luar negeri percaya dulu, kalau kita curiga
dulu.

Di Amerika itu kalau di uangnya dilihat ya, “In God We Trust”, gitu. Kalau di Indonesia, “Barang
siapa memalsukan segala macam.” Jadi di Indonesia itu belum apa-apa itu udah, “Eh, kamu
mau ini ya?” Belum apa-apa sudah dicurigai dulu ya.

Halaman 4 dari 20
 ITB101

Kalau di Amerika juga gitu. Di North Amerika ya. Kalau kita beli sesuatu misalnya, apa ya,
notebook gini misalnya. Saya pergi ke toko beli notebook. Abis itu saya enggak suka. Besok
saya pulangin. “Oh ini saya enggak suka.” Dipulangin. Langsung duitnya dibalikin. No
question asked.

Kalau di Indonesia enggak. “Barang yang sudah dibeli tidak dapat ditukar,” kan gitu ya. Ah
itulah orang Indonesia. Jadi susah nih kita dan saya pikir kita akan banyak masalah di sini. Di
sisi lain, kalau regulasi ini terlalu hebat, industri ini atau pasar ini tidak berkembang. Ini agak
susah, dilema yang harus diatasi atau dipikirkan oleh pemerintah.

Video 3: Cerita Sukses di Luar Negeri.

Kalau kita lihat cerita sukses-sukses di luar negeri lagi. Anak-anak itu sekarang, terutama yang
muda-muda ya, dia ingin sukses membuat perusahaan-perusahaan seperti di luar negeri.
Tentu saja yang paling banyak, cerita sukses yang paling besar adalah Facebook. Sekarang
anak-anak ingin menjadi Facebook kedua, ketiga, keempat, kelima, KW2, KW3, gitu ya. Tapi
inilah, ini adalah contoh cerita sukses di luar negeri. Kalau itu layanan social media ya.

Tapi juga ada layanan-layanan lagi seperti layanan-layanan game, yang saya juga sangat
kaget. Seperti kalau Anda sering main, kalau saya lihat anak-anak itu, COC. “Apa sih COC itu?”
Clash of Clans ternyata. Hay Day, Boom Beach. Ternyata itu dibuat oleh perusahaan Supercell
atau perusahaan yang dia buatnya cuma buat game saja gitu. Dan perusahaan ini, wah
revenue-nya luar biasa besar.

Jadi agak lucu juga ya. Facebook, Twitter, Instagram, Whatsapp, ini perusahaan yang lebih
besar daripada perusahaan-perusahaan yang membuat pabrik mobil ya. Mobil sudah susah,
engineer-nya harus banyak, karyawannya harus banyak, pusing gitu ya. Buat game, kok bisa
untung ya? Pixar dan lain sebagainya.

Sebetulnya, ini ceritanya agak mundur lagi ya. Tidak terkait dengan ini. Jadi ceritanya suatu
saat kita berbicara tentang Korea. Kalau Anda tahu K-Pop dan sebagainya. Jadi ceritanya,
pada suatu hari bos Hyundai itu kaget. Dia lihat penghasilan dari Jurassic Park kok lebih hebat
dari produksi, penghasilan Hyundai. Ini film, satu film, penghasilannya lebih hebat daripada
Hyundai. Dia bilang, “Waduh kalau gitu Korea harus pergi ke dunia kreatif.”

Maka direncanakanlah Korea belasan tahun kemudian, maka Korea sekarang sukses.
Makanya Anda bisa lihat itu Gangnam Style, K-Pop segala macam. Itu enggak terjadi demikian
saja gitu. Tiba-tiba saja, Korea tiba-tiba muncul. Enggak gitu. Dia direncanakan.

Yang sama juga di Indonesia. Kalau Indonesia ingin seperti tadi ya, seperti Supercell segala
macam, pendidikannya harus berubah. Segala macam harus berubah. Jadi ini agak susah ya.
Jadi kita memang harus melakukannya dengan lebih baik.

Video 4: Kemudahan Teknologi Informasi Mengandung Risiko

Nah kita tadi sudah berbicara tentang pemanfaatan IT dalam kehidupan kita sehari-hari.
Ternyata, IT banyak manfaat ya. Kita bisa belanja, kita bisa ambil uang cepat, kita bisa pesan

Halaman 5 dari 20
 ITB101

kendaraan, pesan makanan, segala macam. Tetapi ternyata, kemudahan-kemudahan tadi

dibarengi juga dengan risiko, ternyata.

Kenapa demikian? Karena tadi, IT itu bisa kita anggap sebagai kuda liar gitu ya. Wah, wild gitu
ya. Yang ke mana, kita enggak bisa pegang. Kalau kita tidak bisa menguasainya maka akan
dibawa pergi ke mana, entah ke mana gitu ya. Nah, sebagai contoh begini. Contoh yang paling
gampang. Kita sudah terbiasa dengan sistem IT, kemudian sistem IT-nya ini down. Misalnya
ya, kita mau pesan tiket pesawat terbang. Mau ke bandara, katanya, enggak boleh beli tiket
langsung, berarti harus online. Pas mau beli online, sistemnya down.

Entah karena ada masalah, entah viruslah, pokoknya enggak bisa diakses saja begitu. Wah
Anda sudah pusing setengah mati kan ya. Bagi kita sendiri, sebagai pengguna, kita pusing.
Bagi si penyedia si jasa juga, dia juga akan kepusingan karena menjadi masalah.

Ada suatu kejadian, ini kejadian saya tidak perlu sebutkan gitu ya. Ada maskapai penerbangan
gitu, yang pada waktu itu kalau enggak salah hari raya. Pas hari raya, sebelum hari raya.
Sebelum hari raya, pas orang-orang lagi ramai-ramainya mau pesan, itu sistem komputernya
kena virus. Wah itu kantor cabang-kantor cabangnya enggak bisa booking gitu ya. Pusing
setengah mati dia. Jadi itu menunjukkan bahwa kita sudah bergantung kepada suatu sistem
IT.

Ketersediaannya, atau dengan kata lain nanti kita bicara tentang prinsip-prinsip yang
namanya availability, itu menjadi suatu hal yang penting. Terus ada lagi risiko lain, yaitu
kebocoran informasi. Nah saya mau tanya kepada Anda. Siapa yang memasukkan tanggal
lahir asli di Facebook atau social media? Pasti semuanya bilang, “Iya saya, saya, saya,” Gitu
ya. Padahal itu kan kalau dipakai, bisa dipakai buat menipu.

Selain tanggal lahir asli, saya tanya, kenapa tanggal lahir asli? Supaya dapat ucapan selamat
ulang tahun kalau ulang tahun kan? Pasti biasanya gitu kan?

Terus yang kedua, alumni sekolahan pasti nih. Alumni sekolahan ini. Kalau saya tanya kenapa
begitu. “Supaya kalau ada reunian-reunian diundang,” gitu kan ya? Itu orang Indonesia tuh
begitu. Jadi bagi kita privacy enggak masalah. Saya bilang, “Kenapa enggak masukin kartu
keluargalah, semuanya. Masukkan saja semua. KTP, semua. Sudah kalau ini, download saja
sekalian gitu ya.

Jadi itu data pribadi kita tuh sangat penting sekali. Nah itu menurut saya risiko kalau kita
berikan kepada pihak lain dan kemudian dikelola oleh pihak lain. Saya mungkin usul saja gitu
ya. Mungkin pemilu berikutnya, kita enggak usah pakai pemilu-pemiluanlah. Kita minta tolong
Facebook saja karena dia punya data yang paling lengkap ya. Data penduduk Indonesia.
Sudah kita, wah, “Facebook, tolong ya voting-kan yang bisa nih.” “KTP?” “Enggak usah pakai
e-KTP-e-KTP-an lah. Facebook sajalah.” Itu suatu pemikiran yang aneh, tetapi nyata. Itu
kebocoran informasi.

Bagaimana juga nanti kalau informasinya berubah. Misalnya ya, tanggal lahir kita berubah,
nama kita berubah, dan lain sebagainya. Ini juga menjadi masalah tersendiri. Ya, kalau
berubahnya menjadi lebih baik ya. Kalau berubah, misalnya, data pribadi kita berubah. Tiba-
tiba kita tercatat berhutang Rp 300 juta. Atau kita masuk daftar black list, enggak boleh minta
kartu kredit lagi. “Wah sudah, Bapak nih sudah pernah bangkrut tahun berapa itu.” “Enggak,
itu Budi Rahardjo yang lain,” gitu. Kalau nama saya Budi Rahardjo, namanya rada pasaran gitu

Halaman 6 dari 20
 ITB101

ya. “Ini Budi Rahardjo yang mana nih? Saya Budi Rahardjo yang Bandung. Kalau itu?” “Oh itu
juga Bandung, Pak.”

Saya juga suka sebel tuh kalau di radio kadang-kadang suka ada, “Budi Rahardjo melaporkan
jalan kemacetan di mana,” gitu ya. Saya bilang “Budi Rahardjo ada yang lain ya, bukan yang
saya,” gitu ya. Tetapi itu menunjukan susahnya kalau kita punya satu sistem IT, eh ada
masalah-masalah. Jadi IT menjadi risiko.

Ya kalau lucu-lucuannya gitu ya. Mungkin adik-adik, atau bapak-ibu, atau peserta ini ya,
semua Siswa IndonesiaX belum pernah masuk data center. Kalau masuk data center, yang
isinya acak kadut itu ya, wah itu, kita benar-benar inilah, spaghetti-lah gitu ya. Itu kalau ada
satu yang enggak jalan gitu ya, itu enggak ditelusuri tuh. Mendingan pasang yang baru lagi
sajalah. Lama-lama jadi spaghetti gitu ya.

Saya pernah diajak untuk membongkar sebuah data center itu. Wah sudah pusing setengah
mati gitu. Sudah mending cari oranglah, dikilokan saja lebih gampang gitu ya. Jadi ini
memang bagi saya itu pusing. Nah banyak kasus-kasus di Indonesia, ini saya ambil contoh
yang terakhir yang bikin gara-gara. Ini ada malware atau malware, yang kita sebut namanya
malicious software.

Malware tuh yang paling gampang kita kenalnya tuh virus gitu ya. Malicious software atau
virus yang jahat. Nah software-software jahat itu biasanya jalan di komputer kita,
menginfeksikan, kemudian dia apa, men-delete file atau apa begitu. Yang sekarang ini,
malware-nya lebih pintar. Jadi dia diam saja, enggak ngapa-ngapain.

Begitu kita mengakses situs bank, kebetulan bank-nya yang kena itu semua bank besar di
Indonesia, itu semuanya kena gitu ya. Malware-nya tuh aktif. Jadi kalau kita ke internet
banking, dia mengeluarkan pop-up dan dia menanyakan kombinasi token kita. Jadi kalau
Anda pakai token, sudah, “Wah ini sudah pasti aman nih.” Eh ternyata malware-nya ini
menanyakan kombinasi pin di token itu. Begitu Anda masukkan, si malware-nya melakukan
transaksi.

Nah ini problem gitu. Karena bagi si bank, misalnya saya bank. “Lah kan masalahnya tuh ada
di Anda. Komputer yang kena malware atau virus kan komputer Anda. Di luar kendali si bank.
Saya enggak punya kendali terhadap Anda gitu.” Di sisi lain, si nasabah, saya nasabah, saya
bilang, “Wah saya kan bukanya itu web-nya bank Anda gitu. Saya bukan buka web-nya yang
aneh-aneh. Saya mengakses web bank Anda gitu. Bagaimana saya tahu itu adalah bagian dari
proses bank Anda atau tidak?”

Nah ini memang membingungkan gitu ya. Dan ini masih terlalu, masih terus berlangsung. Jadi
kita masih bingung dengan adanya banyak kejahatan ini. Tentu saja salah satu solusinya yang
paling gampang adalah pasang antivirus ya, anti malware yang terbaru, update. Tapi yang
perlu kita sadarkan adalah, pengguna juga harus sadar ya, risiko dalam menggunakan
layanan-layanan yang berbasis IT. Jadi IT, penggunaan IT, juga di satu sisi menguntungkan,
tapi di satu sisi lagi adalah risiko.

Video 5: Wacana Pembentukan Badan Cyber Nasional

Halaman 7 dari 20
 ITB101

Baik, salah satu isu yang baru lagi di Indonesia ini adalah terkait dengan pembentukan Badan
Cyber Nasional (BCN). Wah itu seru banget itu. Apakah di Indonesia itu perlu ada suatu BCN ini
ya? Wah itu isunya ramailah itu. Saya dipanggil sana-sini, sana-sini. Sebetulnya salah satu
masalah yang mungkin menjadi pemikiran itu bukan hanya masalah fraud tadi ya kejahatan-
kejahatan itu, tapi juga adalah perang. Perang di dunia cyber.

Apakah akan terjadi gitu ya, cyber war. Kalau kita lihat dari sejarahnya, memang, ada
beberapa kasus ya. Memang tidak, atau belum, ya kita harapnya tidak, gitu ya, menimpa
Indonesia. Tapi, sebagai contoh, Iran, misalnya. Dia diserang dengan malware yang dibuat,
katanya dari Amerika, yang menginfeksikan jenis-jenis perangkat-perangkat, diambil dari
sistem berjenis tertentu gitu. Jadi ditargetkan kepada satu negara tertentu.

Orang-orang juga berbicara bahwa nanti perang di dunia berikutnya, itu tidak lagi pakai
senjata, datang atau gitu ya, mengacau. Tapi, perang kita hanya mengacaukan di internet
saja. Sebagai contoh, misalnya ya, misalnya nih, saya jam semua telekomunikasi di Indonesia
untuk tiga jam gitu ya. Kita kan enggak bisa apa-apa juga tuh. Tapi, saya belum tahu juga
efeknya apa-apa. Jangan-jangan di Indonesia memang enggak apa-apa juga sih gitu ya.
Indonesia masih bisa bisa kita keluar makan-makan ngebakso masih bisa gitu. Kalau di negara
lain, mungkin karena kalau sudah sangat bergantung kepada IT, maka isu cyber war itu
menjadi hal yang luar biasa.

Itu salah satu isu yang menjadi bahan pemikiran gitu ya. Apakah Indonesia akan perang
dengan negara lain. Artinya begini, bukan kita ignorant. Jadi memang kita harus siap-siap
gitu. Bahwa itu adalah satu hal yang perlu kita perhatikan. Nah bentuk badannya, apakah kita
buat BCN, atau di bawah koordinasi yang lain-lain, itu sampai sekarang masih didiskusikan.
Nanti kita bahas di kesempatan lain ya. Tapi, itu menjadi topik bahasan juga mengenai IT
security.

Kemudian kalau kita lihat dari segi attack-nya, serangan itu, memang sekarang semakin
banyak serangan-serangan karena perangkat IT tuh makin murah. Jadi orang-orang akan
menyerang, yang kita sebut namanya denial of service attack atau disebutnya namanya DOS
Attack. Kalau anak-anak sekarang DOS Attack gitu ya. Itu sebetulnya menyerang satu sistem
dengan jumlah data yang banyak sekali.

Terakhir itu ada satu attack, yang jumlah ininya, serangan itu, si penyerangnya itu
menghabiskan bandwith 150GB per second gitu ya. Jadi kalau saya di-attack dengan 150GB
per second, ya saya bilang “Ya sudah saya menyerah saja. Silakan, silakan, silakan di-attack
gitu ya. Saya tidur dulu, nanti kalau sudah selesai saya balik lagi ya.” Karena memang
bandwith-nya luar biasa besar ya. Di Indonesia ini, bandwith kita masih termasuk yang lemah
ya, atau masih yang kecil.

Dan distributed DOS Attack yang tadi ya, DOS Attack itu satu, tapi bisa juga terdistribusi. Jadi
dia mengambil komputer orang, kemudian menyerang, mengambil komputer orang lagi,
menyerang, mengambil komputer orang lagi menyerang. Jadi, terdistribusi gitu. Itulah
sebabnya, meskipun komputer di rumah kita tidak ada apa-apanya gitu ya, jangan sampai dia
dijadikan bagian, dari yang kita sebut namanya bot atau zombie ya. Robot atau zombie yang
digunakan untuk menyerang yang lain gitu. Itu akan menghabiskan bandwith kita gitu ya, dan
kita juga kadang di tempat lain ditutup. Tapi itu akan tetap berlangsung.

Halaman 8 dari 20
 ITB101

Yang kasus terakhir ya, yang saya sendiri belum tahu karena saya belum punya kodenya. Saya
belum bisa melihat itu. Ya katanya, Android ya. Jadi, handphone-handphone Android ini
katanya bisa di-take over, bisa diambil alih dari jarak jauh. Katanya tuh, saya sendiri belum
tahu ya. Kalau dilihat dari berita-berita yang ada, memang memungkinkan gitu ya. Tapi saya
sendiri belum melihat kodenya, dan belum bisa mengeksekusinya.

Dengan kata lain, ini akan menjadi masalah begitu software untuk mengelola atau
mengaksesnya dari jarak jauh tersebar di internet. Bayangkan di dunia ini ada wah ratusan
juta Android ya, dan dan semuanya kena itu. Apakah sistem operasi yang lain lebih hebat?
Tidak juga. Sama juga yang ini, iPhone, juga sama, yang lain-lain juga sama. Dengan kata lain,
sebetulnya akan banyak masalah-masalah yang terkait dengan software.

Baik nah, sekarang saya ambil contoh, ini agak tidak terlalu technical ya. Tapi saya pengen
cerita agak sedikit technical lah supaya Anda-Anda juga bisa belajar ilmu komputer sedikitlah
ya. Jadi, nanti kalau ngomong sama siapa, “Oh saya jago komputer, karena saya tahu yang
namanya heartbleed,” gitu ya. Jadi saya akan cerita yang namanya heartbleed. Hati kita
bleeding gitu ya. Heartbleed.

Jadi ceritanya begini. Kalau kita menggunakan komputer ya, kemudian kita menggunakan
https gitu ya. Misalnya kita ke bank, https bank something, bank sesuatu.co.id, begitu
katakanlah ya. Maka harapan kita sebetulnya si komunikasi antara komputer kita dengan
bank itu terproteksi dengan aman. Ini ekspektasi kita gitu ya. Ternyata tidak.

Jadi, di bawah layar, di bawah layar kalau kita menggunakan https itu di bawahnya ada yang
namanya SSL, atau tepatnya kasus ini adalah kasus yang terkait dengan open SSL (Secure
Socket Layer), jadi Secure Socket Layer. Nah, si Secure Socket Layer ini dia punya mekanisme
heart beat atau detak jantung ya.

Jadi misalnya, komputer saya akses sebuah bank, maka secara berkala komputer saya ke
bank menginterogasi menanyakan, “Hei bank, server bank apakah kamu masih up?” Ya itu
heart beat mekanismenya. Nanti server bank bilang “Iya saya masih up.” “Oke.”Nanti lima
menit lagi, saya cek lagi, “Kamu masih up?” “Masih up.” Jadi, itu mekanisme heart beat ya.

Nah, heart beat yang terjadi itu seperti ini. Jadi, nanti Anda lihat di slidenya gitu ya. Jadi, ada
satu user dalam kasus ini, si Meg gitu ya. Dia menggunakan browser. Dia tanya ke server “Hei
server, are you there? Apakah kamu ada disana? Kalau kamu hidup, balas dengan potato,
enam karakter: P, O, T, A, T, O. Ya enam karakter itu.” Maka si server bilang, “Oh si user Meg
ingin mengambil apa, ingin saya me-reply dengan potato enam karakter.” Maka, server akan
membalas “Potato enam karakter.” “Ok.” Si, saya, si Meg, “Ok server-nya hidup nih.”

Sudah nanti berapa lama lagi untuk ngecek lagi, heart beat lagi. Si, siapa ini akan nanya lagi,
si Meg ini akan nanya lagi. “Hei server, are you still up?” Gitu ya? “Kalau sekarang masih up,
jawab lagi dengan kata yang lain.” Kalau ini sekarang kita katanya apa ya? Coba kita lihat di
situ, bird. “Server, are you still up? Kalau masih up, masih hidup, jawab dengan bird. Empat
karakter: B, I, R, D. Ya, empat karakter.” “Oke. Dijawab bird.” “Oh iya masih nyala.”

Itu kalau si Meg baik. Nah, sekarang si Meg nakal nih. Dia sekarang nanya ke server “Server are
you still up? Kalau kamu masih hidup jawab dengan hat 500 karakter.” Nah kan hat harusnya
tiga karakter ya, H, A, T ya. Tapi dia bilang 500 karakter.

Halaman 9 dari 20
 ITB101

Si server-nya ini ternyata dia menjawabnya bukan hat, tapi 500 karakter yang dari memorinya
dibalasnya, diberikan ke orang. Nah repotnya kalau kebetulan di memorinya komputernya ini
ada password-password orang lain atau password Anda. Maka, 500 karakter itu sampai ke
user.

Ternyata program attack-nya ya, program yang beredar di internet itu kita bisa nanyakan
server ngambil memorinya sebanyak 64kb. Minta memori, dikasih. Minta memori, kasih. Minta
memori, kasih. Jadi kalau kebetulan server-nya itu sedang up, dan banyak hal yang ada data
di sana, maka itu menjadi kebocoran.

Nah repotnya, banyak server-server di dunia ini menggunakan https yang bawahnya dengan
Open SSL. Wah jadi ini kacau setengah mati gitu. Jadi ini memang jadi masalah yang besar
waktu itu.

Kalau tadi saya sudah cerita agak sedikit teknis ya, sekarang lebih teknis sedikit lagi,
sedikitlah. Ya sedikitlah. Jadi tahun 2014 rasanya ada masalah yang kita sebut namanya
shellshock gitu ya. Jadi itu shellshock adalah lubang keamanan di shell bash. Shell tuh begini.
Kalau saya orang, pengguna gitu ya, saya harus berkomunikasi dengan komputer, maka salah
satu caranya berkomunikasi dengan komputer, saya harus mengetik-ngetikkan perintah,
supaya si komputer bisa mengerti saya mau menghasilkan, melakukan apa gitu.

Shell adalah sebuah program yang menerima perintah dari kita, kemudian mengeksekusinya,
dan kemudian, apa, menghasilkan apa, memberikan keluarannya kepada kita. Itu shell ya.
Sejarahnya panjang itu shell, mulai dari C shell, dan lain sebagainya. Nanti kapan-kapan kita
bahas tentang sejarah shell.

Nah ada satu shell yang banyak digunakan, itu adalah yang namanya bash atau bourne-again
shell. Nah, di dalam shell itu kita karena ini shell itu dipakai juga untuk program programming,
ya pemograman, kita bisa membuat variabel. Jadi variabel X, variabel Y, variabel apa gitu ya.

Nah sebagai contoh, ini masalahnya adalah kita bisa ngeset variabel X = sesuatu. Biasanya
kalau saya buat variabel X itu = apa. Nah itu dalam tanda petik. Jadi, saya buat tanda petik
variabel X = “123abc”. Maka X adalah 123abc gitu. Nah ternyata di sini ada masalah gitu. Ketika
kita membuat variabelnya ya, kalau dilihat kasus contoh ini nanti Anda bisa lihat di shell-nya,
maaf di slide-nya. Kita bisa set X = tanda petik ya, nanti ada kurung buka kurung tutup, dan
lain sebagainya, tapi ada titik koma.

Nah ternyata titik koma itu diinterpretasikan oleh si shell itu sebagai sudah selesai. Ya itu
bagian dari satu blok gitu ya, dan akan dilanjutkan ke blok berikutnya lagi. Nah lucunya, blok
berikutnya lagi tuh tidak diset menjadi variable, tapi di eksekusi. Jadi, kalau misalnya saya
buat x = 123; gitu ya, del *.* kalau di dos, kalau di sini RM – RF / gitu ya, itu akan dieksekusi
men-delete semua directory atau me, apa ya, mem-format dan seterusnya.

Nah, ternyata si bash ini punya kelemahan yang kita sebut namanya shellshock. Dan
menariknya ini, si bash ini banyak digunakan di komputer-komputer di seluruh dunia.
Terutama terutama yang basisnya Linux, free based. Atau banyak lagi yang gratisan.

Video 6: Security Life Cycle - Part 1

Halaman 10 dari 20
 ITB101

Nah sekarang saya akan cerita tentang, sebetulnya, konsep pengamanan, atau yang kita sebut
namanya security life cycle. Kalau kita ingin mengamankan sesuatu, tentunya kita harus tahu
apa yang ingin kita amankan. Itu kita sebut aset gitu ya. Misalnya, notebook ini aset, meja ini
aset, komputer di belakang ini aset, buku-buku ini aset. Atau juga bukan aset juga gitu ya.
Tetapi pada prinsipnya, kita harus tahu aset itu apa ya. Kita harus mendata, dan kemudian
kita cari harga asetnya, dan kemudian nanti kita lindungi.

Sebagai contoh, misalnya ya, saya punya sepeda. Sepedanya bagus banget. Sepeda saya,
sepeda balap. Wah, harganya Rp 5 juta. Saya ingin proteksi, takut dicuri orang, saya beliin
gembok Rp 300.000. Masuk akal kan ya? Karena sepedanya Rp 5 juta, gemboknya Rp 300.000
gitu. Kalau saya punya sepeda, sudah tua, sudah, wah sepedanya sudah jelek rombeng-
rombeng. Jadi kalau mau nyuri pun, orang nyurinya sudah malas itu. Karena dia takut, kalau
dia curi luka, tetanus, mati, gitu kan ya.

Jadi aset itu bukan dianggap sebagai aset sepeda itu. Tapi kalau kita beliin gemboknya
harganya Rp 300 juta, atau Rp 3 juta gitu, enggak make sense. Sepeda harga Rp 300.000,
gemboknya Rp 300 juta atau Rp 3 juta, itu tidak masuk akal. Jadi, pertama kita harus
mengidentifikasi aset. Kemudian kita harus meletakkan sebuah angka atau value dalam aset
itu, dalam rangka nanti kita akan mengamankannya.

Ternyata, ini tidak mudah ya, ternyata. Apalagi kalau kita berbicara tentang IT. Apa sih yang
disebut dengan IT, aset informasi? Nah itu kita agak susah gitu. Makanya, dalam kursus ini kita
sebutnya Information Security. Karena yang ingin kita proteksi itu aset dari informasi.

Sebagai contoh, misalnya, kalau kita bicara di kampus gitu ya. “Data mahasiswa itu aset
bukan?” Kalau saya tanya ke mahasiswa, pasti bilang “Aset,” gitu. Tapi kalau orang lain,
“Bukan,” gitu ya. Sebagai contoh, misalnya begini, ada data mahasiswa. Kalau dia aset,
maukah Anda beli dengan harga Rp 50 juta? Enggak mau. Berarti bukan ya, bukan Rp 50 juta
harganya.

Oke. “Kalau misalnya tadi daftar mahasiswa dibeli Rp 5 juta mau enggak? “Enggak mau.” “Rp
500.000?” “Enggak mau.” “Rp 50.000?” “Mau.” Jadi berarti asetnya harganya cuma Rp 50.000.
Lantas, mengapa kita beli firewall-firewall yang harganya Rp 300 juta, kalau asetnya cuma Rp
50.000?

Jadi harus kita cari dulu asetnya. Memang susah ya. Kalau saya tanya ke mahasiswa, “Boleh
enggak sih itu data transkrip Anda saya taruh di online gitu?” Mahasiswa selalu bilang “Enggak
boleh, Pak. Itu rahasia, Pak. Yang boleh tahu data transkrip saya cuma saya, Bapak, dan
Tuhan,” gitu. Ini cuma tiga. Jadi nanti kalau dalam itunya, proteksinya, nanti akses
kontrolnya: “If user, if dosen, if God allow, else deny” gitu ya. Jadi gitu.

Tapi kita harus prediksi dulu ya informasi aset itu apa. Contoh lagi kita melihat website-
website, ya kebanyakan website Pemda-lah, segala macam. Yang ada di website-nya itu,
enggak ada apa-apanya itu. Bupati gunting pita segala macam, enggak aset itu, kita enggak
tertarik gitu ya. Atau di kampus juga sama, website ITB, yang ditampilkan. Enggak tau saya
website ITB yang ditampilkan apa gitu ya. Karena saya enggak pernah lihat website ITB-nya
juga. Kalau mau cari, butuh apa ya cari.

Justru orang-orang kadang-kadang mencari, misalnya saya pingin melihat website ITB,
karena saya pingin tahu tempat parkir di mana gitu. Enggak ada informasi yang itu ya. Malah

Halaman 11 dari 20
 ITB101

yang ada, kita ada seminar ini, seminar itu. Itu bukan aset. Sehingga kalau bukan aset, tidak
perlu dilindungi. Maka kalau kita lihat di kampus-kampus, tidak ada perlindungan, tidak ada
firewall, tidak ada. Karena memang tidak ada aset informasi.

Nah, yang mengetahui aset informasi ini, sayangnya, bukan orang IT. Ya, jadi user. Yang
disebut user itu yang pemilik aplikasi. Sebagai contoh, kalau misalnya di bank gitu ya, ada
layanan internet banking. Maka yang punya layanan internet banking itu, bisnis unitnya gitu
ya, dia yang punya layanan internet banking. Maka dia akan minta ke orang IT, tolong saya di-
setup-kan aplikasi begini. Nanti ke operation, tolong ini, apa, server-servernya dikelola, dan
lain sebagainya. Tapi orang IT sebetulnya tidak tahu itu nilai atau value dari si itu tadi apa,
information-nya. Jadi, user yang punya informasi itu.

Nah ini susah gitu. Saya sering cerita kalau orang IT itu, kita anggap, kita apa ya, asosiasikan,
seperti tukang parkir. Kalau tukang parkir kan, misalnya kita tukang parkir, kita harus
mengawasi satu lot parkir, kita cuma tiga orang, mobilnya ada 100 gitu ya. Berarti kan si
tukang parkir itu harus melakukan optimasi itu. Mana mobil yang harus deket dia, atau yang
diparkir di sini. “Wah yang jelek-jelek jauh sajalah itu, enggak akan bakalan ada yang nyuri
itu.” Yang bagus-bagus deket dengan dia gitu.

Tapi bagaimana dia tahu, mobil mana yang bagus yang lebih berharga? Kejadian misalnya,
ada mobil BMW satu, satu lagi Avanza. “Ah ini kayaknya BMW-nya yang mahal nih, suruh parkir
di situ.” Enggak tahunya BMW-nya harganya tinggal Rp 39 juta, yang Avanza-nya Rp 160 juta.
Yang Avanza-nya itu sebetulnya yang harus diproteksi kan ya?

Nah itu sebagai contoh bahwa orang IT itu biasanya seperti tukang parkir. Dia tidak tahu. Jadi
kalau kita dalam perusahaan, maka kita harus pergi kepada user. Kita menanyakan, “Bapak,
Ibu, informasi apa saja yang menurut Bapak dan Ibu adalah aset dan berapa value-nya?” Nah
proses itu, biasanya dalam kegiatan ini kita melakukan yang kita sebut security awareness. Ya
kita bicara dengan user-user-nya. Kita train mereka. Kita lakukan training. Kita tanya bapak
ibu, “Bapak Ibu punya aplikasi ini? Nilai dari aplikasi ini, maaf, nilai dari informasi yang
terkandung dalam aplikasi ini apa? Criticalkah atau apa?”

Dan umumnya, sayang sekali, kebanyakan pemilik aplikasi tidak tahu gitu ya. Jadi cuma
bilang, “Saya punya aplikasi ini.” “Nilainya apa?” “Ya pokoknya pentinglah itu.” Selalu,
mereka bilangnya gitu. Penting. Jadi orang IT yang akan pusing.
Tetapi secara teori, ya, jadi nanti kalau kita punya informasi, maka kita harus definisikan dulu
informasinya apa, kemudian nanti kita lakukan processing.

Nah, aset ya, balik lagi ke aset. Kalau dalam sistem komputer itu, yang paling gampang itu
hardware diinventarisir. Misalnya, ini notebook ini, harganya berapa? Oh Rp 5 juta, Rp 6 juta.
Oke. Sudah didepresiasi. Oh server, harganya berapa. Mainframe. Itu bisa kita data, kemudian
kita hitung ya, asetnya berapa. Hardware, dalam tanda petik, agak sedikit “mudah”, meskipun
tidak mudah sekali ya. Karena kita juga kadang-kadang masih bingung depresiasi hardware
itu berapa sih ya? Ini kayak notebook ini, sekarang harganya berapa, saya enggak tau nih.
Untuk satu hardware.

Kedua, nah setelah hardware selesai, ya kita buat juga menginventarisir software. Software
itu aset bukan? Ada yang bilang, “Aset.“ Ada yang, “Bukan,” gitu ya. Kalau misalnya, ada orang
yang misalnya, beli database, apalah yang lagi ngetop, Oracle, beli Microsoft Share Point, beli

Halaman 12 dari 20
 ITB101

IBM Websphere. Oh, apalah gitu ya. Itu kan mahal ya, jadi dia memang jadi aset gitu. Berarti
harus kita data kan ya?

Ada juga aplikasi yang open source segala macam. Nah, sekarang kita kesulitan kalau
software itu mengukurnya, membuat valuation-nya itu bagaimana ya? Sebagai contoh,
misalnya, saya punya dua grup ya. Dua grup. Satu orang mengembangkan software A, satu
orang satu grup lagi mengembangkan software B. Nah, kalau ini mengembangkannya lima
bulan, yang ini tiga bulan.

Menurut Anda, yang lebih hebat yang mana? Yang tiga bulan kan ya? Tapi kalau kita hitung
berdasarkan SDM-nya, yang tiga bulan ini, tiga bulan kali gajinya tiga bulan. Yang lima bulan,
kali gajinya lima bulan. Jadi tidak ada insentif bagi para orang-orang IT itu, membuat
programnya menjadi lebih cepat, menjadi lebih ini ya. Karena apa ya, dari segi
perhitungannya menjadi aneh gitu ya.

Nah, jadi hardware beres ya. Software kita mulai pusing. Belum lagi nanti kalau kita bicara
dengan software open source. Open source harganya berapa? Nah ini, kebetulan ada juga
open source yang software harganya free. Free, enggak ada harganya?

Bukan. Kalau dia misalnya server, katakanlah, web server, banyak yang dipakaikan Apache
gitu ya. Apache free. Wah enggak ada harganya itu bukan aset? Aset. Soalnya kalau begitu
server-nya mati, enggak bisa apa-apa layanannya. Berarti ini kan aset sebetulnya. Gitu ya, jadi
hardware sudah bisa, susah. Oh, software lebih susah lagi.

Nah data tadi. Data atau informasi ini yang kita susah menilainya. Sebagai contoh, data
kepegawaian. Wah, itu kalo bagi banyak perusahaan ya, itu bisa digunakan untuk marketing
kan. Ada nilainya. Tapi internal perusahaan, kadang-kadang data kepegawaian itu tidak
dianggap. Oh sini, pegawainya aja, gajinya berapa. Tapi itu sebetulnya merupakan data yang
penting gitu ya.

Jadi core utama dari pengamanan itu, kita harus mengindetifikasi aset dulu ya. Kemudian,
kita melakukan valuation dari asetnya itu. Baru nanti, kita melakukan proteksi. Langkah awal
tadi ya, sudah melakukan identifikasi. Kemudian kita lakukan itu dengan cara melakukan
training awareness, hingga usernya bisa duduk bersama mendefinisikan.

Video 7: Security Life Cycle – Part 2

Sudah, kita sudah tahu aset yang ingin kita proteksi, maka kita mendesain atau merancang
protection-nya. Oke, misalnya gini, kita punya meja ini. Wah, supaya tidak diambil orang, ah,
kita paku aja di bawah gitu ya. Atau kita. Tapi itu kan sebenarnya sudah teknis.

Yang pertama, sebelum itu, kita membuat kebijakan dulu. Sebenarnya desain itu policy and
procedure. Siapa yang boleh akses ke meja ini, siapa yang boleh akses ke ruangan ini, siapa
yang boleh akses pada komputer ini, siapa yang boleh akses pada data, jadi biasanya design
itu berasal, apa, bermula dari policy and procedure.

Ya, jadi kita mulai dari tadi ya, aset. Kemudian kita desainkan policy and prosedur-nya seperti
apa. Baru setelah kita bisa mengimplementasikan, maka kita beli perangkat-perangkat.
Adalah firewall, ada segala macam. Saya ambil contoh kasus. Contoh kasus begini.

Halaman 13 dari 20
 ITB101

Di dalam sebuah perusahaan, ada sebuah bank, dia kebetulan data center-nya tadinya ya
tidak diproteksi. Jadi dia punya data center, kemudian dia di sini ada pengguna-
penggunanya, LAN-nyalah gitu ya. Kemudian data center-nya ingin kita proteksi karena kita
khawatir adanya virus, adanya user yang mungkin tidak bersahabat atau apa, yang ingin
melakukan penyerangan terhadap data center. Maka kita pasang firewall. Kita berencana
masang firewall di depannya, ini di dalam perusahaan ya, pasang firewall.

Nah, kita enggak tahu. Sebetulnya kebijakannya itu apa gitu? Siapa yang boleh akses
application? Misalnya di dalam data center ini ada 75 aplikasi ya. 75 aplikasi ini, siapa yang
boleh akses? Karena kalau enggak bisa, kita enggak bisa membuat rules-nya dari si firewall.

Jadi kejadian. Dalam bayangan kita, kantor cabang dengan kantor cabang itu enggak ada
business process-nya. Jadi maksudnya, enggak ada kantor cabang SSH, atau remote shell ke
kantor cabang yang lainnya. Enggak ada.

Bayangan kita ya, karena sebagai orang IT, kita bukan user, bukan user yang tahu ya. Dalam
bayangan kita, kantor cabang itu selalu ke pusat. Business process-nya kantor cabang juga ke
pusat. Udah. Kita pasang rules-nya firewall. Kantor cabang tidak boleh berkomunikasi dengan
kantor cabang.

Pas diimplementasikan, enggak masalah. Besoknya masalah. Wah, langsung ngamuk-

ngamuk di sana. “Kenapa, gini-gini? Kenapa ini?” Segala macam gitu ya. Ternyata ada
business process yang mana kantor cabang ini melakukan back-up di kantor cabang yang lain.
Jadi melakukan back up di kantor cabang lain, misalnya jam 02.00 malam.

Karena kalau di-back-up ke kantor pusat jauh. Mungkin secara networking dan secara fisik
lebih dekat dengan kantor ini, maka dia melakukan back-up. Ini mungkin kebijakan dari
perusahaannya, dia melakukan back-up di kantor cabang terdekat. Kita enggak tahu. Maka
itulah sebabnya tadi, kita harus duduk bersama, kita rumuskan dulu itunya, rules-nya itu.

Itu baru satu kasus. Ada lagi kasus, kasus, kasus, kasus, kasus yang lain sehingga orang
security-nya ini pusing. Begitu firewall-nya dipasang, wah itu komplainnya, setengah mati ke
mana-mana itu. Akhirnya apa yang dia lakukan? Akhirnya, kalau, kalau firewall-nya dilepas,
dia juga kena marah. Nanti ketika diaudit, bilang, “Mana firewall-nya?” “Oh, enggak ada, Pak.”
“Woh, salah kamu.”

Jadi dia pasang firewall-nya tapi rules-nya adalah any to any, allowed. Jadi rada bodor juga
ini, agak aneh saja gitu ya. Dari ke mana-mana, boleh. Tapi liat tadi, kita enggak tahu
kebijakannya itu. Jadi proses awal adalah kebijakannya dulu.

Baik, tadi kita sudah melakukan proteksi ya dengan cara membeli perangkat-perangkatnya.
Jadi kita bisa beli firewall, IDS. Kita bisa meminta bantuan vendor untuk melakukan
monitoring. Yang penting kita sudah mengamankan sesuai dengan business process kita.

Nah, seperti halnya kesehatan, sudah kita jaga, makan sudah benar, olahraga, dan lain
sebagainya, tetap saja bisa kita kena sakit. Demikian pula dengan security, sudah kita proteksi
segala macam, adalah virus, kena attack, dan lain sebagainya. Jadi jangan merasa sedih atau
marah kalau memang ada masalah security. Hadapi saja.

Halaman 14 dari 20
 ITB101

Langkah pertama tentu saja kita perlu, apa, perlu mengindentifikasi dulu. Ini benar-benar
masalah atau bukan? Jadi sebagai contoh, ada kasus, “Website kita di-hack habis-habisan.
Enggak bisa diakses.” Ternyata setelah kita teliti lebih lanjut, eh kabel UTP-nya copot. Ada
juga yang kabel colokannya copot, ya. Jadi ini memang susah gitu ya.

Data center di Indonesia memang tidak sehebat data center di luar negeri. Ada data center
yang memang perlindungannya kurang bagus ya, kebijakannya. Saya bisa pesan bakso gitu.
Karena malam-malam dingin kaya gini kan, dingin. Wah makan sambil ngerjain apa gitu.
“Bakso, Mang. Dua.” Gitu ya. Jadi dalam data center itu bisa terjadi. Harusnya enggak boleh
itu.

Kalau liat data center juga lucunya, juga ada, itu yang ini, karena banyak makanan gitu, jadi
banyak tikus juga. Wah, tikus-tikus itu ngerusak itu, kabel-kabelnya juga.

Jadi kita, pertama, kita cek dulu apakah ini memang benar-benar sebuah masalah. Kalau dia
memang benar-benar sebuah masalah, maka kita lakukan proses-proses investigasi, forensik,
segala macam, bahkan kita bawa ke pengadilan, dan kemudian kita kembali ke siklus awal,
bahwa kita tahu ada informasi yang mungkin diminati oleh pihak lain. Maka kita harus
proteksi.

Kita mulai menerapkan lagi pengamanan-pengamanannya dengan membuat kebijakan-

kebijakan baru. Kita beli perangkat baru. Jadi siklusnya terus saja seperti itu. Jadi itulah yang
ada di Information Security Life Cycle.

Video 8: Keamanan Berbanding Lurus dengan Kenyamanan

Nah, kalau kita bicara tentang keamanan ya, jadi kalau kita bicara keamanan, menurut kamu
keamanan seperti apa, gitu? Ini kita agak susah. Karena definisinya beda-beda gitu ya. Jadi
kalau saya tanya, “Siswa IndonesiaX, kalau menurut Anda yang disebut keamanan itu seperti
apa?” Menjadi beda-beda.

Keamanan di rumah sebagai pribadi, di kampus, di perusahaan, di kantor, mungkin instalasi

militer, instalasi nuklir, ah, itu beda-beda. Karena biasanya keamanan itu dikaitkan salah
satunya adalah dengan kenyamanan. Jadi kita harus tarik ulur antara keamanan dengan
kenyamanan.

Sebagai contoh, dalam kehidupan sehari-hari, kita keluar dari rumah, keluar dari rumah.
Kalau kita pingin aman, pintu kita kunci ya, satu kali. Oh, masih belum ini juga, masih belum
percaya, tambahin gembok. Ah, masih belum yakin juga, wah palang, bar, grendel, segala
macam, wah lima gitu ya. Udah, pokoknya macam-macam.

Udah keluar, eh, handphone ketinggalan, balik lagi. Wah, buka segala macam. Wah ini betul,
jadi betul-betul tidak nyaman ya, jadi memang, ya itu tergantung, Anda nyamannya dengan
dua gembok, atau lima gembok, atau 73 gembok gitu ya?

Sama juga nanti kalau Anda ke mesin ATM, nyamannya gimana gitu? “Anda siapa?” “Budi
Rahardjo.” Oke. Masukkan kartunya, masukkan pin-nya, segala macem. “Oh, masih kurang
aman pak, pingin lebih aman lagi.” Masukkan sidik jari. Jadi udah kartu, pin, sidik jari. “Wah
masih belum aman juga. Pingin pake ini, DNA.” Pakai rambut, wah, cabut gitu ya. Lama-

Halaman 15 dari 20
 ITB101

kelamaan, kalau mengambil uang di ATM, jadi botak. Memang lebih secured, tapi sangat tidak
nyaman.

Kalau mau lebih ekstremnya lagi, nyaman juga bisa. Misalnya di ATM itu, enggak, enggak usah
pakai itu saja. Tinggal kasih karung, kasih duit gitu ya, sama buku daftar hadir. Oh, mengambil
Rp 300.000. Budi Rahardjo mengambil Rp 300.000 gitu. Itu bisa juga. Itu sangat nyaman sekali
tapi sangat tidak aman.

Nah, biasanya kita mem-balance-nya itu di satu sisi yang mana, kenyamanannya bisa kita
terima, keamanannya bisa keterima. Maka dari itu, Anda-Anda semua, para Siswa IndonesiaX,
harus mendefinisikan apa yang disebut keamanan dalam lingkungan Anda.

Security seringkali dianggap sebagai apa, penghalang atau barrier. Jadi kalau kita lihat tadi
ya, ada kenyamanan, kemanan. Nah ini sekarang barrier. Password misalnya. Waduh, kita
harus ganti password, tiga kali seminggu. Kayak sikat gigi saja atau minum obat gitu ya. Wah
agak repot gitu ya. Enggak mau kita. “Password saya itu, pinginnya ganti.” Tapi bagaimana
ya? Jadi, tapi begini sebetulnya ya, security itu jangan dianggap sebagai penghambat.

Ah, saya ambil contoh. Sebagai contoh itu adalah rem gitu ya. Security itu dianggap sebagai
brake, ya, kalau kita lihat. Kalau menurut Anda, rem itu apakah pengaman atau pemercepat?
Jadi kalau menurut Anda kan, rem itu dianggap sebagai rem gitu ya.

Ada suatu, misalnya ginilah, saya tanya ke mahasiswa, “Eh, kalau kamu naik motor, motornya
kebetulan remnya blong. Ke sekolah, eh, ke kampus jauh gitu ya. Mau pakai motor atau naik
apa?” “Oh, saya pakai motor, Pak,” katanya. “Loh, kan remnya blong?” “Ya enggak apa-apa,
Pak. Saya naik dengan kecepatan pelan saja pak, 10 km per jam-20 km per jam gitu ya. Nanti
kalau misalnya mau mengerem, ya saya pakai kaki saja, Pak.” Ngerem pakai kaki. Itu bisa
ngerem pakai kaki. Karena tadi, cuma 10 km per jam atau 20 km per jam, masih dalam
jangkauan.

Jadi sebetulnya kalau kita enggak punya rem, malah kita enggak berani ngebut. Begitu
remnya pakem, wah itu ngebut 60 km per jam-80 km per jam. Kata anak-anak tuh, godek
nempel ke trotoar katanya gitu ya. Jadi wah, mengebut kayak gitu. Kenapa bisa begitu?
Karena dia tahu remnya pakem. Karena dia tahu ada security.

Jadi kalau di dalam perusahaan kita atau dalam organisasi kita, kita menerapkan security,
kita tahu. Enggak takut kita, taruh data di sana, kita exchange segala macam, karena kita tahu
ada pengamanannya. Kalau kita tidak punya pengamanan, kita takut taruh di situ, “Wah, nanti
di-hack orang.” “Oh, nanti datanya bocor.” “Oh nanti, gini.” Jadi itu ya. Sebetulnya kita bisa
melihat bahwa security itu adalah sebuah cara untuk meningkatkan bisnis perusahaan atau
organisasi kita, bukan sebagai barrier.

Video 9: Teori Security – Part 1

Nah, sekarang saya bicara tentang teori lagi. Teori security. Nanti kita berbicara lebih dalam
lagi, bahwa security itu kalau secara umum bisa kita anggap sebagai tiga hal: confidentiality,
integrity, availability. Atau kalau kita singkat, ambil depannya, CIA. CIA gitu ya. Kayak
organisasinya Amerika itu. CIA gitu. Itu kuncinya ya. Jadi kalau nanti saya tanya ke Anda,

Halaman 16 dari 20
 ITB101

misalnya di ujian akan saya tanya, “Apakah security?” Nah, jawabannya kalau Anda, CIA, lulus
Anda. Kalau Anda enggak bisa jawab CIA, ah enggak lulus gitu ya.

Baik, satu-satu ya kita bahas. Confidetiality itu terkait dengan kerahasiaan. Bahwa orang-
orang yang boleh mengakses datanya atau mendapatkan akses adalah orang-orang yang
memang intended ya, memang, memang harus, memang dia yang dituju.

Integrity bahwa data tidak boleh berubah tanpa izin dari pemiliknya. Availability adalah
sistem atau data tersedia ketika dibutuhkan. Biasanya orang sering salah yang A-nya nih ya.
Biasanya A-nya orang-orang ada yang enggak, pakai authentication, access. Tapi A-nya itu,
kalau dalam kasus ini adalah dalam, secara teori adalah CIA, A-nya itu adalah availability.
Jangan salah ya.

CIA: confidetiality, integrity, availability. Nanti akan kita bahas lebih jauh lagi tentang konsep
ini, tapi untuk sementara pahami bahwa security itu adalah CIA. Nanti kalau kita melakukan
evaluasi terhadap sistem apapun, akan kita evaluasi tadi, C-nya bagaimana, I-nya bagaimana,
A-nya bagaimana. Selain itu, masih ada yang lain-lainnya lagi ya. Tapi prinsipnya itu dulu.

Baik. Security kalau kita bicara ya, umumnya kita bicara security itu bentuknya itu teknis ya.
Wah, encryption, protection, hacking, back-up, segala macam itu. Tapi sebetulnya aspek
security itu ada tiga, jadi bukan yang teknis lagi ya. Sebenarnya kalau orang bilang, bicara
biasanya sebutannya, singkatannya PPT. People, process, technology.

Yang kita diskusikan tadi itu terkait-terkait dengan technology ya, macam-macam technology.
Tapi jangan salah, bahwa sebetulnya yang, yang penting juga sebenarnya adalah masalah
people dan process. Katanya orang-orang, kalau itu yang penting itu adalah the man behind
the gun, bukan the gun-nya gitu ya.

Kalau the gun-nya itu kan minuman. Ini the man behind the gun. Kalau kita lihat ya, sebetulnya
banyak orang berkata bahwa security itu seperti pedang atau apa ya, sword gitu ya, bermata
dua gitu. Tergantung yang pakainya, bisa digunakan untuk kebaikan, bisa juga dipakai untuk
kejahatan. Jadi people, aspect people itu sangat penting.

Nah, sayangnya kalau di dalam kursus-kursus atau apa ya, kuliah-kuliah yang ada, aspek yang
dibahas itu biasanya adalah masalah teknologi, tapi aspek manusianya ini jarang dibahas.
Tapi jangan salah, aspek manusia itu sangat penting.

Yang kedua, aspek proses. Proses ini terkait dengan proses-proses, biasanya kalau proses-
proses itu adalah policy, prosedur, good governance gitu ya. Nah itu juga harus ada di dalam
organisasi kita sehingga semuanya ini, apa ya, bersinergi untuk mengamankan sistem kita. Ya.
Jadi ada people, ada process, ada technology. Nanti detilnya kita bahas di lain kesempatan.
Tapi itu ya.

Nah, saya tidak tahu nanti dalam bahasan kita apakah kita bisa mencakup semua ataukah
kita hanya berhenti sampai di technologinya saja. Karena ini cakupannya cukup luas. Jadi
kalau people ya, sebagai contoh, kalau dalam perusahaan-perusahaan itu, sebetulnya yang
menjadi masalah itu adalah ketidaktahuan, atau lack of security awareness. Jadi banyak hal
yang saya lakukan itu sebetulnya adalah memberikan pencerahan kepada orang-orang
tentang masalah security.

Halaman 17 dari 20
 ITB101

Sebagai contoh, kalau dulu pencurian ya. Pencurian itu, kalau kita bilang satpam di depan
gitu ya, satpam itu akan meriksanya physical ya, “Bapak kan.” Kalau kita masuk ke ruangan-
ruangan, diperiksa gitu ya, tasnya, komputernya, segala macam.

Tapi enggak diperiksa isi flashdisk. Bahkan sekarang yang dicuri, dicuri isinya di dalam
flashdisk-nya, bukan di situ, gitu. Jadi nanti di feature itu enggak gitu. “Flashdisk-nya, Pak.”
Dicolokin dulu, dicek dulu sama dia gitu ya, ada data yang bocor atau enggak gitu.

Jadi kalau satpam sekarang enggak tahu. Kalau dulu, memang, memang dulu sangat physical
juga sih ya. Kalau dulu kan diskette itu 360 kilobyte gitu, diskette yang ukurannya segini gitu.
Anak-anak sekarang mungkin pada enggak tahu kali ya yang namanya diskette yang ukuran
segitu ya.

Jadi kalau saya mau mencuri banyak gitu, wah, disketnya banyak gitu, jadi mungkin saya
keluar pakai karung gitu ya. Sama satpam, “Mau kemana, Pak?” “Ini, nyuri data.” Wah itu.
Ketangkep banget gitu ya.

Tapi sekarang pake satu flashdisk itu, wah, itu datanya sudah bergiga-giga, satu server habis
semua. Bahkan terabyte ya, udah terkopi dalam satu flashdisk. Jadi ke depannya juga,
pengamanan itu juga, para misalnya ya, physical, misalnya para satpam segala macam juga
harus kita ajari. Bahwa dia juga perlu mencurigai orang-orang juga yang membawa
perangkat-perangkat yang tidak sepantasnya.

Yang, yang kita masih bingung juga itu terkait dengan tadi, perangkat-perangkat security ya,
Karena ada orang yang mengatakan perangkat security itu sama dengan pedang tadi. Saya
ambil contoh, boleh enggak kita naik bis, bawa kapak, pedang gitu ya, sama apa? Enggak
boleh kan ya?

“Kemana ini?” “Mau latihan.” “Kenapa?” “Bawa pedang.” Gitu ya. “Kapaknya untuk apa?” “Ya,
untuk latihan.” Kan enggak boleh gitu ya. Wah, ini bahaya. Nah, kemudian hari mungkin di tas
diperiksa. “Ini ada hacking tools nih. Kenapa ada hacking tools di komputer Anda?” Itu juga
bisa di, ditangkap gitu ya.

Di sisi lain, pengembang software. Pengembang software itu dulunya tidak diajari masalah
security. Jadi pengembang software, ya, ada sebuah requirement, kebutuhan, kemudian dia
terjemahkan fungsinya sesuai dengan kebutuhan, dia buat itu. Hal-hal yang di luar itu tidak
menjadi concern dia, karena ini, masalah security itu memang belum diajarkan karena
ilmunya belum ada pada waktu itu.

Baru pada tahun-tahun, mungkin di atas tahun 2000-an, masalah software security mulai
diajarkan. Maka muncullah secure software development life cycle, secured SDLC, dan
seterusnya. Jadi di sisi skill juga, orang-orang, para pengembang-pengembang, juga nanti
harus kita ajarkan teknis-teknis mengamankan sistem informasinya mereka.

Jadi bagi perusahaan juga, si orang-orang itu juga, security bisa dijadikan kebiasaan, sehingga
menjadi habit atau kebiasaan ya, dalam hal bekerja. Sama seperti kita meninggalkan rumah,
kita kunci, sama juga, ketika kita meninggalkan kerja, kita lock password kita atau kita log out,
gitu ya, sehingga kita tidak membiarkan informasi berceceran di atas meja kita, di komputer
kita ketika pulang gitu ya. Itu masalah people.

Halaman 18 dari 20
 ITB101

Video 10: Teori Security – Part 2

Nah kalau proses, biasanya, kita terkait dengan tadi saya sudah jelaskan, policy and
procedure. Yang ini biasanya juga sama, dianggap sebagai barrier. Kenapa saya harus pasang
antivirus, harus update terus? Kenapa saya harus ganti password, berapa ya, tiga bulan sekali,
dan seterusnya. Atau tadi ya, clean desk, clean screen policy. Kenapa harus melakukan itu?
Nah ini, kalau tidak dijelaskan maka dianggap sebagai barrier dan tidak akan dituruti oleh
orang-orang tadi. Jadi proses pun harus kita ajarkan.

Dan yang terakhir, tentu saja technology. Ya banyaklah ya. Anak-anak sekarang memang
sudah paham teknologi dibandingkan dengan kita gitu ya. Kecil-kecil saja dia sudah paham
teknologi gitu ya. Anak-anak sekarang kalau, katanya kalau mau ini, bayi-bayi sekarang kalau
nangis tuh, minta susu tuh, enggak nangis lagi gitu. Langsung pakai ini saja, SMS ke ibu,
“Hmm, saya minta susu.” Pakai SMS gitu. Jadi sudah luar biasa demikian technology oriented-
nya gitu ya.

Kalau Anda lihat di toko-toko juga, perhatikan anak-anak kecil tuh, dia kalau ada TV kaya gini,
sama dia tuh di-slide nih layarnya gitu ya. Karena dibilang, “Ini kok di-slide?” Gitu. Padahal
kalau ini, kita kan, “Kenapa perlu pakai keyboard sama mouse?” Katanya dia gitu ya.

Bagi kita ini hal-hal yang lumrah, tapi bagi anak-anak yang sekarang itu agak aneh gitu.
“Nonton TV kenapa pakai remote?” Itu kata anak kecil juga. Jadi bingung ya bagi mereka gitu.
Karena mereka sudah, teknologi, lahir itu sudah, apa ya, sudah siap menerima teknologi.

Nah bagi kita yang mengoperasikan sistem IT, susah. Karena dalam tanda petik, klien kita atau
bahkan musuh kita juga adalah orang-orang yang sudah aware teknologi dari awal.
Sementara kita-kita masih harus belajar teknologi ya. Sementara mereka sudah, menjadi
bagian dari kehidupan mereka sehari-hari gitu ya.

Teknologi. Nah kalau dari segi trennya, teknologi ini memang membuat kita menjadi lebih
nyaman ya. Perangkat-perangkat menjadi lebih kecil. Handphone juga dulu kecil, terus
membesar, terus mengecil lagi, membesar lagi. Jadi enggak tahu nih, memang tren, trennya
begitu ya. Dulu handphone kecil sekali, zaman Star Trek gitu ya. Terus gede lagi gitu ya. Nanti
lama-kelamaan kalau saya pakai handphone, enggak, enggak, enggak seru kalau handphone-
nya enggak gede gitu ya. Jadi mungkin kalau telepon saya pakai ini bisa, “Hello?” Pakai ini ya.
Jadi enggak pakai itu lagi ya.

Tapi itu dari segi teknologi, bikin kita pusing. Orang IT. Karena itu tadi, speed-nya makin cepat,
ukurannya makin kecil, wireless, wah. Jadi kalau saya mengawasinya itu susah. Kalau dulu,
orang masuk kantor, bisa kita batasi ya. Kalau sekarang orang masuk kantor, dibatasi akses
internetnya, ah, dia bilang, “Enggak masalah. Saya pakai tethering saja.” Pasang ke laptopnya
sendiri, pasang ke komputernya sendiri. Wah, repotlah kantor kita ya. Di sini sudah kita
proteksi dengan firewall, eh tiba-tiba user-nya nyolok internet sendiri ya. Jadi susah.

Ada istilah yang namanya BYOD, bring your own device. Misalnya, bolehkah pekerja membawa
perangkatnya sendiri ke tempat kerja? Nah itu isu yang bikin kita pusing juga. Itu terkait
dengan teknologi. Ya bagaimana lagi ya, kita tidak bisa membatasi teknologi ya. Tapi dari sisi
tadi, ya kita harus mengajari orang-orangnya dan kita membuat proses-proses yang lebih baik
lagi.

Halaman 19 dari 20
 ITB101

Dari sisi secara topologi, security itu ada macam-macam ya. Kalau tadi kita bicara tentang
people, process, technology gitu ya, nah sekarang kita bisa berbicara juga dari sumber-
sumbernya. Secara, ini rada sedikit IT dikit ya. Security itu bisa terjadi, permasalahan security
itu bisa terjadi di scope komputernya sendiri atau host-nya, ya, misalnya komputer saya,
komputer user, server. Itu jadi masalah yang jenisnya terkait dengan sistem operasi ya. Host-
nya.

Security bisa juga terkait dengan network-nya. Jaringan yang menghubungkan perangkat-
perangkat ini atau para host ini. Security juga sekarang bisa juga terkait dengan aplikasinya,
atau program yang berjalan di dalam komputer sini gitu ya. Jadi ini tergantung dari security-
nya. Ambil contoh. Virus, virus atau malware itu adalah masalah security yang berada di host.
Karena meskipun dia lewat network tapi dia biasanya memberikan masalah kepada host di,
yang terkena virus tadi, yang terkena malware tadi gitu ya.

Kemudian kalau network, tentu saja network itu bisa di-flood, bisa di, apa, dibanjiri tadi atau
bisa disadap, macam-macam caranya. Tapi itu tadi urusannya urusan jaringan, urusan
network, tidak ada hubungan dengan ini.

Satu lagi, urusan aplikasi. Sistem operasinya sudah bagus, network-nya sudah bagus, tapi
aplikasinya rada kacau. Saya pernah melihat ya, orang buat aplikasi, ini mngkin masih
mahasiswa gitu ya. Dia taruh itu, misalnya kartu kredit.txt itu di dalam directory C gitu ya. Dia
bilang, “Pak, kan ini komputernya sudah saya lindungi dengan firewall, segala macam.” “Iya,
tapi dek, kalau ditaruh di C, kartu kredit.txt mah itu sama dengan nantangin gitu ya.”

Jadi itu masalah aplikasi ya. Dan kalau menurut saya, nanti ke depannya aplikasi ini akan lebih
banyak lagi masalah-masalah yang terkait dengan application. Tapi dari segi topologi, kita
bisa beda-bedakan tadi, security itu ada di mana-mana.

Dan sebagai penutup untuk sesi kita kali ini, saya sudah menceritakan kepada para Siswa
IndonesiaX mengenai pemanfaatan teknologi informasi dalam kehidupan kita sehari-hari.
Kemudian juga saya sudah menceritakan tentang statistik dunia-dunia maya atau dunia cyber
Indonesia yang banyak punya potensial luar biasa. Kemudian saya juga sudah menceritakan
sedikit-sedikit tentang permasalahan-permasalahan atau contoh-contoh terkait dengan apa
ya, penyalahgunaan IT dan sedikit teori-teori tentang pengamanan. Nanti akan kita bahas
lebih detil lagi.

Halaman 20 dari 20
 ITB101

Information Security: Protecting Your

Information in the Digital Age

Transkrip
Minggu 2: Ancaman-ancaman terhadap Penggunaan
Teknologi Informasi

Video 1: Ancaman terhadap Keamanan Informasi

Video 2: Masalah Utama Keamanan
Video 3: Contoh Ancaman Keamanan Informasi di Indonesia dan di Dunia
Video 4: Phishing
Video 5: Spam
Video 6: Internet Fraud Part 1
Video 7: Internet Fraud Part 2
Video 8: Kejahatan di Era Sistem Informasi
Video 9: Skimmer
Video 10: Keamanan Sistem

Video 1: Ancaman terhadap Keamanan Informasi

Banyak mungkin Siswa IndonesiaX yang bertanya-tanya mengenai apa yang ada di meja ini
dan juga kemudian yang ada yang di belakang ini. Mungkin yang di belakang ini sudah pada
tahu, ini adalah dari film The Matrix. Ini hacking bangetlah gitu ya. Jadi itu kami tampilkan di
sini.

Kemudian ada ini, si bapak ini, Darth Vader. Bagi para penggemarnya mungkin dia ini
dianggap sebagai orang yang jahat gitu ya. Tapi dia pun ada, eh, teknik-teknik untuk
mengamankan security itu. Nanti kita lihat contoh-contohnya bahwa di Darth Vader ini juga
membuat lima prinsip pengamanan security berdasarkan si Darth Vader.

Salah satunya gitu ya, mungkin yang paling kalau di dalam prinsip dia yang terakhir itu, adalah
mengamankan atau meng-encrypt data sebagaimana seolah-olah semua galaxy bergantung
kepada itu. Encrypt everything like the fate of galaxy depends on it. Jadi ya memang begitu,
harus di-encrypt macam-macam.

Di tempat saya juga gitu. Semua untuk data yang hebat-hebat, yang penting-penting kita
encrypt. Karena kalau enggak, kalau itu jatuh ke tangan orang maka saya dituntut. Kalau si
Darth Vader, kalau jatuh, datanya jatuh ke tangan orang, maka galaksinya habislah gitu ya.
Jadi inilah nanti yang kita pelajari dari si Darth Vader-nya ini.

Siswa IndonesiaX, kali ini kita akan berbicara tentang threats, threats, atau ancaman-
ancaman yang terkait dengan information security. Saya akan tunjukkan atau tampilkan
beberapa contoh kasus-kasus yang terkait dengan keamanan informasi.

Halaman 1 dari 16
 ITB101

Kasus pertama mungkin kita bicara tentang bursa saham ya, di Singapura. Beberapa waktu
lalu bursa saham ini terganggu dua kali, beroperasi. Tidak, tidak, tidak bisa berfungsi gitu.
Yang pertama kalau enggak salah itu tentang software, yang berikutnya lagi tentang UPS.

Waktu kita tanya, pada saat itu memang terjadi masalah dengan listrik di sana sehingga
sistemnya down. UPS atau UPS yang harusnya mengambil alih ternyata enggak jalan juga.

Mungkin karena di sana sudah biasa ya kalau sistem-sistem jalan terus. Sehingga kalau ada
masalah, baru mereka pusing. Kalau saya tanya dengan teman-teman di Indonesia,
“Bagaimana kalau di Indonesia?” “Wah kalau di Indonesia masih top kita, karena tiap kali
listrik bermasalah gitu ya.” Jadi kita selalu siap terus mengalami permasalahan. Itu satu ya.

Kalau kita mundur-mundur lagi ya, ceritanya tahun 2012 atau 2013, maka yang, threat yang
ada pada waktu itu dan sampai sekarang itu biasanya masih terkait dengan malware ya.
Bangsanya virus, spam, worm, itu wah masih, masih mendominasi, apa ya, traffic dan
permasalahan yang kita terima.

Ya kalau saya menganalisisnya tuh mungkin karena di Indonesia bandwith internet masih
lambat ya, sehingga masih banyak orang yang tidak melakukan update software-nya, tidak
meng-update antivirus, atau banyak juga yang menggunakan software bajakan, sehingga
akibatnya itu tadi virus, malware, mulai mengancam di sistem kita.

Kemudian juga yang menarik juga adanya identity theft di media sosial. Pencurian identitas.
Maksudnya begini. Kalau Anda, saya mau tanya di sini, siapa yang punya account Facebook?
Pasti hampir semua punya ya. Tapi ada juga yang enggak punya. Nah kalau saran saya sih
lebih baik punya account Facebook meskipun tidak digunakan, ambillah account Facebook
dan tidak digunakan ya, daripada dibuatkan oleh orang lain gitu.

Karena boleh jadi saya misalnya ya, saya tahu Anda, saya ambil, oh namanya, saya buat
account-nya, kemudian saya download foto Anda dari tempat mana, saya masukkan
sekolahannya, maka saya bisa menjadi Anda. Kemudian teman, teman Anda bilang, “Oh ini
teman saya.” Add sebagai friend, saya approve. Jadi semakin lama saya sebetulnya menjadi
Anda, jadi saya mencuri identitas Anda.

Sebetulnya apa sih yang bisa dilakukan kalau identitas kita dicuri? Ternyata balik-balik lagi
adalah minta pulsa. Jadi ternyata bisnis modelnya minta pulsa. Jadi nanti setelah
identitasnya tercuri, kemudian dibilang, “Tolong anak saya di mana, kita kekurangan pulsa,”
dan lain sebagainya. “Tolong,” yang bangsanya ibu-bapak gitu ya, “Ibu, ini ibu lagi di kantor
polisi, kehabisan pulsa,” “Bapak lagi di kantor polisi, kehabisan pulsa.” Ini orangtua macam
apa, ibu dan bapak, semua dua-duanya ada di kantor polisi gitu ya, kehabisan pulsa?

Itulah yang terjadi tentang pencurian identitas. Bahkan kalau kita lihat dulu ya ada film juga
The Net gitu ya, kalau mungkin yang pernah nonton film The Net, Sandra Bullock. Itu
bagaimana identitasnya dicuri kemudian dia, wah, setengah mati mencari identitasnya dia
kembali. Jadi jangan, jangan, jangan dianggap remeh ya identitas, eh, pencurian identitas,
karena itu bisa menjadikan kecurangan-kecurangan.

Berikutnya lagi kita akan mulai melihat banyaknya penipuan-penipuan di media-media,

bukan hanya media sosial juga, tetapi mulai juga di media-media jual-beli ya, online. Nah ini

Halaman 2 dari 16
 ITB101

isu-isu yang masih banyak. Tentu saja masalah hacking-hacking itu masih ada gitu ya, cara
hackingnya juga beda-beda. Misalnya website diganti tampilannya, segala macam.

Ada yang Jember Hacker Team meng-hack segala macam. Ada yang memang halamannya
diganti, ada yang DNS-nya diganti kemudian di-direct ke tempat lain jadi sehingga
kelihatannya web-nya itu kena hack, padahal tidak gitu ya. DNS-nya yang di-hijack. Jadi ini
memang masih gitu.

Untuk yang jenis-jenis seperti ini tuh biasanya para penyerangnya itu tujuannya adalah
mencari popularitas. Kalau yang tadi, pencurian identitas segala macam tujuannya finansial
ya. Kalau ini pencurian, pengrusakan web ini sebetulnya popularitas. Saya pengen ngetop.

Pernah ada satu kasus gitu, jadi ada orang, ini saya rasa anak muda gitu, meng-hack suatu
website, merusak website, kemudian dia lapor saya, “Pak Budi saya berhasil merusak ini.”
Saya bilang, “Aduh kenapa sih merusak begitu?” Gitu ya.

Terus selang berapa lama kemudian ada orang lain lagi menimpa hasil karyanya dia. Orang
ini kemudian yang malah lebih terkenal dari dia. Ngamuk dia itu, “Kan saya duluan yang
berhasil melakukan cracking sana.” Gitu ya. Inilah ya yang terjadi ya. Sebetulnya kita ingin
menghimbau pada adik-adik, anak-anak muda, Siswa IndonesiaX, jangan merusak-merusak
kaya gini.

Karena sebetulnya kita itu butuh banyak orang-orang security professional. Kalau Anda punya
kemampuan security, itu lowongan kerjanya banyak sekali. Tapi kalau Anda merusak-
merusak, malah susah. Waktu itu saya membantu sebuah perusahaan yang melakukan
rekrutmen. Rasanya dia cara enam orang security, dapatnya cuma satu coba.

Jadi lowongan pekerjaan itu masih banyak gitu ya. Maka belajarlah ilmu-ilmu seperti yang ada
di IndonesiaX ini, seperti kursus yang saya sampaikan ini, dan juga pelajari teknis-teknis yang
lebih detil gitu ya, sehingga Anda menguasai ilmunya dan kuasailah sehingga Anda menjadi
security professional, jangan yang merusak.

Kalau tadi ceritanya adalah tentang pengrusakan website, tapi ada juga ya IT itu digunakan
untuk mengorganisir kerusakan di dunia nyata. Sebagai contoh, katanya ini BlackBerry itu
digunakan untuk mengorganisir kerusuhan yang terjadi di London tahun 2011 kalau enggak
salah.

Jadi itu, itu penyalahgunaan pemanfaatan IT. Berikutnya lagi juga si perusahaan RIM,
Research In Motion, perusahaan yang membuat BlackBerry waktu itu juga dipaksa oleh
pemerintah untuk membuat data center-nya di Indonesia.

Sama juga dengan bank ya, harus membuat data center-nya di Indonesia. Kenapa? Ya karena
tadi, kerahasiaan data, kepemilikan data, itu kalau kita taruh di luar negeri, kita tidak punya
akses ya. Jadi agak repot kalau kita melakukan investigasi. Meskipun sesungguhnya dapat
kita lakukan ya, dengan mengirim surat segala macam. Tapi agak susah gitu ya.

Kalau semua data center di Indonesia, memang kita lebih dapat dengan lebih mudah
melakukan akses physically terhadap data tersebut. Ini adalah pro dan kontra ya seharusnya.
Saya sendiri masih belum memiliki pendapat karena data center harus di Indonesia, itu dapat
digunakan dalam tanda petik sebagai “barrier” untuk meningkatkan industri IT di Indonesia.

Halaman 3 dari 16
 ITB101

Tetapi peningkatan network yang demikian tinggi, maka jadi tidak realistis lagi mengharuskan
data center di Indonesia selain masalah security.

Video 2: Masalah Utama Keamanan

Itu eh, masih banyak ya masalah-masalah yang lain lagi. Kalau kita lihat yang tahun-tahun
sebelumnya juga sama sih sebetulnya. Social network juga masih tetap sama, jadi kalau kita
mundur-mundur, sama juga. Jadi selalu trennya tuh berulang.

Nah kalau tahun 2006 atau 2008, itu permasalahan security-nya lain lagi. Jadi itu bukan
masalah security dalam hal-hal teknis, kalau tadi kan banyak hal-hal teknis. Ini lebih ke arah
compliance. Kepatuhan terhadap aturan. Permasalahannya ini terkait dengan perusahaan
yang harus menerapkan good governance ya. Jadi harus melakukan good governance maka
dia harus patuh terhadap standar-standar.

Di security itu ada macam-macam standarnya misalnya yang paling terkenal ISO ya 27000
series gitu yang mana awalnya mungkin dari BS7799, dan lain sebagainya gitu ya. Sampai ISO
17799, dan seterusnya sampai akhirnya menjadi BS, maaf. Dari ISO 27000 series dan kemudian
juga diadopsi menjadi SNI gitu ya. Nah pada zaman itu memang yang menjadi fokus utama
adalah kepatuhannya. Jadi para manajer waktu itu mulai mendalami masalah security.

Jadi ingat yang masalah security tadi ini bukan hanya masalah teknis saja, hacking-hacking
kaya gitu, tapi masalah manajemen juga harus memahami itu karena dia harus melakukan
sertifikasi. Kemudian banyak lagi ya, tahun-tahun itu. Dan sebetulnya sebelumnya kita mulai
melihat adanya masalah-masalah yang terkait dengan bencana.

Sebagai contoh di Indonesia tsunami Aceh ya. Tsunami Aceh itu satu daerah habis semua.
Bagaimana dengan sistem IT perusahaan-perusahaan yang ada di sana ya? Nah itu jadi
permasalahan.

World Trade Center juga 9/11, ya. Itu adalah gedung-gedung yang diperkirakan orang itu
adalah tempat yang secured ya. Tempat menyimpan data yang sangat secured, ternyata bisa
diruntuhkan dengan pesawat. Jadi orang menjadi cukup kaget juga ya bahwa sistem IT itu
ternyata sudah sangat demikian penting sehingga harus dilindungi. Bahwa tempat-tempat
yang kita pikirkan ya, tadi dilindungi itu bisa melindungi, ternyata tidak.

Maka muncullah isu-isu yang kita sebut business continuity planning. Jadi kita harus cari
sebetulnya bisnis kita terkait dengan IT itu apa gitu. Sehingga kita bisa pastikan bisnis kita ini
bisa berjalan meskipun sistem IT-nya ada bermasalah, misalnya down sebentarkah atau apa
gitu ya. Jadi business continuity planning atau BCP menjadi isu penting.

Dimana dari situ nanti bisa diturunkan bahwa kita kalau kita punya data center, maka kita
juga harus punya back up-nya ya, DRC, Disaster Recovery Center-nya juga. Sehingga nanti
data yang ada di sini, bisa juga di, di mirror di sana. Meskipun tadi, harus ada, ada hitung-
hitungannya.

Karena kalau itu persis sama, itu tentu saja biayanya sangat tinggi dan sangat membuat
kesulitan bagi perusahaan. Jadi isu manajemen mulai muncul, manajemen yang terkait
dengan security ya, mulai muncul di tahun 2000-an dan 2000, maaf, 2006 dan 2008.

Halaman 4 dari 16
 ITB101

Tahun 2006 dan 2008 juga masih terkait juga dengan security yang bukan teknikal ya, tapi juga
bisnis. Yaitu mulai munculnya keinginan melakukan transaksi atau banyaknya keinginan
melakukan transaksi dengan tidak menggunakan cash. Kalau dulu namanya cashless society,
gitu. Cashless society. Tanpa cash gitu. Kalau di Indonesia namanya less cash society. Karena
kalau orang Indonesia kalau dibilang cashless itu artinya tidak punya duit alias bokek gitu ya.

Kalau less cash itu uangnya cash yang sedikit. Jadi, biasalah Indonesia rada gitu-gitu. Tapi
anyway, di dalam less cash society kita ingin mengajak orang-orang untuk menggunakan
media transaksi yang bukan tunai. Jadi ini gerakan ini masih tetap ada sampai sekarang,
bagaimana memungkinkannya.

Baik. Nah kalau kita lihat ya sebetulnya dari segi permasalahan, ini kalau kita lihat tadi ya,
manajemen, itu masalah utamanya adalah rendahnya pemahaman masalah keamanan gitu.
Jadi sebetulnya security awareness itu adalah kuncinya gitu ya. Jadi memang perusahaan-
perusahaan itu harus diajari mengamankan mulai dari orang yang paling bawah sampai yang
atasnya gitu ya. Dan statistik yang lain juga menunjukkan demikian.

Nah sebagai contoh nih, saya ambilkan sebuah statistick tentang incident cost. Ya, incident
cost, misalnya dalam kasus ini adalah server down, server jatuh. Misalnya kalau ada server,
server transaksi sebuah maskapai penerbangan, orang mau pesan, down. Atau sebuah toko
jual-beli online, situsnya down gitu. Berarti dia tidak bisa melakukan transaksi. Berarti enggak
ada duit ya di situ.

Nah kalau menariknya di luar, di luar negeri itu, ada data statistiknya. Jadi kalau sistemnya
down itu kerugian yang diderita berapa. Nah kerugian yang diderita itu bisa macam-macam.
Satu yang direct ya. Misalnya server down, berarti saya harus panggil orang untuk
memperbaikinya. Ada yang bilang, “Pak saya punya deal dengan vendor. Saya aja panggil
vendor.” “Berapa vendor?” “US$600 per jam, Pak. Selesai setengah jam, gitu. Atau satu hari,
gitu.”

“Oh kalau saya,” perusahaan lain bilang, “Kalau saya enggak, Pak. Saya pakai orang internal
saja Pak, enggak usah pakai vendor, gitu.” “Selesainya berapa?” “Tiga hari, Pak. Tiga hari, tiga
malam.” Oh berarti uang lembur gitu ya. Jadi itu sebetulnya dalam data statistik itu hampir
sama gitu cost-nya untuk menghidupkannya kembali. Kalau Indonesia waktu itu kita pernah
melakukan sebuah, apa ya, surveilah gitu ya. Ternyata untuk menghidupkan kembali itu
butuh uang Rp 25 juta.

Jadi katakanlah sebuah sistem down sebulan sekali. Berarti dalam satu tahun dia harus mem,
apa ya, membujetkan 12 x Rp 25 juta. Berarti dia harus punya, berapa 12 x Rp 25 juta? Rp 300
jutalah ya. Dia harus bujetkan itu. Itu adalah uang yang keluar riil.

Terus ada lagi, yang mana, karena dia tidak bisa melakukan transaksi, maka ada loss of
opportunity. Itu juga duit lagi. Belum lagi kalau dia down, kemudian dia punya, apa ya,
perjanjian dengan pihak lain misalnya, ada service level agreement, yang mana dia hanya
boleh down 5 menit dalam satu tahun atau berapa. Ternyata dia lebih, maka dia kena penalty
lagi, gitu ya.

Belum lagi masalah hukum misalnya, kalau dia down, kena hukum, dan lain sebagainya. Jadi
semuanya itu, apa, eh, banyak gitu ya. Kalau di Indonesia ditotal-total itu bisa jadi sekali down

Halaman 5 dari 16
 ITB101

itu membutuhkan biaya atau kerugiannya adalah sekitar Rp 300 juta. Jadi kalau dalam satu
tahun mungkin Rp 3,6 miliar gitu ya.

Dengan kata lain kalau saya misalnya punya satu sistem, kemudian saya membuat satu sistem
back up-nya, dengan proses yang sama ya, dengan desain yang sama. Kemudian ini cost-nya
hanya Rp 1 miliar, maka masuk akal ya. Karena tadi yang ini Rp 3,6 miliar, potentitial loss-nya
dalam satu tahun Rp 3,6 miliar, maka di sini kalau saya invest Rp 1 miliar, yang ini tidak terjadi.
Permasalahan ini. Jadi masuk akal.

Nah inilah sebabnya kita mulai harus mengumpulkan data sama-sama ya. Kita kumpulkan
data yang terkait dengan incident di Indonesia sehingga nanti kita bisa merumuskan strategi
apa yang harus kita lakukan dalam hal budgeting-nya.

Video 3: Contoh Ancaman Keamanan Informasi di Indonesia dan di Dunia

Dan kalau best practice-nya memang nanti kita lihat juga dari industrinya. Kalau tadi juga
mungkin, mungkin industrinya industri yang terkait dengan transaction ya, jadi memang
kalau server-nya mati dia enggak dapat duit gitu.

Tapi kalau industrinya situs web sekolahan gitu ya, yang mana, ya hanya informasi saja.
Informational. Atau pemkot, pemda yang tidak ada transaksinya mungkin cost-nya tidak
demikian penting gitu ya.

Maka ada juga survei-survei yang indikasi setiap itu, apa, industri. Industri pendidikan,
penelitian, elektronik, event, dan lain sebagainya. Jadi ya ada data statistik itu.

Sehingga saya kalau misal, saya misalnya jadi direktur IT, saya bisa menyiapkan bujet untuk
security berdasarkan pengalaman yang ada. Misalnya, oh rata-rata 10% atau 8%, maka
dengan mudah saya mengajukan itu karena sudah ada best practice-nya. Nah ini lagi-lagi data
ini yang belum ada di Indonesia.

Baik. Kalau kita lihat statistiknya, ada banyak statistik ya. Jadi saya mulai mengumpulkan
statistik ini mungkin, mulai akhir tahun 1990-an ya. Mulai 1996 saya kumpulkan statistik-
statistik tentang hal-hal yang terkait dengan security di dunia dan di Indonesia. Wah ternyata
memang banyak sekali masalah security. Yang saya kumpulkan itu hanya kalau dibilang the
tip of the iceberg. Hanya puncaknya saja. Di bawahnya itu ada, wah, banyak masalah yang lain
gitu ya.

Misalnya worm, masalah worm. Worm itu kalau virus, dia menginfeksi, harus kita lakukan
sesuatu ya. Menginfeksi. Kemudian dia pergi ke tempat-tempat lain menginfeksi. Kalau worm,
dia jalan sendiri. Begitu menginfeksi, dia bisa jalan sendiri. Nah worm sendiri, internet worm
mulainya di tahun 1988. Kemungkinan banyak yang belum lahir di tahun segitu ya.

Ini untuk menunjukkan bahwa sebetulnya masalah threat, ancaman gitu ya, sudah ada dari
sejak zaman dahulu. Untuk yang worm yang tahun 1988 itu sebetulnya namanya Sendmail
Worm.

Nah saya cerita ya, ini dongengnya saja. Dongeng sebelum bobo terkait dengan teknologi.
Jadi ceritanya gini. Sendmail itu adalah program yang mengirimkan email. Kalau dalam

Halaman 6 dari 16
 ITB101

teknisnya itu namanya MTA, gitu ya. Dia mengirimkan email. Kalau yang kita gunakan untuk
membaca email itu namanya MUA, mail user agent.

Nah si MTA tuh yang mengirimkan itu. Jadi di Sendmail itu, kalau kita mengirimkan email,
emailnya sudah jadi, kita tolong, “MTA tolong kirimkan ini ke admin at IndonesiaX,” gitu ya,
“co id.” Nanti dikirimkan oleh si MTA ini.

Nah dulu si Sendmail itu punya fitur yang, fitur yang namanya kita sebut sebagai fitur Debug
atau fitur Wizard. Jadi kita bisa bilang, “Eh Sendmail, tolong lakukan sesuatu terhadap email
yang Anda terima ini.”

Nah kebetulan ada orang yang rada iseng gitu ya. Dia buat sebuah aplikasi, kecil, yang mana
dia kirimkan ke email, terus dia minta tolong ke Sendmail, “Sendmail, tolong ekstrak file ini,”
gitu ya, “dalam sebuah directory, compile, dan jalankan.”

Nah yang ketika dia jalankan itu dia melihat directory dari user-nya, ya, user yang lain.
Kemudian untuk setiap user yang ada, dia pack-an lagi, dianya sendiri di-attach, dan
dikirimkan ke user yang ada di dalam address book user yang bersangkutan. Jadi tiba-tiba
mailnya jadi banyak kan ya, seliweran gitu. Itu gara-gara itu.

Nah, lucunya nih, sang mahasiswanya nih, eh, namanya RTM kalau enggak salah
singkatannya. Robert Tappan Morris. Si RTM ini, biasa, dia seperti mahasiswalah ya. Kalau di
sana pada suatu saat dia buat programnya itu, terus dia mudik. Ternyata di luar negeri juga
ada mudik ya. Kayaknya Easter kalau enggak salah. Dia jalankan, terus dia mudik. Jadi dia
enggak tahu bahwa programnya itu jalan.

Sebetulnya di program itu ada if condition. If, saya lupa, sudah ada tiga atau tujuh copy dari si
worm ini, jangan run lagi gitu. Tapi if then else-nya tuh enggak dieksekusi, tidak tereksekusi
gitu ya. Sehingga di komputer itu banyak worm, worm, worm, worm, worm. Sehingga dia
mengirim ke orang lain, ini orang lain mengirim lagi ke ini, mengirim lagi. Jadi internet tuh
tahun 1988 itu melt down gitu ya, oleh gara-gara email. Ini ingat loh, internet tahun 1988 itu
belum zamannya web, belum zamannya apa ya. Ini masih email-emailan gitu ya. Jadi luar
biasa pusingnya.

Nah si RTM tadi pulang. Nah kebetulan di Carnegie Mellon University ini ada kumpulan orang-
orang admin yang mungkin dia enggak pulang. Entah kenapa dia, “Wah kok network saya kok
jadi lambat gini? Server saya jadi kacau begini?” Terus di lihat, “Kenapa di server saya kok
banyak program Sendmail yang jalan?” Gitu.

Terus dia ambil program Sendmail-nya, sama dia di-dissect, dibedah, dia lihat. “Oh ini toh.
Ternyata fitur Wizard atau Debug-nya dihapus.” Jadi cara gampangnya adalah si Sendmail-
nya di-compile untuk tidak meng, apa ya, mengakomodasi fitur Wizard atau Debug-nya tadi.
Udah selesai gitu.

Nah cuma sekarang problem-nya adalah bagaimana dia ngasih tahu teman-teman yang lain.
Karena komunikasi pada zaman itu kebanyakan lewat email juga gitu ya. Yang bermasalah
email. Komunikasinya lewat email. Wah jadi bingung gimana gitu. Maka sejak saat itulah
dibuat yang namanya Computer Emergency Response Team atau CERT di Carnegie Mellon
University. Jadi itu awal terbentuknya CERT di sana.

Halaman 7 dari 16
 ITB101

Video 4: Phishing

Baik siswa IndonesiaX, mari kita lanjutkan kembali. Kali ini saya akan cerita sedikit tentang
suatu ancaman yang sering disebut namanya Phishing. Phishing itu adalah personal
information fishing. Jadi dia seolah-olah, kita mancing data pribadi seseorang, data personal.

Awalnya sih memang personal information fishing ini, tadi Phishing itu, dilakukan melalui
email. Jadi banyak email yang dikirimkan ke.. apa ya.. ke orang-orang salah satunya mungkin
Anda pernah terima. Yang mana dalam email itu dia akan meminta Anda untuk memasukkan
data pribadi atau mengubah. Misalnya, yang awal-awalnya itu terjadi di bank. Jadi dia seolah-
olah datang dari US Bank-kah atau Citibank.

Kemudian minta datanya seolah-olah account Anda itu tidak aktif karena ada data yang
kurang lengkap ataukah “kami sedang memperbaiki sistem kita maka Anda mohon
memasukkan data pribadi Anda kemudian tolong dimasukkan”. Nah kalau kita mengikuti
instruksinya, sebetulnya alamatnya itu seolah-olah ya alamatnya itu adalah alamat bank yang
bersangkutan. Misalnya kalau US Bank ya dia seolah-olah alamatnya US bank di.. apa… di link
yang diberikan. Nanti ketika kita klik ya link yang diberikan itu dia pergi ke alamat ke suatu
situs web gitu ya yang mana sebetulnya bukan punyanya bank yang bersangkutan tetapi
halaman yang palsu.

Nah di situlah dia akan mengumpulkan data pribadi Anda. Bukan hanya data pribadi tapi juga
password dan PIN. Nah kemudian setelah dia memperoleh itu barulah dia melakukan
kejahatan. Misal masuk ke account Anda, melakukan transaksi. Kalau bank, transaksi, kalau
e-commerce ya mungkin memesan produk yang tidak Anda inginkan, atau mendapatkan data
kartu kredit kemudian dia memesan di tempat-tempat lain.

Jadi Phishing ini mulai berjaya di awal-awal internet dan sampai sekarang masih berlangsung.
Problemnya dengan Phishing itu adalah dia susah ditangkal secara teknis, misalnya adalah
kalau ada attack-attack atau serangan-serangan lain ya kita bisa pakai firewall atau
penangkal yang lain. Phishing ini tidak bisa. Phishing itu biasanya diarahkan ke email pribadi,
jadi kita atau orang pengguna inilah yang harus menangkalnya.

Jadi salah satu cara penangkalannya adalah kita mengajarkan kalau kita terima email yang
tidak jelas atau emailnya itu menawarkan sesuatu yang keliatannya terlalu wah gitu ya,
jangan klik link yang diminta. Demikian pula untuk data-data pribadi Anda, data pribadi Anda
jangan diberikan dengan segera. Misalnya bank seolah-olah meminta data jangan dijawab
melalui email atau melalui SMS atau melalui telepon tetapi Anda yang memulai atau
menginisiasi koneksi atau menginisiasi komunikasi dan Anda berikan data.

Video 5: Spam

Masalah selanjutnya adalah spam. Ini biasanya terkait dengan email. Spam adalah email yang
kita tidak kehendaki. Jadi emailnya datang dan biasanya email itu berisikan tawaran-tawaran
atau iklan-iklan. Nah problemnya adalah dari spam itu tadi kalau kita kaitkan dengan Phishing
bisa jadi spam-nya itu berisi Phishing.

Halaman 8 dari 16
 ITB101

Tapi spam juga berisi hanya iklan-iklan yang sebetulnya menghabiskan waktu kita juga. Jadi
kita harus memilah mana email yang sesungguhnya, kita memang benar-benar, email yang
kita harapkan. Tapi ada juga yang tidak kita harapkan, jadi kita harus menghapus, delete
delete delete delete delete gitu. Ada satu lelucon yang mengatakan bahwa saya datang pagi-
pagi jam sembilan ke kantor, login, masukkan email, baca email. Nah karena banyak spam ya
saya men-delete delete delete. Selesai delete waktunya jam makan siang. Balik makan siang
buka email lagi, delete delete delete, waktunya coffee break. Setelah coffee break masuk lagi
email, delete delete delete lagi waktunya pulang. jadi kapan kerjanya gitu lho. Spam salah
satunya memang yang bikin kita pusing adalah mengurangi produktivitas.

Di lain pihak juga spam menghabiskan bandwidth dari jaringan juga menghabiskan disk.
Tetapi yang paling utama tadi, digabungkan dengan Phishing dia akan menjadi berbahaya.
Repotnya spam dan Phishing tadi sering sulit ditangani karena tadi tulisan-tulisan manusia
itu dia bervariasi sehingga kalau kita buatkan suatu program atau suatu sistem yang untuk
memfilter seringkali bobol. Nah itulah sebabnya Anda juga kalau menerima email yang tidak
jelas maka dengan dibuka, delete, atau minta kepada administrator di tempat Anda untuk
membuat sistem untuk melakukan filtering terhadap sistem spam.

Kalau kita lihat kejahatan-kejahatan banyak orang memperkirakan kejahatan terkait dengan
keamanan informasi ya tadi attack-nya atau serangannya itu dilakukan dari luar. Jadi kita
pikir wah ini ada hackers dari mana, kompetitor lah, negara lain. Tapi pada kenyataannya
sesungguhnya serangan itu datangnya sebagian besar datang dari dalam. Jadi boleh jadi ada
pegawai yang tidak puas dengan perusahaan kemudian dia melakukan inisiasi, attack-attack
terhadap perusahaan sendiri. Bisa juga dia membocorkan data perusahaan. Kalau kita lihat
ya kasus-kasus misalnya Snowden aja.

Snowden mungkin ada yang mengatakan dia penjahat tapi ada juga yang mengatakan dia
pahlawan. Dia sebagai konsultan, masuk dalam sebuah organisasi, kemudian dia ambil
datanya kemudian dia bocorkan. Nah ini juga kita susah ya melakukan proteksi, karena kalau
kita melakukan proteksi itu biasanya di luar. Kalau kita buat rumah dikasih pagar, nah kita
bisa memproteksi serangan terhadap.. serangan dari luar ya, tapi orang dari dalam tidak bisa.

Demikian pula dalam satu sistem, informasi gitu ya, dalam kampus, dalam perusahaan bisa
kita batasi sistem kita dari bordernya dengan berbagai perangkat. Tetapi repotnya juga kalau
penjahatnya atau orang yang nakalnya ini dari dalam ini akan repot. Jadi sekali lagi perlu
perhatikan juga siapa-siapa yang sebetulnya sumber dari ancaman di dalam perusahaan,
instansi Anda, atau organisasi Anda.

Kalau kita lihat ya sebetulnya ada lagi yang bermasalah adalah teknis versus nonteknis.
Kebanyakan orang memperkirakan serangan itu teknis ya. Teknis misalnya ada orang yang
melakukan hacking, attacks segala macam di dalam perusahaan kita, tidak ada mekanisme
filtering segala macam. Tapi sebetulnya ya yang menjadi utama adalah seringkali tidak ada
kebijakan di dalam instansi atau perusahaan.

Nah kebijakan inilah yang sebetulnya sangat kunci ya dalam mengatur keamanan. Karena kita
tidak tahu... Misalnya sebagai contoh paling gampang begini kita punya pagar, kalau kita
punya rumha, kantor punya pagar, ita punya pagar tapi kita tidak punya aturan siapa yang
boleh lewat pagar itu ya, pintu pagar. Apakah dia karyawan, apakah saudara, atau apa gitu.
Jadi orang sembarangan keluar masuk. Maka percuma ada pagar.

Halaman 9 dari 16
 ITB101

Video 6: Internet Fraud Part 1

Hal yang terjadi juga di dalam sebuah sistem teknologi informasi. Kita punya firewall tapi kita
tidak punya rules dalam firewall karena kita tidak tahu sebetulnya siapa yang boleh
mengakses layanan kita, jam berapa, untuk apa, Akibatnya perangkat-perangkat, atau
perlindungan-perlindungan, atau kendali-kendali yang kita terapkan di dalam sistem kita itu
tidak berfungsi. Karena tadi ya.. tidak ada kebijakan yang jelas.

Nah repotnya lagi biasanya kebijakan ini turunnya dari atas. Untuk itulah sebetulnya kita
harus mengajari juga teman-teman kita yang memiliki jabatan di top management, untuk
sadar ya.. aware terhadap masalah keamanan informasi ini sehingga mereka bisa membuat
kebijakan-kebijakan yang mana itu nanti akan lebih mempermudah operasi di lapangan.

Kalau kita kembali lagi ya.. Nah kita sekarang kita lihat kembali ke statistik di Indonesia.
Statistik di Indonesia itu sebetulnya tidak jauh berbeda dengan statistik di luar negeri. Saya
sendiri mengumpulkannya sejak dari mungkin tahun.. akhir ’90-an ya. Kita ambil dari tahun
’99 lah ke atas. Mulai dari banyaknya serangan-serangan terhadap sistem di Indonesia.

Indonesia sudah mulai terhubung ke internet secara formal gitu ya mungkin sekitar
pertengahan ’90.. ’95-an gitu ya. Maka mulailah banyak serangan-serangan, karena kita sudah
mulai nyambung ke internet maka mulailah banyak serangan-serangan. Sebagai contoh
tahun ’99 kalau nggak salah itu ada serangan-serangan terhadap domain Timor-Timur ya.. dot
tp. Waktu itu dikatakan bahwa wah ini serangan datang dari Indonesia. Ternyata setelah kita
selidiki bukan gitu ya.

Kemudian juga, nah ini mulai, ketika ada sistem baru, teknologi baru, teknologi ini liar karena
tidak diajarkan tentang etika penggunaan teknologinya ini. Maka ini banyaknya orang yang
melakukan abuse terhadap teknologi ini. Sebagai contoh mulai muncul situs-situs auction.
Sebagai contoh kalau di Amerika ada situs ebay gitu ya. Orang Indonesia begitu ketemu
dengan ebay maka melakukan transaksi palsu. Jadi dia seolah-olah Saya ngejual hard disk.
harganya Rp 100.000 atau mungkin kalau dikonversikan ke dalam dolar ya.. taro di ebay atau
situs auction ini kemudian ada orang beli “Saya beli hard disk Anda” gitu. Oke.. Kirim uangnya
dulu. Uangnya dikirim, hard disk nggak dikirim.

Nah itulah mulailah kejahatan-kejahatan tersebut terjadi, sehingga ketika dilihat dari segi
statistiknya kejahatan tersebut banyak datang dari Indonesia. Sehingga ini sangat
memalukan bagi kita gitu ya.. Sehingga domain atau IP yang berasal dari Indonesia itu diblokir
di berbagai situs di luar negeri. Nah itulah yang sebetulnya saya ingin mengajarkan atau
mengajak para siswa IndonesiaX tidak melakukan hal-hal yang negatif itu ya. Ada waktu itu
seorang siswa datang ke saya. Ini siswa saya lagi memberikan presentasi kemudian dia datang
dan bertanya
“Pak saya mau tanya”
“O kenapa”
“Saya dapat surat dari..” (saya lupa ya..FBI kalau nggak salah, pokoknya dari salah satu
instansi di Amerika)
“Loh kenapa”
“Iya Pak, mereka memberikan surat ini karena saya melakukan carding”
Saya tanya “Kamu melakukan carding?”
“Iya, Pak” (katanya gitu)

Halaman 10 dari 16
 ITB101

“Tapi masalahnya dari mana dia tahu alamat saya, Pak” (gitu)

Yang saya agak heran gitu ya anak ini tidak merasa berdosa. Jadi dia merasa bahwa dia biasa-
biasa aja. Terus pertanyaan kedua:

“Pak mereka akan mengejar saya ke Indonesia nggak?”

Jawaban saya waktu itu:

“Enggak. Buat apa mereka ngejar-ngejar kamu” (gitu ya)

“Kan kamu paling membuat kerugian 3.000 dollar, 2.000 dollar. Untuk mengirim itu ya orang-
orang dari sana mungkin biayanya 10.000 dollar, 20.000 dollar lebih banyak pasti. Tetapi yang
pasti bahwa kamu, nama kamu itu sudah masuk dalam database-nya di sana sehingga kamu
tidak bisa pergi ke Amerika.”

Rugi sekali. Coba nih misalnya nanti Anda dapat undian datang ke Hollywood atau apa Disney
gitu ya, nggak bisa pergi ke sana. Begitu sampai di lapangan bandara, langsung ditangkap.
Dapat beasiswa masuk perguruan tinggi di Amerika, nggak bisa. Rugi amat gitu ya. Jad, ada
satu tempat di dunia yang mana Anda tidak bisa mengunjungi. Rugi amat itu ya untuk sekadar
mendapatkan buku atau apa melakukan carding gitu ya, menggunakan kartu kredit milik
orang lain.

Jadi saran saya untuk hal-hal semacam itu janganlah kita berbuat kejahatan di dunia maya
ini. Saat ini dibutuhkan banyak tenaga profesional di bidang security. Daripada Anda nakal-
nakal ya, tadi, melakukan kejahatan, cobalah menjadi security professional. Pasti banyak
tawaran pekerjaan karena memang skill seperti itu sangat dibutuhkan.

Video 7: Internet Fraud Part 2

Saya tambahin cerita-cerita lagi ya. Ada banyak cerita cerita lagi. Kasus-kasus yang terjadi di
Indonesia, misalnya di Bandung. Ada warnet yang menggunakan account dial up curian. Nah
ini zaman dulu sih memang.

Kalau zaman dulu internet memang masih susah, masih mahal, jadi kita harus membayar
apa.. per jam gitu ya. Jadi ada warnet yang dia tidak mau membayar jam-jaman akhirnya dia
mencuri account orang lain, yang mana account-nya itu kemudian digunakan. Kebetulan yang
punya account ini teman saya. Jadi misalnya dia tiap bulan bayar 100.000, pada suatu saat dia
ditagih satu juta sekian bayar internet.

"Loh kok bisa sampai satu juta sekian", "Ya Bapak menggunakannya ini jam-jaman, Pak.
Banyak sekali." "Loh dari mana? Saya enggak." Kebetulan si Internet Service Provider ISP-nya
ini dia punya catatan. Punya log.

"Bapak ini menggunakan ini jam-jaman dari Bandung." "Loh saya tinggal di Jakarta." Terus
dia akhirnya dilihat

"Ini orang dari Bandung, Pak" "Berarti ada orang yang menggunakan account Bapak"

Halaman 11 dari 16
 ITB101

Mungkin mencuri segala macem. Jadi pas satu kejadian di-track gitu ya, pas ada satu kejadian
account itu muncul lagi dan oleh si ISP dicek lagi dan itu berada di daerah Bandung Utara.
Ketika digerebek di sana memang waktu itu dilihat dari dial up memang ada account-nya Nah
cuma pada waktu itu kita masih bingung. Ini zaman dulu sekali ya. Apa yang bisa kita jadikan
barang bukti gitu ya. Jadi ya udah layarnya kita potretin cekrek, cekrek, cekrek. Itu barang
buktinya begitu.

Sesungguhnya seharusnya komputernya kita sita gitu ya, hard disk-nya kita bawa untuk
menunjukkan bahwa sebetulnya data ini dari hard disk itu.. bukti ya.. nanti bawa ke
pengadilan. Kasus contohnya masih banyak lagi.

Kemudian juga banyak situs yang mulai diubah, diobok-obok, kalau istilah kerennya defaced,
mukanya diubah, tampilannya diubah. Biasanya ini yang sering terjadi bukan hanya situs
bank, situs-situs pemerintah atau situs-situs yang biasanya jarang dikelola atau diperhatikan
atau jarang di-update, nah itu menjadi sasaran. Nah biasanya ini menjadi kayak apa ya, ajang,
ini, showcase atau menunjukkan bahwa “Wah hebat, saya bisa melakukan pengrusakan”.

Lagi-lagi kalau saya boleh saran kepada adik-adik. Ya kalau kita mau berlatih, latihlah di
rumah di lab gitu ya, tapi jangan merusak situs-situs orang lain. Kalau memang ada
kerentanan, tolong beritahu adminnya. Meskipun kadang-kadang adminnya dikasih tau sekali
dua kali tiga kali sampai berbulan-bulan juga mereka kurang merespon ya, tapi janganlah
mereka diubah-ubah, janganlah di-defaced.

Itu contoh-contoh lagi, ada juga kasus-kasus kejadian yang mungkin ini kejadiannya terkait
dengan infrastruktur ya. Misalnya jaringan terputus, ada jaringan VSAT yang terputus
beberapa saat sehingga bank tidak bisa melakukan transaksi seperti itu. Ada juga kejadian
yang seolah-olah kita kena attack di satu instansi. Waduh kita kena attack. Di-flood segala
macem ya, dibanjiri dengan paket yang banyak segala macem kita tidak bisa melakukan
transaksi.

Ternyata setelah kita investigasi ada satu perangkat. itu hub ya yang dia rusak sehingga
menimbulkan paket yang banyak, paket arp yang banyak sehingga seolah di-attack. Ada juga
waktu itu juga satu situs yang website-nya tidak bisa kita akses. Kita coba. “Wah kita di-attack
segala macem”. Ternyata UTP-nya lepas. Kejadian-kejadian seperti itu ada. Dan tentu saja
kalau kita lihat ya masih ada banyak banyak kasus-kasus yang lain. Kebetulan memang yang
tertarik adalah kasus-kasus yang terkait dengan perbankan jadi yang saya kasih contoh-
contoh tadi situs-situs perbankan. Nanti akan saya kasih contoh lagi yang lebih berbahaya
lagi, yaitu contoh untuk mencuri data melalui skimmer.

Video 8: Kejahatan di Era Sistem Informasi

Baik siswa IndonesiaX, kita akan lanjutkan dengan statistik lagi atau cerita tentang kejahatan-
kejahatan yang terjadi di Indonesia. Kali ini saya ambil kasus-kasus yang terjadi di dunia
perbankan. Mohon maaf nih kepada teman-teman di dunia perbankan. Bukan dunia
perbankan yang paling bermasalah ya. Karena kebetulan saja yang yang saya perhatikan dan
saya ambil datanya, saya kliping dari koran-koran adalah berita tentang dunia perbankan,
informasi-informasi yang ada di publik.

Halaman 12 dari 16
 ITB101

Sebagai contoh, ini ada potongan “BRI Manado dibobol transfer fiktif delapan miliar”,
“Karyawan Bank Mandiri Membobol 95 Miliar”. Wah jumlahnya fantastis banget ya. Yang
kecilan gitu. “Karyawan Bank Danamon Sragen Menilap 2,9 miliar”. Dan semua ini kalau kita
perhatikan dari beritanya itu, kalau kita baca, itu dilakukan oleh orang dalam.

Ini untuk menunjukkan kembali pada poin sebelumnya bahwa banyak kasus itu terjadi
dilakukan oleh orang di dalam, bukan orang di luar. Sebagai contoh, kita mendengar kasus
internet banking, kejadian, atau SMS banking umumnya nilainya tidak sefantastis tadi.

Boleh jadi ini disebabkan karena orang dalam lebih tahu mana tempat-tempat uang yang
banyak dan ya mungkin tidak terlalu diperhatikan gitu ya. Sehingga dia bisa melakukan
kejahatan dalam skala yang besar. Masih banyak kasus-kasus yang lain. Hampir semua bank
itu ada kasus-kasusnya, tidak perlu saya sebutkan. Nanti bisa dilihat di layar saja. Yang lucu
ada juga “Kawanan Maling Bobol ATM Bank Mandiri” Ini bobolnya itu mesin ATM-nya dibawa
pergi, dibawa kabur se ATM-ATM-nya. Nanti mungkin nanti bobol di tempat lain. Kebayang itu
satpamnya yang lagi jaga gitu. Waah ada mobil berdiri 7-8 orang gitu ya langsung membobol
mesin ATM. Satpamnya juga mungkin takut ya. “Silakan, silakan. Iya, Mas silakan, Mas. Tolong
saya ditempeleng biar saya pingsan supaya saya nggak ditangkap polisi, Mas”.

Tapi ini memang, memang gitulah ya kejadiannya. Dan yang menariknya lagi bank yang
bersangkutan tidak berapa lama dia taro lagi mesin ATM di situ. Karena biar bagaimana pun
juga mesin ATM ini merupakan delivery channel yang apa ya yang paling disukai oleh orang
Indonesia. Jadi walau bagaimana pun juga ya harus ada mesin ATM di sana. Masih banyak
transaksi-transaksi lain ya yang berhasil di... di apa ya di-attack oleh orang dalam. Mulai dari
kecil, besar, jumlahnya fantastis. Saya tidak akan sebutkan semuanya di sini. Dan statistiknya
itu berlangsung dari dulu sampai sekarang.

Yang menarik lagi boleh jadi ini bukan attack, tapi ada karyawan, apa bukan karyawan ya..
mesin yang melakukan penggajian karyawan rusak. Nah ini juga karyawan jadi rusuh karena
dia nggak terima gajian ya. Itu tadi dilakukan oleh orang dalam. Nah bagaimana kalau
dilakukan oleh orang luar dengan mesin ATM. Ada macam-macam kejadiannya.

Yang sering terjadi itu adalah orang yang pura-pura membantu kita di mesin ATM “Nanti saya
bantu masukkan PIN-nya segala macam” kita percaya kemudian pas kita berikan ATM-nya
kemudian kita bantu ngambilin.. apa masukkan PIN-nya yang dia ngambil, bobol. Ada juga
orang yang minta tolong anak buahnya atau office boynya atau pesuruhnya “tolong ambilin
uang” gitu ya.. nggak balik lagi.

Nah itu kejadian-kejadiannya. Yang kasian itu ada juga orang yang melakukan transaksi gitu
jual beli setahu saya jual beli motor gitu ya. Kemudian dia bilang “Bu, motornya saya beli ya.
pembayaran saya lakukan transfer di mesin ATM.” Kemudian dia masuk ke mesin ATM setelah
minta rekening ibunya tadi ya, nomor rekeningnya. Kemudian dia keluar “Ini Bu sudah saya
transfer dengan menunjukkan print out. Padahal ternyata dia tidak melakukan transfer tapi
dia bawa printer di dalam ATM. Di-print seperti printeran ATM terus dikasih “Bu, ini Bu.” BPKB,
STNK sudah dibawa kabur, kemudian si ibunya ngecek nggak ada saldonya gitu ya. Jadi ini
adalah kasus kasus yang terjadi di mesin ATM. Nah kali ini saya cerita tentang skimmer.

Video 9: Skimmer

Halaman 13 dari 16
 ITB101

Siswa IndonesiaX,

Saya sekarang akan menceritakan tentang kejahatan yang disebut skimmer. Skimmer itu
adalah sebuah alat yang bisa digunakan untuk mengambil dan mencatat data dari kartu kita.
Nah kalau kita perhatikan ini misalnya contoh kartu ATM kita, atau kartu kredit, bentuknya
sama. Di bagian belakang ini terdapat magnetic stripe, yang hitam. Ini adalah magnetic stripe
kita. Kalau kita memasukkan kartu ini ke mesin ATM, maka si mesin ATM akan membaca data
yang ada di magnetic stripe.

Kemudian dia akan mengetahui nomor account yang terkait dengan kartu ini. Kemudian
mesin ATM akan menanyakan pada kita “Tolong masukan PIN-nya”, kemudian kita masukkan
PIN-nya. Kemudian kita melakukan transaksi. Nah yang dilakukan dengan skimmer adalah si
penjahat ini memasang alat di depan mesin ATM, pas di tempat kita memasukkan kartu.
Sehingga ketika kita memasukkan kartu, si alat skimmer-nya ini tadi membaca magnetic
stripe-nya, kemudian dia merekam data yang ada di magnetic stripe ini ke dalam alat
skimmer-nya.

Kemudian tanpa kita sadari kemudian kita melakukan transaksi dan seterusnya. Nah si alat
skimmer ini nantinya diambil oleh si penjahat tadi. Kemudian dia bisa menuliskan data itu di
kartu kosong. Dia write, maka dia mendapatkan kartu yang sama dengan kartu kita.

Bagaimana dengan PIN-nya? “Ya, Pak. Itu kartunya kan dia sudah bisa dapat. Tapi kan dia
belum tentu bisa dapat PIN kita, Pak.” Ya, betul. Kalau itu lain lagi. kalau itu nanti di mesin
ATM-nya itu dipasang kamera. Kameranya itu bisa dipasang di tempat meletakkan pamflet.
Atau yang sekarang itu di atas. Di atas itu. sehingga ketika kita mengetikkan nomor PIN, maka
tercatatlah atau terekamlah nomor PIN kita. Sehingga dia tadi sudah mendapatkan kartunya,
kemudian dia mendapatkan PIN-nya. maka berikutnya dia bisa melakukan transaksi dengan
menggunakan kartu kita.

Nah sekarang sudah mulai ada perlindungan, yang mana kalau kita lihat di mesin-mesin ATM
ada alat yang digunakan untuk menutupi. Kalau saya sekarang masih agak paranoid. Sudah
ada alat itu juga masih saya tutupin juga pakai tangan, badan, pakai kepala. Pokoknya segala
macam, pake jaket gitu ya. Saking paranoidnya tadi itu ditutup-tutupin PIN-nya itu tadi. Dan
biasanya kalau saya pergi ke mesin ATM saya cek dulu nih. Tempat memasukkan kartunya ini
ada potensi orang itu tempelan bukan. Kalau dilihat tempelan, ah jangan. Saya lebih baik
pergi ke mesin ATM yang lain. Sambil saya lihat juga potensi orang meletakkan kamera.

Itulah sebabnya juga saya minta kepada teman-teman yang berada di dunia perbankan kalau
bisa ATM itu dibuat perlindungan supaya hal-hal semacam itu dapat mudah dideteksi dan kita
bisa melindungi customer-nya dengan lebih baik.

Salah satu perlindungan lain adalah di kartu kita ini di kemudian hari atau sekarang mulai
diletakkannya chip di sini (Prof. Budi menunjuk ke kartu) sehingga data yang ada di magnetic
stripe mulai dipindahkan ke chip. Dan chip juga bisa memuat data yang lebih banyak dari
magnetic stripe sehingga bagi orang yang ingin mendapatkan data tadi, yang ingin mencuri
data tadi, dia lebih sulit lagi mendapatkan datanya. dan dia lebih sulit untuk memalsukan
kartu ATM kita atau kartu kredit kita.

Jadi ya sekali lagi jaga baik-baik kartu kita ini, perhatikan tempatnya, jangan menggunakan
mesin ATM atau mesin-mesin yang tidak jelas, di tempat-tempat yang tidak jelas. Kemudian

Halaman 14 dari 16
 ITB101

juga lindungi PIN kita, jangan beritahu kepada orang lain. Kita halangi pakai tangan atau
mekanisme lain lah ya supaya PIN kita tidak terlihat. Dan kalau anda sangat paranoid, ubah
PIN secara berkala.

Itulah kejahatan yang dilakukan dengan skimmer. Dan sampai sekarang skimmer ini
berlangsung. Untuk itu mudah-mudahan dengan saya bercerita ini para siswa IndonesiaX bisa
lebih terlindungi dari kejahatan serangan skimmer.

Nah Siswa IndonesiaX, kalau kita lihat tadi ada berapa kasus atau contoh-contoh yang terkait
dengan kejahatan menggunakan teknologi informasi di bidang perbankan. Biar bagaimana
pun juga ternyata menggunakan mekanisme elektronik itu lebih aman. Karena ada juga
orang yang takut. “Saya takut melakukan transaksi segala macem. Bagaimana kalau saya
gunakan mekanisme yang konvensional. Misalnya ambil uang, ambil uang langsung ke bank
aja, ke teller “.

Ternyata setelah saya kumpulkan data juga, wah ada banyak masalah gitu. Sejumlah
perampokan nasabah bank di Jabotabek. Ada yang jalan mana, tanggal berapa, 100 juta,
adalagi 200 juta. Jadi ceritanya adalagi orang ngambil uang di bank ternyata sudah
diperhatikan “Wah ini dia orang ngambil uang di bank, dia bawa tas ransel atau tas biasa atau
kresek. Ngambil berapa, seratus juta.” Serem amat. Kalau sekarang ada lawakan: Kalau ambil
uang di bank sekarang, di depan sudah ada motor Rx “Ayo, Mbak”. “Wah itu nggak jadi Mas,
transfer saja”.

Jadi biar bagaimana pun juga mekanisme transfer elektronik itu masih jauh lebih aman
daripada kita melakukan transaksi secara fisik sekarang. Jadi itulah sebabnya tadi ada risiko
dalam kita menggunakan teknologi informasi di dunia perbankan. Tetapi risikonya itu jauh
lebih kecil daripada kalau kita melakukannya secara konvensional seperti juru nyawa. Jadi ini
memang betul-betul elektronik itu memang lebih menarik.

Sebetulnya ada kasus-kasus lain. Tadi kita bicara tentang kasus pencurian data, kemudian
transaksi fiktif dan lain sebagainya. Ada juga kasus-kasus yang terkait dengan identitas data,
misalnya data sebuah pemilu. Misalnya, datanya diubah-ubah. nah itu tidak lagi merupakan
kerahasiaan data, tapi integritas dari data. Misalnya data partai berubah atau partainya
dibuat sama semua. Nah itu kasus yang kita sebut namanya integritas. Kita akan bahas lebih
detil tentang itu di minggu selanjutnya.

Jadi kalau kita lihat ya semuanya ini menunjukkan bahwa ada masalah keamanan di dalam
pemanfaatan teknologi informasi. Contoh-contohnya sudah saya jelaskan. Contoh-contoh di
luar negeri sudah ada atau di Indonesia juga sudah saya jelaskan. Kemudian ada kasus-kasus
di dunia perbankan juga sudah kita lihat. Semoga itu bisa menjadi bayangan atau gambaran
bagaimana risiko pemanfaatan teknologi informasi. nanti akan kita bahas lebih lanjut
mengenai prinsip-prinsip keamanan informasi.

Video 10: Keamanan Sistem

Jadi Siswa IndonesiaX, Anda sudah mulai ketakutan. Jadi gimana nih? Apa kita punya satu
sistem yang aman? Mungkinkah aman? Secara teori dan praktik memang kita tidak mungkin
memiliki sebuah sistem yang 100% aman, pasti ada masalah-masalah. Ini terkait dengan
timbal balik antara kenyamanan dengan keamanan.

Halaman 15 dari 16
 ITB101

Kalau kita ingin aman biasanya tidak nyaman. Jadi, sebagai contoh kalau misalnya kita ingin
meninggalkan rumah, tempat kost-kostan, atau kantor. Maka, untuk pengamanan, kita kunci
sekali. Wah masih belum percaya kita kunci, tadi sudah dikunci, kita pasang gembok. Masih
kurang percaya lagi, kita pasang grendel, kita pasang bar, dan lain sebagainya. Itu untuk kita
meningkatkan keamanan. Tapi di sisi lain jadi tidak nyaman. Ketika kita ingin membuka lagi,
semuanya harus kita buka satu-satu. Bar kita buka, gembok kita buka, kita buka kunci, kita
buka wah bermacam-macam. Jadi kalau kita sudah pasang-pasang meningggalkan rumah,
segala macam, eh dompet ketinggalan, handphone ketinggalan, hiyaa buka lagi.

Jadi ini untuk menunjukkan bahwa keamanan dan kenyamanan itu agak sedikit bertolak
belakang. Untuk itu memang kita harus memilah-milah dan memang Anda harus memilih
sejauh mana kenyamanan Anda ingin korbankan. Sejauh mana keamanan ingin didapatkan.
Itulah sebabnya kalau kita berbicara soal kenyamanan, berbeda antara keamanan untuk
personal pribadi kita, instansi. Instansi juga bervariasi, ada instansi yang terkait dengan
transaksi, contohnya perbankan, ada instansi perkantoran, dan juga ada instansi militer
misalnya. Jadi tingkat keamanannya tentu saja berbeda. Tingkat kenyamanannya berbeda.
Nah itu memang yang harus kita atur-atur. Sehingga tidak bisa dipukul rata information
security atau keamanan informasi di semuanya itu sama. Nanti Anda yang harus membuat
keputusan dan biasanya itu melibatkan kepada pengguna yang lain, sejauh mana ingin Anda
amankan. Jadi kalau boleh kita simpulkan ada yang berpendapat bahwa sebetulnya
keamanan itu relatif dan keamanan itu bergantung kepada risiko. Sejauh mana risiko itu boleh
atau dapat kita terima, maka tingkat keamanan itu kita tetapkan seperti itu.

Contoh kasus lagi misalnya kalau di perguruan tinggi memang sistem keamanan tidak terlalu
banyak. Konsepnya di perguruan tinggi itu berbagi. Jadi kalau berbagi password di perguruan
tinggi memang lazim dilakukan. Berbagi password di lab, berbagi password untuk akses
internet di kampus. Itu sering terjadi dan nggak terlalu dipermasalahkan. Tetapi budaya itu
kalau dibawa ke perusahaan jadi masalah. Karena tadi, perbedaan konsep security-nya.
Untuk seperti itu maka kita nanti akan pelajari tentang prinsip-prinsip keamanan informasi.

Halaman 16 dari 16
 ITB101

Information Security: Protecting Your

Information in the Digital Age

Transkrip
Minggu 3: Prinsip-prinsip Keamanan Informasi – Part 1

Video 1: Urgensi Keamanan Informasi

Video 2: Klasifikasi Keamanan Informasi
Video 3: Elemen Sistem Keamanan Informasi
Video 4: Teknis Keamanan Informasi
Video 5: Integrity
Video 6: Availability
Video 7: Authentication
Video 8: Non-Repudiation
Video 9: Access Control

Video 1: Urgensi Keamanan Informasi

Halo Siswa IndonesiaX,

Kita berjumpa lagi. Kali ini saya akan menceritakan tentang sebab-sebab mulai ramainya
tentang keamanan informasi. Information security, Pada video sebelumnya saya sudah
bercerita tentang alasan-alasan dan kasus-kasusnya.

Nah sekarang saya akan mengungkapkan mengapa sekarang banyak concern terhadap
keamanan informasi. Yang pertama adalah sekarang mulai banyak aplikasi bisnis yang
nyambung atau terkait dengan komputer atau internet. Kalau dulu aplikasi-aplikasi bisnis itu
dijalankan stand alone atau tersendiri atau jalan sendiri, komputernya sendiri, tidak
terhubung ke mana-mana, sehingga kalau kita ingin melakukan serangan berarti kita secara
fisik datang ke tempat itu.

Kemudian internet dibuka secara komersial itu sekitar tahun 1995-an. Maka mulailah
perusahaan terhubung ke internet. Aplikasi-aplikasi mulai dapat diakses di internet. Maka
mulailah timbul kejahatan. Kalau dulunya internet itu hanya digunakan untuk perguruan
tinggi dan lembaga penelitian. Jadi internet dengan pendidikan itu sangat erat sekali, karena
memang asalnya dari sana. Maka karena dulu isinya hanya itu, tidak terlalu menarik. Maka
tidak terlalu banyak kasus-kasus yang terkait dengan keamanan informasi. Jadi banyaknya
aplikasi yang tersambung dengan internet inilah yang menyebabkan salah satu alasan
mengapa kita mulai mengangkat isu terkait dengan keamanan informasi.

Yang kedua, kalau kita lihat dari topologi atau arsitektur dari sistem komputer. Kalau awalnya
sistem komputer kita itu adalah centralized atau tersentralisasi. Jadi zaman dahulu komputer
itu secara umum diwakili oleh main frame. Jadi main frame itu adalah komputer yang sangat
besar. Dia terletak di sebuah data center. Kemudian pengguna-penggunanya terhubung
dengan terminal-terminal. Ini masih banyak di bank-bank yang kuno-kuno. Yang dulu itu ya,
main frame terhubung. Jadi itu adalah centralized.

Halaman 1 dari 17
 ITB101

Centralized dulu dilakukan karena harganya (komputer) mahal. Kita nggak bisa punya main
frame di setiap kantor cabang. Dan teknologinya pada waktu itu masih belum memungkinkan.
Jadi centralized. Kemudian teknologi berubah. Harga komputer mulai turun. Mulai ada
komputer yang mini, kemudian muncullah personal computer dan server-server. Maka sistem
yang ada berubah dari yang centralized menjadi decentralized atau desentralisasi.

Maka mulailah ada kantor yang kantor pusatnya punya satu server, di kantor cabang ada
server lagi, server lagi, server lagi, server lagi. Maka pengguna yang lokal di kantor cabang itu
dia akan mengakses server lokal. Server lokal dengan pusat saling berhubungan. Jadi itu
desentralisasi. Zaman dulu memang harga koneksi tadi, bandwidth itu masih termasuk mahal
maka biasanya server ini tidak selalu terhubung dengan pusat. Dia biasanya terhubung
dengan pusat kalau di lingkungan bisnis itu di akhir hari atau akhir jam kerja. Selesai jam kerja
atau end of day maka dia melakukan transaksi dengan pusat. Hitung-hitungan.

Nah permasalahan terjadi adalah ketika dengan sistem yang terdesentralisasi ini. Ada banyak
komputer yang terletak di kantor-kantor cabang ini dan dia tidak terkelola dengan baik.
Maklum, biasanya sumber daya manusianya terbatas di perusahaan itu. Dan biasanya
(sumber daya manusia itu) adanya di pusat. Sehingga kalau ada suatu perusahaan
mempunyai 100 kantor cabang, atau katakanlah 50 kantor cabang, maka untuk melakukan
upgrade dia harus kirim SDM dari kantor pusat ke kantor cabang. Dia harus keliling seperti itu.
Masalahnya biasanya terkait dengan SDM. Jadi kurang SDM, dia harus mengelola.

Kalau di-remote misalnya dengan melalui jaringan juga, karena memang waktu itu
jaringannya masih lambat, maka agak sulit juga mengelola atau melakukan update secara
remote. Itulah sebabnya mulai terjadi masalah dengan sistem-sistem yang terdesentralisasi.
Kalau sekarang teknologinya mulai sentralisasi lagi. Jadi kalau kita lihat seperti pendulum,
sentralisasi-desentralisasi-sentralisasi. Sekarang sentralisasi lagi dengan menggunakan web
base, berbasis web.

Jadi di kantor pusat ada server web maka di kantor-kantor cabang tadi menjadi terminal lagi,
tapi terminalnya sekarang adalah web browser sehingga dengan menggunakan web browser
dia bisa mengakses data atau aplikasi di pusat. Maka pengelolaan terjadi di pusat lagi. Jadi
bisa lebih terkendali. Meskipun harus ada update di sisi klien. Tetapi biasanya ini updatenya
lebih minimal dibanding model yang seperti dulu. Jadi ini nanti kita lihat apakah yang sifatnya
seperti ini juga dapat mengurangi terjadinya kasus-kasus keamanan informasi.

Berikutnya lagi. Nah ini yang agak susah, yaitu single vendor versus multi vendor. Zaman dulu
komputer itu cuma satu. Di lingkungan bisnis ya cuma IBM. Jadi hanya ada IBM. Tidak ada
vendor-vendor lain. IBM, sudah gitu ya. Nah, sekarang kalau kita lihat di sisi server ada macam-
macam. Ada wah pokoknya jenisnya mereknya macam-macam. Di segi jaringan juga macam-
macam. Ada router yang mereknya Cisco, Juniper, Nortel, Tricom. Wah banyak lagi, Atau yang
kita kembangkan sendiri, berbasis Linux, berbasis BSD. Jadi, untuk menguasai router saja
dalam satu perusahaan itu bisa banyak.

Nah permasalahan ini biasanya terkait dengan pengadaan barang di Indonesia. (Dalam)
Pengadaan barang itu kita tidak bisa menyebutkan satu merek. Misalnya kita ingin
mengadakan router Cisco. Tahun depan routernya Cisco atau Juniper. Tahun depan Juniper
lagi, dan seterusnya. Jadi harus kita tenderkan. Permasalahan dengan tender, kadang-kadang
tahun ini menang Cisco, tahun depan menang Juniper, atau tahun depannya lagi kita buat
sendiri dengan Linux base atau BSD base dan seterusnya. Sehingga di dalam perusahaan kita

Halaman 2 dari 17
 ITB101

atau instansi kita ini kayak kebun binatang. Banyak sekali perangkat-perangkat yang cara
pengelolaannya beda-beda.

Bayangkan untuk ambil satu orang SDM yang menguasai satu produk saja sudah susah.
Apalagi sekarang SDM-nya terbatas, produknya banyak. Akibatnya apa? Akibatnya banyak
perangkat yag tidak di-update. Tidak ter-update. Biasanya secara berkala ditemukan
kelemahan-kelemahan. Kelemahan-kelemahan inilah yang dieksploitasi orang-orang
perusak-perusak atau cracker-cracker. Itulah sebabnya multi vendor itu sebetulnya menjadi
masalah.

Single vendor pun menjadi masalah. Single vendor itu biasanya kayak biologi lah. Kalau
semua orang jenisnya sama, begitu kena satu jenis penyakit maka musnahlah seluruh
manusia. Memang manusia beda-beda itu ada bagusnya juga. Dalam sistem komputer beda-
beda juga ada bagusnya Jadi kalau satu produk kena virus maka produk lain belum kena virus.
Jika satu produk kena masalah, ada flaw, produk lainnya tidak kena masalah tersebut. Jadi
mem-balance antara single vendor dengan multi vendor ini menjadi suatu masalah tersendiri.
Tetapi setidaknya kita jangan terlalu multi vendor juga. Tidak menaruh semua di dalam satu
produk. Kalau orang bilang itu put all eggs in one basket. Nah ini menimbang-nimbangnya
susah. Di sisi lain peraturan di Indoensia pun harus diperbaiki.

Lebih lanjut lagi, nah sekarang pemakai itu makin melek teknologi. Kalau kita lihat anak
muda, lahir sudah menguasai komputer. Sudah tahu tablet, sudah tahu komputer. Sementara
pengelola seperti kami-kami ini harus belajar karena sudah tua. Dulu awalnya mula-mulanya
juga tidak ada komputer. Sehingga biasanya anak-anak muda ini jauh lebih cepat memahami
aau mengadopsi komputer. Sehingga kesempatan mereka melakukan eksploitasi juga lebih
banyak. Mereka juga lebih biasa dengan teknologi dan lebih menyukai teknologi.

Sehingga kalau kita lihat di kampus-kampus misalnya mahasiswa yang lagi nganggur dia
utak-atik. Maka banyak cracker atau orang yang sering ngoprek atau hacker dalam artian yang
baik, itu ada di kampus-kampus. Ya siapa tahu misalnya lagi sibuk, kayak saya lagi di sini,
mahasiswa saya di sana lagi meng-attack. Ini hal-hal yang terjadi. Jadi melek teknologi
informasi itu juga sebetulnya merupakan tantangan. Merupakan hal yang baik, tetapi
merupakan tantangan.

Dan yang agak sedikit bikin kita pusing adalah masalah hukum. Kata orang, hukum tertinggal
dari teknologi. Sebetulnya tidak. Tetapi pemahaman orang terhadap hukum dan teknologi ini
yang mungkin harus diselaraskan. Teknologi memang cepat sekali. Kita adopsi teknologi,
belum sempat kita ajarkan penggunaannya, etikanya seperti apa, hukumnya seperti apa, tiba-
tiba sudah digunakan dan sudah marak. Nah ini yang repot. Pemahamannya harus sama,
kemudian penegak hukum harus kita ajarkan Bagaimana teknologi ini digunakan, bagaimana
teknologi ini memiliki kelemahan dan dieksploitasi oleh pihak-pihak yang lain. Kemudian jika
kita ingin melakukan proses hukum juga bagaimana kita mengumpulkan data yang biasanya
terkait dengan forensik sehingga itu nanti bisa dibawa ke kasus pengadilan. Jadi ini satu hal
yang sangat menarik juga.

Kemudian yang menjadi masalah juga adalah meningkatnya kompleksitas. Sebagai contoh,
kalau dulu program komputer itu kecil-kecil. Dulu zaman saya program komputer itu bisa
masuk dalam satu disket. Disket yang ukuran kecil. Disketnya juga mungkin kapasitasnya
seingat saya yang agak besar, lima seperempat ya, itu sekitar 1,2 MB. Kalau sekarang flash disk
saja sudah giga byte. Jadi itulah betapa besarnya kapasitas. Program dulu di disket yang kecil

Halaman 3 dari 17
 ITB101

saya bisa masukkan program word processor. Kalau zaman saya ada yang namanya wordstar.
Programnya ada di situ, datanya ada di situ, data untuk yang saya ketikkan juga ada di situ.
Dalam satu disket. 1,2 MB semuaya ada. Kalau sekarang untuk instalasi saja harus pakai DVD,
datanya harus pakai.. Wah ukurannya besar. Nah itu biasanya terkait dengan kompleksitas
dari program yang digunakan.

Semakin kompleks program, semakin banyak potensi keamanan atau potensi security hole.
Itu sebabnya sekarang kalau kita lihat program-program besar itu sebetulnya tidak bagus bagi
kita. Dalam hal data, kalau kita bicara tentang data biasanya satu program itu artifaknya yang
kita lihat adalah jumlah baris atau disebut lines of code. Windows 3.1 di tahun 1992 itu hanya
ada tiga juta baris. Windows 2000 di tahun 2000 ada lebih dari 35 juta baris, atau 35 sampai 60
juta baris. Demikian pula Linux mungkin sekitar 55 juta baris. Bayangkan ya kalau dari 50 juta
itu kan pasti ada orang teledor, lupa, dan di situlah potensi security hole.

Nah sekarang emang kita tidak bisa mengelak lagi dengan kompleksitas sehingga ini harus
kita tangani dengan cara tersendiri. Tapi ini untuk menunjukkan bahwa tantangannya
menjadi lebih berat di dalam keamanan informasi. Jadi itulah beberapa sebab mengapa kita
sekarang banyak berdiskusi tentang keamanan informasi.

Video 2: Klasifikasi Keamanan Informasi

Sekarang Siswa IndonesiaX, kita akan bahas tentang klasifikasi keamanan informasi. Biasanya
ketika kita berdiskusi tentang keamanan infromasi yang kita bahas itu adalah hal-hal yang
bersifat teknis. Tentang datanya, media, teknik-tekniknya. Itu yang menjadi bahasan kita di
perkuliahan-perkuliahan atau bahkan komunikasi seperti ini Tapi sesungguhnya kalau kita
lihat menurut David Icove itu sesungguhnya keamanan informasi tidak hanya sekadar itu.
Sebagai contoh bisa kita lihat keamanan itu terkait dengan keamanan fisik. Dulu orang
mengira kalau kita berbicara soal keamanan informasi itu harus selalu soal hacking, data,
segala macam, tapi sesungguhnya bisa juga masalah fisik.

Sebagai contoh daripada kita melakukan hacking-hacking curi data, lebih baik computer saja
kita curi secara fisik. Notebook kita ambil dari mobil, selesai. Bahkan lebih sadisnya ada orang
datang ke data center diambil komputernya. Jadi memang secara fisik. Jadi kita ada
disebutnya physical security. Ada sebuah kasus juga di mana orang melakukan perseteruan
antarperusahaan. Itu bukan hanya hacking-hackingan, gunting-guntingan kabel di data
center. “Jadi ini hostingnya siapa, gunting kabelnya”. Itu untuk menunjukkan (keamanan)
secara fisik.

Keamanan fisik dan informasi juga terkait dengan tempat data center. Sebagai contoh
misalnya tempat data centernya kita letakkan di suatu area yang rentan terhadap banjir,
misalnya. Begitu banjir datang, maka data center tidak berfungsi, putus, bahkan komputernya
rusak, server-server rusak. Atau fisiknya dia terletak di daerah yang banyak petir, sehingga
ketika hujan datang petir menyambar, rusaklah server, layanan terhenti. Juga bisa juga
terletak di daerah yang mungkin banyak demo, sehingga orang tidak bisa bekerja ke sana.
Mau bekerja di sana terhalang demo, sehingga tidak bisa apa-apa.

Yang repotnya kalau secara fisik di Indonesia ini kita itu berada di tempat yang katanya ring
of fire. Gunung-gunung di tempat kita itu memang aktif. Bayangkan kita sudah mengalami
beberapa kejadian yang terkait dengan gempa, gunung meletus dan lain sebagainya. Jadi ini

Halaman 4 dari 17
 ITB101

juga secara fisik menjadi masalah dari keamanan informasi. Desain dari ruangan tempat
menyimpan server pun terkait juga dengan physical. Sebagai contoh, bagaimana melarang
atau membatasi orang masuk ke dalam data center. Karena data center itu sangat kritis, jadi
tidak boleh sembarang orang masuk ke dalam.

Bagaimana access control-nya ke dalam situ. Apakah harus menggunakan PIN ataukah hanya
menggunakan kunci. Dan yang lebih sadis di tempat-tempat lain yang lebih paranoid itu pakai
sidik jari, palm tangan, mata retina. Dan berbagai cara lagi. Pada prinsipnya untuk membatasi
akses fisik. Jadi keamanan informasi dilihat dari physical security. Sayangnya ilmu yang
terkait dengan itu masih baru, jadi tidak banyak buku atau referensi yang membahas tentang
keamanan informasi terkait dengan physical security tapi itu menjadi bagian yang penting.
Jadi jangan dilupakan bahwa keamanan infromasi itu tidak hanya sekadar hacking-hacking
saja tetapi physical security pun menjadi satu factor yang utama.

Yang kedua sebetulnya ada orang bilang bahwa yang lebih penting itu adalah orangnya. The
man behind the gun. Bukan pistolnya yang penting, tetapi orang di belakang, pistol itu. Kalau
kita kasih pedang juga sama. Ini pedang, atau bedog, atau golok digunakan untuk apa. Oleh
satpam atau maling? Satpam sama maling kan sama. Dua-duanya malam-malam pakai
sarung, bawa bedog. Yang satu maling yang satu satpam. Nah ini susah. Ini terkait dengan
mungkin psikologi. Kenapa orang melakukan kejahatan, kenapa orang melakukan hacking
atau merusak. Ini ilmunya ilmu yang berbeda. Ada beberapa disertasi yang saya baca yang
terkait dengan seperti itu. Bagi kita mungkin agak lucu,tapi sebetulnya kejadian juga. Mungkin
pernah dengar juga ada keributan, orang berantem di sebuah perkampungan ada anak
remaja duduk-dudk tiba-tiba ada orang lewat, berantem.

“Kenapa anak dipukulin?”

“Saya nggak suka lihat wajahnya dia, Pak. Nantangin, Pak”

Ya sudah. Berantem.

Ada kejadian juga ada satu website dihack.

“Kenapa websitenya dihack”

“Websitenya jelek, Pak. Saya hack saja, Pak. Nantangin juga, Pak webnya”

Atau ada orang yang mengatakan bahwa “Pak, website kami aman 100%”. Itu namanya
nantangin. Sudah pasti kalau Anda mengatakan demikian, pasti itu akan menjadi sumber
serangan. Itu tadi (adalah) masalah manusia. Masalah manusia terkait juga dengan cara
berpikir. Ada perbedaan yang tipis antara security professional dengan cracker. Karena dia
alatnya sama, toolsnya sama, tapi caranya beda. Sebagai contoh, misalnya nanti kalau kita
berbicara tentang teknis, yang kita sebut misalnya port scanning. Lubang mana saja yang
terbuka. Itu boleh tidak ya?

Kalau saya diskusi dengan orang-orang,

“Kan saya nggak nyuri, Pak. Cuma ngelihat saja, Pak”

“Kan saya tidak melakukan attack”

Betul juga sih ya. Tapi di sisi lain juga biasanya orang yang mencuri melakukan (hal) seperti
itu. Jadi kalau saya anggap itu sebagai tidak bersahabat, unfriendly. Belum terjadi kejahatan

Halaman 5 dari 17
 ITB101

tetapi sudah mencurigakan. Bayangkan kalau ada orang datang ke rumah Anda, coba cek
pintu, jendela. Kalau ditangkap, (dia bilang) “Kan saya nggak ngapa-ngapain Pak. Saya cuma
ngecek pintu rumah Bapak terkunci atau tidak”

Kan jadi repot. Orang ini jahat atau nggak ya atau nggak bersahabat ya.. Unfriendly. Ha-hal
semacam itu yang membuat kita kadang-kadang berbeda pendapat tentang berbagai hal
yang kita sebut masalahnya ini masalah yang terkait dengan manusianya atau orangnya.

Yang ketiga tadi tentunya masalah teknis dan terakhir yang juga (termasuk) klasifikasinya
ialah tentang kebijakan dan prosedur. Kalau orang bilang policy and procedure atau PNP. Ini
juga penting, biasanya terkait dengan proses di dalam sebuah instansi atau sebuah
perusahaan. Jadi kita bayangkan tadi ya.. Ada physical, ada manusia, ada teknis, dan juga ada
proses-proses dari perusahan. Proses-proses ini biasanya terkait dengan aturan-aturan
misalnya siapa boleh akses, kebijakannya di dalam perusahaan ini bagaimana, terkait dengan
panjangnya password, harus ganti password, pasang antivirus dan seterusnya. Ini sebetulnya
digunakan untuk mengamankan. Tanpa itu juga akan susah mengelola keamanan informasi.
Jadi itulah klasifikasi yang dilakukan oleh David Icove dan biasanya kita hanya fokus pada
data dan teknik atau media dari komunikasi.

Video 3: Elemen Sistem Keamanan Informasi

Baik Siswa IndonesiaX sekarang mari kita lihat klasifikasi sistem keamanan informasi tadi
berdasarkan elemen dari sistem. Kalau kita lihat dari topologinya. Yang pertama kalau kita
berbicara security kesan yang disampaikan adalah network security yaitu jaringan. Betul juga
sih, jaringan. Tapi kita juga harus lihat, bukan hanya jaringan nanti ada juga terkait dengan
komputernya sendiri, host-nya dan satu lagi, application security, dari aplikasinya.

Misalnya kita lihat kita punya sebuah komputer. Sebagai user saya menggunakan computer
saya. Di komputer saya tentu saja ada sistem operasinya. Nah kalau sistem operasinya lemah
tidak kita pasang antivirus. Maka itu adalah keamanan yang terkait dengan host-nya atau
computer security. Tidak terkait dengan jaringan tetapi ini terkait dengan host-nya sendiri.
Yang berarti nanti kita harus update sistem operasinya, harus update antivirusnya, dan
password yang bagus supaya tidak bisa diketahui dengan mudah. Pokoknya itu masalahnya
masalah di computer security. Computer atau host. Kemudian computer kita terhubung
dengan jaringan internet. Misalnya kalau di rumah kita sambungkan ke penyedia jasa internet.
Kalau di kantor kita terkait dengan LAN kantor. Di kampus juga kita terkait dengan LAN
kampus, baik itu wired atau pun wireless. Nah itu network. Network security.

Network security kasusnya macam-macam. Bisa jadi di networknya itu disadap, dipasangkan
alat-alat untuk melakukan penyadapan. Bisa juga juga jaringannya kita banjiri dengan data.
Kita flooding sehingga kita bisa tidak bisa mengakses, dan seterusnya. Atau networknya kita
attack sehingga dia terputus. Itu masalahnya adalah network security.Jadi ada computer
security, ada network security. Di sisi lain setelah kita nyambung ke jaringan atau ke LAN
network di ujung sana biasanya ada perangkat-perangkat jaringan. Ada router, ada firewall,
ada IDS.

Katakanlah router atau perangkat jaringan. Router juga punya sistem operasi. Maka sistem
operasi di router itu juga bisa jadi harus diupdate secara berkala. Bisa jadi rentan. Router juga
mungkin ada password-nya sehingga kalau orang bisa mengaksesnya atau password-nya

Halaman 6 dari 17
 ITB101

lemah bisa diganti routing table-nya, bisa diarahkan koneksi kita ke arah yang salah. Di sisi
router itu tadi itu biasa kita sebut komputer atau host juga. Jadi tadi host-nya bisa jadi
komputer pribadi tapi tadi device itu juga bisa kita anggap device, host, computer security.
Bukan network-nya.

Jadi dari komputer saya terhubung ke jaringan, terhubung ke router, router nanti terhubung
lagi ke router-router di atasnya lagi. Katakankah saya ingin mengakses sebuah layanan
perbankan www.bank.co.id katakanlah nanti dia nyambung ke sebuah bank. Bank, dia
mempunyai satu sistem. Katakanlah ini layanannya web base, maka mereka punya layanan
aplikasi web di www.bank.co.id. Tentu saja lagi-lagi si bank memiliki server ada sistem
operasinya. Kalau sistem operasi yang bermasalah di dalam server bank itu maka itu adalah
computer ata host security. Bank di depannya dipasang firewall dan jaringannya di situ
biasanya terkait dengan network security. Kemudian di bank ini ada aplikasinya tadi ya.
Internet banking katakanlah.

Maka application-nya itu juga kadang memiliki celah. Itu kita sebut namanya application
security. Aplikasi itu juga biasanya terhubung dengan database, dan biasanya memang
sekarang terhubung dengan database yang terkait di dalamnya adalah application security.
Jadi bisa kita bedakan. Kadang ada orang, ini saya pernah melakukan evaluasi terhadap suatu
system yang bentuk apliaksinya demikian lugu. Jadi dia buat suatu aplikasi dan data
nasabahnya itu ditaro di directory yang kalau di sistem DOS atau di Windows itu drive C.
C:kartukredit.txt. Sangat lugu sekali.

Ketika saya tanya kenapa demikian, dia bilang kan “Pak ini system kita sudah kita lindungi
dengan firewall. Jadi dia pikir perlindungan firewall sudah cukup. Aplikasinya itu juga tidak
mendapat perhatian dari dia. Tentu saja orang bisa datang ke mesinnya, langsung secara
praktikal bawa flash disk, kita kopikan datanya langsung kartukredit.txt masuk di dalam flash
disk. Itu kesalahan dari sisi application-nya. Jadi nanti kita bisa pilah-pilah kalau Anda ingin
memeriksa masalah keamanan. “Keamanannya di mana nih? Pada hostnya, pada
networknya, atau pada aplikasinya”. Jadi itu bisa kita pilah-pilah.

Video 4: Teknis Keamanan Informasi

Siswa IndonesiaX, sekarang kita beranjak kepada prinsip-prinsip keamanan informasi. Kita
beranjak kepada masalah teknisnya. Baik, kalau kita berbicara masalah keamanan,
sebetulnya apa definisi keamanan? Alat ukurnya apa. Sebenarnya kita bisa bicara “Ini aman
atau tidak”. Nah biasanya kita bisa bicara tentang aspek kemananan atau kadang orang bisa
juga berbicara tentang goal dari keamanan atau service dari keamanan. Kita deskripsikan
menjadi banyak hal.

Pertama adalah confidentiality atau kerahasiaan. Yang kedua adalah integrity atau integritas.
Yang ketiga adalah availability atau ketersediaan. Kalau kita singkat confidentiality, integrity,
availability menjadi CIA. Itu yang paling utama. Jadi kalau saya tanya kepada Anda security
itu apa, jawaban yang utama adalah CIA: Confidentiality, Integrity, Availablity. Selain tiga itu,
masih ada lagi aspek-aspek lain yang disebut non-repudiation, authentication, access control
dan seterusnya. Tetapi yang utama biasanya tiga itu. Jadi kalau kita bicara security, kita bicara
CIA.

Halaman 7 dari 17
 ITB101

Confidentiality atau kerahasiaan. Kalau kita berbicara tentang keamanan informasi, biasanya
yang terbayang masalah confidentiality atau kerahasiaan ini. Karena biasanya orang mencuri
data dan lain sebagainya. Jadi paling gampang dimengerti adalah confidentiality. Kenapa
demikian, karena biasanya kalau kita melakukan transaksi maka kita memberikan data.
Contoh kita membuat rekening di bank maka akan ditanyakan nama, alamat, tempat tanggal
lahir, untuk hal-hal tertentu ditanyakan nama ibu kandung dan seterusnya.

Data tersebut kita serahkan kepada bank. Kita tidak ingin data tersebut bocor ke pihak lain.
Hal yang sama ketika kita membayar tagihan PLN, memberikan data PLN, atau PLN
menagihkan ke kita. Dengan data tadi. Kita tidak ingin data tersebut bocor ke tempat lain.
Kemudian kita ditawarkan produk-produk yang sebetulnya tidak kita harapkan. Ditelponlah.
“Pak ini ada tawaran ini itu.” Jadi kebocoran data itu membuat tidak nyaman bagi kita.
Biasanya itu terkait dengan data pribadi kita. Itulah biasanya kalau confidentiality dikaitkan
juga dengan privacy.

Dan terkait dengan itu biasanya terkait dengan nama kita, tempat tanggal lahir, dan
seterusnya. Kenapa nama itu penting. Tanggal lahir itu penting, karena biasanya kalau kita
membuat sebuah identitas (hal) itu ditanyakan, misalnya Anda di media sosial atau sosial
media, misalnya di Facebook. Anda bisa menyaru menjadi seseorang dengan memasukkan
nama, tempat tanggal lahir, fotonya dan identitas-identitas yang lain. Maka Anda akan
menjadi seseorang. Lantas mengapa kalau identitas kita atau identitas orang itu tercuri?
Karena itu bisa digunakan untuk menipu. Yang lazim di Indonesia itu memang digunakan
untuk menipu minta pulsa. Itu memang modusnya itu selalu itu. Jadi sudah didapatkan lalu
bilang “Pak, Bu, Teman, Sobat, saya sedang berada di luar negeri pulsa saya habis, tolong
diisikan dan seterusnya”. Itu hal-hal semacam itu sering terjadi.

Tapi itu juga bisa data tadi berakibat fatal karena biasanya ini umumnya orang-orang itu
hanya bisa mengingat nomor tertentu dan biasanya tanggal lahir kita itu menjadi bagian dari
nomor tertentu. Biasanya nomor PIN, ATM, bagian dari password. Itu menjadi bagian dari
nomor-nomor tadi. Bagian dari nama tadi Misalnya contoh, nama saya Budi Rahardjo
kemudian tanggal lahirnya biar lebih muda ya kelahiran tahun 1980. Tidak mungkin tapi tidak
apa-apa ya. Jadi nanti nama (akun)nya adalah “budi80” atau password-nya “delapanpuluh”.
Itu satu hal yang lazim dilakukan. Jadi biasanya jangan berikan data pribadi ketika tidak
dibutuhkan. Sayangnya di Indonesia kalau ada acara-acara kemudian orang minta. Misalnya
saya jadi pembicara, saya ditanya, “Pak ini biodatanya diisi”. Dengan mudahnya kita berikan.

Orang Indonesia sangat mudah memberikan data pribadinya karena memang kita tidak
terlalu concern terhadap masalah privasi. Contoh lain adalah nama ibu kandung. Misalnya
saya punya kartu kredit, atau teman Anda punya kartu kredit. Dia sedang ke laur negeri.
Kemudian bisa kita telpon banknya. Kita pura-pura jadi seseorang yang mengatakan bahwa
kartu kredit saya hilang, nomor kartunya --kalau tahu nomor kartunya-- adalah seperti ini.
Nama saya, nama ibu kandung saya seperti ini. Maka kartu kreditnya akan diblokir sementara
orang itu lagi di luar negeri pakai kartu kredit. Nggak punya duit, nggak punya kartu kredit.
Ngineplah dia masjid, di luar negeri. Nggak bisa booking di hotel.

Jadi data pribadi kita itu sangat penting ya. Tadi ya, dipakai untuk penipuan, juga kadang bisa
dibuat untuk melakukan kejahatan. Itu data pribadi, biasanya terkaitnya dengan electronic
commerce, dan terkait dengan bidang kesehatan. Di Indonesia memang peraturan ini belum
tegas tentang masalah kerahasiaan data pribadi tapi di luar negeri ini sebuah peraturan yang

Halaman 8 dari 17
 ITB101

sangat tegas. Sehingga ketika kita bertransaksi dengan mitra kita di luar negeri maka kita
harus memiliki sistem atau kebijakan yang terkait dengan kerahasiaan data.

Cara untuk mendapatkan data tadi secara tidak sah macam-macam. Cara attack-nya ya tadi.
Confidentiality, bagaimana attack-nya. Cara yang paling gampang ialah membuat sistem
untuk menyadap. Menyadap data. Mungkin bukan paling mudah tapi yang paling kebayang
oleh orang “Saya membuat suatu sistem penyadap. Itu biasanya istilahnya sniffer. Ada Sniffer
dan ada banyak program-program atau perangkat yang bisa digunakan untuk menyadap. Itu
sniffer. Yang kedua ada yang kita sebut namanya keylogger. Yaitu dia mencatatkan apa-apa
yang kita ketikkan di komputer. Jadi dia tidak menyadap tapi kita membuat program yang
berjalan di belakang layar, dia memantau kunci-kunci apa saja yang ditekan kemudian itu di-
save di dalam satu berkas. Kemudian berkas itu bisa kita unduh, bisa kita ambil, maka kita
tahu apa saja yang diketikkan di keyboard ini.

Itulah sebabnya kalau kita menggunakan komputer milik orang, hati-hati ya. Ketika kita
dalam perjalanan kita ada public terminal atau bahkan business function juga, atau warnet
atau segala macam ya harap berhati-hati, jangan gunakan untuk melakukan transaksi-
transaksi yang sangat berbahaya. Karena boleh jadi di mesin-mesin tersebut tertanam yang
disebut keylogger tadi. Jadi kita masukkan user ID kita, masukkan password kita atau PIN kita
maka itu tercatat dan itu bisa kemudian account kita bisa dicuri dengan menggunakan key
logger tersebut.

Pencurian data juga terjadi bisa juga karena kelemahan dari aplikasi. Aplikasinya rentan.
Contoh, pada saat video ini kita buat beberapa minggu yang lalu ada kejadian juga sebuah
aplikasi yang popular itu bocor sehingga kita bisa melihat data transaksi pelanggan dari
sebuah aplikasi populer tersebut. Jadi kita bisa lihat transaksinya, bisa kita lihat history-nya
atau sejarahnya. Memang kita tidak bisa mengambil uangnya orang yang bersangkutan ya,
tapi kita bisa melihat pola kegiatan dari orang yang bersangkutan. Ini menurut saya sangat
berbahaya. Bisa digunakan untuk hal-hal yang tidak benar. Kalau tadi kisahnya teknis ada
juga pencurian data yang dilakukan secara nonteknis yang disebut social engineering yaitu
dengan sekadar menanya. Banyak orang yang pandai berbicara, diajak bicara, diajak ngobrol,
kemudian ditanyakan. Salah satu pertanyaan yang ditanyakan adalah “Apa password kamu?”
lalu dia bilang “Password saya adalah seperti ini” Misalnya orang itu nanya “Wah password
saya susah euy mengingatnya. Password saya panjang. Password kamu apa? Pendek nggak?”
“Password saya pendek”
“Emang password kamu apa?”
“Nama saya atau nama kucing saya atau nama anjing saya”
“Oh cuma nama kucingnya aja. Kucingnya namanya siapa?”

Maka disebutlah nama kucingnya tanpa kita sadari. Jadi ini memang yang kita sebut adalah
social engineering.

Ada juga data rahasia yang kita dapatkan dengan melakukan social engineering tetapi dengan
cara ngintip. Jadi kalau orang memasukkan data kita intip atau yang kita sebut shouldering.
Kita ngintip di atas bahunya gitu ya. Jadi ada banyak cara untuk mendapatkan data yang
sebetulnya seharusnya kita tidak memiliki akses. Itu terkait tadi dengan confidentiality atau
privacy.

Kalau tadi kita berbicara tentang masalah terkait dengan serangan terhadap confidentiality,
bagaimana kita melindunginya? Salah satu cara melindunginya adalah dengan membatasi

Halaman 9 dari 17
 ITB101

akses. Kita bisa batasi tadi dengan menggunakan firewall sehingga orang tidak bisa
mengakses ke dalam data di belakangnya, tidak bisa mengakses ke dalam database-nya. Itu
satu cara. Kita pisahkan jaringan, itu juga bisa (merupakan) suatu cara untuk melindungi
pencurian data.

Cara yang kedua adalah dengan menggunakan enkripsi atau kriptografi. Apa itu enkripsi dan
kriptografi, pada prinsipnya adalah kita mengubah data yang bentuknya tadi nyata, dapat
dilihat, misalnya “Budi Rahardjo”. Kita ubah dengan algoritma-algoritma atau cara sehingga
kata-kata tadi menjadi encrypted atau menjadi sulit dibaca. Jadi misalnya tadi “Budi”,
menjadi abcd!75hx. itu yang kita sebut enkripsi. Sehingga meskipun datanya nanti bisa
disadap tetapi orang yang menyadap dia harus tahu bagaimana membuka data tadi,
encrypted data tadi. Bisa jadi dia harus tahu algoritmanya, atau kuncinya. Jadi dia harus tahu
algoritma dan kunci untuk membuka enkripsi tadi. Algoritmanya ada macam-macam. Tapi
salah satu adalah pengamannya dnegan menggunakan enkripsi. Perlindungan lagi, kalau
yang nonteknis adalah kita harus membuat kebijakan siapa boleh mengakses apa dan kapan.
Nah ini terkait dengan nonteknis untuk perlindungan masalah confidentiality.

Video 5: Integrity

Integrity atau integritas. Kalau confidentiality tadi kita bisa mencuri data, kalau integritas
bukan itu. Datanya harus tetap terjaga. Data atau informasi ini tidak boleh berubah tanpa izin
dari pihak yang berwenang. Information harus terjaga integritasnya. Tidak boleh tampered,
altered or modified tanpa izin. Sebagai contoh misalnya kita punya rekening di bank. Rekening
bank kita saldo 5 juta, tidak boleh hilang nol-nya satu, menjadi 500 ribu. Padahal nolnya hilang
satu pak. Nolnya hilang gaboleh gitu. Karena integritas harus tetap terjamin.

NIlai mahasiswa. Misalnya “Budi Rahardjo nilai ujiannya A” Itu harus tetap terjaga, tidak boleh
tiba-tiba berubah kadang A tiba-tiba berubah jadi B. Demikian pula misalnya data pemilihan
umum atau evoting. Misalnya saya memilih pilihan nomor 1 tiba-tiba berubah menjadi pilihan
nomor 2 nomor 3 nomor 4 dan seterusnya. Tapi integritas ini terkait dengan datanya, bukan
dengan kerahasiaannya tetapi terkait dengan datanya tadi tidak boleh berubah.

Bagaimana cara melakukan serangannya? Ada macam-macam. Yang paling banyak

digunakan sekarang itu adalah serangan yang dilakukan oleh virus atau kita sebutnya
namanya malware atau malicious software. Software yang jahat. Software jahat ini tadi,
malware atau virus ini datang atau menyusupi komputer kita. Berkas-berkasnya bisa kita
ubah oleh si virus itu sehingga ketika kita buka, berubah dia berkasnya.

Sebagai contoh ada juga yang kita sebut namanya ransomware. Ransomware itu aplikasi yang
mengubah data di computer kita kemudian data itu diencrypted dengan kunci yang
disembuyikan pihak penyerang, kemudian penyerangnya minta uang kepada kita, minta
tebusan. Kalau Anda ingin datanya kembali, saya berikan passwordnya tapi Anda harus
membayar 5000 dollar atau 10 ribu dolar. Nah itu ransomware. Jadi data yang seharusnya
tidak berubah. Demikian pula serangan virus juga seperti itulah kira-kira mengubah datanya.
Ya kalau datanya mudah terdeteksi atau diubah seperti tadi. Tapi yang kita takut itu adalah
datanya berubah tapi tanpa kita ketahui misalnya tadi ya di tengah jalan sistem electronic
voting misalnya. Tadinya yang satu mendapat 383 suara. Tiba-tiba berubah 3-nya di depan
menjadi 8 menjadi 883 suara. Mungkin nggak keliatan secara visual tapi sebetulnya datanya
sangat signifikan berubahnya. Ini menjadi masalah.

Halaman 10 dari 17
 ITB101

Serangan lagi adalah yang sering disebut namanya man in the middle attack. Orang-orang
yang di tengah. Jadi attack yang dilakukan di tengah. Jadi kalau saya ada serangan misalnya
Darth Vader ingin berkomunikasi dengan komputer di sini, dia berkomunikasi, di tengah jalan
dilakukan attack. Ini namanya si “man in the middle attack”. Data yang dikirimkan misalnya
“Saya akan datang hari Senin”, diubah misalnya menjadi “Saya akan datang hari Selasa”. Jadi
itu bisa dilakukan oleh man in the middle attack. Jadi itu adalah contoh serangan-serangan
yang dilakukan untuk melawan atau meng-attack integritas.

Bagaimana kita melindunginya?

Bagaimana kita memastikan bahwa datanya tidak berubah. Salah satunya adalah yang kita
sebut Message Authentication Code atau signature. Jadi pada prinsipnya begini, untuk setiap
data yang kita kirimkan atau yang kita simpan kita tambahkan kode yang merupakan
rangkuman dari data tersebut. Contoh yang paling gampang, udahlah gini misalnya kita
mengirimkannya angka ya.. Angka transaksi, maka kode di sini adalah jumlahkan saja angka-
angkanya. Satu satu satu. Maka kode ini merupakan rangkuman atau signature dari angka-
angka tadi. Si datanya tadi yang kita sebut signature atau message authentication atau mat
tadi kita dapat kita kirimkan secara terpisah. Jika data aslinya ini berubah di tengah jalan,
maka tadi authenticationnya, message authenticationnya, atau signaturenya atau hashnya
atau apa pun kita sebutnya yang merupakan rangkuman dari pesan ini akan berubah
sehingga nanti di sisi penerima dideteksi bahwa sebetulnya ini informasinya sudah berubah.
Jadi itu adalah salah satu mekanisme pengamanannya.

Salah satu lagi adalah pencatatan. Jadi misalnya ada transaksi. Saya mengirimkan pada Anda
5 juta. Maka bukan hanya sekadar pesan yang dikirimkan tapi selain dari signaturenya juga
pesan ini dikirimkan atau disimpan di tempat lain. Sehingga tadi untuk menjaga integritas.
Sehingga kalau yang ini berubah, yang inin pun harus berubah (menggunakan tangan untuk
menjelaskan). Kalau message-nya atau pesannya atau datanya tadi berbeda maka kita bisa
mendeteksi adanya perubahan data maka integritasnya sudah berubah. Kita tidak tahu ya
yang mana yang berubah –yang ini atau yang itu-- tapi kita bisa mendeteksi integritas dari
informasi tersebut sudah berubah. Itu adalah factor I atau integrity.

Video 6: Availability

Availability atau ketersediaan. Sekarang kita sudah mulai bergantung kepada sistem
informasi. Faktor availability itu mengatakan bahwa informasi atau data harus dapat tersedia
ketika dibutuhkan. Buat apa kita punya suatu sistem yang mana ketika kita butuhkan data itu
tidak tersedia. Awalnya availability ini tidak kita anggap sebagai faktor security atau faktor
keamanan. Kalau masalah confidentiality dapat dimengerti, integritas dapat dimengerti, tapi
availability, kenapa ini menjadi masalah keamanan. Masalahnya gini, kalau sebuah sistem
sudah sangat kritikal, sudah sangat digunakan, kemudian sistem ini tidak tersedia, maka akan
terjadi kerugian-kerugian terhadap perusahaan atau instansi yang bersangkutan. Sebagai
contoh misalnya kalau saya perusahaan elektronic commerce.

Di Indonesia ini banyak ya perusahaan electronic commerce. Tiba-tiba sistemnya tidak

tersedia. Dia down misalnya selama sehari, maka tidak terjadi transaksi maka perusahaan kita
rugi. Sekarang pembelian tiket juga sudah dilakukan secara online. Mau tiket pesawat atau
tiket kereta api semua sudah dilakukan secara online. Bayangkan kalau tiket pesawat itu
system ticketingnya tidak tersedia secara online. Orang tidak bisa memesan tiket pesawat.

Halaman 11 dari 17
 ITB101

Datang langsung ke bandara tidak bisa lagi beli tiket langsung di bandara. Demikian pula tiket
kereta api. Jadi ini memang agak susah availability ini memang jadi faktor yang penting.
Bayangkan kalau misalnya ada mahasiswa mau mendaftar kuliah pas dia mau mendaftar,
memilih kuliahnya, sistemnya down. Nah ini kejadian di beberapa tempat juga. Ada juga kasus
pendaftaran sekolah juga demikian. Ujian juga demikian. Jadi sistem-sistem yang dibuat
menjadi tidak available atau tidak tersedia ini akan membuat tidak hanya kesulitan ya tetapi
juga membuat kekacauan di berbagai tempat.

Bayangkan kalau sistem yang tidak tersedia ini mengendalikan misalnya reaktor nuklir atau
bom, tiba-tiba dia tidak tersedia. Jadi kacau balau. Biasanya serangannya itu adalah kita
membuat sistemnya atau server-nya bisa macem-macem ya bisa dibuat hang atau crash atau
lambat malah. Jadi dia tadinya responnya cepat, menjadi lambat. Pernah kita coba tanyakan
sebetulnya secara tangible atau secara nyata ada nggak sih ya biaya atau aturan yang biasa
digunakan untuk mengukur seberapa kerugiannya. Sebagai contoh Saya punya satu system
ecommerce, system saya down. Berapa biaya yang harus saya keluarkan untuk membuat
system itu menjadi hidup kembali. Kalau saya tanya ke orang-orang “Iya Pak saya punya satu
kontrak dengan perusahaan besar. Yang mana kalau ada sistem down saya akan telepon
mereka. Mereka akan datang dan mereka benarkan atau mereka nyalakan dengan cepat”

“Berapa biayanya?”
“Wah Pak 600 dollar per jam, tetapi cepat”

Ada juga yang

“Pak kita tangani sendiri di dalam system kita”
“Kalau sistemnya down, berapa lama?”
“Tiga hari tiga malam, Pak. Orangnya lembur di kantor. Jadi harus ada biaya lembur, uang
makan, dan sebagainya”

Untuk Indonesia, ketika kita tanyakan, rata-rata untuk membuat sistemnya itu menjadi
kembali nyala rata-rata biayanya sekitar 25 juta rupiah. Itu kalau membuat sistemnya
menyala kembali. Itu keluar cost betulan. Kerugian. Nah kerugian tergantung. Ada opsi yang
memang digunakan untuk transaksi memang terjadi kerugian. Kerugiannya mungkin lost of
opportunity, harusnya misalnya terjadi 1000 transaksi, tidak terjadi 1000 transaksi. Duitnya
memang nggak hilang ya, tapi tidak terjadi transaksi.

Ada juga yang memang dia punya kerjasama dengan pihak lain. Ada service level agreement,
jadi kalau servicenya tidak nyala, maka dia kena denda. Jadi dia harus membayar. Itu ada juga
yang demikian. Misalnya jaringan telekomunikasi. Dia punya service level agreement (SLA) dia
hanya boleh down 1 menit dalam 1 tahun atau 10 menit dalam setahun kalau ketika dia
layanannya tidak tersedia selama 1 jam maka dia harus membayar ada jumlahnya dikalikan
dengan biaya jadi itu mereka keluar uang. Jadi terkait dengan itu. Ada juga mungkin kita sebut
productivity ya. Misalnya teller teller ketika tidak terjadi transaksi maka teller itu nganggur
tidak kerja, diem-diem saja digaji. Maka produktivitas menjadi menurun dan itu juga kerugian
bagi perusahaan.

Ketika kita hitung-hitung Sebetulnya berapa sih.. Kita tanyakan ke orang-orang “Berapa tadi
kerugian Bapak, selain tadi soal menyalakan, berapa?” Untuk Indonesia itu rata-rata 300 juta
sekali down. Jadi bisa dibayangkan 25 juta ditambah 300 juta jadi sekitar 325 juta kalau satu
system down. Bayangkan kalau Anda punya satu system yang down sekali sebulan. Maka
dalam setahun Anda harus punya uang 325 juta dikali 12 setahun.. Jadi Anda harus punya

Halaman 12 dari 17
 ITB101

uang itu. Di atas 3 miliar untuk memastikan system itu up lagi. Solusinya gimana? Solusinya
salah satunya adalah dengan menggunakan redundant. Jadi Anda punya dua sistem. Satu
sistem A, satu sistem back up-nya. Ketika sistem A down maka Anda pindah ke system B dan
system B menangani transaksi. Jika biaya untuk membuat sistem back upnya ini lebih murah
dari 3 miliar, ini menjadi masuk akal. Misalnya katakanlah sistem back up nya 500 juta, maka
yang harusnya tadi kerugiannya adalah 3 miliar, sekarang ada inves di 500 juta. Maka sistem
Anda terproteksi. Itu adalah salah satu solusi untuk mengatasi masalah availability.

Yang kedua adalah back up. Secara berkala sistem Anda harus Anda back up supaya kalau lagi
down datanya tidak hilang. Karena kita khawatir kalau down terus datanya hilang. Maka
secara berkala sistem Anda harus Anda back up. Back up itu macam-macam, ada yang back
up nya secara offline dan secara berkala, misalnya seminggu sekali back up, setiap hari diback
up. Ada juga yang back upnya real time, suatu system diback up atau dimirror secara real time.
Tapi tentu saja yang itu harganya lebih mahal dari yang offline tadi.

Kalau kita lihat tadi serangannya apa? Serangannya itu disebut adalah Denial of Service atau
disebutnya Denial of Service, D,O, S atau DoS attack. Macam-macam. Ada misalnya secara
network jaringan kita banjiri dengan jumlah paket yang berlebihan. Maka sistem tidak bisa
merespon dengan cepat, maka sistem menjadi lambat. Jaringan diputus, misalnya, (sehingga)
tidak bisa berkomunikasi. Bahkan yang paling dianggap sering berbahaya itu adalah listrik
sistem informasi, listriknya mati. Maka dia tidak bisa melayani. Jadi listriknya harus dua.
Jaringan telekomunikasi harus dua atau harus tiga dan seterusnya. Ya ini memang menjadi
mahal. Maka harus kita hitung-hitung seberapa besar kerugian yang kita derita dan seberapa
juga mahal implementasi untuk melindunginya. Back up, redundant.

Itu sebabnya untuk system-sistem yang kritikal diwajibkan mempunyai sebuah back up di
tempat lain ya. Misalnya Disebutnya DRC ya. Jadi misal di sini data center, nanti di sini adalah
disaster recovery site-nya atau centernya. Jadi ini seperti di-back up sehingga kalau ini
masalah, di tempat lain. DRC nya. Biasanya DRC secara fisik harus letaknya berjauhan dari si
data center tadi. Seberapa jauh, nah ini diskusinya bisa panjang. Pada prinsipnya tidak boleh
sistem di sini mati, sistem di sini juga mati. Ada yang mengatakan 60 km, lebih dari 60 km.
Sebetulnya problem di Indonesia itu karena kita berada di satu jaringan ring of fire yang sama.
Jadi kalau misalnya data center di Jakarta DRC nya di tempat yang sama, kalau misalnya
gunung ini meletus ya sudah mampus lah kita. Itu yang menjadi masalah. Jadi memang harus
berjauhan sehingga ketika ini bermasalah di tempat lain menjadi back up yang menyala.

Itu secara teknis. Secara nonteknis ada juga yang kita sebut namanya BCP (Business
Continuity Planning). Nah kalau itu terkait dengan business process dari perusahaan.
Sebetulnya business process perusahaan itu terkait dengan pemanfaatan teknologi informasi
ini apa.

Misalnya system email kita harus nyala setiap pagi karena pemesanan dari luar negeri,
pengadaaan barang dari luar negeri itu terjadi dari jam sekian sampai jam sekian. Jadi kita
identifikasi business process sehingga kita memastikan bisnis kiita terus berlangsung ketika
system kita gagal beroperasi. Coba bayangkan untuk perusahaan katakanlah perusahaan
perbankan. Kalau dia, misalnya sistem core bankingnya, tidak jalan tiga bulan. Itu
perusahaannya akan bankrupt karena nasabahnya akan keluar dan memilih pihak lain.
Jangankan core banking, kantor cabang saja yang bermasalah, orang juga akan sudah
bermasalah. Jangan kantor cabang, mesin ATM tidak berfungsi, orang akan memilih layanan
yang lain. Jadi ini memang harus dipastikan bahwa business process kita tetap terjamin ketika

Halaman 13 dari 17
 ITB101

ada system bermasalah. Itulah sebabnya availability menjadi factor penting dalam security.
Jadi kalau saya ulangi lagi kita punya tiga factor utama yaitu CIA. Confidentiality Integrity dan
Availability.

Video 7: Authentication

Siswa IndonesiaX,
Kalau tadi kita berbicara tentang prinsip-prinsip keamanan informasi. Kita sudah bicara
tentang CIA, Confidentiality, Integrity, Availability. Sebetulnya ada factor-faktor yang lain yang
akan saya coba jelaskan satu per satu. Ada factor yang kita sebut authentication.
Authentication itu sebenarnya digunakan untuk memastikan keaslian dari seseorang atau
sumber atau data atau server yang digunakan. Repotnya sebetulnya kalau dalam dunia fisik
kita melakukan authentication itu mudah. Misalnya saya datang kepada Anda Anda bisa
melihat saya laki-laki, ada kumisnya, bicaranya seperti ini. Wah ini laki-laki. Jadi saya akan
susah kalau saya menyaru sebagai seorang perempuan. Nah kalau kita berada di dunia maya
atau dunia saiber atau dunia internet maka akan susah untuk mengetahui bahwa saya itu
betul Budi Rahardjo atau saya bisa menyaru sebagai orang lain. Ini akan susah karena
ketidakadaan physical contact.

Ini yang jadi masalah. Maka untuk meyakinkan seseorang atau sebuah server atau sebuah
sumber biasanya kita gunakan beberapa factor. Kita sebutnya namanya factor of
authentication. Ada two factors of authentication dan seterusnya. Faktor pertama biasanya
disebut adalah sesuatu yang kita miliki. Jadi misalnya kalau saya mengatakan bahwa “saya
Budi Rahardjo”. Oh Budi Rahardjo punya sesuatu, misalnya KTP atau kartu identitas atau
kunci atau sesuatu. Itu satu, what you have, jadi itu sesuatu yang kita miliki. Biasanya physical.
Itu one factor. Faktor kedua yang sering digunakan adalah sesuatu yang kita ketahui. What
you know. Misalnya kalau Anda Budi Rahardjo pasti Anda tahu password atau PIN. Jadi
sebagai contoh kalau saya misalnya pergi ke mesin ATM. Saya ingin mengambil uangsaya
ingin mengakses account saya maka saya akan ditanya “Anda siapa?” “Saya Budi Rahardjo”
“Kalau Budi Rahardjo buktikan dengan sesuatu yang Anda punyai, yaitu kartu”. OK, saya
masukkan kartu saya ke dalam mesin ATM. Itu satu faktor ya. Kalau Anda Budi Rahardjo dan
kartunya itu maka Anda tahu PIN-nya. Jadi kita melakukan authentikasi dengan
menggunakan dua faktor. Yaitu biasanya cukup dua faktor. Sesuatu yang kita miliki, sesuatu
yang kita ketahui.

Kadang satu sistem juga hanya menggunakan satu faktor saja. Sebagai contoh kalau kita di
internet misalnya kita memiliki user ID dan password itu satu faktor saja. Itu satu faktor yang
kita ketahui. Meskipun yang ditanya dua tetapi sebenarnya satu faktor karena dua-duanya
terkait dengan yang kita ketahui. User ID nya tahu, PIN nya atau passwordnya tahu. Itu satu
faktor. Kadang memang cukup. Tapi untuk sistem yang transaksi, yang terkait dengan uang,
data finansial, atau data yang penting biasanya tidak cukup satu harus dua faktor.

Kadang dua faktor tidak cukup maka ada faktor ketiga yaitu sesuatu yang melekat kepada
kita. What you are. Itu biasaya terkait dengan biometrics. Misalnya sidik jari, Misalnya Anda
Budi Rahardjo, sidik jari Budi Rahardjo seperti ini atau bentuk dari telapak tangan kita. Palm.
Kalau Budi Rahardjo telapak tangannya seperti ini. Atau retina mata kita. Budi Rahardjo maka
retina matanya seperti ini. Atau DNA dari rambut. Oh kalau Budi Rahardjo DNA-nya seperti ini.
Biasanya yang biometrics ini memang lebih mahal dibandingkan yang lain-lainnya. Jadi kalau
kita memang ingin aman maka kita gunakan tiga faktor satu kita sudah ada kartunya kuncinya

Halaman 14 dari 17
 ITB101

atau ada apa pun ya yang satu-satunya kita miliki kemudian kita ditanya masukkan PIN dan
yang ketiga adalah biometrics.

Jadi kalau kita lihat di film-film, di satu instalasi yang sangat penting, maka orangnya datang
cuma pakai name tag, kartu didekatkan. OK. Masukkan PIN-nya, kemudian masukkan.
Dekatkan kepalanya, cari matanya. Itu adalah tiga faktor authentication. Itu biasanya agak
lebih mahal. Kadang ada dua lagi misalnya kita berada di tempat yang tertentu. Jadi bukan
hanya itu saja tetapi saya harus ada di tempat tertentu. Ada juga dilakukan otentikasinya
dilakukan oleh pihak ketiga.

Tapi ini kadang-kadang susah melakukan otentikasi ini meskipun tadi kita sudah punya
faktor. Kadang ada hal-hal lain. Sebagai contoh tadi dalam kasus mesin ATM. Saya ditanya
mesin ATM “Anda siapa” “Budi Rahardjo” Saya bisa mengauthentikasi bahwa saya Budi
Rahardjo, saya masukkan kartu, dan saya masukkan PIN nya. Ohya, Anda benar Budi
Rahardjo. Tapi bagiamana saya mengotentikasi mesin ATM-nya, bagaimana saya mengetahui
mesin ATM-nya itu bukan mesin ATM palsu. Bayangkan ya! Anda bisa membuat mesin ATM
palsu. Anda bisa membuat dari mesin ya. Anda bisa pasang bank. “BNI” gitu ya. Taruh di jalan
atau Bank Mandiri. Maka akan sulit orang mengetahui bahwa itu mesin ATM palsu. Karena kita
tidak bisa tanya. Kamu mesin ATM apa dan di mana. Nah ini agak susah.

Jadi authentication itu harusnya dilakukan dua arah. Dan untuk melakukan itu harusnya
dilakukan oleh pihak ketiga. Misalnya saya ke mesin ATM, maka saya akan diverifikasi oleh
pihak ketiga. Si ATM nanya, itu siapa, nah itu akan dia otentikasi, pihak ketiga. Third party ini
yang Tanya “Kamu siapa” nanti di-challenge terus. “Oh ini Budi Rahardjo”. Sementara saya
tanya “Itu mesin ATM apa?” nanti dia men-challenge “Itu mesin ATM BNI di Jl Ir. Juanda. Maka
transaksi terjadi. Jadi otentikasi itu masih ada beberapa masalah dengan kita sebutnya
namanya mungkin mekanisme atau protokol.

Di kemudian hari kita akan temukan mekanisme-mekanisme yang lebih baik lagi untuk
melakukan otentikasi. Kalau mengambil contoh tadi membuat mesin ATM palsu bisa, tetapi
mahal, karena kita harus memasang mesin ATM, harus beli mesinnya, dipasang, colok ke
listrik, dan kadang kita punya VSAT-VSAT palsu. Membuat situs web gadungan sangat mudah.
Sebagai contoh kita tinggal membuat satu situs web Kita beri nama domainnya misalnya
sebuah web “dot bank dot co id” kita hubungkan namanya ya 123 abcd.bank.id maka dengan
domain palsu tadi kita dapat dengan mudah membuat situs web gadungan dan itulah yang
menyebabkan kita sulit mengidentifikasi situs-situs web gadungan.

Bagaimana kita mengauthentikasi bahwa itu betulan situs bank yang bersangkutan, bukan
situs web gadungan. Jadi ini agak susah. Nah bagaimana caranya mengotentikasi. Caranya
dengan tiga hal itu kemudian mulailah kita tambahkan mekanisme-mekanisme seperti
dengan menggunakan token atau dengan digital certificate. Itulah sebabnya tadi bank ketika
melakukan identifikasi, user-nya siapa, melakukan otentikasi tidak hanya sekadar
menggunakan kartu juga tidak menggunakan sebagai sesuatu yang kita ketahui tetapi
menggunakan token yang berubah terus. Sehingga ketika orang mengintip, mencuri agak
susah. Kita berinteraksi dia akan tanya “Anda siapa” “Saya Budi Rahardjo”. Masukkan nama
dan PIN, sesuatu yang kita ketahui. Budi Rahardjo pasti juga punya tokennya kalau di internet.
Masukkan angka yang dikeluarkan oleh token. Itu sesuatu yang saya miliki maka diotentikasi
dengan dua faktor bisa dilakukan melaui internet. Cara lain, ada juga yang melakukan
challenge-nya tadi dengan menggunakan handphone. “Anda siapa?” Budi Rahardjo. Kalau
Budi Rahardjo, masukkan username dan password. Kalau budi rahardjo, saya kirimkan

Halaman 15 dari 17
 ITB101

sebuah nomor atau sebuah angka yang Anda cek di handphone-nya Budi Rahardjo. Saya cek
di handphone saya, “Ohya saya masukkan angkanya”. Jadi tidak hanya sekadar saya tahu
username dan password saya tapi saya juga punya handphone saya. Dan handphonenya tadi
mendapat angka yang diperbaharui setiap saat ketika saya login. Itulah yang kita sebut
authentication.

Video 8: Non-Repudiation

Siswa IndonesaX, kita berbicara tentang faktor lain lagi yaitu non-repudiation. Non-
repudiation itu maksudnya tidak bisa menyangkal kita telah melakukan sebuah transaksi atau
tidak melakukan transaksi. Sebagai contoh misalnya dalam sebuah situs ecommerce. Ada
seseorang yang telah mengatakan bahwa “Saya telah mengirim uang kepada Anda harusnya
Anda sudah terima. Dan barang mohon dikirimkan kepada saya”. Maka kedua belah pihak itu
harus dapat menunjukkan bahwa si yang mengirimkan harus bisa menunjukkan bahwa dia
mengirimkan. Kalau yang harusnya menerima harusnya bisa menunjukkan juga dia tidak
menerima atau menerima. Nah ini yang kita sebut non-repudiation ini biasanya memang
terkait dengan hal-hal yang terkait dengan transaksi.

Untuk yang tidak transaksi mungkin tidak terlalu penting. Bagaimana caranya kita membuat
aspek non-repudiation ini. Salah satu contohnya adalah membuat sertifikat untuk
menunjukkan bahwa ini transaksi terjadi dari saya. Kemudian transaksi tersebut sudah ada
dan tercatat tadi dengan digital certificate. Ini nanti membutuhkan public key infrastructure
atau PKI. Atau kalau dalam bahasa Indonesia mungkin informasi kunci public. Kemudian juga
pencatatan, logging, jadi semua transaksi dicatat. Di sisi pengirim penerima si server juga juga
dicatat sehingga nanti kita tunjukkan kejadian-kejadian mana yang terjadi dan mana yang
tidak.

Hal lain juga yang terkait dengan situ adalah masalah hukum. Hukum ini harus bisa
memberikan kepastian bahwa apa-apa yang dilakukan di situ itu sah menurut hukum. Jadi
misalnya saya menyatakan bahwa “Saya menyatakan bahwa ikut bidding tender 100 juta.
Kemudian di sisi penerima menyatakan “OK Anda bidding sudah diterima 100 juta ada tanda
tangannya. Daam tanda petik tanda tangan digital. Sehingga nanti ketika bidding diadu
segala macam”. “Pak Budi, loh kemarin mengajukan 100 juta. Ini buktinya segala macam”.
Sebenarnya saya tidak bisa mengelak, saya tidak bisa mengatakan bahwa “Oh itu bukan saya”
atau “Saya tidak 100 juta” atau “Saya tidak ikut dalam bidding ini” dan seterusnya. Jadi ini
adalah aspek non-repudiation.

Video 9: Access Control

Satu aspek lagi yang juga sering digunakan adalah access control. Access control ini
sebetulnya mekanisme untuk mengatur siapa boleh melakukan apa. Ini tadi biasanya
dikaitkan dengan authentication. Jadi seseorang di-authenticate dulu “Oh saya Budi
Rahardjo, maka..” nah setelah itu baru kita pasang roles-nya. Misalnya Budi Rahardjo dosen.
Dosen boleh memberikan nilai atau mengubah nilai mahasiswa di kelasnya. Jadi itu bagian
dari access control. Jadi pertama dia memang harus dikaitkan dengan authentication, harus
kita pilah-pilah roles-nya. Jadi dalam satu sistem informasi kita harus kita pilah-pilah roles-
nya. Biasanya terkait dengan itu juga kita memilah-milah tingkat kerahasiaan sesuatu data.

Halaman 16 dari 17
 ITB101

Nah ini kadang-kadang susah. Apakah kita pisah jadi dua level: Rahasia – tidak rahasia. Atau
kita pisah jadi tiga level. Atau empat level. Biasanya ada juga yang misalnya “OK satu data
bersifat public, semua orang boleh tahu. Misalnya alamat kantor. Ada juga yang bersifat
private. Misalnya struktur bangunan topologi bangunan atau pembagian ruangan-ruangan di
dalam kantor. Orang lain mungkin tidak perlu tahu tapi karyawan boleh tahu. Itu privat.
Internal boleh tahu, eksternal tidak boleh tahu. Ada lagi mungkin confidential. Bahkan di
dalam kantor pun tidak semua orang boleh tahu. Misalnya contohnya adalah daftar gaji.
Daftar gaji mungkin yang boleh tahu adalah bagian keuangan atau bagian SDM. Yang lain
tidak boleh tahu. Dan ada lagi mungkin level lain adalah top secret, misalnya itu hanya bos-
bosnya, misalnya satu perusahaan ingin membeli perusahaan yang lain. Maka dia levelnya top
secret. Jadi bisa jadi seperti itu. Public, private, confidential, dan top secret. Tergantung dari
perusahaan atau instansi untuk memilah-milah itu. Kemudian diciptakannya roles.
Tergantung dari rolesnya dia boleh mengakses informasi yang seperti apa untuk jenis-jenis
itu.

Memang secara teori kelihatannya mudah. Tapi dalam praktiknya memang sering susah.
Karena kita tidak tahu bagaimana cara memasang nilai atau value atau kelas dari dokumen
atau data. Kemudian kita roles-nya juga kita masih rancu. Tapi faktornya kalau saya ulangi
lagi ini adalah faktor yang terkait dengan access control.

Kalau boleh saya ulangi semua tadi dari segi faktor-factor. Faktor yang utama adalah CIA.
Confidentiality, integrity, availability. Kemudian ada faktor-faktor lain yang terkait dengan
authentication, non-repudiation, dan access control. Jangan tertukar-tukar ya terutama yang
A tadi! Karena A kadang-kadang orang itu CIA, A nya itu Authentication. Padahal A nya itu
adalah availability. Nanti akan saya tanyakan dalam ujian, baik itulah faktor-faktor dari
keamanan informasi.

Halaman 17 dari 17
 ITB101

Information Security: Protecting Your

Information in the Digital Age

Transkrip
Minggu 4: Prinsip-prinsip Keamanan Informasi – Part 2

Video 1: Serangan atau Attack

Video 2: Interruption
Video 3: Interception
Video 4: Modification
Video 5: Fabrication
Video 6: Security Requirement
Video 7: Pengamanan
Video 8: Perilaku Pengancam
Video 9: Mengamankan Sistem
Video 10: Pengamanan Secara Menyeluruh
Video 11: Penutup

Video 1: Serangan atau Attack

Halo, siswa IndonesiaX. Kita bertemu lagi. Kali ini saya akan membahas tentang serangan.
Menurut salah satu dari pakar keamanan informasi, William Stallings, jenis-jenis serangan bisa
kita bagi menjadi empat bergantung dari topologinya. Yang pertama adalah Interruption,
kedua, Interception, ketiga, Modification, dan keempat, Fabrication. Nanti kita akan uraikan
satu persatu.

Kita mulai dengan Interruption. Interruption, seperti kata interupsi. Jadi, saya, anggap saja,
pengirim adalah A, ingin mengirimkan data kepada B. Jadi, ada A yang ingin mengirimkan
data kepada B. Kalau dalam tulisan dulu, memang notasi yang disebutkan adalah A dan B.
Biasanya, untuk membuat ini lebih manusiawi, maka kita berikan nama. Kalau A adalah Alice,
biasanya, B adalah Bob.

Kalau di luar negeri seperti itu. Alice dan Bob. Kalau di dalam negeri mungkin A adalah Ani
atau Ana dan B mungkin adalah Budi. Jadi, Ani mengirim pesan kepada Budi. A ingin mengirim
pesan kepada B, lalu di tengah jalan, pesan bisa diteruskan sampai ke B. Alice ingin mengirim
pesan kepada Bob. Interruption adalah kegiatan menginterupsi pesan tadi.

Menginterupsi alur informasi tadi. Jadi, ada attack di mana A mengirimkan informasi and di
tengah jalan, informasi dihentikan, biasanya dihentikan oleh Eve atau E. Eve dipakai karena
dalam bahasa Inggris, artinya adalah mencuri dengar, jadi, disebut eavesdrop atau mencuri
dengar. Jadi, A ingin mengirimkan pesan kepada B yang kemudian pesan dihentikan oleh E
yang ada di tengah, sehingga pesan tersebut tidak sampai. Itu disebut Interruption.

Serangan ini bisa bermacam-macam. Salah satunya adalah serangan terhadap availability
atau DoS attack. Begitu A ingin berkirim pesan kepada B, jaringan di-flood atau dibanjiri
dengan sampah, sehingga pesan tersebut tidak sampai kepada B. Atau jaringan di-attack

Halaman 1 dari 13
 ITB101

sehingga terputus. Listrik dimatikan. Pada prinsipnya, serangan tersebut terkait dengan
Denial of Service.

Serangan kedua adalah Interception. Interception adalah penyadapan. Jadi, A ingin mengirim
pesan kepada B. Alice ingin mengirim pesan kepada B. Maka, E, yang berada di tengah,
menyadap data tersebut. Eavesdrop. Kegiatan ini kita sebut Interception. Memang pesan
disampaikan dari Alice kepada Bob, tetapi di tengah jalan, pesan disadap oleh Eve. Jadi,
bentuk serangan seperti itu. Ada Interruption dan yang ini Interception.

Jenis serangan ketiga adalah Fabrication. Maaf. Jenis serangan ketiga adalah Modification.
Modification adalah Alice mengirim pesan kepada Bob. Jika tadi dalam Interception, pesan
hanya disadap dan sampai kepada Bob, sekarang, di tengah jalan, pesan dibelokkan lebih
dulu kepada Eve, maka pesan masuk kepada Eve, sampai di Eve, pesan diubah lalu
dikeluarkan lagi oleh Eve setelah dimodifikasi dan diteruskan kepada Bob. Maka, ini disebut
serangan Modification.

Biasanya ini disebut Man in the Middle Attack. Maka, Eve disebut sebagai Man in the Middle
karena dia mengubah. Kalau hanya menyadap, pesan tidak diubah. Dan jenis serangan
terakhir adalah Fabrication.

Eve mengirimkan pesan kepada Bob seolah-olah pesan itu datang dari Alice. Itu yang kita
sebut sebagai Fabrikasi. Jadi, Bob melihat pesan dan menganggap pesan itu dari Alice,
padahal bukan dan pesan itu sebenarnya berasal dari Eve. Itulah jenis serangan menurut
William Stallings.

Video 2: Interruption

Mari kita perjelas contoh dari serangan-serangan tadi. Kita bahas Interruption Attack lebih
dulu. Seperti yang sudah dijelaskan, Interruption Attack terkait dengan pengiriman data dari
sebuah entity kepada entity lain, dari A kepada B yang kemudian terhenti di tengah-tengah.
Caranya ada bermacam-macam.

Salah satu caranya, tentu saja, adalah menghabiskan bandwidth jaringan, dengan cara
membanjiri atau flooding, network flooding. Menariknya, ada banyak tools untuk melakukan
itu, untuk membanjiri. Jadi, tools itu sangat banyak sekali.

Membanjiri dalam hal ini bisa dalam jumlah paket, jumlah koneksi, dan jumlah data. Tools
atau software tersebut tersedia di luar sama untuk membangkitkan paket-paket atau traffic
yang bisa menghabiskan jaringan. Hal ini biasanya mudah sekali. Menariknya lagi, tools
tersebut bisa juga diubah sumber data atau kita sebut dengan spoofing. Jadi address atau
alamat pengirim bisa diubah sehingga agak susah mendeteksinya kalau kita di-flooding
seperti ini. Jadi, agak susah jika kita diserang.

Sebagai contoh, paling gampangnya, kalau kita bicara tentang PING. Mungkin sebagian siswa
IndonesiaX sudah familier dengan tools yang bernama ping. Misalnya, kita menggunakan ping
lalu beri nomor IP. Ping biasanya digunakan untuk menguji apakah komputer atau server yang
bersangkutan dalam kondisi hidup. Ping sesuai dengan IP, yang kemudian dijawab dengan
Pong.

Halaman 2 dari 13
 ITB101

Ping dikirimkan lagi, dijawab dengan Pong. Sebenarnya itu adalah ICMP Echo dan ICMP Reply
dan seterusnya. Jadi, ada Ping Pong. Akan tetapi, Ping juga bisa dipakai untuk melakukan
broadcast ke banyak mesin. Jadi, jika ada ping broadcast, maka semua komputer di jaringan
ini, dalam satu network, akan menjawab. Itu seperti guru bertanya kepada siswanya.
“Selamat pagi, anak-anak!” “Selamat pagi, Pak Guru!” Jadi, guru hanya memberi satu ucapan,
tapi mendapat jawaban dari semua siswa.

Kalau siswa ada 50 orang, maka akan ada 50 jawaban. Demikian pula jika kita memberikan
satu ping broadcast kepada jaringan dan dalam jaringan ada 100 komputer, maka 100
komputer akan menjawab sehingga ada faktor amplifikasi sebanyak 100 kali. Bayangkan
kalau saya percepat, saya membanjiri jaringan dengan ping broadcast, maka akan ada
jawaban yang jumlahnya 100 kali dari jumlah paket ping. Itu penjelasan sederhananya.

Tentu saja ada software-software lain yang dapat digunakan untuk membanjiri jaringan. Jadi,
kita sebagai seorang security professional admin harus cepat tanggap untuk mengatasi
masalah pembanjiran ini. Biasanya, salah satu cara yang kita lakukan adalah dengan
memantau jaringan. Memantai jaringan atau juga memantai server-server host. Kita lihat
apakah ada anomali-anomali.

Misalnya, jaringan yang biasanya normal jumlah bandwidth dan penggunaan traffic-nya, tiba-
tiba melonjak penuh. Kita bisa lihat ada keanehan apa di sini. Apakah ada kesalahan sistem
atau memang sedang ramai dipakai orang atau memang ada serangan? Kita juga bisa melihat
dari jumlah koneksinya. Berapa orang yang biasanya mengakses website kita.

Anggaplah ada 1.000 orang. Kenapa hari ini menjadi 100.000 orang? Adakah hal-hal tertentu
atau kejadian tertentu atau event tertentu atau ini merupakan serangan? Kita juga bisa
memantai dan memproteksinya dengan cara melihat alamat-alamat atau IP address.

Misalnya, kenapa dari 1000 koneksi, ada 700 koneksi yang berasal dari satu alamat IP yang
sama. Apakah dia berusaha menyerang kita atau IP yang sama tersebut merupakan proxy dari
sebuah kampus sehingga memang ada banyak koneksi? Itu adalah cara-cara kita untuk
memantau.

Kita juga bisa melakukan proteksi dengan cara memasang firewall di depan untuk membatasi
jumlah koneksi. Kita buat aturannya.

Misalnya, kita batasi jumlah traffic yang bisa kita kendalikan atau jumlah koneksi dari satu
mesin atau dari satu IP kita batasi jumlah koneksinya, yaitu maksimal 100 dari satu koneksi
atau dari satu IP atau dari tempat-tempat lain. Jadi, caranya bermacam-macam.

Kita juga bisa melakukan filtering. Misalnya, kita batasi berdasarkan IP, berdasarkan Mac
Address, berdasarkan user sehingga ini menjadi mekanisme-mekanisme untuk mendeteksi
dan menangani masalah DoS attack tadi.

Tetapi, ilmu DoS attack ini masih sebuah ilmu yang susah karena terkadang kita masih belum
bisa membedakan antara DoS attack atau memang kondisi sedang ramai atau flash crowd.
Sebagai contoh dari flash crowd adalah saat World Cup atau Piala Dunia.

Ketika Piala Dunia berlangsung, maka website-website tertentu akan banyak diakses orang
karena memang orang ingin mengaksesnya, bukan ingin menyerang. Sama halnya dengan

Halaman 3 dari 13
 ITB101

Pemilu. Website Pemilu akan ramai diakses orang, bukan untuk menyerang, tetapi memang
jumlah orang yang mengaksesnya banyak. Itulah pembahasan terkait dengan Interruption
Attack.

Video 3: Interception

Jenis serangan yang kedua atau jenis attack yang kedua adalah Interception atau dalam
bahasa Indonesia artinya penyadapan. Serangan itu secara teknis disebut dengan Sniffer atau
penyadap. Ada orang yang bilang bahwa Sniffer adalah pengendus, tapi saya cenderung
mengartikannya sebagai penyadap.

Ada komunikasi, kemudian disadap di tengah-tengah dengan menggunakan program-

program sniffer. Kalau komunikasi yang datang memang tidak terlalu penting, maka tidak
masalah. Tapi jika yang dikomunikasikan adalah password atau pin atau data yang bersifat
rahasia, maka sniffer tersebut mendapatkan data-data yang sangat berbahaya.

Ada banyak program sniffer di luar sana. Misalnya, yang paling banyak digunakan adalah
TCPDUMP dan Wireshark. Sebenarnya TCPDUMP dan Wireshark adalah perangkat yang
digunakan administrator. Program ini dipakai administrator untuk melakukan analisa,
debugging jika jaringan bermasalah dan sebagainya. Tapi, tools yang sama jika digunakan
oleh orang yang nakal, bisa digunakan untuk melakukan penyadapan.

Variasi dari tools ini juga banyak. Ada yang bernama NGRAB, DSNIFF, MEL SNIFF dan
sebagainya. Program tersebut pada prinsipnya digunakan untuk menyadap dengan jenis
aplikasi yang berbeda-beda. Ada yang sangat spesifik untuk menyadap password. Ada yang
dipakai menyadap e-mail. Ada yang dipakai menyadap website dan seterusnya. Itu kalau kita
bicara mengenai jaringan internet.

Hal yang sama bisa terjadi jika kita melakukan penyadapan dalam bentuk komunikasi lain.
Apakah itu SMS dan seterusnya? Tapi, pada prinsipnya, sniffer adalah sesuatu yang digunakan
untuk menyadap. Bagaimana kita melakukan proteksi atau mengendalikannya? Salah
satunya adalah dengan menerapkan segmentasi. Jadi, the rule of thumb, tidak semua
jaringan dijadikan satu, tapi kita pilah-pilah.

Misalnya, ini jaringan mahasiswa dan ini jaringan dosen. Bahkan kita mungkin bisa memilah-
milah jaringan mahasiswa. Ini adalah jaringan mahasiswa kelompok A atau jurusan A atau
departemen A dan departemen B dan seterusnya. Jaringan dosen pun bisa kita pisahkan
menjadi dosen, peneliti dan lain-lain. Tujuannya adalah untuk mempersulit penyadapan atau
jika terjadi masalah akan lebih mudah untuk melakukan penelusuran atau debugging. Tapi,
pada prinsipnya, segmentation kita gunakan untuk mengatasi penyadapan.

Berikutnya, mengenai perangkat. Kalau dulu, perangkat yang dipakai memang paket switch
network di jaringan internet itu yaitu jaringan yang digunakan bersama-sama, maka mudah
disadap. Sekarang, perangkat-perangkat sudah menggunakan switch sehingga sedikit
banyak menyulitkan proses penyadapan, meskipun masih ada celah-celah di hal-hal tertentu,
tapi sedikit banyak ini bisa menanggulangi masalah penyadapan, yaitu dengan memakai
perangkat-perangkat yang lebih modern.

Halaman 4 dari 13
 ITB101

Berikutnya, kita juga bisa mendeteksi jika ada penyadapan. Ceritanya seperti ini, jaringan
internet zaman dulu dikembangkan untuk kebersamaan, semua bisa mengirim dan semua
bisa mendengar. Karena itulah disebut jaringan bersama. Tujuannya, dulu, agar jaringan itu
lebih efisien dan lebih murah, sehingga kita memakai jaringan bersama. Dulu, kalau saya
punya komputer, komputer, komputer dan dihubungkan dalam satu jaringan, lalu komputer
kita berikan nomor IP 1, 2, 3, dan 4, maka begitu ada paket yang lewat, paket itu akan
membawa alamat.

Ini paket untuk mesin ketiga atau IP ketiga, maka IP ketiga akan berkata, “Itu paket saya. Akan
saya terima.” Namun, sesungguhnya, komputer 1, 2 dan 4 bisa mendengarkan. Itu kita sebut
dengan melakukan sniffing. Sniffing, istilah teknisnya, dilakukan dengan cara si perangkat ini
digunakan dalam mode Promiscuous, jadi, perangkat ini bisa mendengarkan dan boleh
berinteraksi dengan paket-paket tadi yang tidak ditujukan untuknya.

Jadi, dia juga mendengarkan paket untuk IP 3, kalau dia nakal, dia juga akan
mendengarkannya. Sebenarnya, ini bisa dipakai untuk teknologi lama. Salah satu cara untuk
mendeteksi adanya penyadapan adalah menginvestigasi dalam jaringan, apakah ada
perangkat-perangkat yang melakukan sniffing? Atau dengan kata lain, adakah perangkat di
sini yang memakai mode Promiscuous? Apakah ini mode promiscuous, apakah yang ini mode
promiscuous? Jika ada yang bermode Promiscuous, maka kita perlu curiga.

Ada kemungkinan komputer atau perangkat itu mendengarkan paket yang tidak ditujukan
untuk mereka. Jadi, memang ini mengenai kenakalan. Jadi, jika ada yang curiga apakah di sini
ada yang mendengarkan atau tidak. Lalu ada suara berisik, kita tanya, “Itu kucing atau
maling?” “Kucing.” Artinya, sebenarnya itu kucing atau maling? Mungkin itu kucing.

Tapi, kenapa kucing bisa bicara? Sama seperti itu. Jadi, ada pendeteksi yang kita sebut
sebagai anti-sniff untuk mendeteksi adanya proses sniffing dengan cara memeriksa perangkat
promiscuous. Sekarang, karena takut dideteksi oleh anti-sniff, maka muncullah anti-anti-sniff.
Lalu admin akan membuat anti-anti-anti-sniff. Ini adalah perang antara penyadap dan admin
yang melindungi jaringan itu.

Tapi, pada prinsipnya, Interception dilakukan dengan mekanisme yang umum, yaitu dengan
sniffer, untuk masalah teknis, kemudian juga ada kendali-kendali yang dapat kita terapkan
untuk mengurangi risiko penyadapan.

Video 4: Modification

Serangan selanjutnya adalah Modification Attack. Jadi, Alice atau Anna ingin mengirim pesan
kepada Bob atau Budi, lalu di tengah jalan diterima oleh Man in the Middle Attack lalu pesan
yang dikeluarkan sudah diubah. Jadi, ini merupakan mekanisme untuk merubah data di
tengah jalan.

Contoh, malware. Malware bisa mengubah data. Sekarang yang kita takutkan adalah malware
yang mengubah transaksi. Di tengah jalan, transaksi diubah. Misalnya, kirim uang kepada
Budi Raharjo sebanyak tiga juga, lalu di tengah jalan diubah dan ditambah nol. Jadi, kirim
uang kepada Budi Raharjo sebanyak 30 juta. Alhamdulillah bagi saya, tapi bagi orang lain,
pengirimnya, itu menjadi masalah. Ini adalah masalah modification. Serangan-serangan
seperti itu contohnya ada banyak.

Halaman 5 dari 13
 ITB101

Tadi saya sudah memberi contoh mengenai ransomware, yang mana datanya diubah, lalu
meminta uang untuk memberikan password sehingga datanya bisa dikembalikan lagi.

Biasanya, kejadian seperti ini terkait dengan malware. Oleh sebab itu, salah satu cara untuk
melakukan proteksinya atau penangkalannya adalah dengan memasang antivirus,
antimalware. Lalu kita pasang program itu. Namun, jangan lupa, jika kita memasang antivirus,
maka harus kita update secara berkala karena perubahan program tersebut sangat sering.

Dalam seminggu ada perubahan, selalu ada perubahan. Jadi, setidaknya seminggu sekali,
antivirus harus di-update dengan data terbaru untuk mendeteksi adanya potensi Man in the
Middle Attack atau virus dan yang lain-lain.

Ada juga yang bisa mendeteksi adanya perubahan untuk pelacakannya. Itu juga bagi kita
tetap merupakan serangan.

Di sisi lain, kita bisa menerapkan integrity checker. Kalau saya membuat aplikasi, dalam
aplikasi saya dilakukan mekanisme integrity checker, jadi, jangan langsung mengirimkan
transaksi begitu saja, tapi buat integrity checker yang dikirimkan melalui transaksi ini, tapi
juga dikirimkan melalui jalur range, sehingga bisa dideteksi jika ada potensi-potensi
penyerangan terhadap integritas dari data tersebut.

Video 5: Fabrication

Siswa IndonesiaX, kita sekarang bicara tentang Fabrication Attack. Seolah-olah ada data atau
pesan sampai kepada yang dituju, hari ini Bob atau Budi, yang berasal dari Eve. Karena di
dunia internet atau IT, awalnya berdasarkan kepercayaan, maka membuat data palsu sangat
mudah.

Data yang palsu biasa kita sebut dengan Spoofing. Alamat spoofing sangat mudah dibuat.
Sama halnya dengan membuat e-mail palsu. Sebenarnya di dunia nyata, membuat surat palsu
juga mudah. Hanya perlu membuat surat berisi “Dari Rektor ITB. Kepada Seluruh Mahasiswa.

Ujian dibatalkan.” Padahal si penulis surat adalah saya. Kirimkan saja surat tersebut,
masukkan ke kotak pos. Dari kotak pos, surat akan disebarkan. Lalu semua mahasiswa
berkata, “Wah, tidak ada ujian.” Lalu para mahasiswa pulang dan yang ikut ujian hanya saya
sendiri sehingga hanya saya yang lulus. Untuk e-mail juga sama. Hanya perlu menulis dari
siapa dan seterusnya, maka kita dapat membuat e-mail palsu. Jadi, hal itu sangat mudah
dilakukan.

E-mail palsu bisa dibuat secara manual, tapi juga bisa dihasilkan oleh program e-mail, maaf,
program yang terkait dengan malware. Malware bisa mengumpulkan data alamat e-mail
orang, kemudian membuat e-mail palsu yang seolah-olah datang dari bank atau tempat lain.

Jadi, membuat e-mail palsu sangat mudah dilakukan. Bahkan membuat data dalam level
yang lebih rendah seperti paket juga bisa dilakukan. Kita membuat paket yang keluar dari
komputer yang seolah-olah keluar dari komputer tertentu ternyata mudah dilakukan.

Halaman 6 dari 13
 ITB101

Ada banyak tools, ada yang kita sebut dengan Package Construction Kit. Jadi, untuk membuat
paket-paket tersebut ada peralatannya. Sehingga paket palsu bisa dikirimkan dengan mudah.
Yang mengalami kesusahan adalah orang-orang seperti kami yang harus menanganinya.

Maka dari itu, salah satu cara menangkalnya adalah mem-filter paket atau e-mail yang berasal
dari router kita yang akan keluar. Sifatnya, kita proteksi sistem kita agar tidak menghasilkan
paket atau e-mail atau data palsu. Jadi, kita memastikan paket yang keluar dari kita tidak ada
yang palsu dengan harapan orang lain juga melakukan hal yang sama sehingga dunia cyber
aman, tenteram, dan damai.

Sebagai contoh, di ITB, IP addressnya dimulai dengan 167.205 dan seterusnya. Kita pastikan
paket-paket yang keluar dari ITB berkepala 167.205. Jadi, jika ada yang nakal atau virus atau
malware yang menghasilkan paket dengan IP yang tidak jelas, yaitu 202 dan seterusnya, saat
mau keluar, ditahan router karena paket tersebut palsu.

Jadi, kita tidak memperbolehkan paket palsu keluar dari kita dengan men-drop paket
tersebut agar tidak bisa keluar. Sehingga paket palsu tersebut tidak bocor keluar. Maka dari
itu, fabrication dapat dikurangi.

Saya juga berharap para siswa IndonesiaX, jika nanti mengelola sistem dapat melakukan hal
yang sama. Jadi, kita harus be nice to other. Berbuatlah baik kepada orang lain, sehingga
orang lain juga baik kepada kita. Jadi, kita bisa menciptakan sistem yang aman secara
bersama-sama.

Video 6: Security Requirement

Siswa IndonesiaX, seperti tadi dijelaskan, ada banyak aspek dari keamanan. Aspek-aspeknya
ada bermacam-macam. Maka dari itu, jika kita membuat satu sistem, kita membuat sebuah
requirement. Yaitu security requirement. Tidak semua aspek keamanan dibutuhkan karena
memang kondisinya berbeda-beda. Contoh, di kampus yang diurus berbeda dengan instalasi
militer.

Maka, kita harus pastikan security requirement kita khusus dibuat untuk business process
kita. Perbankan dan perguruan tinggi punya security requirement berbeda. Jadi, industrinya
juga bisa berbeda. Biasanya ada prioritas karena kita hidup di dunia nyata.

Aspek mana yang lebih penting? Apakah aspek kerahasiaan, integritas atau ketersediaannya?
Sebagai contoh, dalam sistem voting, seperti Pemilu dan seterusnya, maka aspek integritas
adalah yang utama. Data harus dipastikan bahwa itu data yang baik. Banyak orang memilih
kerahasiaan data, tapi bagi saya, integritas data yang lebih penting. Demikian juga dengan
perbankan, requirement untuk integritas lebih penting, menurut saya.

Karena kita tidak ingin data kita, misalnya, rekening kita yang berjumlah 3.200.000, besok
berubah menjadi 3.700.000. Data terus berubah, maka integritasnya dipertanyakan. Di sini,
yang lebih penting adalah masalah integritas data. Meskipun terkadang kita memiliki hal yang
sama. Masalahnya adalah sumber daya kita terbatas, uang kita terbatas, SDM kita terbatas
sehingga mana yang harus kita prioritaskan. Itulah fungsi penerapan security requirement.

Halaman 7 dari 13
 ITB101

Sayangnya di beberapa tempat, umumnya di beberapa tempat, tidak ada security

requirement, sehingga bagi para implementor, orang-orang yang mengimplementasikan
pengamanannya, ini agak susah. Ada banyak permintaan, tapi sumber daya terbatas dan kita
tidak memiliki prioritas.

Requirement ini harus berasal dari atas, sehingga dia tahu bahwa kebutuhannya seperti ini,
kemudian dia juga harus mau mengeluarkan resource, baik dari segi finansial dan sumber
daya untuk memenuhi requirement itu. Jangan hanya menginginkan banyak security, tapi
tidak mau memberikan resource. Jika seperti itu, kondisinya agak susah.

Video 7: Pengamanan

Sekarang kita bicara tentang pengamanan. Tentu saja kita tidak bisa mengamankan dari
segala hal dan berbagai tempat. Maka dari itu, kita perlu mengidentifikasi asal ancaman atau
threat tersebut.

Kita identifikasi lebih dulu sumber-sumber utamanya. Sebagai contoh, sebuah perusahaan,
perusahaan harus mengidentifikasi lebih dulu, apakah ancaman itu berasal dari kompetitor,
pihak lain, pegawai internal? Kita lihat itu dalam hal ancaman tadi.

Kalau saya lihat, memang begitu, misalnya ada sebuah sistem informasi kemahasiswaan,
ancaman utamanya sebenarnya berasal dari mahasiswa itu sendiri. Dia ingin mengubah
sistem untuk mengubah nilai. Mahasiswa dari universitas lain mungkin tidak peduli dengan
sistem informasi atau penilaian dari kampus yang bersangkutan. Jika itu yang terjadi,
ancamannya berasal dari orang dalam.

Sebuah sistem pemerintahan, tentu saja, bukan hanya melihat ancaman internal saja, tapi
juga dari luar karena ada ancaman dari pihak-pihak lain. Ini harus kita deteksi. Sumbernya
bisa berasal dari manusia. Manusia bisa sengaja dan tidak sengaja.

Sengaja untuk orang yang jahat. Tidak sengaja bisa terjadi karena kita tidak memiliki prosedur
yang baik. Contohnya, data center kita boleh dikunjungi oleh siapa saja. Itu pernah terjadi.
Saat itu saya sedang berada di dalam data center dan di sana kita diperbolehkan makan.

Bahkan kita bisa memesan mie bakso. “Pak, pesan mie bakso dua.” Karena di dalam data
center dingin, lalu kita bekerja sampai malam dan sambil makan bakso lalu secara tidak
sengaja bakso itu tumpah dan mengenai mesin, maka itu menjadi masalah. Itu disebut tidak
sengaja atau kelalaian. Tidak ada SOP yang baik dan memang orang tersebut tidak berniat
jahat, tapi hal itu bisa menjadi masalah. Itu dari aspek manusia.

Ancaman itu juga bisa terjadi karena bencana alam. Kita sudah tahu bahwa di kantor yang
akan dipasang data center terletak di samping sungai yang meluap setiap hujan turun. Itu
dinamakan mencari masalah karena kita sudah tahu bahwa akan ada bencana. Atau kita
meletakkan server kita di daerah yang banyak petir atau kebakaran dan sebagainya.

Jadi, sebelum melakukan sesuatu, kita periksa dulu ancaman-ancaman itu berasal dari mana.
Manusia atau alam. Kemudian, kita lihat tingkat kesulitan dari ancaman-ancaman ini karena
mungkin ancaman itu memang ada, tetapi tingkat kesulitannya susah. Misalnya, ancaman

Halaman 8 dari 13
 ITB101

dari manusia seperti mencuri. Mencuri notebook lebih mudah karena ukurannya kecil,
sehingga bisa dilakukan sambil lewat.

Mencuri server lebih susah, tapi bisa dilakukan karena ukurannya. Mencuri mainframe tidak
bisa dilakukan, tingkat kesulitannya tinggi karena harus menggunakan truk tronton yang
diparkir di depan. Orang akan bertanya, “Mau ke mana?” “Mau mencuri mainframe.” Pasti
sudah lebih dulu ketahuan. Sehingga kita juga harus memperhitungkan tingkat kesulitannya.

Urutannya adalah potensi ancaman dan tingkat kesulitan. Sehingga kita bisa
memperhitungkan probabilitas ancaman tersebut menjadi kenyataan. Karena kita harus
melindungi. Kita pilih mana yang menjadi prioritas karena sumber daya kita terbatas. Mana
yang harus diproteksi lebih dulu. Ancamannya dari mana, probabilitasnya seperti apa. Yang
memiliki hasil paling tinggi, itulah yang harus kita amankan terlebih dahulu.

Video 8: Perilaku Pengancam

Siswa IndonesiaX, tadi sudah dijelaskan mengenai ancaman-ancaman. Sekarang kita melihat
perilaku dari pengancam. Menurut Sun Tzu, “Know your enemy. Know thy enemies.” Kenali
siapa penyerang Anda.

Sebenarnya kita ingin tahu, apa tujuan dari pengancam ini? Perilaku mereka seperti apa?
Sebagai contoh, dulu saat Indonesia, setahu saya, saling menyerang dengan Portugal. Lalu
kita lihat, apa tujuannya? Tujuannya adalah merusak sistem.

Maka, perilakunya adalah saat ada orang masuk, dia akan menghapus datanya, delete dan
format. Sistem akan dibuat sehancur mungkin. Motifnya apa? Motifnya, politik. Tetapi ada
juga hal-hal lain yang motifnya berbeda. Sebagai contoh, saat itu ada protes terhadap hak
asasi manusia. Pemerintah Indonesia tidak adil terhadap etnis-etnis tertentu.

Maka, website-website pemerintah Indonesia diubah. Saat itu, server memang tidak diformat
karena kalau diformat, server akan rusak. Tapi halaman website diubah dan protes mereka
ditampilkan di website tersebut. Perilakunya adalah server harus menyala, webserver harus
menyala, bahkan webserver dibuat sestabil mungkin sehingga protes mereka terlihat dan
terdengar di sana. Perilakunya memang berbeda. Kita harus melihat itu karena jenis
serangannya akan berbeda.

Kita sudah tahu motifnya apa, perilakunya seperti apa, sekarang, bagaimana mereka masuk?
Sebetulnya mereka masuk melalui apa? Apakah melalui kelemahan di system web, jaringan
atau aplikasi e-mail dan seterusnya? Biasanya ini dideteksi, dulu, secara tidak sengaja.
Sekarang, untuk mendeteksi sudah ada beberapa sistem yang kita gunakan yang disebut
Honey Pot.

Honey Pot adalah sebuah pancingan. Dulu, honey pot dipakai memancing beruang. Diisi
madu sehingga saat beruang mengambil madu, tangannya tidak bisa dikeluarkan sehingga
beruang bisa ditangkap. Sama halnya, kita memakai aplikasi Honey Pot untuk memancing.
Misalnya, sedang ada trend bahwa orang masuk ke sistem melalui e-mail. Maka, kita membuat
sistem e-mail palsu. Sebagai contoh, kita memasang server, kita tidak memakainya sebagai e-
mail sebelumnya lalu kita pasang sistem e-mail palsu di sana dan kita tidak mengumumkan
kepada dunia bahwa ini sistem e-mail kita.

Halaman 9 dari 13
 ITB101

Ketika ada orang datang dan masuk melalui sistem e-mail kita, ini menjadi masalah karena
kita tahu. “Kenapa kamu masuk ke sistem e-mail kita padahal ini tidak kita umumkan?” Maka
orang-orang tersebut atau IP address tersebut perlu kita curigai. Bahkan sistem Honey Pot
tidak hanya mendeteksi itu, tapi berinteraksi seolah-olah dia adalah sistem e-mail, bahkan
seolah-olah sistem e-mail yang rentan. Jadi, kita bisa lihat saat ada yang masuk. Setelah
masuk, dia bisa mengeksploitasi seperti apa. Seolah-olah kita memancing orang untuk
merampok atau berbuat kejahatan, kemudian kita memantau seperti apa perilakunya. Honey
Pot bergerak di satu mesin atau satu sistem tertentu.

Kalau kita mengumpulkannya, itu disebut Honey Net atau Honey Network. Mungkin saja jika
kita memasang honey pot di beberapa tempat, maka kita bisa melihat perilakunya. Sebagai
contoh, jika saya memasang honey pot yang mendeteksi serangan e-mail di satu mesin, di
tempat lain juga dipasang. Kemudian kita lihat di tempat-tempat tersebut ada percobaan
masuk dari sistem dengan IP yang sama, maka kita bisa katakan bahwa IP atau sumber itu
ingin mencoba masuk karena sumbernya banyak dan dia ingin menyerang berbagai hal.

Jadi, honey pot bisa mendeteksi di satu sistem, sedangkan honey net merupakan gabungan
dari honey pot. Ini bisa ada di berbagai instansi yang kemudian kita kumpulkan untuk
mendata. Tujuannya apa? Untuk mendeteksi perilaku penyerang. Setelah tahu, kita baru bisa
menerapkan perlindungan yang cocok.

Setelah kita melihat perilaku dari penyerang, maka sebenarnya kita bisa menangani
serangan-serangan atau potensi serangan-serangan. Suatu saat ada sebuah buku yang
kemudian banyak digunakan oleh banyak orang. Buku itu berjudul “Hacking Exposed.” Hal
menarik dari buku Hacking Exposed ini adalah buku ini mengumpulkan cara-cara para cracker
yang masuk, kemudian membuat struktur dan mendata bahwa inilah SOP yang dilakukan
oleh para cracker.

Itulah kontribusi dari buku ini yang membuatnya terkenal. Ternyata cracker memiliki urutan
yang sama. Langkah-langkah pertamanya selalu mengumpulkan data. Jadi, cracker tidak asal
menyerang, tapi mengumpulkan informasi lebih dulu. Information gathering. Dia
menargetkan lebih dulu. Jadi, dia akan melihat dulu. Misalnya, saya ingin menargetkan
sebuah instansi pemerintahan atau bank, maka saya akan cari tahu informasi dari domain-
nya.

Apa saja domain-nya? Daftar mesinnya apa saja? Nomor IP-nya apa saja? Itu masuk ke dalam
kategori information gathering. Dia akan mengumpulkan itu. Dia punya data-data tentang
server, IP dan layanan. Langkah kedua, dia akan masuk. Ini disebut Initial Access. Dia
melakukan initial access, mungkin hanya sebagai tamu yang penting dia bisa masuk ke
sistem.

Bisa jadi dia masuk secara legal karena dia punya hak dan bisa jadi secara ilegal yang
didapatkan dengan menyadap password atau mencoba memecahkan password dengan
mekanisme cracking. Setelah itu, masuklah dia ke dalam sistem sebagai guest atau sebagai
user biasa. Langkah berikutnya, dia berusaha untuk menaikkan levelnya atau tingkatannya
sebagai administrator. Tidak hanya sebagai user biasa, tapi sebagai administrator. Setelah dia
menjadi administrator, maka sudah game over. Dia bisa melakukan apa saja. Dia bisa
membuat user, bisa melakukan transaksi, bisa mengubah sistem. Itu targetnya. Tapi selain
itu, setelah menjadi administrator, dia akan menghapus jejaknya atau covering tracks.

Halaman 10 dari 13
 ITB101

Jika dia masuk melalui sistem e-mail, maka log e-mail akan dihapusnya, sehingga tak ada
yang tahu dia masuk dari mana. Seperti itulah langkahnya. Setelah itu, dia akan mencoba
memasang Backdoor karena dia takut. Misalnya, dia masuk melalui sistem e-mail, lalu sistem
e-mail terdeteksi dan diperbaiki. Dia akan membuat backdoor di sistem web atau ftp atau
sistem login yang lama.

Misalnya kita contohkan dalam kasus rumah. Dia masuk melalui pintu depan, maka dia akan
buka jendelanya agar jika pintu depan ditutup, dia bisa masuk melalui jendela. Jika jendela
ditutup, dia akan membuka atap. Sehingga jika pintu dan jendela ditutup, dia bisa masuk
melalui atap.

Jika atap ditutup, dia masuk dari lubang bawah tanah. Dia akan membuat banyak backdoor
baru. Kalau tidak bisa, jika semua gagal, DoS attack dilancarkan. Serang semuanya. Seolah-
olah saya ingin mencuri, tidak bisa lewat pintu, jendela, dan atap, maka saya akan bakar saja
rumah itu. Seperti itulah SOP mereka. Jika mereka tidak bisa meretas, mereka menyerang
server agar server tersebut down.

Yang menarik dari buku Hacking Exposed, buku ini menurunkan langkah-langkahnya,
membuat tujuan dan mendaftar tools yang ada. Bagi kita yang mempelajari security, para
security professional, ilmu ini bermanfaat bagi kita untuk mempelajari apa yang dilakukan
oleh para penyerang atau cracker.

Tapi, ingat, ilmu ini jangan digunakan untuk berbuat kejahatan. Peralatan yang sama bisa
digunakan oleh penjahat dan peralatan yang sama kita gunakan untuk belajar cara
menangani kasus-kasus ini. Sehingga jika kita tahu di sana memakai ping flood attack, saya
tahu cara mengatasi ping flood attack. Di sana ada fabrication attack, saya tahu cara
mengidentifikasi fabrication attack dan cara penanganannya.

Jadi, mengapa buku atau tools yang ada, menurut saya, harus kita pelajari, tapi jangan
melakukan itu untuk merusak sistem orang lain. Kita bisa melakukannya di sistem kita, di
laboratorium dan sebagainya. Sama saja. Sama dengan orang berlatih bela diri. Entah karate,
taekwondo atau kungfu, kita latihan di tempat latihan kita.

Bukan saat ada di luar, orang lain diajak berkelahi. Bukan begitu. Kita juga tidak perlu
melakukannya dalam lingkungan yang terbatas. Itulah pembahasan terkait dengan
identifikasi dan mencoba mempelajari apa yang dilakukan oleh para penyerang/cracker
dengan harapan kita bisa melindungi diri kita menjadi lebih baik.

Video 9: Mengamankan Sistem

Bagaimana caranya kita ingin mengamankan system yang kita miliki? Ada bermacam-macam
metodologi atau framework yang pada dasarnya mirip. Pertama, semuanya harus berasal dari
atasan. Jadi, kita harus selalu merujuk ke atasan.

Inisiatif-inisiatif yang berasal dari bawah biasanya sulit untuk sukses karena dia hanya berada
di bawah. Itu sebabnya, dalam hal ini, kita harus mengajarkan atau memberi wawasan kepada
atasan kita, sehingga pemahaman security ini menjadi global, sehingga atasan tahu bahwa ini
sangat penting bagi instansi atau perusahaan kita.

Halaman 11 dari 13
 ITB101

Kemudian, aka nada komitmen dari atasan. Dari segi teknis, kita bisa melihat cara kita
mengumpulkan data, potensi kelemahan-kelemahan sistem kita, ancaman dan sebagainya,
kemudian kita melihat seperti apa business process kita, teknologi yang ada seperti apa,
kemudian pengamanan kita buat dalam bentuk kebijakan.

Policy mengenai siapa yang boleh melakukan apa. Dari sana kita turunkan menjadi hal-hal
yang detail dan teknis, kemudian kita mengeksekusinya. Baru kita menerapkan, selain yang
seperti itu, ada standard operasi, sehingga semua bisa terangkum menjadi sebuah framework
yang terkelola dengan baik.

Video 10: Pengamanan Secara Menyeluruh

Siswa IndonesiaX, jika kita ingin membuat suatu pengamanan yang baik, maka kita harus
melakukannya secara menyeluruh atau holistik.

Biasanya pembahasan keamanan selalu terkait dengan teknologi. Secara teknis saja, itu
adalah masalah teknologi. Tapi, tadi kita sudah bahas bahwa ada aspek yang terkait dengan
manusia, yaitu aspek people.

Selain itu, juga ada aspek-aspek yang terkait dengan proses-proses, sehingga jika kita ingin
mengamankan sistem kita, biasanya kita bicara tentang kelengkapan dari people, process,
technology.

Dari segi people, ada level atau tingkatan yang berbeda. Ada top management yang mungkin
tidak terlalu terkait dengan masalah teknis. Ada orang IT yang mengelola secara teknis. Maka,
untuk pihak-pihak yang tidak terkait dengan masalah teknis itu, perlu diberi awareness dan
wawasan bahwa security itu penting. Mulai dari top management sampai ke bawah seperti
office boy, janitor.

Semua harus tahu tentang masalah security. Untuk orang-orang yang mengelolanya, bukan
hanya sekedar awareness atau wawasan saja, mereka juga harus dibekali dengan skill.
Keterampilan untuk menangani atau mengelola masalah security, sehingga nanti semua akan
menyeluruh. Misalnya, kita tahu bagaimana masalah kebocoran data itu munculnya dari
mana, menanganinya bagaimana, sehingga, sebagai contoh, jika saya datang ke kantor,
satpam akan bertanya, “Bapak mau ke mana? Bapak mau lihat apa? Bapak mau datang ke
mana? Ini data center.

Bapak tidak boleh masuk ke dalam data center tanpa disertai oleh tim.” Hal seperti ini bisa
diterapkan. Untuk skill, harus terus ditingkatkan karena teknologi berubah. Tadinya
kecepatan internet lambat, sekarang menjadi cepat. Tadinya belum ada 3G, sekarang sudah
ada 3G. Tadinya wi-fi, free hotspot belum ada di mana-mana, sekarang ada di mana-mana.

3G sudah berubah menjadi 4G LTE dan sebagainya. Teknologi terus meningkat. Belum lagi
perangkat yang dulu disk-nya berukuran besar, sekarang bisa memakai flash disk yang besar
memorinya hitungan GB. Teknologi cepat berubah. Itulah yang harus terus diajarkan.

Halaman 12 dari 13
 ITB101

Untuk itu diperlukan komitmen dari atasan karena dia harus melakukan investasi terhadap
SDM-nya. SDM-nya harus mengikuti training, perangkat harus diperbaiki atau diadakan.
Memang harus lengkap. Itu dari segi people.

Dari segi process, mulai diterapkan di perusahaan-perusahaan tentang bagaimana membuat

kebijakan-kebijakan. Policy and procedure. Ini bukan sesuatu yang bisa dilakukan dengan
mudah. Secara umum, dalam satu instansi atau perusahaan ada banyak kebijakan yang
tingkatannya adalah kebijakan, standard operasi, guideline, dan seterusnya. Tingkatan
tersebut berbeda-beda. Ada yang membutuhkan 40 PNP, ada yang membutuhkan 75 PNP,
ada yang membutuhkan 100 PNP.

Memang banyak, bergantung pada organisasi yang bersangkutan. Untuk mengembangkan

policy dan procedure itu tidak mudah. Menurut pengalaman kami, dalam sebulan, bisa
dihasilkan dua bentuk PNP (Policy and Procedure). Apalagi di tingkat policy. Policy biasanya
membutuhkan persetujuan dari atasan dan sifatnya menyeluruh, sehingga membutuhkan
waktu yang lama karena kita tidak ingin membuat kebijakan yang menyulitkan pekerja,
menyulitkan semua orang dan tidak bermanfaat.

Jadi, ini memang butuh waktu yang lama. Tapi, ini harus dilakukan. Jadi, anggaplah kita
membutuhkan 40 PNP, setiap bulan hanya bisa menghasilkan 2 PNP, berarti dibutuhkan
sekitar 20 bulan atau mendekati dua tahun untuk mengerjakannya. Setelah selesai
mengerjakan semua, lengkap, selama dua tahun, maka aka nada revisi-revisi di sana. Proses
ini memang terus-menerus berulang. Hal ini harus dilakukan terus-menerus dan mendapat
dukungan dari top management. Mulai dari people, process dan technology.

Technology, tentu saja, maaf. Teknologi-teknologi yang tersedia semakin hebat dan
sebagainya sehingga terjadi perubahan. Hal itu secara teknis sudah banyak dibahas dalam
perkuliahan. Hanya dua hal ini yang mungkin perlu kita pelajari lebih lanjut. Perlu ada diskusi,
pembinaan, kuliah atau pelajaran seperti ini, sehingga pengamanan menjadi menyeluruh
atau holistik dan semoga sistem kita lebih aman karenanya.

Video 11: Penutup

Hai, siswa IndonesiaX. Mudah-mudahan Anda suka dengan apa yang sudah saya sampaikan
dan mudah-mudahan juga bermanfaat tentunya. Saya sendiri senang mengajar di IndonesiaX.

Menurut saya, waktunya juga tepat karena saat ini memang dibutuhkan banyak sekali orang-
orang yang menguasai bidang-bidang information security. Saya berharap Anda bisa
melanjutkan lagi dengan kuliah-kuliah yang lebih teknis.

Kita lihat kapan kita bisa bertemu lagi. Kita akan buat materi-materi yang lebih teknis. Kalau
ada usulan, silakan diusulkan materi apa yang perlu kita bahas dalam hal-hal atau kuliah-
kuliah yang terkait dengan information security. Sementara itu, kita menikmati memainkan
ini dan ini.

Sebenarnya ini juga sedikit tidak berhubungan. Yang ini Starwars dan yang itu Matrix. Lalu
yang ini juga berbeda lagi. Nanti kita buat kuliah yang lebih lucu. Kita beli macam-macam
barang lagi. Sampai bertemu lagi.

Halaman 13 dari 13