See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/371530844

Keamanan Sistem Informasi

Book · March 2023

CITATION READS

1 3,141

13 authors, including:

Jimmy Moedjahedy I Wayan Widi Pradnyana

Klabat University Universitas Pembanguan Nasional Veteran Jakarta
35 PUBLICATIONS 94 CITATIONS 21 PUBLICATIONS 27 CITATIONS

SEE PROFILE SEE PROFILE

Indrawan Ady Saputro

Sekolah tinggi Manajemen Informatika dan Komputer AMIKOM Surakarta
5 PUBLICATIONS 3 CITATIONS

SEE PROFILE

All content following this page was uploaded by Jimmy Moedjahedy on 13 June 2023.

The user has requested enhancement of the downloaded file.

i
KEAMANAN SISTEM
INFORMASI

ii
KEAMANAN SISTEM
INFORMASI

Nurlindasari Tamsir, S.Kom.,M.T

Nurul Aini, S.Kom.,M.T
Rahmadi Asri, S.Inf., M.Kom
Jimmy H. Moedjahedy, S.Kom, M.M, M.Kom
Yusuf Muhyidin
Ahyuna, S.Kom., M.I.Kom
I Wayan Widi Pradnyana, S.Kom, MTI
Dudih Gustian, M. Kom
Wildani Eko Nugroho, M.Kom
Suci Rahma Dani Rachman, S.Kom., M.T
Indrawan Ady Saputro, S.Kom., M.Kom
Kraugusteeliana,M.Kom,MM
Yuswardi, S.T., M.T

Penerbit :

Anggota IKAPI
No. 428/JBA/2022

iii
 KEAMANAN SISTEM INFORMASI

Penulis :
Nurlindasari Tamsir, S.Kom.,M.T, Nurul Aini, S.Kom.,M.T, Rahmadi
Asri, S.Inf., M.Kom, Jimmy H. Moedjahedy, S.Kom, M.M, M.Kom,
Yusuf Muhyidin, Ahyuna, S.Kom., M.I.Kom,
I Wayan Widi Pradnyana, S.Kom, MTI, Dudih Gustian, M. Kom,
Wildani Eko Nugroho, M.Kom, Suci Rahma Dani Rachman, S.Kom., M.T,
Indrawan Ady Saputro, S.Kom., M.Kom, Kraugusteeliana,M.Kom,MM,
Yuswardi, S.T., M.T

ISBN : 978-623-8191-10-9, 978-623-8191-07-9 (PDF)

Editor : Dudih Gustian, M.Kom
Tata Letak : Asep Komarudin, S. Kom
Desain Sampul : Muhammad Nafis Ridhwan, S.Sos
Penerbit : INDIE PRESS

Redaksi :
Jl. Antapani VI, No 1B, Ankid, Antapani, Bandung 40291
Telp/Faks: (022) 20526377
Website: www.indiepress.id |E-mail: indiepressbooksid@gmail.com

Cetakan Pertama :
04 Maret 2023
Ukuran :
iii, 196, Uk: 15,5 x 23 cm

Hak Cipta 2023, Indie Press dan Penulis

Isi diluar tanggung jawab percetakan
Copyright © 2023 by Indie Press
All Right Reserved
Hak cipta dilindungi undang-undang Dilarang keras menerjemahkan,
memfotokopi, atau memperbanyak sebagian atau seluruh isi buku
initanpa izin tertulis dari Penerbit.

iv
 KATA PENGANTAR

Puji syukur kami panjatkan kehadirat Tuhan Yang Maha Esa,

karena berkat rahmat dan karunia-Nya sehingga buku kolaborasi
dalam bentuk book chapter keamanan sistem informasi dapat
dipublikasikan dan dapat sampai di hadapan pembaca. Book chapter
ini disusun oleh sejumlah akademisi dan praktisi sesuai dengan
kepakarannya masing-masing. Buku ini diharapkan dapat hadir
memberi kontribusi positif terkait dengan keamanan sistem informasi.
Buku keamanan sistem informasi ini mengacu pada pendekatan
konsep teoritis dan contoh penerapan. Buku ini terdiri atas 13 bab yang
dibahas secara rinci, diantaranya: keamanan sistem informasi, dasar
keamanan sistem informasi, evaluasi sistem keamanan informasi,
mengamankan sistem, keamanan word wide web (www), kemanan
client www, technical vulnerabilities, logical vulnerabilities value
modification, email, kompetisi hacking, cyber law, ISO 27001, ISO
27002.
Kami menyadari bahwa tulisan ini jauh dari kesempurnaan dan
kekurangan. Oleh sebab itu, kami tentu menerima masukan dan saran
dari pembaca demi penyempurnaan lebih lanjut.
Akhirnya kami mengucapkan terima kasih yang tak terhingga
kepada semua pihak yang telah mendukung dalam proses penyusunan
dan penerbitan buku ini, secara khusus kepada Penerbit Indie Press.
Semoga buku ini dapat bermanfaat bagi pembaca sekalian.

Bandung, 04 Maret 2023

Editor

v
 DAFTAR ISI

Bab 1. Pendahuluan ................................................................................................. 1

1.1 Presentasi Keamanan Informasi ................................................................. 1
1.2 Masalah Keamanan Data ................................................................................ 3
1.3 Tujuan Keamanan data ................................................................................... 4
1.4 Manajemen Risiko ............................................................................................ 6
Bab 2. Dasar-dasar Keamanan Sistem ............................................................ 12
2.1 Steganografi ....................................................................................................... 12
2.2 Kriptografi ........................................................................................................ 17
2.3 Caesar Chiper ................................................................................................... 19
2.4 Enkripsi Asimetris ......................................................................................... 21
2.5 Knapsack Sederhana .................................................................................... 22
2.6 Jenis Serangan pada Kriptografi .............................................................. 25
Bab 3. Evaluasi Sistem Keamanan Informasi ................................................. 28
3.1 Evaluasi Sistem Kemaanan Informasi .................................................... 28
3.2 Pengendalian Perangkat Keras ................................................................ 32
3.3 Pengendalian Perangkat Lunak ................................................................ 33
3.4 Maintenance ...................................................................................................... 35
3.5 Masalah Dalam Keamanan Sistem Informasi ..................................... 36
3.6 Manajemen Resiko ........................................................................................ 41
Bab 4. Mengamankan Sistem ............................................................................ 42
4.2 Mengamankan sistem operasi berbasis Linux ................................... 42
4.3 Mengamankan sistem operasi berbasis Windows .......................... 46
4.3 Mengamankan jaringan komputer ......................................................... 47
4.4 Mengatur akses dan layanan ..................................................................... 50
Bab 5. Keamanan Word Wide Web (WWW) .............................................. 58
Bab 6. Keamanan Client WWW......................................................................... 76
6.1 Pengantar .......................................................................................................... 76
Bab 7. Technical Vulnerabilities ...................................................................... 89
7.1 Definisi ............................................................................................................... 89
7.2 SQL Injection Attack ..................................................................................... 89
7.3 Jenis Serangan ................................................................................................. 92
7.4 Mitigasi ............................................................................................................... 93

vi
7.5 Cross-site Scripting (XSS) Attack ............................................................ 94
Bab 8. Logical Vulnerabilities ........................................................................ 102
8.1 Pendahuluan ................................................................................................. 102
8.2 Cacat sistem .................................................................................................. 104
8.3 Contoh perangkat lunak yang rawan dibobol ................................. 105
8.4 Cara Mengatasi Vulnerability ...................................................... 106
8.5 IT security Vulnerability vs threat vs risk ........................................ 107
Bab 9. e-Mail .......................................................................................................... 111
9.1 Pengertian e-mail......................................................................................... 111
9.2 Manfaat e-mail ............................................................................................. 111
9.3 Kategori Virus Komputer ........................................................................ 122
9.4 Penanganan Virus ....................................................................................... 123
Bab 10. Kompetisi Hacking ............................................................................ 129
10.1 Pengenalan Hacking ................................................................................ 129
10.2 Anatomi Hacking ....................................................................................... 132
10.3 Teknik Hacking ......................................................................................... 135
Bab 11. Cyber Law .............................................................................................. 139
11.1 Konsep dasar Cyber law ........................................................................ 139
11.2 Ruang Lingkup Cyber Law .................................................................... 141
11.3 Urgensi Keberadaan Cyber Law di Indonesia .............................. 144
11.4 UU No 19 Tahun 2002 tentang Hak Cipta ....................................... 145
11.5 UU No 36 Tahun 1999 tentang Telekomunikasi .......................... 147
11.6 UU No 11 Tahun 2008 tentang UU ITE............................................. 147
Bab 12. ISO 27001............................................................................................... 150
12.1 Pendahuluan .............................................................................................. 150
12.2 Sejarah ISO 27001..................................................................................... 151
12.3 Manfaat Penerapan ISO 27001 ............................................................ 153
12.4 Komponen Dalam ISO 27001 .............................................................. 155
12.5 Kontrol dalam ISO 27001 ..................................................................... 156
12.6 Compliance ................................................................................................. 159
12.7 Sistem Manajemen Keamanan ............................................................ 160
12.8 Tahapan implementasi ISO 27001 .................................................... 162
12.9 Rangkuman ................................................................................................. 163
Bab 13. Tentang ISO 27002 ............................................................................ 165
13.1 Definisi, Cakupan dan Manfaatnya ISO 27002 .............................. 167
13.2 ISO 27001 ..................................................................................................... 170

vii
13.3 ISO 27002 ..................................................................................................... 170
13.4 Perbedaan Antara ISO 27001 dan ISO 27002 .............................. 171
13.5 Peran ISO 27002 ....................................................................................... 172
13.6 Revisi Baru ISO 27002 mempengaruhi ISO 27001 ..................... 172

viii
Bab 1. Pendahuluan

1.1 Presentasi Keamanan Informasi

Keamanan informasi diartikan sebagai melindungi
informasi serta sistem informasi dari akses, penggunaan,
pengungkapan, pengoperasian, modifikasi, atau penghancuran
oleh pengguna yang tidak berwenang agar memastikan
kerahasiaan, integritas, serta kemudahan penggunaan (Sinta
Nurul et.al, 2022). Keamanan informasi adalah sesuatu yang
sangat penting untuk dicermati bagi manajemen teknologi
informasi dan perlu untuk dilakukan penilaian keamanan
informasi yang sudah ditetapkan (G, Disterer, 2012).
Keamanan informasi merupakan masalah yang kompleks
terkait dengan kerahasiaan, integritas dan ketersediaan
informasi yang menjadi kunci pengelolaan TI, atau dapat
disimpulkan bahwa keamanan informasi adalah upaya untuk
melindungi aset informasi seseorang. Mengapa keamanan
informasi diperlukan? Keamanan data sangat penting karena
ancaman yang terus meningkat terhadap ketersediaan, integritas,
dan kerahasiaan data perusahaan. Tujuan dari pengamanan ini
adalah untuk memastikan kelangsungan bisnis, meminimalkan
potensi risiko dan memaksimalkan hasil investasi dan peluang
bisnis.
Dalam membangun sistem informasi harus memperhatikan
keamanan sistem informasi. Bayangkan kita membangun rumah
dengan jendela dan pintu, tetapi kita tidak membuat kunci pintu
dan jendela. Ini dapat memudahkan seseorang untuk menyerbu
rumahnya dan bahkan melakukan pencurian. Mirip dengan
membangun sistem informasi, keamanan sistem informasi

1
digunakan untuk mencegah orang yang tidak berhak mengakses
sistem.
Informasi yang merupakan hak milik harus dilindungi.
Keselamatan sering didefinisikan sebagai "kualitas atau keadaan
tertentu yang bebas dari bahaya". Menurut Whitman dan Mattord
(2011), banyak jenis informasi yang harus dilindungi dari akses
yang tidak sah atau penyalahgunaan, antara lain:
1. Physical Security, yang berfokus pada strategi untuk
mengamankan karyawan atau anggota organisasi, properti
fisik, dan tempat kerja dari berbagai kepercayaan, termasuk
bahaya kebakaran, masuknya orang yang tidak berwenang,
dan bencana alam.
2. Keamanan Operasional berfokus pada strategi yang
memastikan bahwa organisasi atau bisnis dapat beroperasi
tanpa gangguan.
3. Keamanan komunikasi, yang bertujuan untuk mengamankan
alat komunikasi, teknologi komunikasi dan kontennya, serta
kemampuan untuk menggunakan alat tersebut untuk
mencapai tujuan organisasi.
4. Network Security, yaitu keamanan jaringan, yang berfokus
pada pengamanan peralatan informasi organisasi, jaringan
dan kontennya, dan kemampuan menggunakan jaringan untuk
melakukan fungsi komunikasi organisasi.
Komponen ini berkontribusi pada keamanan informasi
Keamanan informasi adalah perlindungan informasi, termasuk
sistem dan perangkat yang digunakan untuk menyimpan dan
mengirimkannya. Keamanan data bertujuan untuk melindungi
informasi dari berbagai ancaman untuk menjamin kelangsungan
pemilik informasi, baik pribadi maupun organisasi, sehingga
kerusakan yang disebabkan oleh ancaman dan kerusakan data
dapat diminimalkan.
Keamanan dapat dicapai dengan beberapa cara atau
strategi, biasanya dilaksanakan secara bersamaan atau

2
bersamaan satu sama lain. Setiap strategi keamanan informasi
memiliki fokus dan didasarkan pada tujuan spesifik berdasarkan
kebutuhan.
Aspek keamanan informasi merupakan salah satu kekuatan
terpenting perusahaan. Perusahaan memproses data, kemudian
hasilnya disimpan dan dibagikan.
Grafinkel menjelaskan bahwa keamanan informasi meliputi
4 aspek, yaitu perlindungan data, integritas, autentikasi, dan
ketersediaan. Selain keempat isu tersebut di atas, ada dua aspek
lain yang juga sering dibahas dalam konteks e-commerce, yaitu
access control dan non-repudiation.

1.2 Masalah Keamanan Data

Ancaman terhadap sistem informasi terbagi menjadi dua
jenis yaitu ancaman aktif dan ancaman pasif.
1. Ancaman aktif termasuk
• Mencuri informasi. Jika orang yang tidak berwenang
mendapatkan akses ke informasi penting yang terkandung
dalam database, hal itu dapat mengakibatkan hilangnya
informasi atau uang. Misalnya, mata-mata industri dapat
mengumpulkan informasi persaingan yang berharga,
penjahat komputer dapat mencuri dana bank.
• Penggunaan sistem secara ilegal Orang yang tidak
berwenang untuk mengakses sistem, yang bukan
merupakan haknya, dapat menggunakan sistem tersebut.
Penjahat komputer jenis ini biasanya adalah peretas, orang
yang ingin membobol sistem keamanan untuk
mendapatkan informasi penting, mengakses sistem telepon,
dan melakukan panggilan jarak jauh tanpa izin.
• Penghancuran data secara ilegal oleh orang yang dapat
merusak atau menghancurkan data dan menghentikan
sistem operasi komputer. Penjahat komputer ini tidak perlu
berada di sana. Itu dapat mengganggu dari terminal melalui

3
 jaringan komputer dan merusak semua sistem dan
kehilangan data penting. Penjahat komputer jenis ini sering
disebut cracker, artinya seseorang yang membobol sistem
komputer untuk mencuri data atau merusak sistem.
• Modifikasi data atau data dan perangkat lunak yang tidak
disengaja. Jenis perubahan ini membingungkan pemilik
sistem karena perubahan data dan program disebabkan
oleh program aplikasi jahat (malware). Program aplikasi
berbahaya tersebut terdiri dari seluruh program atau
segmen kode yang menjalankan fungsi yang tidak
dimaksudkan oleh pemilik sistem. Tindakan ini dapat
menghapus file atau menyebabkan sistem macet. Jenis
aplikasi paling populer yang dapat merusak data atau
perangkat lunak adalah virus.
2. Ancaman pasif termasuk
• Kesalahan sistem. Kegagalan sistem atau kegagalan
perangkat lunak dan perangkat keras dapat mengakibatkan
data menjadi tidak konsisten, kejadian tidak berjalan
dengan baik, data menjadi tidak lengkap atau bahkan rusak.
Selain itu, tegangan listrik yang tidak stabil dapat merusak
dan membakar perangkat.
• Kesalahan manusia. Kesalahan yang disebabkan oleh orang
yang menggunakan sistem dapat membahayakan integritas
sistem dan data.
• Bencana alam seperti gempa bumi, banjir, kebakaran, hujan
lebat merupakan faktor yang tidak dapat diprediksi yang
mengancam sistem informasi dan dapat menyebabkan
penghentian sumber daya pendukung sistem informasi
dalam waktu singkat.

1.3 Tujuan Keamanan data

Sistem informasi suatu perusahaan harus melindungi
informasinya dari penyalahgunaan, namun tetap menjamin

4
tersedianya informasi yang benar bagi pengguna yang berhak
menerima informasi tersebut.
Dengan menjamurnya transaksi dan tersedianya berbagai
teknologi pemrosesan berbasis komputer yang memungkinkan
mereka untuk berinteraksi dengan sistem lain, bisnis menjadi
semakin terkomputerisasi. Di sisi lain, dengan kemajuan
teknologi yang pesat, muncul ancaman baru terkait dengan
komputerisasi. Semua pihak mulai melihat pentingnya keamanan
yang efektif. Semua pihak memahami perlunya keamanan sistem
informasi yang handal. Perusahaan memiliki beberapa tujuan
dalam memelihara sistem informasi yang terkomputerisasi di
dalam perusahaan. Itulah sebabnya perusahaan memerlukan
pembuatan sistem keamanan untuk perangkat keras dan
perangkat lunak.
Keamanan data bertujuan untuk mencapai tiga tujuan
utama, yaitu integritas, kontinuitas, dan kerahasiaan pemrosesan
data (SIM & Budyastuti, 2019). Manfaat meminimalkan risiko
harus ditimbang terhadap biaya penerapan pengamanan ini. Oleh
karena itu, biaya tindakan pencegahan keamanan komputer
harus masuk akal.
1. Kerahasiaan
Ketika kita berbicara tentang kerahasiaan data atau
perlindungan data, kita berbicara tentang sejumlah tindakan
keamanan untuk mencegah orang yang tidak berwenang
mengakses data. Peretas menganggap informasi rahasia sebagai
data berharga. Informasi yang dicari biasanya informasi tentang
data pelanggan, data karyawan, hak kekayaan industri atau
rahasia dagang. Oleh karena itu, peretas dunia maya terus
mencari kerentanan dalam sistem untuk mendapatkan akses ke
informasi penting ini. Langkah-langkah kerahasiaan melindungi
informasi dari penggunaan dan penyalahgunaan yang tidak sah.
Sebagian besar sistem informasi berisi informasi dengan tingkat
kepekaan tertentu. Ini bisa berupa informasi bisnis pribadi yang

5
dapat digunakan pesaing untuk keuntungan mereka. atau
informasi pribadi tentang karyawan, klien, atau pelanggan
organisasi. Informasi rahasia seringkali memiliki nilai, dan
karena itu, sistem sering kali diserang saat penjahat mencari
kerentanan yang dapat dieksploitasi. Vektor ancaman termasuk
serangan langsung seperti peretasan kata sandi dan
penangkapan lalu lintas web, serta serangan berlapis seperti
rekayasa sosial dan phishing. Tidak semua pelanggaran
kerahasiaan disengaja. Beberapa pelanggaran umum yang tidak
disengaja termasuk mengirimkan informasi sensitif melalui email
ke penerima yang salah, memposting informasi pribadi di server
web publik, dan menampilkan informasi sensitif di layar
komputer yang lalai. Jika memungkinkan, perlindungan data
harus membatasi akses ke mereka yang memiliki akses ke data
dan berwenang untuk melihatnya: setiap orang harus dicegah
untuk mempelajari isinya. Itulah inti dari kerahasiaan. Misalnya,
peraturan universitas mewajibkan pembatasan akses mahasiswa
terhadap informasi. Universitas harus memastikan bahwa hanya
individu yang berwenang yang memiliki akses ke catatan gelar.
Aspek ini bertujuan untuk:
• Pembatasan akses informasi sesuai dengan tingkat
kerahasiaannya
• Lindungi informasi dan data hanya untuk orang yang
memiliki hak akses.
2. Ketersediaan
Integritas berarti menyajikan informasi yang akurat, benar
dan lengkap. Setiap organisasi bisnis pasti ingin melindungi data,
dan sumber daya yang dikelola dapat dibagi karena sistem
informasi menetapkan tingkat kerahasiaan yang sangat tinggi.
Integritas merupakan aspek yang sangat penting untuk
mendukung kualitas informasi yang digunakan oleh sistem
informasi. Integritas sistem yang akan dibuat harus lengkap dan
akurat, dan sistem harus memuat informasi yang akurat sehingga

6
dapat menyajikan informasi yang dibutuhkan. Integritas ini
bertujuan untuk:
• Lindungi data dan program komputer dari orang yang tidak
berwenang:
• Penyimpanan data dan informasi dalam sistem informasi
sebagai data yang handal
Banyak tindakan pencegahan dapat diambil untuk
melindungi integritas. Otentikasi dan hak akses yang ketat dapat
membantu mencegah pengguna yang berwenang membuat
perubahan yang tidak sah. Verifikasi hash dan tanda tangan
digital dapat membantu memastikan bahwa transaksi adalah asli
dan bahwa file tidak dimodifikasi atau rusak. Sama pentingnya
dengan informasi adalah kontrol administratif, seperti
pemisahan perlindungan SOL dan tugas pelatihan. Aspek yang
menjamin bahwa informasi tidak dapat diubah tanpa izin dari
pihak yang berwenang, menjaga keutuhan informasi dan
melindungi dari kerusakan atau ancaman lain yang dapat
mengakibatkan perubahan informasi atau informasi asli.
Tindakan integritas melindungi data dari perubahan yang tidak
sah. Langkah-langkah ini memastikan keakuratan dan
kelengkapan informasi. Kebutuhan untuk melindungi data
mencakup data yang disimpan dalam sistem dan data yang
dikirim antar sistem seperti email. Mempertahankan integritas
tidak hanya membutuhkan pengendalian akses tingkat sistem,
tetapi juga memastikan bahwa pengguna sistem hanya dapat
mengubah data yang diizinkan secara hukum untuk diubah.
Seperti melindungi kerahasiaan, melindungi integritas data
melampaui pelanggaran yang disengaja. Penanggulangan
integritas yang efektif juga harus melindungi terhadap
perubahan yang tidak disengaja seperti kesalahan pengguna atau
kehilangan data karena kegagalan sistem. Sementara semua
pemilik sistem harus yakin tentang integritas data mereka,

7
industri keuangan harus memastikan transaksi pada sistem
mereka dilindungi dari gangguan.
3. Integritas
Ketersediaan mengacu pada ketersediaan informasi kapan
saja, di mana saja, informasi yang dapat diakses konsumen atau
pengguna dapat dibuat tersedia sehingga dapat ditemukan
dengan cepat saat mencari informasi. Kerahasiaan adalah
perlindungan informasi terhadap penggunaan yang tidak pantas
atau akses yang tidak sah. Ketersediaan berarti bahwa siapa pun
yang diberi wewenang untuk melakukannya dapat mengakses
informasi dan mengubahnya dalam waktu yang wajar.
Tergantung pada jenis datanya, interval waktu yang tepat dapat
memiliki arti yang berbeda. Misalnya, seorang pialang saham
membutuhkan informasi agar tersedia dengan cepat, sementara
seorang tenaga penjualan mungkin berharap untuk menerima
angka penjualan hari itu dalam sebuah laporan keesokan paginya.
Perusahaan seperti Amazon.com membutuhkan server mereka
tersedia 24 jam sehari, tujuh hari seminggu. Perusahaan lain
mungkin tidak menderita jika server web mereka kadang-kadang
mati selama beberapa menit. Faktor-faktor yang dapat
mempengaruhi ketersediaan ini meliputi:
• Kerusakan peralatan IT.
• Aktivitas penyusup, hacker, cracker.
• Aktivitas Pengguna Berbahaya.
Dibawah ini adalah gambaran keamanan informasi
menurut Whitman dan Mattod, diantaranya :
a. Physical Security sebuah. Keamanan fisik berfokus pada
strategi untuk melindungi benda fisik, mis, asset fisik
pemerintah atau organisasi, pekerja dan karyawan, dan
tempat kerja dari ancaman bencana, bencana alam, atau akses
yang tidak sah.

8
b. Keamanan pribadi, yang mengacu pada keamanan fisik untuk
melindungi organisasi dan orang-orang di dalamnya, baik
organisasi pemerintah maupun swasta.
c. Keamanan Operasional berfokus pada strategi operasional
untuk melindungi organisasi pemerintah atau swasta agar
dapat beroperasi tanpa gangguan.
d. Keamanan komunikasi, mengamankan alat komunikasi,
teknologi komunikasi dan penggunaan perangkat teknologi
komunikasi untuk mencapai tujuan organisasi.
e. Keamanan jaringan, yang mengacu pada pengamanan sumber
data organisasi, jaringan dan isinya, dan kemampuan untuk
menggunakan jaringan dan data untuk transmisi informasi di
dalam organisasi.
Komponen-komponen di atas berperan dalam menjaga
keamanan informasi, antara lain sistem informasi, perangkat
yang digunakan, sumber informasi, serta pemilik dan pengelola
informasi. Setiap organisasi baik negeri maupun swasta tentunya
memiliki kemampuan untuk menerima dan menyediakan
informasi secara cepat dan akurat untuk memenuhi kebutuhan
organisasi tersebut. Oleh karena itu, organisasi juga harus
memiliki masalah keamanan informasi. Ini menghindari aktivitas
yang tidak diinginkan seperti kejahatan dunia maya, plagiarisme,
eksploitasi, peretasan dan sebagainya.

1.4 Manajemen Risiko

Manajemen risiko merupakan bagian penting dari bisnis
perusahaan, karena dunia bisnis yang berkembang dan
kompleksitas operasi bisnis meningkatkan tingkat risiko
perusahaan. Prinsip manajemen risiko adalah dasar praktik
atau filosofi manajemen risiko. Kerangka kerja adalah
pengaturan sistem manajemen risiko secara terstruktur dan
sistematis di seluruh organisasi (Krisdana Bima Mahardika
etla, 2018). Manajemen risiko juga merupakan cara mengatur

9
risiko, yang diimbangi oleh risiko yang diketahui dan tidak
diketahui. Manajemen risiko telah diidentifikasi sebagai salah
satu dari dua strategi untuk mencapai keamanan informasi.
Tujuan utama penerapan manajemen risiko adalah untuk
melindungi perusahaan dari kemungkinan kerugian atau risiko
yang dapat dikendalikan dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya. Definisi
risiko terdiri dari empat langkah:
1. Identifikasi aset perusahaan yang perlu dilindungi dari risiko.
2. Waspadai risikonya.
3. Tentukan besarnya dampak bisnis jika risiko terwujud.
4. Menganalisis kelemahan perusahaan.
Tingkat keparahan efek dapat diklasifikasikan sebagai efek
serius yang mengarah pada kebangkrutan perusahaan atau
sangat membatasi kemampuan perusahaan; dampak besar yang
menyebabkan kerusakan dan biaya yang signifikan, tetapi bisnis
tetap bertahan; atau pukulan kecil yang menyebabkan kerusakan
yang mirip dengan aktivitas sehari-hari. Analisis kerentanan
harus dilakukan untuk risiko besar dan utama. Jika analisis
mengungkapkan kerentanan tingkat tinggi (kerentanan
signifikan dalam sistem), tindakan pengendalian harus diambil
untuk menghilangkan atau mengurangi kerentanan tersebut. Jika
kelemahannya sedang (banyak kelemahan), itu harus diperiksa.
Jika kelemahannya kecil (sistem dirancang dengan baik dan
berfungsi dengan baik), kontrol yang ada harus dipertahankan.
Setelah menyelesaikan analisis risiko, hasilnya harus
didokumentasikan dalam laporan analisis risiko. Isi laporan ini
harus mencakup informasi berikut untuk setiap risiko:
1. Deskripsi risiko
2. Sumber risiko
3. Risiko tinggi
4. Tindakan pengendalian untuk risiko tersebut
5. Pemegang risiko

10
6. Tindakan yang disarankan untuk menghilangkan risiko
7. Kerangka waktu yang disarankan untuk mengatasi risiko
8. Apabila perusahaan telah menguasai risiko tersebut, laporan
harus dilengkapi dengan poin-poin sebagai berikut:
9. Apa yang diterapkan untuk menghilangkan risiko?

11
Bab 2. Dasar-dasar Keamanan Sistem

2.1 Steganografi
Steganografi memiliki arti berkomunikasi dengan cara
menyembunyikan pesan kedalam suatu media tertentu, istilah
Steganografi berasal dari bahasa Yunani dengan arti tulisan
tersamarkan (Nurrofiq, Nurjaya, 2022). Teknik steganografi ini
menjadi salah satu metode dalam mengamankan informasi dalam
sebuah sistem dengan menyisipkan pesan rahasia kedalam media
digital yang dipilih, seperti file text , file audio, file video maupun
file citra. Media digital yang digunakan sebisa mungkin tidak
mengubah data baik dalam besaran ukuran data atau kualitas
data, sehingga secara kasat mata media digital tidak menimbulkan
kecurigaan terhadap pihak ketiga yang menggunakannya.
Mengamankan informasi dengan Steganografi dapat pula
digunakan sebagai otentikasi akan kepemilikan data asli, sehingga
data tersebut dapat diklaim sebagai identitas kepemilikian jika
ada pihak menyebarkan secara ilegal.

Pesan

Gambar 1. Ilustrasi Steganografi

12
1. Kriteria Penting Steganografi
Dalam melakukan teknik Steganografi perlu diperhatikan
beberapa hal penting antara lain (Rinaldi Munir, 2004) :
a. Ukuran Pesan: perlu memperhatikan kapasitas pesan yang
disimpan kedalam media file yang menampung pesan rahasia
dengan menggunakan teknik Steganografi tertentu. Kapasitas
pesan tidak lebih besar dari kapasitas media penampung,
akibat yang diperoleh salah satunya adalah kualitas media
penampung dapat terganggu.
b. Kemampuan Deteksi: undetectability merupakan kemampuan
dalam menghindari deteksi artinya pesan yang
disimpan/disisip kedalam media file tidak mudah diketahui
keberadaannya.
c. Robustness: Kemampuan teknik Steganografi dalam
menghadapi metode manipulasi pada media penampung, yang
mana kondisi ini dapat menghilangkan atau merusak pesan
yang tersimpan pada media penampung. Contoh manipulasi
pada media penampung adanya perubahan kontras, cropping,
penajaman , compress dan sebagainya.
d. Metode Steganografi
1) Metode Substitusi : Metode yang melakukan pertukaran
piksel tertentu pada cover media file dengan piksel pada
pesan yang tersimpan salah satu model metode yang dapat
digunakan adalah metode Least Significant Bit (LSB).
2) Metode Domain Transformasi : Menyisipkan pesan rahasia
pada ruang transformasi pada cover media file.
3) Metode Spread Spectrum (Spektra Tersebar) : Metode ini
menggunakan pentransmisian dengan Pseudenoise code
yang independent pada data cover media file, terdapat tiga
proses pada metode ini yaitu menyebarkan(spread),
modulasi, dan menyimpan pesan ke media file.
4) Metode Statistik : Skema steganografi 1 bit. Skema tersebut
menanamkan satu bit informasi pada media penampung

13
 dan mengubah informasi statistik walaupun hanya satu bit.
Perubahan ditunjukkan dengan indikasi 1 dan jika tidak
ada perubahan, terlihat indikasi 0. Metode dapat dilihat
berkerja berdasarkan kemampuan penerima dalam
membedakan antara informasi yang dimodifikasi dan yang
belum.
5) Metode Distorsi : Pesan yang disisipkan pada media digital
berdasarkan Distorsi Sinyal.
6) Metode Pembangkitan Wadah : Metode Cover Generation
merupakan metode unik dari yang lainnya , karena metode
ini melakukan penyisipan pesan rahasia pada Cover Object
yang dipilih.
2. Prinsip Kerja Steganografi
Proses menyisipkan pesan yang akan disimpan kedalam
media file yang dipilih membutuhkan 2 bahan utama , pertama
yaitu media penampung seperti file citra/gambar, file video, file
suara/audio dan sebagainya yang tidak nampak mencurigakan
adanya pesan tersimpan didalam media file yang biasa disebut
Stego-object. Yang kedua adalah pesan yang akan disimpan
kedalam media penampung dapat berupa text, file citra/gambar
yang biasa disebut cover-object.

Stego-
Key Stego-
Key

Pes Embedd Stego- Embedd Pes

an ing Object ing an

Stego- Stego-
Cover Cover

Gambar 2. Prinsip kerja steganografi

14
 Terdapat dua proses umum dalam Steganografi, yaitu
proses embedding penyimpanan pesan ke dalam cover-object dan
dilakukan proses decoding untuk mengekstraksi pesan dari
Stego-object. Proses kedua kadang memerlukan kunci yang
dinamakan Stego-key dimana pemiliki pesan yang menyimpan
key sehingga pihak yang berhak dapat menyimpan dan
mengekstraksi pesan dengan sendiri.
3. Metode Least Significant Bit (LSB)
Metode LSB salah satu yang popular dan sederhana
dilingkup metode steganografi (Nurrofiq, Nurjaya 2022),
pengetahuan dasar akan metode ini adalah memahami bilangan
biner yang terdiri dari 0 dan 1, yang biasa juga disebut dengan
istilah “bit”. Deretan atau susunan dari sejumlah bit disebut byte
( 1 byte = 8 bit). Contoh berikut adalah menyisipkan file gambar
kedalam file audio digital. Setiap byte yang terdiri dari delapan bit
pada file audio akan disisipkan dua bit file citra hal tersebut
dilakukan secara terus menerus sampai bit terakhir pada file
gambar, kemudian deret bit yang telah di modifikasi tersebut
dibentuk menjadi sebuah file audio baru.
Byte pertama dari file audio Original Byte pertama dari file Citra

1 1 0 1 0 0 1 0 1 1 10 1 0 0 1 10
Least Bit

1 1 0 1 0 0 1 1

1 1 0 1 0 0 1 1
proses Penyisipan

1 1 0 1 0 0 1 10
Byte pertama dari file audio Watermark

Gambar 3. Skema penyisipan byte

15
 Diawali dengan mengosongkan dua bit pada byte pertama
file audio kemudian disiapkan dua bit pengganti yang diambil
dari dua bit pertama dari byte file gambar, kemudian bit tersebut
di tempatkan pada byte pertama yang telah dikosongkan
sebelumnya, skema ini di ulang terus menerus sampai bit terakhir
pada file gambar.
Byte Ke

11 1 1 0 1 0 1
0 1 0
12 1 1 0
1 1 0 0 1
0 0
1
13 1 1
0 0 1 0 0 1 0
14 1 1 0
1 1 0 0 1
0 0
1
15 1 1 0 1 0 0 1 0
1
16 1 1
0 0
1 1 0 0
1 1
0 0
1
17 1 1 0 1 0 0 1 0
18 1
0 1 0
1 1 0 0 1
0 0
1
19 1 1 0 1 0 0 1 0
20 1 1 0
1 1 0 0 1
0 0
1
21 1 1
0 0 1 0 0
1 1 0
22 1
0 1 0
1 1 0 0 1
0 0
1 Byte Citra yang Disisipkan

Gambar 4. Satu byte dari file gambar ke file audio

Gambar 4 diatas menjelaskan bahwa dua bit terakhir pada

byte ke 11,12,14,15,18,19,20,21,22 adalah bit-bit dari file citra
yang disisipkan dikarenakan pada baris byte tersebut merupakan
byte yang habis dibagi 3,5,7,9 dan 11, sedangkan baris 13,16,17
tidak disisipkan bit file citra karena bukan merupakan baris byte
yang habis dibagi 3,5,7,9 dan 11.
Untuk mengekstraksi file gambar dari dalam file audio yang
telah disisipkan , prosesnya kebalikan dari tahap penyisipan file.
Menyediakan file gambar yang akan dimasukkan kedalam
deretan bit file gambar baru, ambil dua bit akhir dari byte
pertama file audio yang disisipkan, kemudian diulang hingga
pada baris byte yang disisipkan sebelumnya. Gambar 5

16
menampilkan perulangan pertama, dua bit terakhir yang diambil
disimpan pada deretan bit 1 pada file gambar, gambar 5
merupakan perulangan ke 2 pengambilan dua bit terakhir pada
byte ke 2 dari file audio.
Byte pertama dari file audio Watermark

1 1 0 1 0 0 1 10

1 1 0 1 0 0 1 10 1 1 0 1 0 1 0
Pembentukan Byte Citra dengan mengambil
2 bit dari Terakhir file audio watermark
Gambar 5. Dua byte akhir dari byte pertama file audio.
Byte Kedua dari file audio Watermark

1 1 1 1 0
0 0 1 0
1

1 1 0 1 0
1 0 1 0
1

1 1 01 11 0 1 0
Pembentukan Byte Citra dengan mengambil
2 bit dari Terakhir file audio watermark

Gambar 5. Proses perulangan ke 2

2.2 Kriptografi
Teknik kriptografi sangat dibutuhkan untuk mengamankan
data yang dikirim kepada yang berhak menerima dengan
menghindari gangguan serangan dari pihak lainnya, seperti
gangguan penyadapan dan perubahan data (Jamaludin et al.,
2022). Keamanan data terus meningkat dalam kemajuan
teknologi yang ada saat ini dan tidak dapat dihindari, seperti
militer dan misi diplomatik. Menurut Richard A. Mollin (Mollin
2006), istilah Kriptografi berasal dari bahasa Yunani, yaitu Crypto
yang artinya tersembunyi dan Graphein yang artinya menuliskan.
Diartikan kriptografi adalah suatu ilmu yang mempelajari teknik
pengiriman pesan rahasia sehingga pesan yang diterima
penerima dapat membuka dan membaca pesan.

17
 Kriptografi memiliki dua tahapan proses, yaitu tahap
Enkripsi dan tahap Dekripsi. Enkripsi adalah proses mengubah
atau mengacak data asli (Plaintext) dengan menggunakan sandi,
sehingga data menjadi rahasia dan hanya dapat dibaca oleh
penerima data, data yang dirahasiakan tersebut dikatakan
Chipertext. Chipertext dapat dikirimkan ke pihak tertentu melalui
komunikasi terbuka. Dekripsi adalah proses membaca atau
membuka Chipertext dengan sandi atau key, sehingga
memperlihatkan data aslinya.

Gambar 6. Tahapan proses kriptografi (Enkripsi Simetris)

Perbedaan kriptografi dan steganografi dapat dilihat dari

tekniknya. Dalam steganografi, bentuk pesan/informasi tidak
diubah bentuk, namun pesan itu disembunyikan kedalam media
digital seperti file text, audio, citra dan video, sedangkan
kriptografi memaksakan perubahan pada pesan dengan
menggunakan Key untuk proses enkripsi dan dekripsi, kemudian
mengirimkan pesan dalam komunikasi menggunakan jaringan.
Kriptografi hanya bisa dilakukan pada media file text saja.
1. Kerahasian dengan Enkripsi Simetris
Ada beberapa model enkripsi dengan menggunakan kunci
simetris, diantaranya Simple Chipher, Caesar Chiper, DES, Rivest
Code 2(RC2), Rivest Code 4 (RC4), Blowfish, Enigma Chiper
(Stiawan, 2005).

18
 Enkripsi dengan kunci simetris dilakukan melalui
persetujuan antara pengirim dan penerima pesan, persetujuan ini
diperoleh melalui komunikasi lain seperti pertemuan langsung
atau menggunakan media elektronik (email, telfon dll). Selama
proses enkripsi pesan dilakukan perlu penjagan yang ketat untuk
menghindari pihak luar mengetahuinya. Kesepakan akan kunci
(key) diatas biasa disebut sebagai private key (kunci pribadi).
Kelebihan akan menggunakan enkripsi simetris nampak pada
kecepatan proses enkripsi dan dekripsi pada pesan, kelemahan
pada enkripsi simetris ini terletak pada kunci private yang sama,
jika kunci private ini dikirimkan melalui media yang tidak aman,
seperti jaringan internet dimana biasa terjadi serangan oleh
pihak yang tidak berhak, maka enkripsi ini dapat tidak dikatakan
aman lagi. Kelemahan lainnya dapat dilihat dengan banyaknya
jumlah pengguna kunci (n), dimana n(n-1)/2 kunci (Sari et al.
2020), maka pengguna kunci sangat banyak, untuk situasi
tersebut metode ini tidak efisien.

2.3 Caesar Chiper

Metode Caesar Chiper dilakukan dengan cara subtitusi.
Dimana setiap huruf dari pesan asli (Plaintext) diganti dengan 1
huruf sandi (Chipertext). Contoh proses subtitusi ke Chiper Text
pada gambar 7. Dilakukan pergeseran sebanyak 13 yang dapat
digunakan dalam proses enkripsi dan dekripsi

Gambar 7. Aturan subtitusi

19
 Pesan asli (Plaintext) = HELLO ,maka dilakukan perubahan
setiap hurufnya sesuai dengan aturan subtitusi yang disepakati
pengirim dan penerima. Hasil subtitusi dari plaintext ke
chipertext dapat dilihat pada gambar 6 dibawah.

Gambar 8. Hasil subtitusi

Chipertext = URYYB , pesan dalam bentuk chipertext inilah

yang akan dikirim ke tujuan. Penerima perlu melalukan
perubahan chipertext dengan melihat aturan subtisusi yang
disepakati. Berdasarkan aturan pergeseran pada contoh diatas,
maka fungsi enkripsi dapat dirumuskan :

C= E(P) = (P+k) mod 26

Dan fungsi dekripsi dirumuskan :

P=D(C) = (C-k) mod 26

20
 Tabel 1. Sub program Caesar Chiper dalam bahasa C++

2.4 Enkripsi Asimetris

Kekurangan kunci private pada enkripsi simetri dapat
diatasi dengan menggunakan metode enkripsi asimetris (tidak
simetris) dengan menggunakan kunci publik (Public Key).
Kelebihan menggunakan enkripsi ini dengan memberikan
jaminan keamanan kepada banyak pengguna kunci dalam
melakukan pertukaran informasi walaupun para pengguna kunci
tidak melalui kesepakan menentukan key secara bersama,
bahkan para pengguna bisa saja tidak saling mengenal. Contoh
model enkripsi asimetris diantaranya adalah enkripsi Elgamal,
RSA, Digital Signature Algortihm (DSA), Diffie Hellman dan
lainnya.

21
 Gambar 9. Skema Enkripsi Asimetris

Dalam prosesnya kunci di berikan kepada penerima adalah

kunci private yang tidak disebarkan untuk membaca informasi,
sedangkan kunci public dikirimkan oleh pengirim informasi,
maka setiap pengirim informasi memiliki kunci publik untuk
menenkripsi informasi yang akan dikirim. Menurut (Schneier,
1996) perbedaan kunci simetris dan kunci asimetris terletak
pada permasalahan yang akan diselesaikan, karena bisa saja
permasalahan tersebut membutuhkan metode kriptografi yang
berbeda pula. Kriptografi dengan kunci asimetri memiliki
manajemen kunci yang baik dibandingkan dengan kunci simetris
(Sari et al. 2020).

2.5 Knapsack Sederhana

Algoritma Knapsack atau biasa disebut Knapsack Problem,
salah satu algoritma kriptografi kunci-publik untuk melakukan
enkripsi yang disebarkan tanpa kerahasiaan, untuk proses
dekripsi dilakukan dengan kunci private yang disimpan secara
pribadi. Knapsack yang artinya karung atau kantung , dimana
setiap karung memiliki batasan kapasitas untuk memasukkan
barang. Diperlukan pemilihan barang yang tepat kedalam karung
agak nilai setiap karungnya mencapai optimal.

22
 Kriptografi snapsack dilakukan dengan mengubah pesan
kedalam bit plainteks yang dinyatakan (Sari et al. 2020) bi, kunci
privat dinyatakan dalam bobot wi, berikut solusi dari knapsack.

M= b1w1 + b2w2 + …. +bnwn

Diketahui :
M : bobot Knapsack ( kunci publik)
n : jumlah objek, yang masing-masing bobotnya adalah w1,
w2..wn.
bi : bilangan 0 atau 1 , jika bernilai 1 maka objek ke -i
dimasukkan kedalam knapsack , namun jika bernilai 0
maka ditidak dimasukkan kedalam knapsack.

Contoh :
Text : semanis
Plainteks :
01110011,01100101,01101101,01100001,01101110,01
101001,01110011

Teks asli diubah kedalam bentuk biner yang akan

digunakan sebagai plaintext , kemudian plaintext dibagi menjadi
beberapa blok dengan panjang n=8. Kemudian setiap bilangan
biner 1 akan dikalikan ke w sebagai kunci publiknya. w1=1, w2=3,
w3=5, w4=7, w5=9, w6=11, w7=14, w8=17.
Blok plaintext ke-
1. Nilai biner : 01110011
Knapsack : 1,3,5,7,9,11,14,17
Kriptogram: (1 x 3)+ (1 x 5)+ (1 x 7)+ (1 x 14)+ (1 x 17) = 46
2. Nilai Biner : 01100101
Knapsack : 1,3,5,7,9,11,14,17
Kriptogram: (1 x 3)+ (1 x 5)+ (1 x 11)+ (1 x 17 )= 36

23
3. Nilai Biner : 01101101
Knapsack : 1,3,5,7,9,11,14,17
Kriptogram : (1 x 3)+ (1 x 5)+ (1 x 9)+ (1 x 11)+ (1 x 17)
= 45
4. Nilai Biner : 01100001
Knapsack : 1,3,5,7,9,11,14,17
Kriptogram : (1 x 3)+ (1 x 5)+ (1 x 17) = 25
5. Nilai Biner : 01101110
Knapsack : 1,3,5,7,9,11,14,17
Kriptogram: (1 x 3)+ (1 x 5)+ (1 x 9) + (1 x 11)+ (1 x 14) = 42
6. Nilai Biner : 01101001
Knapsack : 1,3,5,7,9,11,14,17
Kriptogram: (1 x 3)+ (1 x 5)+ (1 x 9)+ (1 x 17) = 34
7. Nilai Biner : 01110011
Knapsack : 1,3,5,7,9,11,14,17
Kriptogram: (1 x 3)+ (1 x 5)+ (1 x 7)+ (1 x 14)+ (1 x 17) = 46
Sehingga diperoleh Chiperteks adalah 46 36 45 42 34 46.
Untuk proses dekripsi dilakukan dengan superincreasing
knapsack, dimana b1,b2, …, bn. Misalnya akan dilakukan proses
dekripsi m (kriptogram) = 46, dengan kunci private =
{1,2,4,8,15,23,31,37}. Lakukan perbandingan dengan cara
sebagai berikut :
a. Bandingkan 46 dengan nilai terbesar dari kunci private atau
bobot. 46>=37 , karena 46 lebih besar dari 37 , maka 37 masuk
kedalam knapsack.
b. Kurangi bobot yang memenuhi pada langkah 1 , maka 46 – 37
= 9, tersisa bobotnya adalah 9.
c. Bandingkan 9 dengan nilai terbesar ke-2 dari kunci private,
9>= 31, karena 9 lebih kecil dari 31, maka 31 tidak masuk
kedalam bobot knapsack.
d. Bandingkan 9 dengan nilai terbesar ke-3 dari kunci private,
9>= 23, karena 9 lebih kecil dari 29, maka 29 tidak masuk
kedalam bobot knapsack.

24
e. Bandingkan 9 dengan nilai terbesar ke-4 dari kunci private,
9>= 15, karena 9 lebih kecil dari 15, maka 15 tidak masuk
kedalam bobot knapsack.
f. Bandingkan 9 dengan nilai terbesar ke-5 dari kunci private,
9>= 8, karena 9 lebih besar dari 8, maka 8 masuk kedalam
bobot knapsack.
g. Kurangi bobot yang memenuhi langkah ke-6, sehingga 9 – 9 =
1, tersisa bobotnya 8.
h. Bandingkan 8 dengan nilai terbesar ke-6 dari kunci private,
karena bernilai sama, maka 8 masuk kedalam bobot knapsack.
i. Bobot akhir 8 – 8 =0 , karena nilai tersisa adalah 0 , maka solusi
ditemukan.
Bobot yang dimasukkan kedalam Knapsack adalah { 1, -, -,
8,-,-,-,37},
Maka,
46 = (1 x 1)+(0 x 2)+(0 x 4)+(1 x 8)+(0 x 15)+(0 x 23) )+(0 x
31)+(1 x 37). Dapat dikatakan kriptogram 46 adalah
10010001.
Pada pemecahan masalah dekripsi diatas , tidak ditemukan
kesesuaian angka biner dimana kriptogram enkripsi 46
adalah 01110011, setelah proses dekripsi angka biner yang
dihasilkan adalah 10010001. Ini disebabkan karena proses
pembuatan kunci private dan publik tidak menggunakan
metode tertentu untuk pembentukannya.

2.6 Jenis Serangan pada Kriptografi

Pada dasarnya pesan rahasia atau sandi memang rentan
untuk diserang oleh pihak yang tidak berhak. Hal ini sudah ada
sejak teknik-teknik persandian sudah dilakukan untuk pertama
kali yang telah dijelaskan oleh Leon Battista Alberti ditahun 1467
(Sinaga, 2017). Kriptoanalisis merupakan ilmu yang mempelajari
bagaimana membuka isi pesan yang telah disandikan tanpa
menggunakan kunci, namun bukan termasuk merusak isi pesan.

25
 Terdapat beberapa serangan yang dapat terjadi pada
metode kriptografi (Stiawan, 2005), sebagai berikut:
a. Chipertext Only Attack (COA), serangan ini dilakukan dengan
mencoba semua kemungkinan untuk membuka kunci enkripsi
pada chippertext yang didapat, metode yang digunakan adalah
Exhaustive Key.
b. Known Plaintext Attack, serangan ini dilakukan dengan
melawan blok chipers, dimana beberapa bagian plaintext
sudah diketahui, sehingga plaintext dan sandi dapat diketaui
sekaligus.
c. Choosen Plaintext Attack, serangan dilakukan dengan
menggunakan text asli yang telah dienkripsi sebelumnya.
Sehingga penyerang memliki pengalaman sebelumnya akan
metode yang digunakan untuk mengenkripsi pesan, tujuannya
dapat mengarahkan untuk memperoleh kunci publik.
d. Choosen Key Attack, penyerang memiliki pengetahuan dasar
akan hubungan kunci yang berbeda.
e. Sniffing, serangan ini tergantung posisi penyerang, yang biasa
dilakukan adalah berada pada saluran komunikasi, merekam
pembicaraan yang terjadi untuk mengendus isi pesan rahasia.
f. Repply Attack, serangan yang dilakukan dengan menyimpan
rekaman pesan-pesan yang kemudian akan digunakan secara
berulang apa yang telah direkan untuk menipu pihak lainnya.
g. Spoofing, serangan dengan interaksi langsung dengan
menyamar sebagai pihak yang berhak pada pesan rahasia
dengan meyakikan bahwa komunikasi yang dilakukan benar.
Padahal penyerang atau penipu berada pada saluran
komunikasi tersebut.
h. Man in the middle, serangan ini menyerupai spoofing, namun
menggunakan 2 jalur komunikasi dengan menipu kedua bela
pihak untuk saling berkomunikasi. Misalnya penyerang adalah
C, maka C akan berkomunikasi dengan A dimana C mengaku

26
 sebagai B, begitu pula berkomunikasi dengan B dimana C
mengaku sebagai A.
Beberapa metode penyerangan juga dilakukan dengan
teknik sosial, seperti pemaksaan, pemerasan dengan beberapa
ancaman, menyuap/sogokan kepada seseorang untuk
mendapatkan kunci.

27
Bab 3. Evaluasi Sistem Keamanan Informasi

3.1 Evaluasi Sistem Kemaanan Informasi

1. Keamanan dasar pada Sistem Informasi
Mencegah terjadinya penyalahgunaan sistem informasi
admin harus menjamin keamanan data user, dengan berbagai
metode pengawasan sistem yang dilakukan oleh admin tersebut.
Berikut langkah-langkah dasar keamanan sistem informasi:
a. Akses kontrol sistem
Penggunaan hak akses terbatas yang diberikan admin
terhadap operator untuk meminimalisir terjadinya
penyalahgunaan sistem computer yang dapat merugikan
pengguna.
b. Pemakaian jaringan dan telekomunikasi
Konektifitas computer dengan jaringan internet yang baik,
bebas gangguna dari pihak ketiga yang dapat menimbulkan
masalah bagi pengguna.
c. Pengembangan sistem
Untuk memberikan suatu solusi terhadap permasalahan yang
dihadapi pada suatu sistem yang berjalan, pengembangan
sistem dapat memberikan pencerahan atau solusi yang dapat
meningkatkan kinerja secara prosudur yang baik, dengan cara
melakukan update sistem baru.
d. Penerapan cyriptography
Enkripsi data dilakukan untuk menjamin keamanan data
terhadap serangan dari luar sistem, teknik cyriptography ini
dapat menyamarkan data saat pengiriman data melalui media
elektronik dari pengirim ke penerima data tersebut. Ilmu

28
 cyriptography modern saat ini sangat sulit untuk dipecahkan,
karena didukung oleh kunci privat dan kunci public saat
melakukan enkripsi dan dekripsi.
e. Mencegah resiko
Optimasi yang dilakukan adalah solusi yang ditawarkan
apabila terjadinya kerusakan data penggunan sistem
informasi tersebut untuk mengembalikan data semula yang
bersipat utuh. Ada beberapa cara untuk mengambil resiko dan
memanajemen kesalahan pengguna sistem informasi dalam
melakukan proses pengelolaan data yaitu memanajemen
resiko yang akan terjadi, rencana kedepan untuk
keberlangsungan suatu kegiatan pengelolaan sistem informasi
terstruktur dan dapat menanggulangi kesalahan yang telah
terjadi untuk menjamin terjadinya kerusakan data
penggunanya.
f. Penerapan regulasi yang bersipat adil yaitu peraturan berlaku
terdiri dari hukum, inverstigasi dan kode etik.
Beberapa hal yang perlu diperhatikan dalam keamanan
sistem informasi, diantaranya:
1) Faktor Evaluasi
a) Configuration error
b) Addition of device
c) Security Hole
2) Pengendalian Keamanan
a) Administratif
Prosudur administrasi dijalankan sepenuhnya berdasarkan
ketentuan yang jelas, mulai dari pengendalian sistem
keamanan bersifat publik, serta melakukan kebijakan
control suatu sistem informasi dengan menjamin seluruh
aspek keamanan terhadap operator dari sistem informasi
dan semua pengendalian tersebut ditujukan kepada semua
pihak pengguna harus serius menjalankan pelaksanaan

29
 pengendalian dalam suatu organisasi tersebut. Berikut
cakupan control sistem keamanan :
• Rekrutmen operator oleh admin harus bersifat
professional, dengan cara pembinaan dan pelatihan
• Penyalahgunaan aplikasi yang bersifat berlebihan
dimana operator tidak mengemban amanah yang
diterapkan oleh administrator yaitu penyimpangan yang
dilakukan oleh operator tidak sesuai dengan harapan
• Memberikan satu cabang pekerjaaan saja kepada
operator agar administrator dapat dengan mudah
mengawasi sajauh mana, apa yang dikerjakan apakah
sudah memenuhi standar yang di inginkan oleh admin,
maka oleh sebab itu tidak seorang pun bisa menguasai
atau mengerjakan pekerjaan dengan proses lengkap.
b) Operasional
Pengembangan sistem perlu untuk perubahan, seiring
perkembangan jaman keguanaan sistem semakin
berkembang pesat sangat sering digunakan untuk
membantu semua pekerjaan manusia disemua sisi baik di
sector pemerintahan, bidang industry, perdagangan,
perusahaan, pertanian dan kesehatan yang didukung oleh
perangkat software dan hardware semakin canggih. Dengan
memperhatikan fungsi dari kegunaan sistem tersebut perlu
adanya sistem auditor untuk pengendalian proses agar
tidak menyalahgunakan wewenang sesuai dengan aturan
berlaku.
c) Pusat data
Pusat data merupakan database sebagai pusat informasi
dimana client dapat mengakses informasi. Informasi yang
tersedia di layanan pusat data dirilis oleh administrator
selanjutya di sajikan kepada setiap pengunjung (client)
dapat melihat semua data yang terdapat dalam penyedia
layanan (server), data tersebut berupa file, document,

30
 gambar, audio, video dan lain sebagainya. Perangkat pusat
data berupa element teknis perangkat jaringan computer
seperti router, server, saklar, switch, sistem penyimpanan.
d) Akses sistem computer
Layanan informasi dari permintaan client harus terkendali
dengan baik, agar pengendalian terhadap keamanan sistem
terus terjaga, semua hak akses sistem computer diatur oleh
administrator, sehingga akses sistem oleh client terkendali
maka pemeliharaan sistem computer harus bersifat
berkelanjutan seperti pengawasan terhadap software dan
pengawasan terhadap hardware.
e) Informasi
Untuk mencegah terjadinya pencurian data melalui jaringan
computer harus perlu peningkatan kemanan dengan
menerapkan metode criptografi sehingga pihak ketiga
sebagai kriptanalis sulit untuk menyadap data yang telah
disandikan oleh criptografi
f) Bencana
• Backup plan merupakan pemulihan pelayanan informasi
yang disajikan kepada client saat terjadi masa darurat,
pelayanan tersebut berupa informasi cadangan untuk
menjadi solusi dalam masalah, sehingga client dapat
mengakses data seperti biasa.
• Emergency plan adalah rencana darurat yang dilakukan
oleh pegawai dalam berbagai tindakan untuk
penanggulangan bencana yang sedang dihadapi.
• Test plan
Simulasi yang diadakan oleh pegawai untuk
meningkatkan kinerja sistem agar berjalan dengan
lancar, pengujian ini memetakan keseluruh komponen
yang ada, untuk itu pegawai harus menyesuaikan dengan
rencana kerja untuk pemulihan bencana yang akan
dihadapi.

31
 • Recovery plan
Proses penyusunan ulang data-data saat terjadi
kerusakan, jika benar terjadi kerusakan data maka setiap
personil harus bertanggung jawab untuk pengembalian
data secara sempurna seperti bentuk asli.
g) Backup data
Proses pengalinan file atau data dari perangkat sistem
penyimpanan di memory computer dengan tujuan Menjaga
keamanan data dari serangan cyber crime, Mengatasi
masalah kehilangan data, Menjaga data dari kerusakan saat
server website down, Peretasan dan Human error.

3.2 Pengendalian Perangkat Keras

Perlindungan perangkat keras computer harus menjadi
perhatian khusus kepada setiap pengguna computer itu sendiri,
data user berpotensi akan rusak secara permanen jika user tidak
dapat mencegah terjadinya serangan dari luar maupun serangan
dari dalam, baik melalui jaringan internet maupun
penyalahgunaan perangkat computer oleh operator yang tidak
bertanggung jawab. Pengendalian perangkat keras dapat
dilakukan menggunakan echo chek, parity chek dan dual read
check, read after check.
1. Echo chek
Piranti input output (I/O) berpungsi dengan baik, proses
pengiriman sinyal dari CPU ke I/O demikian sebaliknya.
Komponen input output terdiri dari disk driver, printer dan
card reader.
2. Parity chek
Parity chek pemeriksan data penyimpanan yang dilakukan
oleh random acces memory bila penyimpanan hilang maupun
rusak, pengecekan tersebut dilakukan dengan cara parity
ganjil dan parity genap.

32
3. Dual read check
Perbandingan data, data yang dibandingkan adalah meneliti
kebenaran suatu data yang telah dibaca pertama dengan data
yang telah dibaca kedua, data ini saling terkait kedua duanya
jika sudah singkron maka data tersebut bernilai benar.
4. Read after check
Pengecekan dalam penyimpanan data telah terekam dengan
baik, dilakukan pembacaan kembali untuk memastikan
apakah sudah sesuai dengan data yang terekam didalam
penyimpanan tersebut. Pengawasan computer terhadap
akses fisik sangat perlu dilakukan untuk mencegah terjadinya
kerusakan data secara permanen oleh pihak ketiga dan
pengawan juga dilakukan untuk mencegah terjadinya
kerusakan jaringan computer yang dapat merugikan user
sebagai penggunanya.
3.3 Pengendalian Perangkat Lunak
1. Kontrol Operasi
Pengawasan dapat dilakukan dengan cara pembatasan
akses yang diberikan kepada operator dengan cara sebagai
berikut ini :
a. Pembatasan data terhadap operator
Admin harus menjamin data tetap utuh dan memastikan data
dapat dilindungi dari malware, oleh sebab itu admin harus
bijak dalam memberikan batas batas tertentu terhadap kerja
yang dilakukan oleh operator tersebut.
b. Pembatasan akses terhadap data
Admin dapat mengklasisfikasi operator yang dapat berkerja
dengan baik atas hak dan kewajiban operator terhadap admin,
admin juga tidak memberikan akses secara keseluruhan hanya
sebagian akses saja yang dapat dilakukan oleh operator
tersebut.

33
c. Pengawasan terhadap peralatan
Perlindungan terhadap perangkat lunak dan perangkat keras
seperti perangkat jaringan computer dan perangkat input dan
output computer.
d. Pengawasan terhadap arsip
Admin menjamin kerahasiaan arsip dari pihak manapun,
untuk mencegah terjadinya kerusakan arsip tersebut diberi
perlindungan berlapis.
e. Pengendalian terhadap virus
Installasi anti virus pada sistem computer dapat mencegah
terjadinya gangguan sistem jaringan computer dan perangkat
lunak lainnya. Ada beberapa kontrol yang dilakukan oleh
admin sebagai pengendali sistem computer seperti preventif,
detektif, dan korektif pengendalian ini dapat dijelaskan
sebagai berikut:
1) Preventif
Peringatan terhadap pengguna agar waspada terhadap
virus, Pengambilan berkas yang mencurigakan dari
sembarang tempat, melakukan scanning antivirus terhadap
data baru sebelum menggunakannya, menghindari
freeware dari sumber yang belum jelas atau shareware dari
sumber yang tidak relevan.
2) Detektif
Detektif pertama yaitu perubahan ukuran berkas bisa
terjadi karena file file terkontaminasi oleh virus, file
tersebut bisa dicurigai karena perubahan volume atau
kapasitas file berubah dari ukuran semula besar menjadi
lebih kecil dari ukuran file tersebut, demikian sebaliknya,
oleh sebab itu administrator perlu melakukan pengecekan
file dalam penyimpanan berkas. Detektif kedua yaitu
mendeteksi terjadinya perubahan berkas pada
penyimpanan file, perubahan yang terjadi adalah
perubahan tanggal dimana keberadan berkas itu disimpan,

34
 selanjutnya administrator melakukan perbandingan atas
perubahan tanggal file tersebut. Detektif ketiga adalah
melakukan scaning data dalam drive computer secara rutin
agar administrator dapat mengetahui keberadaan file
apakah masih berjalan aktif atau sudah terkontaminasi oleh
virus.
3) Korektif
Pemulihan kembali terhadap file file yang terkontaminasi
oleh virus, kegiatan ini dilakukan oleh administrator,
selanjutnya administrator juga harus memiliki rancangan
kegiatan yang relevan, dimana rencana kegiatan tersebut
harus terdokumentasi dengan baik. Administrator dapat
memastikan apakah backup data sudah bersih bebas dari
virus, untuk itu program yang tertular agar segera
diperbaiki.
4) Kontrol Aplikasi
Pengawasan yang dilakukan oleh admin untuk menjamin
data user tetap terjaga dengan baik, kegiatan yang
dilakukan dalam pengelolaan data pada computer sebgai
berikut:
a) Input
b) Process
c) Output
d) Database
e) Telecommunication

3.4 Maintenance
Pemeliharaan sistem agar menggunakan aplikasi khusus
untuk mengontrol kerja dari pengguna. Aplikasi yang digunakan
untuk menguji kemanan sistem seperti crack, winnuke, pink-o-
death dan lain sebagainya.

35
3.5 Masalah Dalam Keamanan Sistem Informasi
Sistem informasi merupakan kumpulan dari perangkat
keras dan perangkat lunak komputer serta perangkat manusia
yang akan mengolah data menggunakan perangkat keras dan
perangkat lunak tersebut (Kristanto, 2008).
Sistem informasi merupakan kumpulan data terintegritas.
Sistem informasi juga terorganisasi mulai dari manusia,
perangkat lunak, perangkat keras, jaringan komunikasi dengan
lebih rinci disebut sebagai kombinasi teknologi informasi dengan
tujuan menghasilakan informasi terpercaya dan akurat. Contoh
penerapan sistem informasi seperti e-commerce, e-learning,
transaction processing system, office automation system, fleet
management system dan knowlwdge work system. Pencegahan
keamanan sistem informasi perlu dilakukan untuk melindungi
penggunanya namun tidak sedikit pula terjadi penyalahgunaan
sistem informasi yang dapat merugikan semua kalangan
pengguna sehingga menjadi ancaman serius untuk dilakukan
pencegahan terhadap teknologi saat ini, masalah dalam
keamanan sistem informasi dapat diuraikan sebagai berikut:
1. Jenis Ancaman Keamanan Sistem Informasi
a. Ancaman Aktif
• Pencurian data
Merampas hak pengguna sistem informasi untuk
memenuhi kepentingan pihak lain yang bersifat rahasia,
data curian tersebut dijual dengan harga pantastis yang
dibayar oleh pihak lain terhadap eksekutor tersebut.
• Penggunaan data
Mengelola data orang lain untuk dijadikan bahan
percobaan, bahan presentasi biasa untuk perusahaan
dengan target pemasaran yang akan disajikan kepada
pimpinan dilakukan oleh eksekutor, hal ini
menguntungkan sebelah pihak dan juga dapat
merugikan pengguna data asli.

36
 • Penghancuran data
Sebagai pengguna sistem informasi optimis menyimpan
file atau data kedalam penyimpanan database, pesaing
antar user tidak mengetahui hal itu akan terjadi karena
data tersebut begitu berarti terhadap pengguna lain
kemungkinan besar data tersebut akan menjadi ancaman
oleh pihak lain, oleh sebab itu data harus dihancurkan
agar user mengalami kerugian yang bergitu besar
sehingga pesaing merasa puas atas tindakan untuk
melumpuhkan pesaing lain dalam bisnis dan lain
sebagainya.
• Modifikasi data
Penyamaran data asli menjadi data palsu bisa terjadi
kapan saja pada sistem informasi kegiatan tersebut
dilakukan melalui jaringan computer yaitu
penyalahgunaan wewenang oleh pihak lain dapat
mengakibatkan kerugian terhadap user asli, seperti
pertukaran informasi dimodifikasi oleh pihak ketiga
dengan cara menyebar berita bohong pada website,
social media, transaksi perbankan, transakasi bisnis
perseorangan dan lain sebagainya.
b. Ancaman Pasif
• Bencana alam
Terjadi banjir mengakibatkan data pada server menjadi
rusak, terjadi kebakaran mengakibatkatkan sistem
penyimpanan terbakar.
• Kesalahan user
Tidak menggunakan perlindungan terhadap software
sehingga terjadinya masalah program berjalan menjadi
lambat, terjadi layar biru pada computer, pemakaian
daya penampung data berlebihan dan konektifitas
internet melambat tidak stabil.

37
 • Kegagalan sistem
Kesalahan teknis pada sistem computer terjadi dalam
kondisi tidak ideal karena dipengaruhi oleh factor dari
luar dan factor dari dalam sistem, mempengaruhi proses
sedang berjalan.
c. Klasifikasi penyerangan
Penyerangan terhadap sistem informasi disebabkan oleh
beberapa factor yang terjadi saat ini seperti factor
persaingan bisnis, eksistensi, popularitas dan lain
sebagainya. Klasifikasi penyerangan terhadap sistem
informasi sangat berpariasi seperti dibawah ini:
• Denial of services
Gangguan jaringan mengakibatkan kemacetan saat
mengunjungi laman website atau situs yang dikunjungi
tidak dapat diakses.
• Vandal
Merusak sistem informasi seperti situs situs besar saja.
• Joyrider
Penyerangan sistem informasi sebagai uji coba saja,
namun tidak spesifik terhadap tujuan yang ingin dicapai
namun pihak tersebut hanya mengetahui saja sejauh
mana sistem itu berjalan apakah sistem didalam dapat
menarik perhatian atau tidak, tindakan ini bisa membuat
data oaring lain menjadi rusak dan hilang.
• Intrusion
Penyerang dengan pengguna sistem dapat memiliki hak
akses sama, tanpa diketahui oleh pengguna sistem itu
sendiri.
• Hijacking
Sistem pengintai biasa dipakai pada keyboard computer
untuk mengintai aktivitas operator didalam computer.
Penyerangan tersebut menggunakan aplikasi khusus
seperti aplikasi keylog atau sejenisnya.

38
 • Worm
Duplikasi program dalam computer menggunakan media
pada computer memperhambat kinerja proses dalam
sebuah aplikasi yang sedang digunakan.
• Trojan horse
Kejahatan semacam ini sering kali muncul pada internet
• Virus
Infeksi terhadap file dimana program dapat berjalan
diluar kehendak pemakai.
• Website devacing
Serangan terhadap situs website dimana alamat asli
website tersebut masih original namun isi daripada
website dimodifikasi sehingga fungsi dari sistem
informasi tidak maksimal.
• Spoofing
Teknik jebakan yang dilakukan oleh pelaku kejahatan
dengan cara membuat situs palsu mirip dengan situs asli,
seperti penamaan sama dengan ekstensi yang berbeda.
• Sniffing
Monitoring terhadap percakapan yang dilakukan oleh
sesorang menggunakan computer client ke web server
melalui jaringan internet yaitu saluran komunikasi, isi
percakapan melalui saluran komunikasi dapat diketahui
oleh pendengar pada saluran komunikasi dari
percakapan tersebut.
d. Pengintai dalam sistem informasi
• The malicious
Jenis penyusup ingin mengetahui isi daripada sistem
yang digunakan oleh client
• The curious
Jenis penyusup memodifikasi isi daripada website client
sehinga pengunjung mendapatkan informasi yang tidak
efektif.

39
 • The hight profile intruder
Jenis penyusup mencari popularitas dengan
menggunakan sistem atau aplikasi client
• The competition
Ketertarikan penyusup terhadap data client
kemungkinan besar penyusup mendapatkan azas
manfaat dari data client dijadikan sebagai target
serangan
2. Tujuan Keamanan Informasi
Tujuan keamanan informasi adalah untuk memastikan
kelangsungan usaha, meminimalkan kerugian usaha, dan
memaksimalkan laba atas investasi (Sari Candiwan et.al, 2015).
Perlindungan data sangat perlu dilakukan, pada era
globalisasi semua aspek pekerjaan terkomputerisasi, bertukar
informasi dari satu perangkat computer ke computer yang lain
mulai jaringan internet, penyimpanan data bersipat online dalam
suatu server yang disediakan oleh perusahaan sehingga dapat
dilakukan modifikasi kapan saja, dimana saja jika client
melakukan perubahan data. Tujuan dari keamanan informasi
adalah untuk menjaga keberlangsungan bisnis dan mengurangi
adanya penurunan nilai bisnis dengan membatasi efek dari
insiden keamanan (Hilaluddin Jauhary et.al, 2022). Ada beberapa
tujuan dari keamanan informasi dapat dijelaskan sebagai berikut:
a. Kerahasiaan
Melindungi data setiap pengguna karena bersifat privasi,
mengelola informasi dengan baik, tidak memberikan akses
kepada pihak yang tidak berwewenang.
b. Ketersediaan
Menyajikan informasi kepada setiap orang yang berwewenang
saja untuk menggunakan informasi.
c. Integritas
Memberikan informasi akurat dan terpercaya

40
3.6 Manajemen Resiko
Upaya yang dilakukan administrator dalam melancarkan
proses pengguna informasi tetap berjalan dengan baik tidak
mempengaruhi peroses penggunaan sistem informasi oleh client,
upaya tersebut melakukan analisis terlebih dahulu dengan
memperhatikan resiko yang akan dihadapi mulai dari melakukan
manajemen resiko, rencana kelangsungan bisnis dan rencana
pemulihan bencana kemungkinan besar bisa terjadi. Adapun
proses manajemen resiko pada teknologi informasi sebagai
berikut:
1. Identifikasi resiko
2. Analisis resiko
3. Evaluasi resiko
4. Pemantauan resiko

41
Bab 4. Mengamankan Sistem

Pada bab ini dibahas mengenai bagaimana cara

mengamankan sistem seperti mengamanakan sistem operasi
berbasis Linux maupun Windows, mengamankan jaringan
komputer, mengatur akses maupun layanan yang diijinkan,
menutup layanan-layanan yang tidak digunakan, memasang
proteksi seperti firewall, pemantauan adanya serangan, audit
serta backup secara rutin.

4.1 Mengamankan sistem operasi berbasis Linux

Sistem operasi Linux dapat dibuat lebih aman sehingga
potensi serangan yang ada bisa menjadi lebih kecil dengan
mengambil beberapa langkah. Konsep ini lebih dikenal dengan
istilah “hardening”. Memastikan sistem Linux berjalan pada versi
terbaru, baik dari segi sistem operasi (SO), patch keamanan
adalah salah satu tahap awal dalam “hardening” sistem.
Beberapa hal sangat membantu dalam menjaga sistem dari
kerentanan dan eksploitasi. Selanjutnya, yang dapat dilakukan
adalah mengurangi jumlah user dalam SO dan aplikasi yang
memiliki akses ke data dan sistem yang sensitif merupakan
bagian penting dalam melindungi sistem Linux. Kemungkinan
akses ilegal atau penyalahgunaan dapat dikurangi secara
signifikan dengan membatasi akses hanya untuk user yang benar-
benar membutuhkannya.
Selain itu, sangat penting untuk menetapkan peraturan kata
sandi yang ketat, seperti mewajibkan kata sandi yang kuat dan
unik dengan cara instalasi paket pwquality, serta mengubahnya
sesering mungkin. Secara default, paket ini sudah terpasang jika

42
kita menggunakan Linux turunan red hat seperti CentOS. Dengan
mengosongkan baris yang relevan dan mengubah nilai yang
sesuai, kita bisa mengonfigurasi persyaratan kerumitan kata
sandi apa pun yang kita suka. Mari kita lihat satu contoh pada
gambar 10, ketika kita konfigurasi Panjang minimum untuk
password adalah 19, maka ketika mencoba membuat password
di bawah angka tersebut, akan ada pemberitahuan.

Gambar 10. Proses pembaruan pada SO Linux turunan Red Hat

Gambar 11. Proses pembaruan security pada SO Linux turunan

Red Hat

43
 Gambar 12. Konfigurasi pwquality pada maksimum Panjang
password

Langkah berikutnya adalah mengkonfigurasi firewall dan

sistem deteksi intrusi atau Intrusion Detection System (IDS) pada
sistem Linux sangat penting untuk melindungi sistem dari akses
yang tidak diinginkan dan mengawasi aktivitas yang
mencurigakan pada jaringan. IDS membantu untuk memberi
informasi kepada administrator tentang potensi risiko dan
membatasi jenis lalu lintas tertentu, seperti yang berasal dari
alamat IP yang diketahui berbahaya. Menginstal dan
mengonfigurasi perangkat lunak keamanan, seperti perangkat
lunak antivirus dan anti-malware, untuk melindungi dari
malware, adalah bagian penting dari “hardening” sistem Linux.
Selain itu, sangat penting untuk mengembangkan protokol untuk
menangani file dan komunikasi yang meragukan dan untuk
mengedukasi user tentang penggunaan internet yang aman.
Penghapusan atau penonaktifan layanan atau service yang
tidak digunakan adalah komponen lain dari “hardening” sistem
Linux. Hal ini akan mengurangi serangan dan menurunkan
kemungkinan kerentanan yang akan dieksploitasi. Untuk
memastikan bahwa sistem Linux telah diatur dengan benar dan
semua langkah keamanan yang telah ditetapkan berjalan
sebagaimana mestinya, sangat penting untuk terus meninjau dan

44
menguji keamanan sistem. Pengujian penetrasi (penetration
testing), pemindaian kerentanan yang sering dilakukan, dan audit
keamanan. Dengan melakukan audit keamanan, administrator
dapat dengan cepat menemukan dan memperbaiki potensi
kerentanan sebelum dapat digunakan oleh penyerang dengan
memeriksa dan menguji keamanan sistem secara rutin.
Langkah terakhir yang dapat digunakan adalah selalu rutin
mengecek kerentanan atau Common Vulnerabilities and
Exposures (CVE) pada sistem operasi linux dengan mengakses
situs seperti https://cve.mitre.org/. Info terbaru dapat
didapatkan dengan mengetikkan kata kunci sistem operasi linux
seperti pada gambar 13.

Gambar 13. Daftar kerentanan pada sistem operasi Linux

45
4.2 Mengamankan sistem operasi berbasis Windows
Serangkaian langkah keamanan dapat diterapkan sebagai
bagian dari “hardening” SO Microsoft Windows dengan tujuan
untuk meningkatkan keamanan sistem secara keseluruhan dan
mengurangi kerentanannya terhadap serangan dunia maya.
Pertama adalah, memastikan sistem operasi Windows
sepenuhnya diperbarui dengan peningkatan keamanan terbaru.
Pembaruan untuk sistem operasi dan semua program atau
aplikasi yang terinstal termasuk di dalamnya wajib dilakukan.
Menonaktifkan layanan atau fitur berlebihan yang tidak
digunakan juga sangat penting karena dapat menyebabkan
sistem keamanan yang lemah. Menggunakan autentikasi seperti
username dan password yang kuat dan kontrol akses untuk
memperkuat SO Windows adalah langkah yang sangat penting.
Ini termasuk menerapkan pembatasan akses seperti manajemen
akun pengguna dan izin serta menggunakan kata sandi yang
aman, mengaktifkan autentikasi multi-faktor, dan sebagainya.
Selain itu, sangat penting untuk melacak dan
mendokumentasikan semua aktivitas pengguna pada sistem
sehingga setiap perilaku yang meragukan dapat ditemukan dan
segera ditangani.
Menerapkan langkah-langkah keamanan seperti firewall,
perangkat lunak anti-virus, dan sistem deteksi intrusi adalah
bagian penting dari pengerasan SO Windows. Teknologi ini dapat
membantu mempertahankan sistem dari bahaya eksternal
seperti malware dan peretas. Untuk menemukan celah yang
dapat mengakibatkan potensi keamanan, penting juga untuk
secara teratur melakukan tes penetrasi dan memindai sistem
untuk mencari kerentanan. Terakhir, sangat penting untuk
memiliki rencana pemulihan bencana yang menyeluruh sehingga,
jika terjadi insiden keamanan, sistem dapat segera dipulihkan
dengan cepat dan berhasil. Hal ini termasuk menyiapkan sistem
untuk secara otomatis menyimpan perubahan dan sering

46
melakukan backup terhadap data penting, serta memiliki
prosedur yang jelas untuk menangani insiden keamanan.
Langkah terakhir yang dapat digunakan adalah selalu rutin
mengecek kerentanan atau Common Vulnerabilities and
Exposures (CVE) pada SO Windows dengan mengakses situs
seperti https://cve.mitre.org/. Info terbaru dapat didapatkan
dengan mengetikkan kata kunci sistem operasi windows seperti
pada gambar 14.

Gambar 14. Daftar kerentanan pada sistem operasi Windows

4.3 Mengamankan jaringan komputer

Jaringan komputer bisa dibuat lebih aman dengan
memasang berbagai kontrol keamanan untuk melindungi dari
penyusupan, akses ilegal, dan bahaya online lainnya. Menerapkan
firewall dan sistem deteksi penyusupan, autentikasi yang ketat
dan pembatasan akses, menambal dan memperbarui perangkat

47
lunak dan perangkat keras secara rutin, serta mengenkripsi data
sensitif adalah beberapa contoh yang dapat dilakukan. Untuk
menemukan dan memperbaiki kerentanan jaringan, penting juga
untuk memiliki rencana tanggap insiden yang terdefinisi dengan
baik serta audit keamanan dan uji penetrasi yang sering dilakukan.
Dengan melakukan segmentasi jaringan dan membatasi akses
setiap pengguna atau perangkat, segmentasi jaringan juga bisa
digunakan untuk mengurangi dampak potensial dari pelanggaran
keamanan. Selain itu, sangat penting untuk mengedukasi
pengguna tentang praktik terbaik keamanan, seperti mengenali
dan menghindari skema phishing dan memelihara pembaruan
antivirus dan perangkat lunak. Secara umum, “hardening” jaringan
komputer memerlukan strategi menyeluruh yang
menggabungkan banyak lapisan keamanan serta pemantauan dan
pemeliharaan berkelanjutan untuk menjamin perlindungan
jaringan.
Salah satu serangan yang sempat muncul dan berdampak
terhadap jaringan komputer adalah malware VPN Filter.
Keuntungan VPN adalah menghemat biaya dan dapat melakukan
transfer data atau remote view untuk mengendalikan komputer di
rumah atau kantor dan dimana saja, VPN dapat digunakan sebagai
teknologi alternatif untuk menghubungkan jaringan lokal yang
luas dengan biaya yang relatif murah, karena transmisi data
teknologi VPN menggunakan media jaringan public yang sudah
ada tanpa perlu membangun jaringan pribadi (Siti Nur Khasanah
et.al, 2018).
VPN Filter merupakan jenis malware tertentu yang
menyerang router dan perangkat penyimpanan. Laporan pertama
tentang malware ini, yang merinci bagaimana VPN Filter dibuat
untuk menyusup ke jaringan dan mencari lalu lintas Modbus,
diterbitkan oleh Cisco Talos pada bulan Mei 2018. Malware ini
bekerja dalam beberapa tahap. Tahap 1 adalah ketika pertama
kali diinstal, malware ini tetap berada di perangkat yang terinfeksi

48
dan akan berkomunikasi dengan server command and control
(C&C) untuk mengunduh lebih banyak modul. Muatan utama ada
di Tahap 2, yang juga memiliki kemampuan untuk mengelola
perangkat, menjalankan perintah, mengumpulkan file, dan
mengeksfiltrasi data. Malware ini juga memiliki potensi merusak
dan, jika diberi perintah oleh penyerang, pada dasarnya dapat
menghancurkan perangkat. Hal ini dilakukan dengan menimpa
sebagian dari firmware perangkat, melakukan boot ulang, dan
membuat perangkat tidak dapat digunakan.
Seringkali perangkat-perangkat dari vendor dapat menjadi
pintu masuk untuk penyerangan ke dalam jaringan komputer.
Untuk itu, perlu adanya pengecekan rutin perangkat-perangkat
apa saja yang bisa saja terdampat dan memiliki kerentanan
dengna cara mengunjungi situs yang menyediakan Common
Vulnerabilities and Exposures (CVE) dengan mengakses situs
seperti https://cve.mitre.org/. Gambar 15 merupakan contoh
keyword hasil pencarian vendor Linksys.

Gambar 15. Daftar kerentanan pada perangkat vendor Linksys

49
4.4 Mengatur akses dan layanan yang digunakan pada
sistem operasi Linux
1. Hak akses pengguna untuk level admin atau root
Kemampuan sistem operasi Unix dan Linux untuk
memisahkan akun administratif yang memiliki hak istimewa dari
akun pengguna biasa merupakan keunggulan yang signifikan
dibandingkan Windows. Praktik pengaturan akun pengguna
dengan hak istimewa administratif tanpa keamanan yang
disediakan oleh Kontrol Akses Pengguna (UAC) yang ditemukan
di versi Windows terbaru adalah salah satu alasan mengapa versi
Windows yang lebih lama sangat rentan terhadap kerentanan
keamanan, seperti infeksi virus drive-by. Sistem yang
dikonfigurasi dengan benar jauh lebih sulit untuk terinfeksi
ketika menggunakan Unix dan Linux. Akun root pada sistem Unix
atau Linux adalah akun administratif tertinggi. Kita memiliki
kendali penuh atas sistem jika kita masuk sebagai pengguna root,
namun masuk sebagai pengguna root setiap saat dapat
menyebabkan beberapa masalah keamanan. Faktor-faktor ini
dapat terjadi saat masuk sebagai pengguna root: kita bisa saja
secara tidak sengaja melakukan sesuatu yang merusak sistem
atau memudahkan orang lain melakukan sesuatu yang merusak
sistem.
Cara pertama, yang paling mudah, adalah menambahkan
user ke grup administrator tertentu dan kemudian
mengonfigurasi kebijakan sudo untuk mengizinkan grup tersebut
melakukan tugasnya, jika belum dilakukan. Prosesnya sangat
mudah, namun distribusi Linux yang berbeda menggunakan grup
admin yang berbeda pula. Gambar 16 merupakan contoh proses
ini pada Linux CentOS.

50
 Gambar 16. Proses memasukkan user ke grup wheel (sudo)

Pada file visudo, group wheel merupakan grup yang

anggotanya mendapatkan hak ases sudo secara otomatis. Untuk
memastikan apakah grup wheel aktif, maka kita dapat melihat
pada baris bagian bawah dari file visudo. Jika di depan %wheel
tidak ada tanda # maka group wheel sudah aktif. Cara kedua
untuk mengecek adalah dengan mengetikan perintah groups
pada terminal. Langkah selanjutnya dalah kita tinggal
menambahkan user yang ada ke dalam grup wheel dengan
perintah “sudo usermod -a -G wheel Jimmy”.
2. Mengatur layanan (service)
Service dan Daemon sangat adalah dua istilah yang sering
didengar jika kita belajar mengenai service pada linux. Service
Linux adalah program yang berjalan di balik sistem operasi
(background) dan melakukan fungsi atau tugas tertentu. Service,
dirancang untuk menyediakan layanan ke aplikasi lain dan

51
berjalan terus menerus background, bahkan setelah pengguna
keluar atau tidak lagi menggunakan sistem operasi. Service
biasanya jalan secara otomatis saat sistem dinyalakan dan terus
berjalan hingga sistem dimatikan. Service juga dapat dijalankan,
dihentikan, atau dimulai ulang oleh pengguna atau administrator.
Contoh service di Linux termasuk server web Apache, server
database MySQL, dan daemon SSH.
Daemon adalah jenis layanan di Linux yang berjalan juga
pada proses bacgkround dan digunakan untuk mengelola sumber
daya sistem, melakukan tugas rutin, atau menyediakan berbagai
layanan ke program lain. Tidak seperti service, daemon tidak
dimaksudkan untuk berinteraksi secara langsung dengan
pengguna. Daemon dikendalikan oleh sistem operasi dan
biasanya dimulai secara otomatis pada waktu boot sistem.
Daemon berjalan di background dan tidak memiliki antarmuka
pengguna, sehingga ideal untuk tugas-tugas yang membutuhkan
pemantauan atau pengelolaan sumber daya sistem secara terus
menerus. Contoh daemon di Linux termasuk cron, syslog, dan
daemon Network Time Protocol (NTP).
Seperti yang sudah dijelaskan sebelumnya, ada beberapa
layanan yang secara default berjalan secara otomatis. Contohnya
jika menggunakan distro Ubuntu, jika kita melakukan
pemasangan service maka secara default service tersebut akan
aktif secara otomatis. Berbeda dengan distro turunan RedHat,
secara default service yang berada pada sistem operasi adalah
tidak aktif. Ada beberapa service yang bisa menjadi celah jika
dibiarkan aktif. Salah satu adalah service Secure Shell atau SSH
yang biasa digunakan untuk melakukan remote terminal linux.
Pada Linux turunan RedHat, seperti CentOS perintah untuk
menjalankan service SSH adalah “service sshd start”, untuk
mematikan service “service sshd stop” dan untuk melakukan
pengecekan apakah service aktif atau tidak aktif bisa dengan
perintah “service sshd status” seperti pada gambar 17.

52
 Gambar 17. Proses start, stop dan pengecekan
status dari service

3. Memasang Proteksi Firewall

IDS (Intrusion Detection System), IPS (Intrusion Prevention
System) dan firewall merupakan istilah yang selalu muncul jika
membahas tentang pengamanan sistem komputer. IDS
(Intrusion Detection System) dapat diartikan sebagai software,
hardware, atau gabungan keduanya. Yang jelas fungsinya
adalah sebagai sistem pendeteksi adanya intrusion/usaha
masuk ke sebuah sistem secara ilegal (Muhammad Anis Al Hilmi
et.al, 2022). IDS adalah sebuah sistem yang dapat memonitor lalu
lintas jaringan serta memberikan peringatan jika ada aktivitas
yang mencurigakan. Sedangkan IPS adalah sebuah sistem yang
cara kerjanya seperti IDS, tidak hanya memberikan peringatan
tetapi juga melakukan pemblokiran terhadap aktivitas tersebut.
Firewall adalah perangkat lunak atau perangkat keras yang
melakukan filter terhadap paket yang masuk ke dalam jaringan
komputer.
Adapun beberapa jenis IDS yang akan dibahas pada buku ini
adalah HIDS (Host-based Intrusion Detection System), NIDS
(Network Intrusion Detection System) dan terakhir PIDS
(Physical Intrusion Detection System. Intrusion Detection and

53
Prevention System (IDPS) merupakan salah satu pilihan untuk
meningkatkan keamanan jaringan dalam sebuah jaringan baik
intranet maupun internet (Fadlin Arsin et.al, 2017).
Cara kerja HIDS adalah memasang agen pada setiap
perangkat individu sehingga aktivitas oleh pengguna tersebut
bisa dimonitor. Lewat agen tersebut, nantinya akan ada
peringatan jika muncul ancaman baik dari sisi Sistem operasi
maupun aplikasi yang digunakan. Selain itu ada juga IDS berbasis
jaringan NIDS (Network Intrusion Detection System. IDS jenis ini
diaplikasikan terhadap keseluruhan jaringan yang ada, berbeda
dengan HIDS yang hanya pada individu. HIDS memonitor dan
menganalisa lalu lintas jaringan yang ada lewat paket maupun
port. Salah satu jenis NIDS yang banyak digunakan dan tersedia
secara gratis (open source) adalah SNORT. IDS juga bisa berupa
fisik yang disebut dengan PIDS (Physical Detection System) yang
tujuannya untuk mendeteksi ancaman dalam bentuk fisik.
Berikut ini adalah contoh PIDS:
• Petugas keamanan
• Kamera CCTV
• Sistem Kontrol untuk akses seperti kartu, sidik jari, retina, atau
jenis akses biometrik lainnya
• Sensor Gerakan
Secara umum, firewall bekerja dengan cara melakukan
penyaringan paket pada lalu lintas jaringan komputer. Proses
penyaringan dilakukan berdasarkan aturan, mana paket yang
akan diteruskan dan mana yang akan diblok. Firewall juga bisa
melakukan blokir terhadap protocol. Misalkan terhadap protokol
layanan streaming audio maupun video. Ada beberapa jenis
firewall yang dikenal, diantaranya adalah Packet Filtering
Firewall. Jenis firewall ini bekerja pada layer 3 OSI yaitu Network,
dengan melakukan perbandingan isi dari paket, seperti alamat
asal dan tujuan, protocol, dan juga port. Yang berikutnya adalah
circuit level firewall. Jenis firewall ini bekerja secara spesifik pada

54
layer 5 OSI yaitu session. Cara kerjanya adalah memastikan
session antara sistem adalah benar dan sah. Berikut adalah
beberapa contoh firewall yang disediakan secara gratis:
• Comodo Firewall (Windows)
• TinyWall Firewall (Windows)
• IPfire (Linux)
• PFsense (Linux)
• Smootwall (Linux)
• Iptables (Linux)
• OPNSense (Linux)
• Untangle Firewall (Linux)
4. Pemantauan adanya serangan
Setiap respon terhadap sesuatu yang terjadi terhadap
sistem komputer, perangkat keras, perangkat lunak dan lainnya,
disimpan dalam catatan yang disebut dengan log. Log
dikategorikan menjadi beberapa klasifikasi sebagai berikut ini :
a. Peringatan (warning): Merekam kejadian atau situasi di mana
hal-hal mungkin hilang atau diperlukan untuk suatu sistem,
tetapi ketiadaannya tidak akan memengaruhi operasi sistem
b. Kegagalan (error): Merekam kegagalan yang terjadi pada
sistem sesuai dengan tingkatan error.
c. Waspada (alert): Merekam sesuatu yang dimaksudkan untuk
menunjukkan bahwa ada suatu hal yang patut dicurigai telah
terjadi.
d. Informasi (informational): Bertujuan untuk memberitahu
pengguna terhadap sesuatu yang terjadi tetapi tidak
berbahaya. Contohnya pada saat perangkat kita restart atau
reboot.
Struktur isi dari log pada dasarnya adalah tanggal, sumber
dan data,seperti contoh log pada sistem operasi Microsoft
Windows pada gambar 16. Isi tersebut yang harus dianalisa atau
yang dikenal dengan istilah log analysis. Auditor harus
memastikan log dari perangkat maupun server yang mendukung

55
sistem informasi memiliki log, dan log tersebut dianalisis dan
dipelajari dengan baik. Hasilnya adalah, log dapat memberitahu
banyak hal tentang sesuatu yang terjadi di jaringan, performa
jaringan, deteksi intrusi atau serangan, bahkan kegagalan yang
dapat saja terjadi.

Gambar 18. Windows Log pada bagian security

5. Audit serta backup secara rutin

Untuk Sistem Audit, kita harus mengaudit semua sistem
penting dan sistem yang bergantung di dalamnya yaitu sistem
cadangan (backup), sistem pencatatan (log), pembaruan
perangkat lunak (update), generator peringatan, dan sistem
komunikasi untuk memastikan sistem tersebut beroperasi
dengan benar. Audit lengkap harus memastikan hal-hal berikut
ini:
a. Sistem pencadangan (backup) beroperasi dengan benar.
Backup harus dibuat dengan benar, disimpan di lokasi yang
aman, disimpan dalam jangka waktu yang sesuai, dan
disimpan dengan izin yang benar. Lakukan latihan restorasi
dan validasi data secara berkala untuk memastikan bahwa kita
dapat mengambil dan menggunakan data dari hasil backup.
b. Catatan setiap kejadian/aktivitas (log) disimpan dengan
benar. Log ini memungkinkan responden untuk membuat
garis waktu yang akurat saat merekonstruksi peristiwa selama
penyelidikan forensik. Kita harus menyimpan log peristiwa

56
 untuk jangka waktu yang sesuai dengan tingkat risiko
organisasi dan pertimbangan lain yang berlaku.
c. Kerentanan yang bersifat kritis ditambal (patch) secara tepat
waktu. Audit proses penambalan (patching) otomatis dan
manual untuk mengurangi kebutuhan akan campur tangan
manusia dan kemungkinan kesalahan manusia.
d. Hasil Peringatan (warning) yang tepat. Sistem menghasilkan
peringatan melalui email, pesan teks, dan lain-lain. ketika
kriteria tertentu terpenuhi. Validasi setiap aturan peringatan
untuk memastikan aturan tersebut berjalan dengan benar.
Selain itu, pastikan untuk memperhitungkan ketergantungan
akan faktor lainnya. Misalnya, bagaimana dampak peringatan
kita jika server SMTP offline saat terjadi pemadaman jaringan?
e. Alat komunikasi, seperti klien obrolan, email, layanan
penghubung panggilan konferensi, dan IRC yang aman,
berfungsi sebagaimana mestinya. Saluran komunikasi yang
berfungsi dengan baik sangat penting bagi tim tanggap
darurat. Kita juga harus mengaudit kemampuan failover dari
alat-alat ini dan memastikan bahwa alat-alat ini menyimpan
pesan yang diperlukan.

57
Bab 5. Keamanan Word Wide Web (WWW)

Beberapa waktu yang lalu kita digemparkan dengan

munculnya “Hacker Bjorka”. Peretas ini memasuki beberapa situs
Web pemerintah dan mengungkap beberapa informasi milik
pejabat negara. Kejadian peretasan di Indonesia juga pernah
terjadi sebelumnya, seperti pembocoran data pengguna
Tokopedia ke dark Web di tahun 2020 dan lumpuhnya Website
DPR RI.
Mengelola Website memang tidak selalu mudah. Website
memiliki kendala seperti keterbatasan atau bug atas serangan
hacker yang tidak bertanggung jawab. Di dunia nyata, ketika
aplikasi Web disebarkan di server dan digunakan oleh publik,
sejumlah masalah keamanan teknis dan non-teknis muncul.
Masalah teknis bisa berupa kerentanan pada kode dan aplikasi,
sedangkan masalah non teknis bisa disebabkan oleh kelalaian
pengguna, operasi, atau pengembang itu sendiri.
Oleh karena itu, untuk melindungi serangan siber berbasis
Web, kita perlu mengetahui jenis serangan siber berbasis Web
yang berbahaya dan bagaimana cara pengamananya.
1. Pengertian
World Wide Web biasa disingkat WWW atau Web
merupakan salah satu aplikasi internet yang paling popular. Web
adalah kumpulan halaman-halaman web yang berhubungan
dengan file-file lain yang saling terkait yang dapat menampilkan
informasi baik berupa teks, gambar, suara maupun video yang
interaktif (Rivai et.al, 2014).

58
 Website adalah layanan informasi yang banyak digunakan
oleh pengguna yang terhubung dengan internet. Sebuah situs
Web diperlukan untuk menangani permintaan dari setiap
penggunanya, selama proses permintaan informasi sering kali
peretas melakukan eksploitasi terhadap celah keamanan Web
tersebut. Keamanan teknologi informasi merupakan persyaratan
penting bagi institusi untuk menjamin kerahasiaan, integritas
dan ketersediaan informasi (A. D. Purba, 2018).
Keamanan secara umum dapat diartikan sebagai keadaan
bebas dari bahaya (Emmywati, 2016). Definisi ini sangat luas dan
mencakup rasa perlindungan seseorang terhadap kejahatan yang
disengaja maupun tidak disengaja, seperti bencana alam.
Keamanan menurut KBBI adalah keadaan bebas dari
bahaya. Istilah ini bisa digunakan dengan hubungan kepada
kejahatan, segala bentuk kecelakaan, dan lain-lain. Keamanan
merupakan topik yang luas termasuk keamananan nasional
terhadap serangan teroris, keamanan komputer terhadap hacker
atau cracker, keamanan rumah terhadap maling dan penyelusup
lainnya, keamanan finansial terhadap kehancuran ekonomi dan
banyak situasi berhubungan lainnya.
2. Sistem Keamanan
Sistem keamanan jaringan adalah aktivitas untuk
mendeteksi dan memblokir pengguna jaringan komputer yang
tidak sah. Keamanan sistem jaringan digunakan untuk mencegah
ancaman yang merusak bagian fisik komputer atau mencuri
informasi seseorang (Risak dan Hendri, 2021).
Keamanan Web menjadi penting karena adanya kasus-
kasus pencurian melalui Web seperti penipuan, perusakan, virus,
worm, dan lain-lain. Karena pentingnya masalah keamanan ini
siapapun yang ingin mengembangkan Website harus
mempersiapkan segala sesuatunya dengan baik. Apalagi jika
dalam pengembangannya Web akan digunakan untuk aplikasi-
aplikasi yang rentan atau kritis, maka keamanan yang baik akan

59
menghindarkan kerugian yang jumlahnya mungkin bisa sangat
besar, baik secara material maupun nonmaterial (KM. Syarif
Haryana, 2008).
Masalah keamanan membutuhkan metode yang dapat
menjamin keamanan data, transaksi, dan komunikasi.
Ketidakamanan sistem akan berdampak buruk pada organisasi.
Hacker dengan mudah dapat mengambil alih sistem yang
dibangun. Hal ini menimbulkan permasalahan pada data yang
bersifat pribadi, maupun data yang sangat penting disebuah
perusahaan atau Lembaga (Riadi et.al, 2020).
a. Serangan Siber Berbasis Web
Berikut ini adalah beberapa jenis serangan yang sering
terjadi pada Website:
1) Cross-Site Scripting (XSS)
Jenis serangan ini dilakukan dengan cara menginjeksi kode
pada halaman Web yang dikunjungi pengguna.
2) SQL Injection
Serangan ini dapat terjadi dikarenakan adanya kesalahan
atau bugs pada Web akibat kesalahan programmer.
3) Denial of Service
Serangan ini terjadi karena network bandwidth dari aplikasi
Web kita mendapatkan request terus menerus dan tidak
penting sehingga server Web kewalahan dan akhirnya down.
4) DDoS Attack
Distributed-Denial-of-Service attack adalah serangan yang
dilakukan secara bertubi-tubi ke target korban. Serangan
ini bisa berupa ping, atau permintaan koneksi. Dampaknya,
server menjadi overload dan tidak bisa diakses.
5) Defacing
Penyerangan ini lebih mengakibatkan kepada jatuhnya
reputasi pemiliki aplikasi Web atau suatu Website.

60
 6) Bug CMS/Framework
Serangan ini dilakukan dengan memanfaatkan bug atau
celah pada CMS/framework.
7) Brute Force Attack
Serangan brute force attack biasanya berupa percobaan
login secara berulang-ulang menggunakan username dan
password yang dicocokkan satu per satu dalam suatu
wordlist.
b. Web Aplication Firewall (WAF)
WAF adalah aplikasi yang memfilter, memantau, dan
memblokir ancaman di sebuah situs Web. Salah satu dari aplikasi
WAF yang ada adalah ModSecurity. Beberapa serangan yang
dapat dicegah oleh ModSecurity yaitu SQL Injection dan serangan
DDoS (Hamzah et.al, 2019).
c. Metode Mencari Kelemahan Web
Terdapat dua jenis metode dalam pencarian celah
keamanan pada Website, yaitu vulnerability identification dan
penetration testing (R. Ichsan et.al, 2021).
1) Vulnerability Identification
Vulnerability identification merupakan kegiatan scanning/
pemindaian sistem pada perangkat lunak atau jaringan
untuk mengetahui celah kelemahannya, aplikasi yang
digunakan biasanya adalah network mapper (nmap).
2) Penetration Testing
Penetration testing adalah kegiatan mengeksploitasi sistem
dengan tujuan untuk mencari celah keamanan sistem
dengan menggunakan berbagai macam tool dan teknik
serangan.
d. HTTPS, TLS, and SSL
HTTPS adalah versi aman dari HTTP, protokol komunikasi
dari World Wide Web yang menyediakan autentikasi dan
komunikasi tersandi dan penggunaan dalam komersi elektris.
HTTPS sangatlah simpel, Client akan membuat koneksi ke server,

61
lalu melakukan negosiasi koneksi SSL, selanjutnya mengirim
HTTP tersebut melalui aplikasi SSL. Secure Socket Layer (SSL)
adalah protokol yang memudahkan mengenkripsi informasi
sensitif dan membantu memastikan integritas informasi tersebut
dipertukarkan. SSL dikembangkan oleh Netscape pada akhir
1990-an. Beberapa versi yaitu SSLv2 dan SSLv3. SSLv3
dikembangkan karena Netscape melihatnya bahwa SSLv2 tidak
lagi aman untuk digunakan. SSLv3 juga standar. Penciptaan TLS
versi Internet Engineering Task Force (IETF) (Nardi et.al, 2016).
Transfer Layer Security (TLS) adalah protokol enkripsi yang
menyediakan koneksi internet yang aman. TLS merupakan
evolusi dari SSL versi 3.0 dan mulai Dikenal tahun 1999.
Pengembangan TLS terbaru dilakukan pada tahun 2008 yaitu TLS
v1.2. TLS memiliki dua lapisan yaitu TLS Record Protocol dan TLS
Handshake Protocol. TLS Record Protocol memberikan
perlindungan koneksi melalui metode enkripsi seperti data
enkripsi standar (DES). Sementara Handshake Protocol
memungkinkan otentikasi antara klien dan server bernegosiasi
menggunakan kunci enkripsi sebelum pengiriman data (Nardi
et.al, 2016).
Record layer adalah lapisan yang melakukan format
terhadap beberapa layer lain seperti Alert, ChangeCipherSpec,
Handshake, dan Application messages sehingga dapat membentuk
sebuah header untuk pesan yang terkirim. Header ini berisi
protocol definition, protocol version, dan Length.
Handshake adalah proses negosiasi menentukan parameter
untuk membentuk komunikasi antara client dan server sebelum
komunikasi terjadi. Alur handshake bisa dilihat pada gambar 19
dibawah ini.

62
 Gambar 19. Alur Handshake

Pada Gambar 19 client akan membuat komunikasi awal

dengan mengirimkan ‘ClientHello’ lalu server akan menjawab
dengan ‘ServerHello’ selanjutnya server dan client akan
melakukan pertukaran Certificate dan ChangeCipherSpec. Setiap
diakhir komunikasi client atau server akan mengirimkan session
finished sebelum melakukan komunikasi menggunakan aplikasi
untuk melakukan pertukaran data.
File log adalah file yang berisikan aktivitas-aktivitas
didalam suatu system computer. Contoh file log pada FTP server

63
akan menyimpan aktivitas yang terjadi saat client akan terhubung
dengan server (Nardi et.al, 2016)
e. Metode Mencari celah keamanan Word Wide Web
Website x merupakan milik sebuah lembaga penyelenggara
pemilihan umum, situs Web digunakan sebagai media dalam
penyampaian informasi kepada masyarakat juga sebagai media
untuk pengelolaan dan penataan data pemilih wilayah domisili
terkait. Website x pernah menjadi korban serangan dari pihak
luar. serangan deface yang dialami Website x di tahun 2014
mengakibatkan Web tida bisa diakses, dari kejadian tersebut
dilakukanlah pengujian terhadap celah keamanan dengan
metode vulnerability identification dan penetration testing.
1) Pengujian Menggunakan Information System Security
Assessment Framework (ISSAF).
Meliputi tahap information gathering, network mapping,
vulnerability identification, penetration, gaining access and
privilege escalation, enumerating further, compromise
remote user/sites, maintaining access, dan tahap covering
tracks.
Tabel 2. Metode/ Tool yang digunakan di setiap tahapan

64
a) Hasil Pengujian Information Gathering Menggunakan
tools Whois
Pengujian di tahap ini adalah mengumpulkan informasi
umum mengenai Website target dengan menggunakan
tool Whois Domain, dengan memasukkan domain Website
target. Hasil dari pengujian dapat dilihat pada tabel 3.
Tabel 3. Hasil Pemindaian Whois Domain

Berdasarkan tabel 3, Tool Whois Menghasilkan informasi

IP dan domain Website target, tapi informasi admin dan
registrant gagal diperoleh. Pengujian selanjutnya
menggunakan Reverse IP Lookup Scanner untuk
mengetahui subdomain dari Website target. Hasilnya
dapat dilihat pada tabel 4.
Tabel 4. Hasil Pemindaian Reverse IP Lookup Scanner

65
 Berdasarkan tabel 4, hasil yang didapatkan adalah dua
subdomain yang terkait dengan Website target.
Selanjutkan dapat dilakukan pengujian terhadap domain
utama dan kedua subdomain tersebut.
b) Network Mapping (Nmap)
Pengujian pada tahap ini merupakan kegiatan
mengumpulkan informasi secara spesifik mengenai
jaringan Website target. Dilakukan port scanning pada
Website target menggunakan tool NMap. Hasilnya dapat
dilihat pada tabel 5.
Tabel 5. Hasil Pemindaian Nmap (Port Scanning)

Berdasarkan tabel 5, dari hasil pemindaian banyak port

TCP yang terbuka (Open). Hasil tersebut cukup
berbahaya karena yang open bisa menjadi celah untuk
dilakukan penyerangan oleh hacker. Pada port UDP tidak
ada yang open.
c) Vulnerability Identification
Pengujian ini dilakukan dengan memindai kerentanan
keamanan yang terdapat pada Website target.
Pemindaian menggunakan tool Vega Vulnerability
Scanner, Hasilnya dapat dilihat pada tabel 6.

66
 Tabel 6. Hasil Pengujian Vulnerability Identification

Berdasarkan tabel 6, terdapat lima kerentanan pada

Website dengan level high, dua kerentanan dengan level
medium, dan satu kerentanan dengan level low. Hal ini
perlu diperhatikan, karena celah dengan kerentanan
tinggi memiliki risiko diserang oleh hacker.
d) Penetration
Pengujian pada tahap ini dilakukan beberapa jenis
serangan yaitu SQL Injection dan Cross-Site Scripting
(XSS). Domain yang diuji yaitu domain utama dan dua
subdomain Website target. Hasil pengujian dapat dilihat
pada tabel 7.
Tabel 7. Hasil Pengujian Penetration

Berdasarkan tabel 7, Pada domain utama dan domain

ke2 terdapat celah XSS, sedangkan pada subdomain ke 1
ada celah SQl Injection. Celah SQL Injection ini tergolong
berbahaya, karena informasi mengenai database dapat
diperoleh oleh penyerang/ hacker.

67
e) Gaining Access and Privilege Escalation
Pengujian pada tahap ini melakukan akses kedalam
sistem Website target. yaitu meliputi akses kedalam user
admin Website dan akses kedalam Cpanel Website. Hasil
pengujian dapat dilihat pada tabel 8.
Tabel 8. Hasil Pengujian Gaining Access and Privilege
Escalation

Berdasarkan tabel 8, pengujian akses kedalam user

admin gagal dilakukan. Informasi mengenai username
dan password telah berhasil diperoleh, namun pencarian
halaman admin login pada Website target menggunakan
toolsVega, Owaspzap, dan Web Site Analysis gagal
diperoleh. Pengujian akses kedalam Cpanel juga gagal
dilakukan, hal ini karena informasi mengenai username
dan password Cpanel gagal didapatkan.
f) Enumerating Further
Pengujian pada tahap ini dilakukan dengan memperoleh
seluruh informasi pada Website target yang berkaitan
dengan password. Pengujian dilakukan dengan
pengambilan informasi password admin dan informasi
cookies pada Website target. Hasil pengujian dapat dilihat
pada tabel 9.

68
 Tabel 9. Hasil Pengujian Enumerating Further

Berdasarkan tabel 9, dengan serangan SQL Injection

tersebut password dapat diperoleh dan masih
terenkripsi, proses deskripsi gagal dilakukan sehingga
informasi password gagal didapatkan dan pengujian
dianggap gagal. Pada informasi cookies, pengujian
berhasil memperoleh informasi _ga, _gid, dan _gat_gtag
melalui serangan Cross-Site Scripting dengan
menggunakan script menampilkan alert document
cookies serta memperoleh informasi ci_session melalui
tools Vega Vulnerability Scanner.
g) Compromise Remote User/Sites
Pengujian pada tahap ini melakukan akses remote pada
Website target. Metode yang digunakan adalah
melakukan penanaman file shell dan pemanfaatan celah
Remote File Inclusion (RFI) yang terdapat pada Website
target. Hasil pengujian dapat dilihat pada tabel 10.

69
 Tabel 10. Pengujian Compromise Remote User/Sites

Berdasarkan tabel 10, Pada metode penanaman shell,

gagal dilakukan karena fitur file upload yang tidak
berfungsi dengan baik. Selain itu, celah RFI pada Website
tidak ditemukan sehingga pengujian ini gagal dilakukan.
h) Maintaining Access
Pengujian pada tahap ini dilakukan dengan penanaman
backdoor ke dalam server Website. Hal ini bertujuan
untuk memperoleh akses ke dalam Website. Hasil
pengujian dapat dilihat pada tabel 11.
Tabel 11. Hasil Pengujian Maintaining Access

Berdasarkan tabel 11, pengujian tahap ini gagal

dilakukan, Dikarenakan fitur file upload yang tidak
berfungsi dengan baik. Proses upload file berekstensi php
berhasil dilakukan, namun berdasarkan hasil
pengecekan database menggunakan SQL Injection, ketika
dilakukan upload file berekstensi php kedalam sistem
maka file tersebut akan berubah ekstensinya menjadi jpg.
Sehingga, pengujian tahap ini gagal dilakukan.
i) Covering Tracks
Ini merupakan tahap terakhir dari penetration testing.
Pengujian pada tahap ini dilakukan dengan menghapus
seluruh log file serangan yang telah dilakukan pada

70
 tahapan sebelumnya. Hasil pengujian dapat dilihat pada
tabel 12.
Tabel 12. Hasil Pengujian Covering Tracks

Berdasarkan tabel 12, dapat dilihat bahwa pengujian

tahap ini gagal dilakukan. Hal ini karena akses root tidak
diperoleh sehingga log serangan tidak dapat dihapus,
yang berarti pengujian ini gagal dilakukan.
Berdasarkan Metode Penetration Testing dengan
framework ISSAF diperoleh hasil bahwa terdapat celah keamanan
yaitu SQL Injection dan XSS pada Website Lembaga X. Celah
lainnya adalah port TCP yang terbuka dan bug pada sistem.
Rekomendasi dari hasil pengujian untuk meningkatkan
keamanan Website diantaranya:
1. Validasi level php yang digunakan pastikan tidak terdapat
query inject.
2. Enkripsi semua parameter POST.
3. Validasi penggunaan simbol (seperti “<>”, “/”) pada form input,
sehingga script XSS tidak dapat berjalan didalamnya.
4. Menutup seluruh port TCP yang terbuka pada sistem atau
mengubah port penting agar tidak berada pada port default.
f. Metode Keamanan Web Menggunakan WAF
Penerapan sistem keamanan pada Web perlu dilakukan
mengingat Web bisa diakses melalui jaringan internet. Dalam
penelitian ini akan diterapkan sistem keamanan berbasis Web
Aplication Firewall (WAF) menggunakan modsecurity.
Sebelum melakukan pengujian terhadap sistem keamanan
Web menggunakan metode web aplication firewall (WAF), desain
sistem dilakukan terlebih dahulu. Adapun beberapa desain
sistem yang dilakukan adalah sebagai berikut:

71
a. Infrastruktur Jaringan
Infrastruktur jaringan bisa disebut dengan topologi jaringan.
Desain topologi yang digunakan untuk pengujian adalah
sebagai berikut:

Gambar 20. Desain Topologi Yang Digunakan

Dari Gambar 20 diatas, terdapat sebuah Web server yang akan

dilindungi oleh web aplication firewall (WAF) dari serangan
client.
b. Desain Aplikasi Web
Aplikasi Web yang akan digunakan dalam penelitian ini hanya
sebuah aplikasi Web sederhana yang menggunakan bahasa
pemrograman PHP dengan basis data menggunakan MySQL.
Berikut instalasi yang harus dipersiapkan:
1. Install Apache
2. Instalasi PHP
3. Instalasi PHPMyAdmin
4. Instalasi MySQL (Setelah selesai instalasi Lakukan
konfigurasi untuk menambahkan database pada Web
server).

72
 Hasil dari desain aplikasi web yang sudah dibuat dapat
dilihat seperti gambar 21 berikut:

Gambar 21. Hasil Desain Aplikasi Web Sederhana

c. Implementasi WAF
Pertama tambahkan module modSecurity terlebih dahulu.
Dengan mengetikkan perintah “apt-get install libapache2-
modsecurity modsecurity-crs” sehingga server akan dapat
menerima file modSecurity dari internet. Ketikan perintah
“apachectl -M | grep --color security” dan “ls -l
/var/log/apache2/modsec_audit.log” untuk melihat hasil.

Gambar 22. Hasil Instalasi Module ModSecurity

d. Hasil Pengujian SQL Injection

Pengujian ini dilakukan dengan dua skenario pengujian yaitu
melakukan SQL injection saat WAF di aktifkan dan WAF di non-
aktifkan. Berikut hasil pengujian SQL injection saat WAF
diaktifkan sebagai berikut:

73
 Gambar 23. Login SQL Injection Berhasil DiBlok

Selanjutnya pengujian kedua dilakukan saat WAF di non-

aktifkan.

Gambar 24. Login SQL Injection Berhasil

e. Hasil Pengujian Cross Site Scripting (XSS)

Pengujian ini dilakukan dengan mengklik tombol hubungi
kami dan memasukkan kode unik script Cross Site Scripting
(XSS).

Gambar 25. Cross Site Scripting Berhasil di Blok

Dari hasil percobaan yang dilakukan, dapat disimpulkan

bahwa:
1. Firewall dapat melindungi Web server dari serangan SQL
Injection, Cross Site Scripting (XSS).

74
2. Firewall dengan module dan rule modSecurity dapat diterapkan
pada Web server dan berjalan sesuai dengan yang diharapkan.
3. Website yang sudah diterapkan pada web server dapat
dilindungi oleh WAF.

75
Bab 6. Keamanan Client WWW

6.1 Pengantar
Seiring kemajuan teknologi di dunia maya, jenis serangan
online meningkat, dan seiring dengan itu jumlah kejahatan pun
meningkat. Serangan berupa ancaman yang ditujukan kepada
pemilik dan pengembang situs web atau blog. Dimana motif dan
sifat penyerangannya berbeda. Jadi, cyber security sangat perlu
ditingkatkan dan khususnya internet perlu dipertajam. Praktik
umum di dunia maya adalah membuka alamat web ke alamat web
lain. Akibatnya, alamat web yang Anda kunjungi mungkin berisi
malware, yang biasanya berupa Trojan, worm, eksploitasi,
adware, spyware, dan virus lainnya (Situmorang, 2016).
Ancaman dari para hacker pada server kerap kali terjadi
dikarenakan server yang terkoneksi 24 jam sehingga
menciptakan kerentangan keamanan diberbagai server, client,
dan sistem operasinya. Masalah keamanan merupakan salah satu
yang paling penting dari sebuah sistem informasi. Namun para
pemilik dan pengelolah sitem informasi seringkali kurang
memperhatikannya.
World Wide Web (WWW) merupakan salah satu aplikasi
paling mematikan yang menyebabkan internet popular.
Keuntungan memungkinkan memberikan kemudahan dalam
mengakses informasi yang dihubungkan satu dengan yang
lainnya melalui konsep hyperlink. Oleh karena itu, keamanan
sistem informasi berbasis jaringan dan teknologi Internet
bergantung pada keamanan sistem web, dan arsitektur sistem
web terdiri dari dua aspek: server dan klien. Keduanya
terhubung oleh jaringan komputer (computer network). Selain

76
menampilkan data dalam format statis, sistem jaringan juga
dapat menampilkan data dalam bentuk format dinamis dengan
mengeksekusi program. Program ini dapat berjalan baik di server
(CGI, servlet, dll.) maupun di clien (applet, JavaScript). Sistem
server dan klien memiliki masalah yang berbeda. Server WWW
memungkinkan bagi klien untuk mengambil informasi dalam
bentuk file dan mengeksekusi perintah (execute server program)
dari lokasi lain.
Hal ini terlihat oleh pengunjung ke situs WWW yang dapat
dibajak dengan berbagai cara, termasuk tanpa sadar mengunduh
dan menjalankan program Java, Javascript, atau ActiveX
berbahaya. Program ini dapat mengirim informasi tentang Anda
ke server WWW atau menjalankan program tertentu di
komputer Anda, bayangkan isi hard drive Anda dapat dihapus.
1. Aspek-aspek keamanan komputer
Keamanan memiliki 8 aspek terdiri dari (Hasibuan, 2018)
diantaranya :
a. Authentication yaitu menetukan keaslian pesan berdasarkan
dari informasi seseorang yang diminta. Istilah lain informasi
yang masuk sesuai dengan orang yang diminta.
b. Integrity merupakan sebuah bukti otentik berdasarkani suatu
pesan yang dikirim memakai jaringan dan memberikan
kepastian bahwa informasi yang didapatkan tidak diubah oleh
orang lain yang tidak memiliki akses.
c. Authority merupakan suatu informasi yang sudah terdapat
dalam sistem jaringan dan tidak dimodifikasi oleh yang
memiliki akses.
d. Non-repudiation yang berhubungan dengan pengirim bahwa
pengirim tidak dapat menginkari dia yang mengirim pesan.
e. Confidentiality, merupakan suatu hal yang dilakukan untuk
menjaga informasi dari orang yang tidak memiliki akses.
Kerahasiaan ini berhubungan dengan informasi yang
didapatkan dari kepada pihak lainnya.

77
f. Privacy merupakan yang berkaitan dengan hal yang sifatnya
langsung (pribadi).
g. Availability, merupakan aspek availabilitas yang berkaitan
dengan menggunakan kecepatan informasi Ketika diinginkan.
Sistem informasi yang dijebol dapat menolak akses ke
informasi.
h. Access control, berkaitan dengan aturan hak akses ke
informasi, terkadang terjadi kasus kerahasiaan dan privasi.
Maka diaturlah pengaksesannya dengan menggunakan
penggabungan user id dan password atau cara lainnya.
Cara meningkatkan suatu keamanan dalam komputer yaitu
dengan melakukan pencegahan misalnya memakai password
agar dapat mencegah pengguna tidak memiliki akses pada suatu
data (confidentiality) dan mencegah suatu data tidak terjadi
manipulasi (integrity) dan memberikan authentication bagi yang
memiliki hak akses. (Hapsari et al., 2020).
Pada komputer masih ada suatu data yang rahasia dan
krusial yang sangat dijaga maka diharapkam suatu keamanan
komputer.hal ini dijelaskan akan perlunya keamanan komputer
sebagai berikut (Wirdasari, 2008) :
a. Information-based Society, informasi memiliki nilai yang
sangat krusial dan dalam prosesnya dituntut menaruh
informasi yang benar dan seksama untuk suatu organisasi.
b. Infrakstrukur jaringan computer, sepeti LAN dan Internet.
Diharuskan memberikan informasi yang efisien dan benar
dimana kemungkinan akan adanya lubang keamanan.
2. Kekurangan WWW
Diketahui bersama bahwa WWW tidak jarang dipakai
sebagai nama domain dalam website sebuah perusahaan.
Meskipun pengguna menerima akses dan informasi yang lebih
mudah, masih banyak masalah keamanan dalam jaringan WWW
yang bisa merugikan bisnis. Kekurangan misalnya: (Afrianto,
2016).

78
a. Informasi yang krusial dan pribadi seperti laporan karyawan,
data diri pegawai, database client, taktik perusahaan dengan
mudah diketahui oleh lain bahkan pesaing kita dapat dengan
mudah melakukan penyadapan melalui WWW. Diakibatkan
karena adanya kesalahan pada setup server.
b. Ketika anda melakukan transaksi melalui WWW misalnya
kemungkinan dilakukan penyadapan pada saat mengirim
angka kartu kredit, hal ini terjadi Ketika proses pengiriman
data sebelum sampai keserver website perusahaan anda.
c. Gangguan sering berupa serangan dimana informasi yang akan
tampil dalam server bisa diubah sehingga dapat
mempermalukan dan merugikan perusahaan yang
bersangkutan.
d. Melalui prosedur tunneling, keamanan server web di belakang
firewall bisa dieksploitasi dan dilemahkan, bahkan dapat
dinonaktifkan fungsinya.
e. Denial of service attack yaitu penyerangan terhadap server
dengan melakukan request secara berulang-ulang
menyebabkan tidak dapat memberi layanan saat dibutuhkan.
3. Factor-faktor penyebab terjadinya suatu kejahatan dalam
personal komputer (cybercrime)
Ada beberapa penyebab terjadinya kejahatan dalam
personal komputer yang semakin berkembang meliputi
(Hasibuan, 2018) :
a. Untuk mengakses masuk ke internet tidak ada batasnya.
b. Salah satu penyebab primer kejahatan dalam komputer adalah
kecerobohan pada pemakai.
c. Kejahatan pada komputer tidak sulit dilakukan tetapi sulit
dicari, sebagai akibatnya memaksa para pelaku kejahatan
untuk terus menjalankan kejahatan tersebut.
d. Pelaku dalam kejahatan komputer umumnya berdasarkan
orang yang cerdas dan mengerti terhadap teknologi computer.
e. Keamanan dalam jaringan yang dipasang tidak kuat.

79
f. Tidak adanya aturan dan undang-undang tetang kejahatan
dalam komputer.
4. Arsitektur Sistem jaringan web terdiri atas web dan client
keduanya terhubung ke jaringan computer.
Sistem server dan client memiliki masalah yang berbeda,
sehingga akan dibahas terpisah, Adapun asumsi yang salah
tentang sistem jaringan web dari sudut pandang pengguna :
a. Terkadang Ketika kita mengistal perangkat lunak gratis yang
sudah tersedia diinternet, kita tidak menyadarinya bahwa
perangkat lunak mungkin yang kita install tersebut telah
dimodifikasi atau disisipi oleh virus trojan. Sehingga kita dapat
asumsikan bahwa pengguna Kembali, mengaktifkan IDS,
menjalankan firewall, dan mempeebaharui antivirus mereka.
Namun perlu diketahui bahwa yang dilakukan hanya akan
memperlambat proses penyerangan bukan menghentikan
serangan.
b. Asumsi bahwa perangkat lunak yang gratis tidak memiliki
script lain. Spyware telah ditemukan pada program yang
gratis, dimana spyware bekerja untuk memata- matai aktivitas
kita saat menggunakan internet. informasi yang dibutuhkan
telah terpenuhi maka akan dilaporkan keserver.
c. Saat kita menginstal sistem operasi yang terhubung ke
internet untuk memberikan layanan ke server. Terkadang
nama domain yang kita gunakan tidaklah aman dari gangguan,
seperti penyalahgunaan domain oleh pihak lain yang akan
membeli domain yang kita gunakan.
d. Kita sering merasa aman saat kita melakukan browsing
padahal ternyata banyak yang mencatat kegiatan yang kita
lakukan seperti IP address, intensitas surfing, pola. Semua
akan disimpan oleh server, jika informasi tersebut hanya
digunakan untuk tolak ukur maka tidak akan terjadi masalah
namu jika informasi itu digunakan untuk diberikan kepada
pihak lain untuk menunjuk produknya maka kami sering kali

80
 mendapatkan email yang berisikan sampah yang tidak perlu
bagi anda.
5. Aplikasi web Client side programing
Beberapa informasi mengenai aplikasi web client side
programming diataranya sebagai berikut ini :
a. Dalam hal teknologi web, client dapat diimplementasikan
dengan mengirimkan kode extensi HTML, program tersendiri
dan HTML ke client.
b. Clientlah yang akan bertanggung jawab untuk mengakses
proses terhadap setiap kode yang diterima.
c. Kerugian dari pendekatan seperti ini adalah adanya
kemungkinan browser pada client tidak mendukung fitur kode
perluasan HTML.
d. Kelebihan teknologi pada sisi client, adalah memungkinkan
tampilan yang dinamis.
e. Contoh teknologi dari segi client, yaitu control ActiveX, Java
Applet, dan skrip sisi Client.
6. Perlindungan pelanggaran client WWW (Afrianto, 2016).
Beberapa perlindungan pelanggaran clienr WWW
diantaranya sebagai berikut ini :
a. Keamanan client WWW seperti sebuah Penyisipan Trojan
Horse dimana cara penyerangannya terhadap client lainnya
seperti menyisipkan virus atau trojan horse. Dimana cara kerja
dari virus ini yaitu dapat menghapus isi harddisk anda. Seperti
contoh yang telah terjadi dengan adanya web yang
menyisipkan virus trojan horse Back Orifice (BO) atau Netbus
untuk memungkinkan kendali dari jarak jauh computer anda.
Orang yang dapat mengontrolnya dari jarak jauh dapat
menyadap apa saja aktifitas anda pada komputer anda seperti
apa yang anda ketik, melakukan reboot, melihat isi direktori
bahkan dapat menformat harddisk. Trojan juga terkadang
terlihat seperti program yang bagus, akan tetapi berisikan
kode-kode yang berbahaya. Jika kode itu diproses maka akan

81
 mengakibatkan sistem computer akan rusak dan pengirim
trojan tersebut akan melancarkan tindakannya sesuai
keinginannya.
b. Keamanan client WWW adalah Pelanggaran privacy saat anda
mengunjungi situs web, cookie dapat dikirim ke browser anda untuk
menandai fungsinya. saat kita berkunjung ke server itu kembali,
maka server dapat mengetahui bahwa kita kembali dan server dapat
memberikan setup sesuai dengan reverensi mereka. . Ini merupakan
servis yang bagus. tetapi data-data yang sama juga dapat digunakan
untuk melacak kemana saja kita pergi. Anda juga dapat mengirimkan
script (misal Javascript) yang menanyakan terhadap server kita
(melalui browser) dan mengirimkan informasi ini ke server. Bahkan
ada situs web yang mengirimkannya. Bayangkan jika kita memiliki
data sensitive di dalam komputer kita yang bersifat rahasia dan
informasi ini dikirimkan ke server milik orang lain.
7. Langkah-langkah pengamanan
Ada banyak hal yang dapat Anda lakukan untuk melindungi
situs web Anda dari ancaman dan serangan, baik teknis maupun
non teknis seperti :
a. Server yang baik
Sistem yang paling tinggi serangan terhadap virus adalah
sistem windows sehingga sebaiknya developer web memilih
server web yang lebih baik dan andal dengan dukungan mesin
yang tepat.
b. Kolaborasi web master professional
Sering kali yang mengerjakan situs web pemerintahan
bukanlah orang yang professional seperti dikerjakan oleh
developer yang ditunjuk dan ditugaskan sehingga Sehingga
menimbulkan banyaknya trouble pada situs tersebut, untuk
mengurangi resiko pada situs sebaiknya dibantu oleh web
master professional yang mengerti tentang pengembangan
situs yang baik.

82
c. Antivirus yang diupdate secara berkala
Dapat dipilih antivirus keluaran McAfee,Norton, panda
antivirus, freeware AVG antivirus dan antivirus lainnya.
Terkadang client dibingungkan dengan berbagai pilihan
antivirus sehingga timbullah pertanyaan antivirus mana yang
terbaik. yang perlu diketahui bahwa tiap antivirus memiliki
cara dan pendeksian masing-masing. Terutama dalam
mempelajari pola dari varian yang baru muncul, diketahui
banyaknya jenis virus yang dapat mengelabui antivirus dan
mempunyai kemampuan untuk menyembunyikan dirinya.
Sehingga updatelah antivirus anda secara berkala sehingga
dapat mengetahui pola virus yang baru.
d. Update
Selalu melakukan update terbaru terhadap segala hal yang
berada deserver, seperti server database, server email dan
lainnya.
e. IDS (Instrusion Detection Sistems), dimana merupakan suatu
software yang mencatat penyerangan yang terjadi pada
computer anda. Hal ini dilakukan oleh IDS seperti salus, Snort,
atau Balack ice Defender. IDS dapat berfungsi sebagai sensor,
derector dan communication service.
f. Mengetahui cara kerja penyerang (Attacker)
Perlu memahami para attacker bekerja agar administrator
situs web dapat mengambil Tindakan pencegahan untuk
menghadapi serangan sebanyak mungkin dan perlu
memahami cara penyerangannya.
g. Pembelajaran (edukasi)
Sangat perlu dilakukan dan diperhatikan adalah edukasi
terhadap seluruh pihak yang berkepentingan dalam
menggunakan situs web.pemakai sangat berperang penting
dalam masalah keamanan. Sebagus apapun sistem
keamanannya jika pemakainya melalaikannya maka tidak
akan mempunyai arti apapun. Dilihat dari beberapa kasus

83
 penyerangan yang telah terjadi, rata-rata diakibatkan oleh
kelalaian dari pihak pemakai maupun pengelolah sendiri yang
kurang peduli terhadap masalah kemanannnya. Untuk itu
sangat perlu menanamkan pemahaman tentang maslah
keamanan, dimulai dari hal-hal kecil, seperti penggunaan
password yang tidak mudah untuk ditebak dan keamanan
lainnya.
8. Pembatasan akses
Hal yang perlu dilakukan saat melakukan pembatasan akses
seperti :
a. Membatasi domain atau nomor IP yang dapat mengakses
b. Menggunakan pasangan userid dan password
c. Mengenkripsi data sehingga hanya dapat dibuka (deskripsi)
oleh orang yang memiliki kunci pembuka.
9. Keamanan dalam sistem WWW
Kita sering tidak melihat kerentangan lubang keamanan
pada sistem WWW yang dapat diekspoitasi dalam berbagai
bentuk , seperti :
a. Terkadang informasi yang penting dikomsumsi oleh kalangan
tertentu seperti laporan penting kantor, strategi perusahaan
anda atau database perusahaan. Ternyata berhasil dibobol
oleh pesaing anda.
b. Server anda sedang diserang misalnya memberikan
permintaan secara berkali-kali sehingga layanan yang kita
butuhkan tidak dapat diberikan pada saat anda membutuhkan.
c. Informasi yang dikumpulkan seperti memasukkan nomor dari
kartu kredit anda untuk membeli sesuatu di WWW atau dapat
mengikuti kemanapun anda melakukan surfing.
d. Informasi yang biasanya ditampilkan oleh server dapat
mempermalukan perusahaan dengan istilah deface.
e. Untuk web server posisinya berada dibelakang firewall,
kelemahan pada server web sehubungan dengan eksploitasi

84
 dapat melemahkan atau bahkan menghilangkan fungsi utama
firewall.
10. Fitur Aplikasi pada web
Beberapa informasi mengenai fitur aplikasi pada web
diantaranya sebagai berikut ini :
a. Kepadatan pada jaringan dimana suatu website pada dasarnya
berada dalam jaringan komputer dan harus dapat melayani
pelanggan sesuai dengan kebutuhan pelanggang yang
berbeda-beda.
b. Kami tidak dapat memprediksi Jumlah pengguna seperti
jumlah pengguna yang bervariasi setiap harinya, karena
perbedaan antara pengguna dihari libur akan berbeda pada
saat dihari kerja.
c. Pada waktu yang sama, pengguna terkadang menggunakan
aplikasi secara bersamaan.
d. Kinerja, suatu aktivitas yang membuat pengguna aplikasi web
menunggu lama dan akan pergi.
e. Ketersediaan, akses 24 jam
f. Kualitas konten dari web mempengaruhi kualitas pada
webnya.
g. Keamanannya, terhubung ke internet untuk memungkinkan
pihak lain menyerang aplikasi.
h. Estetika, salah satu dari daya Tarik dari website, yang cantik
dan memukau.
11. Klasifikasi keamanan
Berdasarkan kerawanan keamanan (Stiawan, 2005), maka
keamanan dapat dibedakan menjadi empat bidang, yaitu :
a. Keamanan yang sifatnya fisik (physical security) : seperti
media yang digunakan oleh peretas, dimana mereka sering
pergi ketempat sampah untuk mencari file yang dapat mereka
gunakan untuk memberikan info tentang keamanan. dimana
seorang hacker dapat saja menemukan informasi tentang apa
saja.

85
b. Keamanan terdapat pada teknologi informasi dan komunikasi,
keamanan tidak hanya pada sistem informasinya saja. Namun
berisi perangkat lunak didalam program.
c. Keselamatan tentang orang lain yang melibatkan identifikasi
dan pembuatan profil resiko. Terkadang terdapat kelemahan
pada sistem informasinya yang masih bergantung pada
manusia.
d. Keamanan dalam forensic digunakan untuk mengelolah sistem
keamanan termasuk investigasi dan serangan terhadap
insiden tertentu.
12. Berbagai serangan terhadap keamanan informasi
Penyerangan pada keamanan terdiri dari beberapa macam.
Menurut (Chazar, 2015), macam-macam penyerangan seperti :
a. Interruption, berupa suatu perangkat sistem yang dapat
merusak atau tidak. Jenis serangan ini dapat disampaikan oleh
availability pada sistem.
b. Interception, seseorang yang tidak memiliki hak akses ke
dalam asset dan informasi.
c. Modification, seseorang yang tidak memiliki hak akses, akan
tetapi dapat membuat perubahan pada asset.
d. Fabrication, seseorang yang tidak memiliki hak akses untuk
menambahkan item penyisipan terhadap objek palsu kedalam
sistem.
13. Terminologi keamanan komputer
Table 13. Terminologi keamanan komputer (Sari et al., 2020)
Enemy Merupakan ancaman pada sistem yang
akan menyerang
Serangan Ancaman yang cerdas terdapat pada
keamanan sistem untuk menghindari
pelanggaran kebijakan keamananan
pada suatu sistem
Tindakan Sebuah Teknik mengurangi ancaman,
balasan serangan dengan mencegahdan

86
 meminimalkan kerugian yang dapat
ditimbulkan.
Risiko Harapan terhadap kerugian sebagai
kemungkinan merupakan suatu
ancaman tertentu diamana akan
mengeksploitasi kemungkinan bahaya
tertentu
Kebijakan Merupakan aturan dan praktik yang
terhadap mengatur bagaimana sebuah sistem
keamanan memberikan layanan keamanan untuk
melindungi sumber daya yang lagi
krisis.
Ancaman Kemungkin adanya suatu pelanggaran
terhadap keamanan yang akan muncul
dalam bentuk kemampuan, Tindakan
ataupun peristiwa.
Kerentanan Kelemahan dalam pada proses desain,
implementasi dan manajemen sistem
dapat dimanfaatkan untuk melanggar
kebijakan pada keamanan sistem.

14. Hacker dan Cracker

Menyebut hacker dan cracker maka kita sedang
mendiskusikan tentang keamanan pada data. Dimana keduanya
dituntut sebagai individu yang akan bertanggung jawab atas
kejahatan yang terjadi pada computer yang semakin meningkat
kejahatannya. Sudah diketahui secara umum bahwa peretas
adalah istilah untuk mereka yang memiliki cara bekerja dengan
keterampilan dan keahliannya pada komputer untuk melihat.
serta dapat memperbaiki kerentangan dalam sistem keamanan
jika menyangkut perangkat lunak.
Aktivitas anda dipublikasi untuk mengidentifikasi
kelemahan keamanan untuk perbaikan dimasa mendatang. Pada

87
saat yang sama, peretas terkadang mengeksploitasi kelemahan
sistem untuk melakukan kejahatan. Batasan antara hacker dan
cracker sedikit berbeda yang ditentukan oleh integritas,
moralitas dan etika dari pelaku sendiri (Simarmata, 2006).
Peretas memiliki kemampuan untuk membantu pada
sistem informasi dan pemrograman menjalankan bisnis yang
bersifat positif. Cracker memiliki keahlian dalam bidang
pemrograman dan sistem operasi tetapi cracker aksi meretas
untuk tujuan kriminal, cara kerjanya mencari celah keamanan
pada jaringan lalu merusak dan mencuri datanya dimana cracker
meretas data dan menyalahgunakan data dan perangkat yang
sulit dilacak.

88
Bab 7. Technical Vulnerabilities

7.1 Definisi
Manajemen kerentanan (vulnerability management) adalah
pengendalian ancaman serangan yang penting untuk mesin
komputasi, perangkat jaringan, dan aplikasi. Organisasi yang
peduli dengan penyediaan keamanan informasi memiliki
prosedur manajemen kerentanan yang terdiri dari : pengecekan
standar sistem yang terhubung ke jaringan, analisis risiko
munculnya kerentanan, dan proses untuk mengurangi risiko.
Organisasi yang menerapkan standar ISO/IEC 27002
melaksanakan manajemen kerentanan teknis yang didasarkan
pada prinsip pencapaian risiko sampai level yang dapat diterima.
Penanganan kerentanan diwujudkan dalam bentuk prosedur
yang efektif dan sistematis.
Kerentanan teknis terdapat dalam paket teknologi yang
digunakan. Perangkat lunak mungkin terdapat cacat, yang
mungkin dapat menyebabkan kebocoran informasi atau
penggunaan tidak pantas.

7.2 SQL Injection Attack

SQL Injection adalah sebuah teknik hacking yang bertujuan
untuk menyusup ke dalam sistem sebuah website untuk
mengetahui isi database, ataupun informasi-informasi yang
terdapat di situs tersebut (Angela Merici Elu, 2013). Serangan ini
terjadi saat pengembang menggabungkan string hard-coded
dengan masukan yang diberikan pengguna untuk membuat kueri
dinamis ke basis data yang mendasarinya. Jika input pengguna

89
tidak divalidasi dengan benar, penyerang mungkin dapat
mengubah perintah SQL yang dibuat pengembang dengan
memasukkan kata kunci atau operator SQL baru melalui string
input yang dibuat khusus, sehingg penyerang bisa mendapatkan
akses ke basis data yang mendasarinya. Pada gambar 26
digambarkan alur serangan pada arsitektur aplikasi berbasis
web.

Gambar 26. Contoh interaksi pengguna pada aplikasi web

Berikut ini contoh contoh baris yang memiliki kelemahan

SQLI :
String username = getParameter("username");
String passwd = getParameter("passwd");
Statement stmt = connection
String query = "SELECT acct FROM users WHERE username=’";
query += username + "’ AND passwd=" + passwd;
ResultSet result = stmt
if (result ! = null)
displayAccount(result); //Tampilkan akun
else

90
 sendAuthFailed(); // Gagal otentikasi

Kode 1: Kutipan baris kode servlet Java

Untuk servlet ini, jika pengguna mengirimkan username
dan password sebagai "akun01" dan "Password!123", aplikasi
secara dinamis membuat kueri:

SELECT acct FROM users WHERE username=’akun01’ AND

passwd=Password!123

Jika username dan passwd cocok dengan entri yang sesuai

di database, informasi akun akun01 akan disajikan dan kemudian
ditampilkan oleh fungsi displayAccount(). Jika tidak ada
kecocokan dalam database, fungsi sendAuthFailed()
menampilkan pesan kesalahan yang sesuai. Aplikasi yang
menggunakan servlet ini rentan terhadap SQLIA. Misalnya, jika
penyerang memasukkan “admin’ -- ” sebagai nama pengguna dan
nilai apa pun sebagai pin (misalnya, “0”), kueri yang dihasilkan
adalah:

SELECT acct FROM users WHERE username=’akun01’ -- ’ AND

passwd=0

Dalam SQL, "--" adalah operator komentar, dan semuanya

setelah itu diabaikan. Oleh karena itu, saat melakukan kueri ini,
database hanya mencari entri di mana login sama dengan
akun01 dan mengembalikan record database tersebut. Setelah
login "berhasil", fungsi displayAccount() menyampaikan
informasi akun admin kepada penyerang.

7.3 Jenis Serangan

91
 Ada berbagai langkah yang kompleks dan canggih yang
tersedia untuk penyerang, berikut beberapa di antaranya (admin,
2022):
1. Illegal/Logical Incorrect Query
Serang SQL injection yang pertama ini memiliki tujuan agar
bisa mendapatkan query atau coding yang memuat informasi
dari CGI dengan mencari pesan error pada CGI tersebut. Di
mana contoh serangannya adalah:

SELECT * FROM user WHERE id=‘1111’ AND password=‘1234’

AND CONVERT(char, no)-- ’;

2. Union Query
Yang kedua dari serangan SQL injection menggunakan ssitem
union karena akan menggabungkan dua atau lebih perintah
query. Contohnya adalah sebagai berikut:

SELECT * FROM user WHERE id=‘111’ UNION SELECT * FROM

member WHERE id=‘admin’--’ AND password=‘1234’;

3. Piggy-backed Query
Kemudian, ada serangan SQL injection yang berjenis piggy-
backed query di mana akan menambahkan query berbahaya
pada query normal. Keadaan ini sangat mungkin terjadi, sebab
banyak query yang bisa diproses dengan mudah, karena cukup
menambahkan karakter titik koma ; di akhir perintah. Misalnya
dalam bentuk serangan ini adalah:

SELECT * FROM user WHERE id=‘admin’ AND

password=‘1234’; DROP TABLE user; --’;

7.4 Mitigasi

92
 Beberapa teknik mitigasi terhadap SQLIA dengan beberapa
strategi:
1. Least Privilege for Web-Application Access
Dikenal sebagai prinsip keistimewaan terkecil untuk akses
aplikasi web, karena hak akses yang tidak perlu akan
menciptakan celah keamanan yang besar untuk dieksploitasi
oleh penyerang. Misalnya, memberikan hak istimewa admin
kepada pengguna aplikasi mungkin memberikan risiko rentan
terhadap serangan injeksi SQL. Sebagian besar pengguna
berpikir memiliki hak istimewa admin akan memungkinkan
kemudahan pengoperasian dengan memberikan izin akses;
namun, di sebagian besar penggunaan umum aplikasi,
seseorang tidak memerlukan hak admin untuk sebagian besar
operasi, sehingga pertahanan terhadap serangan injeksi SQL
dapat lebih dikendalikan.
2. Prepared Statements with Parameterized Queries
Konsep prepared statement pada dasarnya adalah kueri SQL
yang telah dikompilasi sebelumnya atau dikompilasi baru saja
sebelum menggunakannya, yang bertindak seperti template
kueri SQL yang memiliki wadah untuk menerima parameter
dari pengguna. Dengan prepared statement, kueri SQL statis
dapat dibuat, dan pengetikan data input pengguna dapat
diperiksa sebelum meneruskannya ke dalam kueri SQL.
3. Parameterized Stored Procedures
Stored procedure dengan pernyataan SQL statis sangat mirip
dengan prepared statement, dengan perbedaan dalam stored
procedure dengan pernyataan SQL statis menjadi statement
atau kueri SQL yang dihasilkan dan disimpan dalam database
back-end. Teknik ini memastikan bahwa terbuat kueri SQL
statis dan menggunakan parameter seperti prepared
statement dan menghindari penggunaan prosedur tersimpan
dengan menghasilkan kueri SQL dinamis. Jika prosedur
tersimpan dan parameterisasi berbasis SQL statis digunakan,

93
 maka ada keamanan yang lebih baik terhadap serangan injeksi
SQL.
4. Query Whitelisting
Pengtelolaan kueri daftar putih (query whitelisting) bertujuan
mem-validasi bahwa data kontrol pengguna mengikuti aturan
akses data yang dapat diterima.
5. Escaping All User-Supplied Input
Prose membersihkan semua input yang dikirimkan pengguna
sebelum memasukkannya ke dalam kueri bersifat berbeda
untuk tiap platform basis data. Membersihkan input pengguna
harus digunakan sebagai opsi wajib pada akhir, ketika tidak
ada teknik yang disebutkan di atas yang layak. Jika tidak, teknik
ini tidak dapat menjamin untuk mencegah semua serangan
injeksi SQL.
6. Machine Learning Approach
Deteksi terhadap SQL Injection oleh Alghawazi (Alghawazi et
al., 2022) dapat dilakukan dengan pendekatan pembelajaran
mesin (Machine Learning).

7.5 Cross-site Scripting (XSS) Attack

Cross-site Scripting (XSS), salah satu serangan keamanan
paling umum saat ini, dimana aplikasi web harus membersihakan
data yang tidak terpecaya menggunakan fungsi pengkodean
keluaran sebelum menampilkannya di halaman web (Shaimaa
Khalifa Mahmoud et.al, 2017). Saat korban melihat halaman situs
yang rentan, konten jahat tampaknya berasal dari situs itu sendiri
dan dipercaya. Akibatnya, penyerang dapat mengakses dan
mencuri cookie, session identifier, dan informasi sensitif lainnya
yang dapat diakses oleh situs web.

1. Jenis Serangan

94
 Berdasarkan Noxes (Suroto et.al, 2021), terdapat 3 jenis XSS
Attack yaitu : persistent XSS, non-persistent XSS, and Document
Object Model (DOM) XSS. Penjelasan mengenai jenis yaitu ;
a. Persistent XSS Attack
Penyerang mengelola eksekusi skrip jahat untuk mencuri sesi
cookie korban dengan tujuan personifikasi. Dengan cookie
yang dicuri, penyerang dapat melakukan tindakan penggunaan
hak korban tanpa menggunakan jenis kata sandi apa pun.
Penyerang meyakinkan pengguna untuk mengklik di suatu
tempat di situs web untuk menjalankan kode JavaScript,
sehingga semua lalu lintas data berlangsung dari korban ke
penyerang.
b. Non-persistent XSS Attack
Pada jenis serangan ini, kode berbahaya disuntikkan langsung
ke halaman web atau situs yang rentan secara langsung, skrip
yang dikirim oleh penyerang disimpan secara permanen di
server, kemudian ditampilkan kepada pengguna yang
mengunjungi situs web ini. Konsekuensinya bisa berupa
privilege escalation yang diperoleh melalui eksekusi kode-kode
ini.
c. Document Object Model (DOM) XSS
Serangan ini dikenal sebagai Tipe 0 atau XSS berdasarkan
DOM, kode jahat disuntikkan melalui URL, tetapi tidak dimuat
ke kode sumbernya sebagai bagian dari situs web. Deteksinya
lebih sulit karena muatan berbahaya (payload) tidak sampai ke
server, sehingga dianggap sebagai XSS lokal saja karena
kerusakan disebabkan oleh skrip berasal dari sisi klien.
Pengguna membuka halaman web yang terinfeksi dan kode
jahat akan mengeksploitasi kerentanan untuk memasang
dirinya sendiri di file browser web, berjalan tanpa verifikasi
sebelumnya.

2. Mitigasi

95
 Mitigasi terhadap kerentanan XSS ini dapat dilakukan
dengan beberapa metode yaitu :
a. Data Validation
PHP menyediakan ekspresi reguler untuk manipulasi pola
(Cross Site Scripting (XSS) | OWASP Foundation, n.d.).
Manipulasi pola pada data masukan merupakan teknik validasi
data yang penting untuk mencegah serangan XSS. Berikut ini
contoh skrip untuk memvalidasi data masukan berupa
informasi nomor telepon.

//validasi nomor telepon untuk wilayah Indonesia

if(preg_match(‘/ˆ((62-)?d{3}-)d{3}-d{4}$/’,$phone))
{echo $phone . “is valid format.”; }
else
{ echo “Invalid Input Data”;}

b. Data Sanitization
Sanitasi data adalah proses memastikan data input bersih
dengan menghapus pola ilegal dari data input dan
menormalkannya ke format yang benar. Fungsi PHP berupa
strip_tags() dan filter_var(), berguna untuk menghapus pola
ilegal, seperti tag HTML, JavaScript, dan PHP.

// Sanitizing illegal tags from the input of comments

$comment = strip_tags($_POST[“comment”]);

c. Output Escaping
Data keluaran juga harus dibesihkan sebelum disajikan kepada
pengguna untuk melindungi integritas data. PHP memiliki dua
fungsi: htmlspecialchars() dan htmlentities(), yang
mencegah kode disuntikkan dari rendering sebagai HTML dan
menampilkannya sebagai teks biasa ke web browser, dengan

96
 cara karakter HTML dikodekan ke entitas HTML. Fungsi-fungsi
ini membuat karakter HTML seperti “<” dan “>” menjadi
entitas HTML seperti &lt; dan &gt;. Cara ini menghentikan
peretas untuk memanipulasi kode dalam bentuk serangan XSS

// melakukan pembersihan konten data dari file

$comments = file_get_contents(“comments.txt”);
echo htmlspecialchars($comments)
d. Content Security Policy
Elemen Content Security Policy (CSP) adalah elemen bagian
header pada respons protokol HTTP yang digunakan browser
modern untuk mengelola keamanan halaman web terkhusus
terhadap serangan XSS. Metode membuat header CSP adalah
dengan menerapkan langsung di Header HTTP.

header(“content-security-policy: script-src ’self’;

img-src https://images.website.com”);

Kode ini memungkinkan skrip dimuat hanya dari asal yang

sama dengan laman itu sendiri.

script-src ’self’

Kode ini memungkinkan gambar dimuat hanya dari domain

tertentu.

img-src https://images.website.com

e. Path/Directory Traversal Attack

97
 Jika berinteraksi dengan sistem Linux, terdapat penanda
khusus; penanda ".." merujuk ke direktori induk terhadap
direktori saat ini, dan penanda "." direktori merujuk ke
direktori saat ini.
3. Jenis Serangan
Penyerang menggunakan penanda direktori khusus ini
untuk melintasi hierarki file untuk mencapai direktori tertentu.
Misalnya, jika sebuah program seharusnya menggunakan string
jalur yang disediakan pengguna untuk mengambil file dari dalam
folder rumah Alice, tetapi pengguna malah mengirimkan string
jalur "../../www/html/", maka akan berpotensi mengakses file
terbatas pada cabang direktori lain dari sistem file. Inilah yang
umumnya dikenal sebagai directory traversal atau path traversal
attack atau kadang dikenal dengan local file inclusion attack(LFI).
Sebagai contoh, kode berikut memiliki kerentanan LFI.

//Get the filename from a GET input

$file = $_GET[’file’];
// Unsafely include the file
include(’directory/’ . $file);

Skrip di atas memungkinkan permintaan HTTP berikut

untuk menipu aplikasi agar menjalankan shell web yang dikelola
peretas untuk mengunggahnya ke server web.

http://application.com/?file=../../uploads/malicious.php

Dalam kasus di bawa, peretas akan mengambil konten file

/etc/passwd yang menyimpan daftar pengguna di server.
Karakter "../" berdiri untuk traversal folder. Jumlah urutan "../"
bergantung pada konfigurasi dan lokasi server akhir pada PC

98
korban. Peretas bisa saja dapat memanipulasi file log seperti
access.log atau error.log, dan data rahasia lainnya.

http://application.com/?file=../../../../etc/passwd

4. Mitigasi
Beberapa mitigasi yang dapat dilakukan, diantaranya :
a. Whitelisting
Pendekatan whitelisting bisa menjadi terlalu ketat jika tidak di-
kanonikalisasi dan memeriksa string jalur lain yang merujuk
ke file. Data dalam aturan whitelisting perlu diperbarui secara
dinamis. Jika direktori yang masuk daftar putih berisi symbolic
link yang menunjuk ke direktori atau file yang tidak masuk
daftar, penyerang dapat menyalahgunakan symbolic link ini
untuk melintasi aturan sistem file.
b. Traversal Characters Removal
Pendekatan ini bertujuan untuk mencegah serangan traversal
direktori dengan menghapus substring seperti "../" dari string
jalur. Masalah pada metode ini adalah sulit untuk diuji dan
diverifikasi, karena tidak dapat memastikan semua string jalur
jahat yang mungkin untuk diuji.
c. Path Strings Canonicalization
Fungsi pada bahasa pemrograman PHP yang
mengkanonikalisasi string jalur seperti coreutils(), realpath()
akan memeriksa string jalur yang disediakan pengguna
menjadi string jalur absolut yang unik dengan memperluas
symbolic link dan memvalidasi referensi direktori
seperti ”/./” , ”/../”, dan karakter ”/” .
d. Command Injection Attack
Pada serangan ini, aplikasi menerima dan memproses perintah
sistem atau argumen perintah sistem dari pengguna, tanpa
validasi dan pemfilteran input yang tepat. Tujuan dari
serangan ini adalah penyisipan perintah sistem operasi

99
 melalui input data ke aplikasi, yang nanti mengeksekusi
perintah yang disuntikkan.
5. Jenis Serangan
Perintah sistem dapat dijalankan dengan menggunakan
fungsi pada pemrograman web seperti exec(), eval(), shell_exec(),
dan system(). Injeksi perintah dapat dimanfaatkan dalam aplikasi
tanpa membersihkan input. Operator injeksi digunakan untuk
memisahkan perintah dan menandai dimulainya perintah baru.
Operator injeksi dengan “&” untuk menjalankan perintah
pertama dan kemudian perintah kedua. Operator injeksi dengan
“&&” digunakan untuk menjalankan perintah setelah “&&” hanya
jika perintah sebelumnya berhasil. Operator injeksi yang dengan
“||” digunakan untuk menjalankan perintah pertama kemudian
menjalankan perintah kedua hanya jika perintah pertama tidak
berhasil diselesaikan, terkhusus pada Windows (Aung & Oo,
2016).
Script PHP berikut memungkinkan pengguna untuk
membuat daftar konten direktori di server web.

//list.php
<?php system(’ls ’ . $_GET[’path’]); ?>

Baris tersebut rentan terhadap serangan command injection,

karena input apa pun diizinkan, jika seorang peretas masuk
Dimisalkan terdapat permintaan string input untuk path berikut.

http://127.0.0.1/list.php?path=; rm -fr /

Kemudian server web akan menjalankan perintah sistem dan

mencoba menghapus semua file dari sistem root server.

100
ls; rm -fr /

6. Mitigasi
Berikut mitigasi yang dapat dilakukan untuk pengendalian
kerentatan ini :
a. Blacklisting
Dalam kasus command injection, daftar hitam (blacklisting)
dapat menghapus input pengguna yang berisikan semua
karakter berbahaya, seperti titik koma “;”, pipa “|”, ampersand
“&”, dll. Keterbatasannya yaitu bahwa penyerang dapat
menemukan variasi dari vektor serangan command injection
yang tidak termasuk dalam daftar hitam.
b. Whitelisting
Teknik kebalikan dari daftar hitam adalah daftar putih
(whitelisting).
c. Input Escaping
Pada pemrograman PHP, sebagai contoh, memiliki dua fungsi
bernama escapeshellarg() dan escapeshellcmd() untuk tujuan
ini. Fungsi escapseshellarg() digunakan saat ingin keluar dari
satu (1) command string, dengan cara menambahkan tanda
kutip tunggal di sekitar string dan mengutip/menghapus
tanda kutip tunggal yang ada. Fungsi escapeshellcmd()
digunakan untuk keluar dari seluruh command string , yaitu
perintah itu sendiri dan argumennya.
d. Machine Learning Approach
Selain itu terdapat pula beberapa pendekatan dengan bantuan
pembelajaran mesin, meskipun masih eksperimental. Sebagai
contoh, metode Commix (Stasinopoulos et al., 2019), alat
sumber terbuka yang mengotomatiskan proses pendeteksian
dan eksploitasi kelemahan injeksi perintah pada aplikasi web.
Commix melakukan, secara otomatis, semua langkah yang
diperlukan yang meliputi: i) pembuatan vektor serangan, ii)
deteksi kerentanan, dan iii) eksploitasi.

101
Bab 8. Logical Vulnerabilities

8.1 Pendahuluan
Berdasarkan data dari (SophosLab, 2013) Indonesia
merupakan negara dengan Threat Exposure Rate terbesar. Threat
Exposure Rate dapat diukur dengan persentase komputer yang
terjangkit serangan malware pada periode 3 bulan. Laporan itu
menggambarkan bahwa Indonesia menjadi tujuan negara yang
paling banyak dijadikan target serangan cyber.

Gambar 27. Riskiest Countries by SophosLab Report 2013

(SophosLab, 2013)

Pada gambar 27 nampak bahwa dibandingkan dengan

negara di Asia, Indonesia menempati urutan teratas dari target
serangan cyber dengan nilai 23.54%, menyusul Cina dengan
21.26% dan terakhir Malaysia dengan niali 17.44%. Hal ini
menjadi catatan bahwa dengan penduduk yang ke-5 terbesar di
Dunia dan luas wilayah sebesar benua Eropa, menjadikan
Indonesia sasaran empuk bagi serangan Cyber. Selain ini,

102
kebiasaan masyarakat Indonesia yang gemar menggunakan
Internet sangat mendorong banyaknya serangan cyber dari
berbagai arah, baik khususnya segi teknis misalnya dengan
penyebaran virus dari beberapa aplikasi game yang diinstal,
video yang ditonton dan software yang digunakan.
Oleh karena itu, Pemerintah Indonesia memiliki lembaga
khusus yang bernama ID-SIRTII / CC (Security Incident Response
Team on Internet Infrastructure/Coordination Center). Dimana
lembaga ini ialah lembaga untuk insiden pada infratruktur
internet di Indonesia. Menurut data laporan tahunan tahun 2018,
ID-SIRTII/CC melaporkan bahwa Indonesia menerima total
232.447.974 serangan yang terdiri dari 122.435.215 aktivitas
malware, 16.939 insiden website, 2.885 laporan insiden dari
masyarakat dan 1.872 informasi celah keamanan (ID-SIRTII,
2018). Dari laporan itu pula, diperolah fakta selain Indonesia
menjadi sasaran dari serangan cyber, Indonesia juga merupakan
negara sumber serangan terbanyak.

Gambar 28. Laporan Pemantauan Keamanan Internet

Indonesia 2018 (ID-SIRTII, 2018)

103
 Pada gambar 28 diatas, menggambarkan keamanan pada
dunia maya di Indonesia cukup lemah dengan total serangan
232,447,974. Hal ini dapat dilihat dari banyaknya jumlah
serangan yang ditujukan pada berbagai sistem informasi yang
ada di Indonesia, baik serangan yang berasal dari luar Indonesia
maupun serangan yang berasal dari dalam Indonesia sendiri.
Oleh karena itulah faktor keamanan pada Sistem Informasi saat
ini harus menjadi prioritas utama dalam pembangunan sebuah
sistem informasi (Johan Ericka Wahyu Prakarsa, 2020).

8.2 Cacat sistem

Cacat sistem atau infrastruktur disebut dengan
Vulnerability memberikan indikasi akses tanpa izin/ilegal dengan
memanfaatkan kelemahan sistem. Vulnerability bisa terjadi pada
perangkat keras (hardware), perangkat lunak (software), aplikasi
yang diproduksi secara komersial, atau akibat kelemahan
manusia.
Contoh Vulnerability pada perangkat keras seperti celah
keamanan di prosesor, kelemahan pada aplikasi contohnya
seperti kemampuan untuk mengakses user administratif,
kelemahan pada software seperti serangan SQL injection, dan
kelemahan dalam manusia seperti menggunakan kata sandi yang
sederhana yang bersifat lemah.
Vulnerability akan dipakai oleh hacker sebagai jalan masuk
kedalam sistem secara illegal. Hacker umumnya membuat exploit
yang disesuikan dengan Vulnerability yang ditemukannya. Setiap
aplikasi diantaranya service, desktop dan web base tentunya
punya celah atau Vulnerability, namun belum nampak oleh
hacker. Perlu digarisbawahi bahwa tidak semua hacker itu jahat,
jika celah keamanan ditemukan oleh hacker jahat (Black Hat)
kemungkinan akan digunakan untuk mengexploitasi sistem untuk
kepentingannya. Sehingga hasil exploitasi ini akan dilelang di
“deep web” dan dijual nya bagi user yang terjebak oleh hal ini.

104
Namun sebaliknya jika ditemukan oleh hacker baik (white hat)
biasanya dia akan menginformasikan hole keamanan itu pada
developer aplikasi tersebut agar diperbaiki.

8.3 Contoh perangkat lunak yang rawan dibobol

Vulnerability yang sering diexploit umumnya terdapat
ditingkat perangkat lunak, hal ini karena bisa dilakukan secara
remote, kondisi ini menjadikannya target yang disenangi oleh
para hacker. Berikut ini beberapa contoh perangkat lunak yang
rawan dibobol karena memiliki Vulnerability diantaranya
(Admin, 2022):
1. Firmware (Hardcore Software)
Firmware ialah perangkat lunak ataupun sistem operasi kecil
yang langsung terpasang (hardcoded) ke dalam chip pada
beberapa perangkat, termasuk router, kamera, pemindai,
printer, telepon, mouse, keyboard, dan lain-lain. Dikarenakan
kapasitasnya yang terbatas, mesin yang menggunakan
firmware umumnya tidak memiliki sistem operasi sehingga
mudah diretas.
2. Software (Aplikasi)
Perangkat lunak atau aplikasi yang telah diinstal di komputer
yang terhubung langsung ke internet seperti
browser, document reader, dan download manager, bisa
menjadi jalan masuk bagi para hacker.
3. Brainware (Operator Komputer)
Brainware ialah seseorang yang mengoperasikan komputer,
jika pengguna komputer tidak mengerti cara
menggunakannya, akan jauh lebih mudah bagi hacker untuk
meretas sistem dan mengakses informasi yang ada di
dalamnya.
4. Operating System (Sistem Operasi)
Sistem operasi dengan keamanan tingkat tinggi manapun,
seperti Linux dan Mac, tetap memiliki kelemahan keamanan.

105
 Oleh karena itu untuk memastikan bahwa sistem operasi
diperbarui setiap kali pembaruan baru tersedia, maka langkah
aktivasi secara otomatis merupakan pilihan tepat demi
keamanan.
5. Vulnerability Pada Aplikasi Web
Jika memiliki situs web, tetap waspada pada potensi exploit
yang dapat bisa saja terjadi. Exploit ini bergantung pada
bahasa pemrograman yang digunakan, server web, dan
database yang dipakai.

8.4 Cara Mengatasi Vulnerability

Beberapa cara dalam mengatasi vulnerability agar efektif
diantaranya sebagai berikut:
1. Menggunakan Layanan Keamanan Siber Cloudmatika
Dimana layanan ini mengintegrasikan pencadangan,
pemulihan bencana, perlindungan berbasis kecerdasan buatan
terhadap malware dan ransomware, desktop jarak jauh, dan
alat keamanan dalam satu layanan perlindungan saja.
Keuntungan lainnya ialah diperoleh panel kontrol sederhana
dan intuitif yang dapat menyederhanakan operasi, memantau
status kesehatan hard disk dan menanggapi sebelum rusak,
penanggulangan malware tingkat lanjut, menemukan dan
mengatasi kerentanan dan masalah manajemen patch, dapat
memanajemen terpadu dari semua perangkat dan dapat
menghemat waktu juga biaya operasional dengan pemantauan
dan manajemen jarak jauh.
2. Update Sistem Operasi, Firmware dan Aplikasi
Memperbarui sistem operasi, firmware, dan aplikasi secara
teratur adalah kunci untuk mencegah kekurangan atau cacat
apa pun. Ketiga unsur ini diperlukan pembaharuan secara
berkala karena hacker sering menyerang dan
menggunakannya sebagai pintu gerbang ke dalam sistem.
Oleh karenanya, memperbarui perangkat lunak sangat penting
dalam menjaga keamanan sistem komputer.

106
3. Vulnerability Assessments dan Penetration Tests
Diperlukan konsultan keamanan komputer atau ethical hacker
dalam perusahaan yang menggunakan komputer sebagai alat
pendukung bisnis untuk melakukan Vulnerability Assessment
dan Penetration Tests.

8.5 IT security Vulnerability vs threat vs risk

Gambar 29. IT security Vulnerability vs threat vs risk

1. Apa itu threat?

Ancaman mengacu pada insiden baru atau yang baru
ditemukan yang berpotensi membahayakan sistem atau
perusahaan Anda secara keseluruhan. Ada tiga jenis ancaman
utama seperti ancaman alam, seperti banjir, angin topan, atau
tornado. Ancaman yang tidak disengaja, seperti karyawan yang
secara keliru mengakses informasi yang salah. Ancaman yang
disengaja, seperti spyware, malware, perusahaan adware, atau
tindakan karyawan yang tidak puas. Worm dan virus
dikategorikan sebagai ancaman karena dapat membahayakan
organisasi Anda melalui paparan serangan otomatis, berbeda
dengan yang dilakukan oleh manusia. Baru-baru ini, pada 12 Mei
2017, Serangan Ransomware WannaCry mulai membombardir
komputer dan jaringan di seluruh dunia dan sejak itu
digambarkan sebagai serangan terbesar dari jenisnya. Penjahat

107
dunia maya terus-menerus menemukan cara baru yang kreatif
untuk membahayakan data Anda, seperti yang terlihat dalam
Laporan Ancaman Keamanan Internet 2017. Ancaman ini
mungkin tidak terkendali dan seringkali sulit atau tidak mungkin
diidentifikasi sebelumnya. Namun, langkah-langkah tertentu
membantu Anda menilai ancaman secara teratur, sehingga Anda
dapat lebih siap ketika suatu situasi benar-benar terjadi.
Berikut adalah beberapa cara untuk melakukannya:
a. Pastikan anggota tim Anda tetap mendapat informasi tentang
tren keamanan siber saat ini sehingga mereka dapat dengan
cepat mengidentifikasi ancaman baru. Mereka harus
berlangganan blog (seperti Wired) dan podcast (seperti
Techgenix Extreme IT) yang membahas masalah ini, dan
bergabung dengan asosiasi profesional sehingga mereka dapat
memperoleh manfaat dari umpan berita terbaru, konferensi,
dan webinar.
b. Lakukan penilaian ancaman secara teratur untuk menentukan
pendekatan terbaik untuk melindungi sistem terhadap
ancaman tertentu, bersama dengan menilai berbagai jenis
ancaman.
c. Lakukan pengujian penetrasi dengan memodelkan ancaman
dunia nyata untuk menemukan kerentanan.
2. Apa itu vulnerability?
Vulnerability (Kerentanan) mengacu pada kelemahan aset
(sumber daya) yang diketahui yang dapat dieksploitasi oleh satu
atau lebih penyerang. Dengan kata lain, ini adalah masalah yang
diketahui yang memungkinkan serangan berhasil.
Misalnya, ketika anggota tim mengundurkan diri dan Anda
lupa menonaktifkan akses mereka ke akun eksternal, mengubah
login, atau menghapus nama mereka dari kartu kredit
perusahaan, ini membuat bisnis Anda terbuka untuk ancaman
yang disengaja dan tidak disengaja. Namun, sebagian besar

108
kerentanan dieksploitasi oleh penyerang otomatis dan bukan
pengetikan manusia di sisi lain jaringan.
Pengujian kerentanan sangat penting untuk memastikan
keamanan sistem Anda yang berkelanjutan. Dengan
mengidentifikasi titik lemah, Anda dapat mengembangkan
strategi untuk respons cepat. Berikut adalah beberapa
pertanyaan untuk diajukan saat menentukan kerentanan
keamanan Anda:
a. Apakah data Anda dicadangkan dan disimpan di lokasi di luar
situs yang aman?
b. Apakah data Anda disimpan di cloud? Jika ya, bagaimana
tepatnya itu dilindungi dari kerentanan cloud?
c. Jenis keamanan jaringan apa yang Anda miliki untuk
menentukan siapa yang dapat mengakses, memodifikasi, atau
menghapus informasi dari dalam organisasi Anda?
d. Jenis perlindungan antivirus apa yang digunakan? Apakah
lisensinya saat ini? Apakah itu berjalan sesering yang
dibutuhkan?
e. Apakah Anda memiliki rencana pemulihan data jika
Kerentanan dieksploitasi?
3. Apa itu risk?
Risiko didefinisikan sebagai potensi kerugian atau
kerusakan ketika ancaman mengeksploitasi Kerentanan. Contoh
risiko meliputi:
a. Kerugian finansial
b. Kehilangan privasi
c. Kerusakan reputasi Anda Rep
d. Implikasi hukum
e. Bahkan kehilangan nyawa
Risiko juga dapat didefinisikan sebagai:
Risiko = Ancaman x Kerentanan
Kurangi potensi risiko Anda dengan membuat dan
menerapkan rencana manajemen risiko. Berikut adalah aspek-

109
aspek kunci yang perlu dipertimbangkan ketika mengembangkan
strategi manajemen risiko Anda:
1) Menilai risiko dan menentukan kebutuhan. Dalam hal
merancang dan menerapkan kerangka kerja penilaian risiko,
sangat penting untuk memprioritaskan pelanggaran paling
penting yang perlu ditangani. Meskipun frekuensi mungkin
berbeda di setiap organisasi, tingkat penilaian ini harus
dilakukan secara teratur dan berulang.
2) Sertakan perspektif pemangku kepentingan total. Pemangku
kepentingan termasuk pemilik bisnis serta karyawan,
pelanggan, dan bahkan vendor. Semua pemain ini memiliki
potensi untuk berdampak negatif pada organisasi (potensi
ancaman) tetapi pada saat yang sama mereka dapat menjadi
aset dalam membantu mengurangi risiko.
3) Tentukan kelompok karyawan pusat yang bertanggung
jawab atas manajemen risiko dan tentukan tingkat
pendanaan yang sesuai untuk kegiatan ini.
4) Terapkan kebijakan yang sesuai dan kontrol terkait dan
pastikan bahwa pengguna akhir yang sesuai diberi tahu
tentang setiap dan semua perubahan.
5) Memantau dan mengevaluasi efektivitas kebijakan dan
pengendalian. Sumber risiko selalu berubah, yang berarti tim
Anda harus siap untuk membuat penyesuaian yang
diperlukan pada kerangka kerja. Ini juga dapat melibatkan
penggabungan alat dan teknik pemantauan baru (Stephen
Watts, 2020).

110
Bab 9. E - mail

9.1 Pengertian e-mail

Surat elektronik, juga dikenal sebagai email, adalah metode
pengiriman surat melalui internet. Media internet yang terkena
dampak diakses melalui komputer atau ponsel yang memiliki
akses internet atau terhubung dengannya. Di jejaring sosial
online seperti Facebook, Twitter, dan Instagram, email dapat
digunakan. Pengiriman surat elektronik disamakan dengan
pengiriman surat melalui Kantor Pos dan Giro dalam proses ini.
Pendekatan ini disebut "simpan dan lanjutkan" (Hasanah et al.
2018).
Surat tersebut harus diberi alamat terlebih dahulu sebelum
dimasukkan ke dalam kotak pos, dibawa ke kantor pos terdekat
dengan mobil pos, dikirim lebih awal dari kantor pos asal ke
kantor pos terdekat dengan alamat tujuan, dan terakhir dikirim
lebih awal dari kantor pos ke kotak pos tujuan. Akan ada protokol
tertentu yang digunakan untuk mengirim email (Ananda,
Fauziah, and Hayati 2020).

9.2 Manfaat e-mail

Ada beberapa manfaat penggunaan email, antara lain:
1. Media komunikasi
Email, sering dikenal sebagai surat elektronik, adalah bentuk
umum dari komunikasi pribadi dan public (komunitas)
2. Media pengiriman
Email memingkinkan dapat mentransfer data kemana saja di
dunia ini, dan jelas bahwa pengirim dan penerima

111
 menggunakan alamat email dari pada alamat rumah. Selain itu,
mengirim informasi ke banyak orang melalui email hanya
membutuhkan beberapa menit atau bahkan detik.
3. Efektif, efisien, dan murah
Email merupakan suatu sarana yang sangat menghemat biaya,
efisien, dan efektif untuk mengirim data. Dengan kata lain,
tidak diharuskan meninggalkan rumah dan mengunjungi
kantor pos untuk mengirim gambar atau lamaran pekerjaan.
Pengiriman dapat dilakukan dengan murah dan cepat di
alamat tujuan hanya dengan koneksi internet dan alamat email
pengirim dan email tujuan.
4. Media promosi
Dapat menjadikan media pengiriman promosi produk kepada
klien dengan memanfaatkan daftar email pelanggan yang
sudah ada sebelumnya.
5. Media informasi
Dengan berlangganan informasi dari media yang sudah
ditentukan, kita dapat menerima informasi terbaru dari
seluruh dunia yang diinginkan dengan melalui email.
6. Membuat blog atau website
Dapat membuat blog dan situs web dengan email
7. Sosial media
Dapat mengembangkan persahabatan dengan teman atau
individu lain melalui email melalui media sosial seperti
facebook, twitter, google atau dengan menggunakan email itu
sendiri.
Beberapa keuntungan email antara lain (Stevani 2014):
a. efektif untuk korespondensi;
b. dapat untuk mendistribusikan dokumen skala besar;
c. sebagai platform untuk diskusi;
d. untuk berlangganan informasi;
e. dapat mengirimkan lamaran kerja dengan dokumen
pendukung, seperti foto atau gambar;

112
 f. dapat berfungsi sebagai tanda pengenal online;
g. dapat mengirim informasi rahasia.
8. Cara Membuat Email
Banyak dari kita mungkin sudah mengetahui hal ini dan
memiliki banyak email. Tapi mungkin tulisan ini bisa sedikit
membantu mereka yang hanya ingin membuat email atau yang
memiliki tugas diberikan guru untuk melakukannya. Email
jelas diperlukan untuk membuat akun media sosial, blog dan
banyak lainnya selain untuk mengirim email itu sendiri.
Berikut ini cara membuat email:

Gambar 30. Tampilan dari Google Mail

• Ketik http://mail.google.com/ di alamat browser.

• Di pojok kanan atas, klik Create Account / Buat Akun.
• Masukan informasi anda pada formular dibah ini (ubah
bahasa, klik pojok kanan bawah)

Gambar 31. Tampilan Form Input Biodata Email

113
• Nama : sertakan nama depan dan belakang anda, jika tidak
memiliki nama belakang, kosongkan kolom tersebut.
• Pilih nama pengguna : ini akan berfungsi sebagai alamat
akun anda, jadi cobalah membuatnya menarik dan berbeda.
• Buat password yang kuat dengan menggunakan kombinasi
huruf dan angka yang mudah diingat.
• Konfirmasi kata sandi : ketik ulang kata sandi yang anda
masukan di formular buat kata sandi.
• Tanggal lahir : isikan tanggal lahir anda.
• Jenis kelamin : pilih jenis kelamin anda.
• Ponsel : masukan nomer ponsel anda.
• Alamat email anda saat ini : jika memiliki alamat email lain,
masukan di sini.
• Masukan dua kata di formulir akhir untuk menunjukan
bahwa anda bukan mesin.
• Lokasi : masukan informasi yang relevan dengan kota atau
negara.
• Saya setuju dengan persyaratan Google dan Personalisasi
Google harus dicentang.
• Setelah itu klik tombol Langkah berikutnya.
• Nomor ponsel anda kemudian akan diverifikasi, anda dapat
memilih sms atau pesan suara.

Gambar 32. Tampilan Form Input Verifikasi Akun Email

114
• Untuk melanjutkan ke tahap berikutnya, masukkan kode
yang diterima dari Gmail.

Gambar 33. Tampilan Verifikasi Akun Email Lewat

Handphone

• Tahap pemasangan foto adalah Langkah selanjutnya setelah

memasukkan informasi pribadi anda, jika tidak
memilikinya cukup klik “Langkah Berikutnya” untuk
melanjutkan.

Gambar 34. Tampilan form pemasangan foto profil

setelah selesai

• Klik “Langkah Berikutnya” bila proses pembuatan email

selesai, dan anda akan langsung dibawa ke akun email baru
anda. Anda akan masuk ke akun Gmail baru setelah anda
menyelesaikan semua proses selesai. Dengan akun email
anda yang baru dibuat, kini anda dapat mengirim dan
menerima email. Cara google menghasilkan email baru
kadang-kadang dapat berubah, tetapi modifikasi tersebut

115
 akan mengubah prosedur secara signifikan. Di gmail, anda
dapat menggunakan dan membuat email baru.
9. Format Email
Email terdiri dari dua komponen utama:
a. Header — Terdiri dari sejumlah kolom, termasuk
ringkasan, pengirim, penerima, dan detail lain tentang
email.
b. Body — badan teks surat yang tidak terstruktur diakhiri
dengan blok tanda tangan.
c. Bagian footer:
1) Signature pengirim email.
2) Kutipan artikel/email terdahulu.
3) Signature tambahan dari provider internet.
10. Bidang berikut sering ada di header pesan:
a. To: Alamat email, dan secara opsional nama penerima
pesan;
b. From : Alamat email, dan secara opsional nama pengirim
• Bidang tajuk tipikal lainnya adalah:
c. Subject : Penjelasan singkat tentang isi pesan
d. Tanggal: Waktu dan tanggal pesan ditulis secara lokal
e. CC : Salinan digunakan.
f. BCC : Salinan Buta:
g. Reply-To : Alamat yang harus digunakan untuk membalas
ke pengirim
h. X-Face: Ikon kecil
i. Diterima: Melacak informasi yang dihasilkan oleh server
surat yang sebelumnya telah menangani pesan
j. Content-Type : Informasi tentang bagaimana pesan harus
ditampilkan
Dari keterangan diatas untuk lebih jelasnya bisa dilihat pada
tampilan di bawah ini:

116
 Gambar 35. Tampilan Format Email

11. Body Email

Body email terdiri dari berbagai macam bagian antara lain:
• Encoding
• Plain & HTML plain text dan HTML digunakan untuk
kenyamanan e-mail.
• Teks digunakan agar dapat dibaca user tanpa masalah,
sementara HTML-based e-mail digunakan untuk
memperindah tampilan.
• Kelebihan HTML antara lain :
1. Link pada gambar dan teks
2. Menangani surat yang dipecah kedalam blok

117
 3. Tampilan wrap teks yang alami di semua tampilan
4. Manipulasi teks
• Kekurangan HTML :
1. Ukuran e-mail yang meningkat
2. Privasi, Web bug, attack.
12. Sistem Email
Sistem email terdiri dari dua komponen utama, yaitu:
1. Mail Transfer Agent (MUA), adalah bagian yang digunakan
pengguna email. Umumnya dikenal sebagai program mail.
Contohnya mesin ketik dipakai untuk surat pada
massanya. MUA dipakai untuk mengirim email. Contoh:
Eudora, Netscape, Outlook, Pegasus, Thunderbird, pine,
mutt, elm, mail.
2. Mail Transfer Agent (MTA), adalah aplikasi yang
mengirimkan email. Mailer adalah istilah umumnya dan
biasanya MTA ini adlah urusan administrator bukan
urusan pengguna. Contoh: postfix, qmail, sendmail,
exchange, Mdaemon, Mercury, dan lain-lain
13. Penyadapan Email
Dalam hukum pidana Indonesia, frasa penyadapan
sebenarnya merupakan istilah baru. “Mencegat” berarti
menerima atau mendengarkan secaa diam-diam, “menurut
Black Law Dictionary” (komunikasi). Ungkapan penyadapan
yang mengacu pada pengupasan elektronik atau mekanis
biasanya dilakukan oleh petugas elektronik atau mekanis, hal
ini biasanya dilakukan oleh petugas penegak hukum di
bawah perintah pengadilan, dan untuk mendengarkan
percakapan pribadi. Terjadi pertukaran informasi melalui
berbagai media online, termasuk media e-mail (surat
elektronik). Dengan Pesan dapat disampaikan melalui email
lebih cepat bahkan hanya dalam beberapa detik dan dengan
biaya rendah. Berbeda dengan berkirim pesan atau surat
dengan cara konvensional semuanya harus diurus secara

118
 fisik dan tentunya membutuhkan biaya yang tidak sedikit
(Fong 1999). Namun, seiring berjalannya waktu, banyak
tantangan yang sering dihadapi di aplikasi dan internet,
terutama dalam hal keamanan informasi. Masalah keamanan
informasi dalam e-mail yang sering dihadapi antara lain
passive eavesdropping, agressive eavesdropping, fraud, dan
lain-lain. Jika pengguna sistem informasi (dosen, mahasiswa,
dan administrator) menggunakan akses seperti warnet, area
hotspot, dan lain-lain, penyadapan pasif dan aktif sering
dilakukan. Pesan yang disadap biasanya adalah pesan yang
“menarik” (bersifat rahasia, memiliki nilai jual). Seorang
penyadap akan mengawasi setiap tindakan untuk
mengumpulkan pesan-pesan "menarik" ini. Tentu saja, dia
akan mengabaikan surat apa pun yang dianggapnya tidak
menarik. Biasanya spam atau surat sampah adalah salah satu
jenis pesan yang tidak "menarik". Masalah signifikan di dunia
saat ini adalah spam, yang sering muncul saat mentransfer
informasi melalui email. Spam adalah jenis pesan yang berisi
tautan ke penipuan, iklan, dan konten berbahaya lainnya.
Spam biasanya dikirim oleh pengirim yang tidak dikenal atau
dengan menggunakan robot atau metode otomatisasi
lainnya. Oleh karena itu, jika penyadap pemantauan
menemukan komunikasi spam, penyadap akan
mengabaikannya.
Ada beberapa hal yang harus diperhatikan ketika email
mengalami penyadapan, antara lain:
1. Mail server yang digunakan (umumnya disebut SMTP server)
menerima email dari komputer lain. Setelah diproses, email
ditransfer ke server berikutnya, lalu ke server email sesuai dan
terakhir ke kotak surat pengguna email yang di tuju.
2. Penambahan header Received digunakan untuk
mengidentifikasi setiap server yang akan dikunjungi. Jumlah

119
 Received ditampilkan dalam contoh email sebelumnya.
Stemple ditambahkan dari bawah ke atas.
a. Mail server yang menerima email tersebut diberikan
tanda Received pada bagian atas. Penyadapan terjadi pada
setiap jalur yang di lewati, termasuk server yang menjadi
jalur yang dilewati.
b. Mengirim email menggunakan protokol SMTP (Simple
Mail Transport Protocol) yang tidak menggunakan
enkripsi.
c. Protocol POP (Post Office Protocol) digunakan untuk
mengambil email. Selain itu, protocol ini menggunakan
port 110 yang tidak menggunakan enkripsi. Jika
menggunakan protocol ini maka data yang melawatinya
dapat tersadap.
d. Gunakan enkripsi jika email ingin terhindar dari
penyadapan, karena email akan mengacak.
e. Beberapa program (tools) yang dapat memproteksi
terhadap penyadapan email. Contoh: Pretty Good Privacy
(PGP), GnuPG, dan PE.
14. Pemalsuan Email
Pemalsuan email atau sering dikenal dengan email spoofing
merupakan salah satu kejahatan yang intinya pemalsuan
header email yang membuat pesan tersebut seolah-oleh
dikirim dari sumber yang sebenarnya. Biasanya, email palsu
akan mencari informasi pribadi seperti login dan kata sandi.
Selain itu, tautan phishing dapat disertakan dalam email
spoofing. Berikut ilustrasi spoofing email:

120
 Gambar 36. Ilustrasi Pemalsuan Email

Email spoofing sama seperti email spam dan kita dapat

mengabaikan isinya dan sangat disarankan untuk tidak
mengklik tautan apa pun atau mengunduh lampiran apa
pun yang mungkin disertakan. Meskipun spoofing email
(spam) tidak dapat sepenuhnya dihentikan, hal itu dapat
dikurangi dengan bantuan alat "Filter Spam
(Spamassasin)". Tautan ke "Filter Spam" di cPanel dan
Panel Plesk disediakan di bawah ini:
a. cPanel
: https://www.rumahweb.com/journal/spamassassin-
melindungi-email-anda-dari-spam/
b. Plesk
: https://www.rumahweb.com/journal/mengaktifkan-
spam-filter-di-wordpress-hosting/
c. Penyusupan Virus
d. Definisi Virus
Virus komputer adalah mempunyai kemiripannya dengan
virus biologis yang sebenarnya dan cara mereka berpindah dari

121
satu komputer ke komputer lain, virus komputer diberi nama
virus. Agar dapat dieksekusi, virus komputer membutuhkan
program atau dokumen untuk dijalankan. Virus telah "membuka
jalan" untuk menginfeksi program atau dokumen tambahan jika
aplikasi atau dokumen ini dijalankan. Ini sebanding dengan virus
yang, di dunia biologis, bergantung pada sel makhluk hidup lain
untuk eksis. Selain itu, virus menginfeksi pemilik tumpangan
selama tindakan menumpang (Pamungkas 2018).
Setiap virus komputer mengikuti serangkaian prosedur
untuk menjamin keberadaannya. Pencarian rutin, pengganda,
dan rutinitas anti deteksi adalah tiga prosedur yang membentuk
virus secara umum. Setiap rutinitas memiliki tanggung jawab dan
tujuan tertentu yang bekerja bersama-sama dengan yang lain.
Untuk mengidentifikasi file yang menjadi target, virus
komputer membutuhkan daftar nama file dalam sebuah
direktori. Kemudian, dengan kemampuan replikasi,
diperbolehkan menimpa (overwrite) atau menambahkan
(append) kode program ke program utama (host), karena
keduanya akan dieksekusi secara bersamaan. Biasanya,
pengguna mengetahui aktivitas infeksi hanya setelah virus
menjalankan fungsi yang dimaksudkan.

9.3 Kategori Virus Komputer

Berbagai teknik klasifikasi dapat digunakan untuk
mengklasifikasikan atau mengelompokkan virus. Kategorisasi
deteksi email spam menggunakan beberapa pendekatan
algoritma yang sangat baik. Beberapa kemampuan dasar worms,
diantaranya adalah (Suci, Aryanti, and Asriyadi 2018):
1. Kemampuan untuk menggandakan, khususnya Kemampuan
dasar worm untuk menggandakan diri dan menyebar ke
sistem komputer melalui media perantara seperti disket, drive
USB, atau jaringan komputer.

122
2. Keterampilan rekayasa sosial, atau kemampuan dasar worm
untuk menipu pengguna dengan tampil sebagai perangkat
lunak biasa. Worm akan aktif sendiri secara otomatis saat
pengguna menjalankan software tersebut.
3. Kemampuan untuk menyembunyikan diri, khususnya
kemampuan worm untuk menyembunyikan diri saat worm
aktif sehingga pengguna tidak menyadari keberadaan worm
tersebut.
4. Kemampuan pengumpulan informasi, atau kemampuan dasar
worm untuk mengumpulkan data yang dibutuhkannya, seperti
jenis sistem operasi, direktori sistem Windows, pemeriksaan
perangkat lunak antivirus, dan sebagainya.
5. Kemampuan manipulasi, khususnya kemampuan worm untuk
memanipulasi registri agar aktif saat mesin dihidupkan.
Bahkan worm dapat mengubah registry program antivirus
untuk mencegahnya mengganggu worm.

9.4 Penanganan Virus

Ada beberapa hal yang terkait dengan penanganan virus
pada komputer yang masuk melalui email, antara lain
(Kurniawan, Mahmud, and Dewi 2021):
1. Penanganan Terhadap Komputer
Ada beberapa mekanisme yang harus dilakukan untuk
penanganan virus komputer yang masuk melalui email terhadap
komputer, antara lain:
a. Untuk melindungi komputer dari infeksi malware, putuskan
sambungan LAN dan matikan jaringan Wi-Fi.
b. Menginstal patch MS17-010 di PC untuk memperbarui
keamanan Windows.
c. Fungsi SMB v1 tidak diaktifkan, yang mencegah akses ke port
139/445 dan 3389.

123
d. Tingkatkan antivirus Anda
e. File komputer penting dicadangkan di lokasi yang tidak
terhubung langsung ke internet atau jaringan lain.
2. Penanganan Terhadap Diri Sendiri
Pada penanganan diri sendiri antara lain:
a. Tidak mengaktifkan komputer terus menerus dan terhubung
ke LAN atau internet.
b. Sebelum menginstal pembaruan Windows apa pun, buat
cadangan informasi penting apa pun. Meskipun Microsoft
biasanya menutup lubang keamanan yang digunakan oleh
virus, tidak semua mesin komputer dapat memuat pembaruan
ini.
3. Mailbomb
Pernahkah Anda mendengar tentang email bomber? Atau
lebih dikenal dengan sebutan mail bomb. Ya, ini sangat mirip
dengan SMS Bomber, hanya saja kali ini email digunakan sebagai
alatnya. Pembom email, juga dikenal sebagai bom surat, adalah
tindakan mengirim email terus-menerus dan berulang kali hingga
batas email yang diberikan pengirim. Misalnya, jika target email
bomber menggunakan Yahoo Mail, korban tidak akan terlalu
terbebani karena layanan email tersebut gratis dan memiliki
penyimpanan tidak terbatas, sehingga jika ingin mengirim spam
sebesar 1GB pun tidak akan ada masalah dengan kotak masuk.
Namun, jaringan Yahoo dan ISP Anda yang mengalami masalah,
jadi jika merugikan Yahoo / ISP, pengirim email bomber mungkin
berurusan dengan Yahoo Inc (Fitria 2007).
Jelas dari contoh di atas bahwa pengeboman email adalah
tindakan kriminal. Artinya, jika korban merasa dirugikan, ia
berhak mengajukan gugatan. Anda dapat mengidentifikasi
pengirim email pengebom dengan mencari alamat IP penyerang.
Jadi bagaimana tepatnya cara membuat email bomber? Unduh
perangkat lunak di
http://www.mediafire.com/?drnr6ntc18ms5af sebelum

124
menggunakan email bomber. Buka perangkat lunak segera
setelah selesai mengunduh. Mengingat program ini portable dan
perlu diinstal.
Cukup masukkan isi pesan dan subjek email yang akan
dikirimkan. Alamat email korban adalah email korban. Tampilan
ini, misalnya :

Gambar 37. Tampilan Menentukan Target

Email Bomb atau Mail Bomb

125
 Mail bomb akan dikirim setelah Anda mengklik tombol start
untuk memulai proses. Klik Berhenti untuk berhenti mengirim
mail bom setelah pengirim puas dengan hasilnya. Jumlah email
bom yang dikirim ke korban kemudian ditampilkan di bagian
bawah layar.

Gambar 38. Tampilan Proses Setelah Pengiriman

Mail Bomb

Selain itu, memanfaatkan Wireshark memungkinkan untuk

menentukan apakah seseorang yang terhubung ke jaringan
menjadi korban mail bomb. Protokol SMTP akan digunakan oleh

126
sejumlah besar paket yang masuk dan keluar Wireshark dengan
sedikit penundaan.

Gambar 39. Tampilan Proses Mail Bomb

Sederhana, bukan? Perlu diingat bahwa materi ini

dimaksudkan untuk dibagikan! tidak digunakan untuk hal-hal
yang buruk.
4. Mail Relaying
Mail relay adalah fitur yang memungkinkan Anda mengirim
email dengan menyimpannya di server yang dikenal sebagai
relay. Server bertanggung jawab untuk mengirim email ke
penerima yang dituju. Dengan memusatkan pengiriman email,
fitur ini membantu mengurangi beban pada workstation atau PC
untuk transmisi email. Sayangnya, layanan ini sering disusupi
untuk mengirimkan spam, atau email yang tidak diinginkan,
dengan mengeksploitasi server email orang lain (I n.d.).
Tidak ada batasan penggunaan pada server email seperti
yang saat ini dikonfigurasi. Tetapi tidak mungkin lagi untuk

127
mencapai ini. Pengguna server email, atau siapa saja yang
memiliki kemampuan untuk mengirim email, harus dibatasi.
Misalnya, server email hanya dapat mengirim email ke pengguna
yang nomor IP-nya termasuk dalam kisaran tertentu dari nomor
IP internal.
Memfilter server email terbuka adalah cara lain yang
mungkin kami lakukan untuk melindungi dari spam. Karena
kemungkinan besar email yang dikirim dari server email yang
mengizinkan pengiriman email adalah spam, kami dapat
mengatur Agen Transfer Email untuk menolak email yang datang
dari server tersebut.

128
Bab 10. Kompetisi Hacking

10.1 Pengenalan Hacking

Hacking merupakan suatu kegiatan yang bertujuan untuk
mencari kelemahan dari sistem keamanan komputer, semakin
tinggi tingkat keamanan komputer maka semakin besar daya
tariknya bagi seorang hacker untuk melakukan penyerangan.
Aktivitas hacking dinilai dapat menimbulkan kerusakan sistem,
akan tetapi jika dikaji lebih lanjut hacking dapat menilai sejauh
mana tingkat keamanan sistem.
1. Definisi
Berdasarkan kamus Merriam-Webster hack diartikan
memotong, yang berkembang menjadi mendapatkan akses tidak
resmi ke sistem komputer orang lain. HACKING adalah
menerobos program komputer milik orang/pihak lain. Hacker
adalah orang yang gemar ngoprek komputer, memiliki keahlian
membuat dan membaca program tertentu dan terobsesi
mengamati keamanan (security)-nya (Nunuk Sulisrudatin.
(2018). Hacking adalah aktivitas menyerang program komputer
dan mengeksploitasi komputer yang dimiliki oleh individu atau
bisnis dan dari waktu ke waktu peretasan umumnya dianggap
sebagai kejahatan (S. Islam, 2014).
2. Sejarah
Perkembangan teknologi dan internet yang semakin pesat
menjadikan kegiatan hacking semakin banyak terjadi. Berikut
beberapa hal yang berkaitan dengan sejarah hacking:
• Tahun 1959, istilah hacker telah ada dari suatu organisasi-
organisasi mahasiswa Tech Model Railroad Club di

129
 laboratorium kecerdasan Artificial Massachusetts Institute of
Technology (MIT). (Andrea Adelheid, 2013).
• Tahun 1972, John Draper (Captain Crunch) menggunakan
mainan peluit untuk bisa menelpon jarak jauh secara gratis.
Pada masa itu jaringan telepon adalah alat komunikasi yang
digunakan oleh masyarakat luas.
• Tahun 1984, Fred Cohen membuat virus komputer pertama
yang mampu menyerang program grafis, kemudian virus
tersebut dikenal dengan nama virus VD
• Tahun 1989 dan tahun 1995, Kevin Mitnick dituduh mencuri
software dari Digital Equipment selain itu juga melakukan
pencurian informasi ke 20 ribu kartu kredit.
• Tahun 1999 dan tahun 2000, virus melisa dan virus ILoveYou
menyebar di seluruh dunia
• Tahun 2004, pembuat virus worm internet Netsky dan Sasser
ditahan di Jerman Utara.
3. Tipe Hacker
Hacker adalah seseorang yang mampu menerobos sistem
keamanan komputer atau jaringan komputer berbekalkan skill
pemrograman yang mumpuni (Jarot Dian Susatyono, 2022).
Berikut ini tipe hacker dengan tujuan yang berbeda-beda:
a. Black hat Hacker
Individu yang masuk dalam sistem komputer dengan niat jahat
dan tanpa izin dari pemilik sistem informasi. Black hat hacker
ini terlibat dalam kegiatan kriminal dan merupakan orang-
orang yang berada di balik penerapan teknis dan proliferasi
kejahatan dunia maya yang telah berkembang di seluruh
dunia.
b. White hat hacker atau ethical hacker
White hat hacker atau ethical hacker adalah orang yang
menggunakan pengetahuan dan keterampilannya untuk
menghindari kontrol keamanan sistem komputer dengan
sepengetahuan pemilik sistem. White hat hacker ini biasanya

130
 memposisikan diri mereka sebagai pihak ketiga yang mampu
menguji kehandalan suatu sistem informasi.
c. Blue hat hacker
Blue hat hacker sangat mirip dengan white hat hacker. Untuk
memperoleh sistem informasi dengan tingkat keamanan yang
tinggi maka perlu didukung oleh vendor untuk menguji
produk mereka. Ini sering dilakukan dalam bentuk pengujian
bug perangkat lunak sebelum peluncuran produk atau rilis
versi.
d. Grey hat hacker
Grey hat hacker merupakan perpaduan antara black hat
hacker dan white hat hacker. Peretas ini akan sering meretas
sistem dengan maksud memberi tahu pemilik sistem informasi
tentang kelemahan tersebut hal ini merupakan sifat dari white
hat hacker. Disamping itu, Grey hat hacker tidak memiliki izin
untuk menyerang sistem informasi dan sering melakukan
layanan ini dengan harapan dibayar untuk mengungkapkan
kerentanan kepada pemilik sistem informasi dan hal ini
merupakan ciri dari black hat hacker. Grey hat hacker akan
mempublikasikan temuan mereka ke internet. Dalam
beberapa kasus, mereka melakukan ini untuk menunjukkan
kemampuan mereka. Dalam kasus lain, mereka melakukan ini
untuk mengungkapkan cacat guna memaksa vendor
memperbaiki paket perangkat lunak. Penting untuk dicatat
bahwa meretas tanpa izin pemilik sistem informasi adalah
ilegal.
4. Hacktivis
Seorang hacktivis sangat mirip dengan orang black hat
hacker. penyerang ini menggunakan pengetahuan keamanan
komputer mereka untuk menyerang organisasi dengan tujuan
membuat perubahan politik atau sosial.

131
a. Script kiddie
Seorang script kiddie bukanlah peretas yang terampil,
melainkan seseorang yang telah menggunakan alat peretasan
otomatis untuk menyerang sistem informasi. Peretas ini
menggunakan skrip dan alat yang dikembangkan oleh peretas
berkemampuan tinggi lainnya untuk melakukan serangan
mereka. Karena script kiddies kurang pengetahuan, mereka
cenderung menyebabkan kerusakan yang tidak diinginkan
karena mereka tidak sepenuhnya memahami alat yang mereka
gunakan. Kurangnya pengetahuan mereka membuat mereka
lebih mudah ditangkap oleh penegak hukum. Peretas
berpengalaman memahami cara untuk tidak terdeteksi dan
dapat menutupi jejak mereka sementara skrip kiddie tidak
memiliki keterampilan ini dan meninggalkan jejak besar.
b. Nation state
Penyerang yang disponsori oleh pemerintah suatu negara.
Jenis ini sangat terampil dan memiliki potensi yang sangat
besar dalam melakukan peretasan. Kegiatan nation state
digambarkan dalam istilah perang dunia maya dimana aktor
nation state termotivasi untuk terlibat dalam spionase
dan/atau sabotase terhadap negara lain.
c. Cybercrime
Cybercrime adalah kejahatan yang melibatkan penggunaan
komputer. Komputer mungkin telah menjadi target kejahatan
dunia maya atau dapat digunakan untuk melakukan kejahatan
dunia maya (Darren Death, 2017).

10.2 Anatomi Hacking

Tiap hacker mempunyai cara dan metode masing-masing
dalam melakukan penyerangan terhadap suatu sistem, namun
secara umum tahapan yang digunakan melewati fase
reconnaissance, scanning, gaining access, clearing track dan
maintaining access. Berikut gambar 40 dan uraiannya:

132
 Gambar 40. Anatomi Hacking

1. Footprinting
Melakukan pencarian sistem yang dapat dijadikan target
serangan, mengumpulkan informasi terkait sistem sasaran
dengan memakai search engine/browsing, whois (histori
pemilik domain) dan DNS zone transfer.

133
2. Scanning
Mencari pintu masuk yang paling mungkin dari suatu sistem
sasaran yang sudah ditetapkan. Hal ini dapat dilakukan dengan
ping sweep dan menentukan alamat IP address.
3. Enumeration
Melakukan telaah secara berkesinambungan terhadap sistem
sasaran dengan mencari user account yang valid, sumber daya
jaringan dan sharingnya serta aplikasi yang dipakai, sehingga
diketahui tingkat keamanan dari suatu sistem.
4. Gaining Access
Berusaha mendapatkan data lebih banyak lagi untuk mulai
mengakses sistem sasaran. Hal ini dilakukan dengan cara
mengintip dan merampas password, menebak password serta
melumpuhkan sistem berdasarkan kelemahan yang telah
ditemukan.
5. Escalating Privilege
Setelah berhasil masuk ke sistem sasaran, dilakukan usaha
untuk mendapatkan privilege tertinggi (administrator atau
root) sistem dengan cara password cracking atau exploit.
6. Filfering/Steal
Melakukan pengumpulan informasi lagi untuk
mengidentifikasi mekanisme akses ke sistem, mencakup
evaluasi dan pencarian cleartext password di registry, config
file dan user data.
7. Covering Track
Setelah kontrol penuh terhadap sistem diperoleh, usaha untuk
menutup atau menghilangkan jejak menjadi hal yang utama,
meliputi pembersihan network log dan penggunaan hide tool
seperti macam-macam root kit dan file streaming.
8. Creating Backdoors
Membuat pintu belakang pada berbagai bagian dari sistem
yang dapat dipakai untuk masuk kembali ke sistem secara
mudah dan tidak terdeteksi, akan tetapi hal ini tidak

134
 disarankan karena ada kemungkinan admin akan
mempersiapkan diri untuk serangan berikutnya.
9. Denial of Service (DoS)
Apabila hacker mendapat kendala dalam menjalankan
misinya, atau merasa tidak ada lagi yang dibutuhkan dari
sistem tersebut maka penyerang dapat melumpuhkan layanan
yang ada pada sistem sasaran sebagai solusi akhir.

10.3 Teknik Hacking

1. Kata sandi
Hacker menggunakan perangkat lunak khusus untuk
memulihkan kata sandi yang telah dikirimkan melalui
jaringan, dari basis data kata sandi yang dipulihkan yang
disimpan dan perangkat lunak aplikasi yang dengan
menggunakan metode autentikasi mereka sendiri. Metode
yang umum digunakan adalah dengan menerapkan tebakan
otomatis melalui penggunaan kamus kata sandi.
2. Alat pemindai penilaian kerentanan
Alat ini menggunakan perangkat lunak khusus yang mampu
memindai jaringan untuk melihat apakah ada kecocokan
dengan basis data. Alat ini kemudian membuat daftar
kerentanan ke alamat IP sehingga dapat ditinjau. Dari sisi
administrator, alat ini dapat digunakan untuk memperbaiki
sistem informasi. Sedangkan dari sisi penyerang, alat ini
dapat gunakan sebagai pintu masuk ke sistem sasaran.
3. Penilaian kerentanan manual
Peretas yang benar-benar ahli dapat menguji sistem
informasi berdasarkan pengetahuan mereka sendiri untuk
menilai kerentanan yang tidak dapat dideteksi oleh alat
pemindai. Disinilah pengalaman dan keterampilan
penyerang secara manual berperan.

135
4. Keystroke logging
Dengan keystroke logging, penyerang menginstal perangkat
lunak ke komputer dengan maksud untuk menangkap semua
penekanan tombol yang dimasukkan melalui tools dan
keyboard komputer
5. Rootkit
Rootkit adalah perangkat lunak yang dipasang oleh peretas
yang sangat sulit dideteksi dan digunakan untuk
mengendalikan sistem operasi. Rootkit menyebabkan sistem
operasi tampak normal padahal sebenarnya mengandung
malware.
6. Spoofing
Sebagai bagian dari serangan spoofing, seorang hacker akan
menginstal perangkat lunak atau membangun sebuah sistem
dengan tujuan meniru sistem lain. Dalam beberapa kasus,
peretas dapat memalsukan diri mereka sendiri dengan
maksud tampil seperti sistem yang percaya untuk
mendapatkan akses ke server. Dalam kasus lain, peretas akan
memalsukan dirinya sebagai sistem informasi dengan tujuan
untuk mengambil informasi dari pengguna yang tidak
menaruh curiga.
7. Rekayasa sosial
Teknik peretasan ini sangat praktis dan seringkali tidak
menyertakan alat khusus. Rekayasa sosial harus dilakukan
dengan memanipulasi sifat alami individu untuk ingin
mempercayai orang lain.
8. Pretexting
Dengan pretexting, hacker akan berusaha mendapatkan
akses lebih lanjut ke sistem informasi. Sebagai bagian dari
skenario, penyerang akan menetapkan posisi sebagai
admintrator sehingga pengguna yakin bahwa permintaan
tersebut valid, dan penyerang memiliki hak untuk
mengetahui informasi rahasia mereka. Contoh pretexting

136
 adalah ketika seorang hacker menghubungi pengguna
perusahaan yang menyamar sebagai anggota tim organisasi
teknologi informasi. Mereka dapat meminta pengguna untuk
memberikan nama pengguna dan kata sandi mereka sebagai
solusi dalam memecahkan masalah yang mungkin terjadi
pada perusahaan tersebut. Dalam banyak kasus, seorang
pengguna akan menyerahkan akun mereka karena percaya
bahwa tim yang meminta nama pengguna dan kata sandi
tersebut bermaksud baik dan ingin membantu meningkatkan
sistem keamanan informasi. Namun pada kenyataannya,
peretas baru saja mendapatkan hak akses pengguna dan akan
menggunakannya untuk hal-hal yang menguntungkan pihak
tertentu.
9. Phishing
Dengan menggunakan teknik ini, peretas dapat mengambil
konsep pretexting dan menerapkan beberapa teknologi lain
untuk memperluas jumlah individu yang mereka jangkau
dalam satu waktu. Contoh phishing adalah menerima email
yang mengatakan bahwa informasi bank yang dimiliki tidak
lagi valid dan harus masuk ke situs web bank untuk
memperbaiki masalah tersebut.
10. Spear phishing
Meskipun sangat mirip dengan phishing, spear phishing
mampu menganalisis lebih rinci terhadap informasi yang
dimiliki korban. Dengan spear phishing, penyerang
melakukan pengintaian terhadap korbannya untuk
mendapatkan detail pribadi korban. Oleh karena itu,
perbedaan utama antara phishing dan spear phishing adalah
penyerang mengirimkan email khusus untuk memikat satu
pengguna, dibandingkan dengan jutaan email yang dikirim
dalam phishing. Keberhasilan serangan spear phishing lebih
tinggi dari serangan phishing karena penyaringan yang
masuk ke dalam email spear phishing.

137
11. Water holing
Serangan ini memanfaatkan situs web yang mengandung
kerentanan dan dipercaya oleh pengguna. Dalam serangan
ini, musuh akan melakukan pengintaian untuk menentukan
situs web yang sering digunakan oleh pengguna atau
sekelompok pengguna dalam suatu organisasi. Penyerang
kemudian meretas situs web tepercaya, setelah situs web
disusupi maka situs web tersebut dapat digunakan sebagai
platform untuk menginstal perangkat lunak jahat pada
perangkat pengguna. Penyerang hanya dapat menunggu
pengguna mengakses situs web atau membuat email
phishing untuk mengarahkan mereka ke situs tersebut.
12. Baithing
Penyerang akan menggunakan media fisik seperti DVD dan
drive USB untuk mengelabui pengguna agar menempatkan
perangkat tersebut ke komputer mereka. Dalam praktiknya,
tidak perlu banyak manipulasi karena pengguna sering
memasukkan perangkat yang dapat dilepas sehingga mereka
tidak memiliki alasan untuk mempercayai komputer mereka
(Darren Death, 2017).

138
Bab 11. Cyber Law

11.1 Konsep dasar Cyber law

Kemajuan teknologi memberikan dampak yang besar bagi
kehidupan sehari-hari. Salah satu bidang tersebut adalah
kemajuan teknologi internet. Teknologi internet memberikan
kemudahan akses dan kemudahan komunikasi dengan siapapun.
Selain dampak yang positif juga disertai dampak yang negatif
berupa serangan kejahatan didunia maya (cyber crime). Menurut
survei yang dilakukan oleh pihak Asosiasi Penyelenggara Jasa
Internet Indonesia (APJII, 2022) masyarakat Indonesia yang
menggunakan internet mencapai lebih dari 77% dimana mencapi
210 juta pengguna. Berdasarkan data dari National Cyber
Security Index (NCSI) per februari 2023, Indonesia mendapatkan
skor sebesar 38.96 dan menempati urutan ke 85 secara global
pada bidang keamanan data sehingga bisa dikatakan masih
banyak sistem yang perlu dievaluasi. Menurut (Anwar, 2011) ada
beberapa faktor yang menjadi penyebab terjadinya cybercrime,
yaitu :
1. Akses internet yang sangat luas dan tak terbatas.
2. Adanya kelalaian dari pengguna komputer.
3. Sistem keamanan komputer yang lemah.
4. Kurangnya kontrol masyarakat dan pengegak hukum.
Kejahatan di dunia maya (cyber crime) merupakan salah
satu tindak kejahatan yang mana pelaku bisa dikenakan tindak
pidana sesuai UU ITE yang telah ditetapkan. Menurut (Clough,
2015) dalam bukunya yang berjudul Principles of Cybercrime
mengklasifikasikan cyber crime menjadi tiga jenis :

139
1. Computer Crime yaitu komputer menjadi alat dan target dari
kejahatan. Contoh kasusnya seperti serangan DDOS,
keylogging, illegal access, penyebaran virus dan lain lain
2. Computer Facilitated Crimes yaitu kejahatan yang
menggunakan komputer sebagai alat yang digunakan untuk
melakukan kejahatan. Contoh kasus spamming, pencatutan
nama dan lain sebagainya.
3. Computer Supported Crime yaitu komputer digunakan untuk
tujuan yang berkaitan dengan kejahatan. Contoh kasusnya
seperti pembunuhan, perampokan, pencurian, penggelapan
uang di bank dan lain lain.
Dengan adanya perkembangan tersebut maka diperlukan
sebuah aturan hukum khusus yang menangani secara langsung
terkait dengan kejahatan didunia maya. Hukum pada hakekatnya
adalah peraturan yang dibuat untuk menangani sikap tindakan
(perilaku) seseorang dan masyarakat yang melanggar. Aspek
hukum yang berkaitan langsung dengan hal kejahatan yang ada
didunia maya yaitu Cyber law. Menurut (Napitupulu, 2017)
Cyber law berasal dari istilah cyberspace law merupakan aspek
yang secara langsung berhubungan dengan orang atau subyek
hukum dimana menggunakan dan memanfaatkan teknologi
internet. Cyber law merupakan suatu istilah hukum yang terkait
dengan pemanfaat teknologi, secara international cyber law
dikaitkan dengan istilah hukum lainnya seperti law of
Information Technology, Virtual Word Law, dan Hukum
Mayantara.
Munculnya cyber law ini adalah sebagai pedoman untuk
bisa mengatasi kejahatan didunia siber. Hal ini juga erat
kaitannya dengan sebuah upaya pencegahan tindak pidana
beserta penanganannya. Cyber law ini akan menjadi sebuah dasar
hukum yang dapat digunakan untuk menegakan hukum
khususnya dibidang komputer dan elektronik. Di Indonesia
sendiri sangat penting untuk memiliki Cyber law karena

140
perkembangan teknologi internet yang sangat cepat maka
hukum-hukum yang berkaitan dengan bidang tersebut perlu
digagas supaya bisa mengatasi kasus-kasus yang berkaitan
dengan komputer dan elektronik. Menurut (Sitompul, 2012)
mengemukakan pendapat terkait alasan kenapa Cyber law
diperlukan yaitu :
1. Masyarakat yang ada didunia maya merupakan masyarakat
yang berasal dari dunia nyata dimana memiliki kepentingan
dan nilai.
2. Kegiatan didunia maya seperti transaksi yang dilakukan oleh
masyarakat memiliki pengaruh dalam dunia nyata.

11.2 Ruang Lingkup Cyber Law

Cyber law ini dirancang untuk menerapkan hukum yang
berhubungan dengan aktivitas seorang manusia saat
menggunakan internet. Aktivitas penggunaaan internet memiliki
beberapa jenis permasalahan yang harus diatasi dan diselesaikan
menggunakan hukum siber, menurut (Jonathan Rosenoer, 1997)
membagi ruang lingkup dari Cyber law ini menjadi beberapa hal
yaitu :
1. Copyright (Hak Cipta). Merupakan sebuah hak yang
dikhususkan bagi pencipta atau penerima hak untuk
mengumumkan atau memperbanyak ciptaannya maupun
memberikan izin dengan tidak mengurangi pembatasan-
pembatasan menurut peraturan hukum atau peraturan
undang-undang yang berlaku di sebuah negara.
2. Trademark (Hak Merek). Merupakan hak khusus yang
diberikan oleh negara kepada pemilik sebuah merek yang
sudah terdaftar dalam jangka waktu tertentu.
3. Defamation (Pencemaran Nama Baik). Merupakan sebuah
Tindakan atau upaya seseorang untuk menjatuhkan
kehormatan dan merugikan nama baik orang lain. Wujud dari

141
 pencemaran nama baik ini bisa berupa lisan atau ucapan dan
teks berupa tulisan atau ketikkan.
4. Hate Speech (Penistaan, Penghinaan, Fitnah). Ialah sebuah
sikap, perbuatan, perilaku, tulisan ataupun sesuatu yang
dapat menimbulkan tindakan kekerasan dan sikap prasangka
yang buruk terhadap apa yang dilakukan orang lain.
5. Hacking, Viruses, Illegal Access, (Penyerangan Terhadap
Komputer Lain). Merupakan sebuah aktivitas yang
dilakukan oleh seorang hacker untuk mengetahui kelemahan
dari suatu sistem untuk tindak kejahatan. Virus merupakan
sebuah program yang dirancang untuk merusak file yang ada
didalam sebuah sistem komputer. Akses ilegal (Illegal
Access) ialah sebuah aktivitas yang memasuki akses sebuah
sistem secara tidak sah atau tidak legal dengan mengancam
sebuah aspek kerahasiaan data, integritas data dan
keberadaan dari sebuah data.
6. Regulation Internet Resource (Pengaturan Sumber Daya
Internet). Merupakan sebuah peraturan yang digunakan
untuk mengatur sumber daya yang ada di Internet seperti
mengatur domain name, IP-Address dan lain sebagainya.
7. Privacy (Kenyamanan Pribadi), Merupakan bagian upaya
menjaga privasi atau kerahasiaan data dari seseorang agar
tidak mudah diakses secara publik dan untuk menjaga
keamanan seseorang dari tindak kejahatan.
8. Duty Care (Kehati-Hatian). Merupakan bagian dari
keamanan untuk dapat menggunakan suatu teknologi secara
hati-hati terutama media internet agar tidak mudah terkena
serangan siber.
9. Criminal Liability (Pertanggungjawaban Pidana).
Merupakan bentuk dari sebuah tanggung jawab dari
seseorang dan menentukan dari hukuman atau pidana yang
sudah dilakukannya.

142
10. Procedural Issues (Jurisdiction, Investigation, Evidence, etc)
(Isu prosedural seperti yurisdiksi, pembuktian, penyelidikan,
dll) merupakan sebuah isu prosedur atau aturan bagaimana
dalam melakukan tindakan untuk mengatasi masalah
kejahatan yang berkaitan dengan investasi dan penyampaian
barang bukti.
11. Electronic Contract (Transaksi Elektronik dan Tanda tangan
digital). Merupakan permasalahan didunia maya yang perlu
diberikan aturan hukum dalam melakukan aktivitas kegiatan
tersebut seperti bertransaksi jual beli secara online,
membagikan dokumen agar tidak dimodifikasi dengan
menggunakan tanda tangan digital dan lain lain.
12. Pornography (Pornografi). Merupakan suatu permasalahan
yang berkaitan dengan persoalan-persoalan yang
mengandung tindakan kesusilaan atau perilaku seksual yang
seharusnya tidak ditampilkan secara secara terbuka kepada
publik atau umum.
13. Robbery (Pencurian Lewat Internet). Merupakan sebuah
Tindakan atau aktivitas pencurian yang dilakukan dengan
menggunakan internet seperti pencurian identitas pribadi,
melakukan pencurian saldo di bank secara online dan lain
sebagainya.
14. Consumer Protection (Perlindungan Konsumen).
Merupakan sebuah permasalahan dalam dunia digital
dimana konsumen harus mendapatkan perlindungan atau
hak seperti keamanan saat didunia maya, mendapat
informasi dan lain lain.
15. E-Commerce, E-Government (Pemanfaatan Internet Dalam
Keseharian) ialah aktivitas -aktivitas yang dilakukan secara
online menggunakan internet yaitu untuk membuat platform
belanja, pemerintahan itu harus menggunakan sebuah
aturan yang berlaku. Sehingga platform yang digunakan

143
 dalam kehidupan sehari-hari mempunyai batasan ketika
mengelola data-data dari pengguna.
Sedangkan di Indonesia sendiri memiliki beberapa ruang
lingkup Cyber Law atau Hukum Siber seperti berikut ini :
1. Hukum Publik adalah hak secara hukum yang umum dan
digunakan untuk mengatasi permasalahan hukum didunia
maya secara publik seperti Jurisdiksi, Etika Kegiatan Online,
Perlindungan Konsumen, Anti Monopoli, Persaingan Sehat,
Perpajakan, Regulatory Body, Data Protection dan Cyber
Crimes.
2. Hukum Privat adalah hak secara hukum yang didapatkan
secara pribadi, fungsinya untuk mengatasi masalah hukum
yang berkaitan dengan karya cipta seperti HAKI, E-
Commerce, Cyber Contract, Domain Name, Insurance.

11.3 Urgensi Keberadaan Cyber Law di Indonesia

Indonesia belum memiliki cyber law atau undang-undang
khusus yang menangani terkait dengan cybercrime. Akan tetapi
di Indonesia ada beberapa peraturan hukum yang bisa digunakan
untuk menangani masalah bagi para pelaku cybercrime
khususnya yang menggunakan komputer sebagai sarana, berikut
ini peraturan hukum yang ada di Indonesia :
1. Kitab Undang-undang Hukum Pidana (KUHP)
Pasal-pasal yang ada didalam Kitab Undang-Undang Hukum
Pidana (KUHP) dapat digunakan untuk kasus-kasus yang ada
dalam tindak pidana cybercrime. KUHP ini biasanya dapat
menjerat pelaku menggunakan beberapa pasal yang terdapat
pada KUHP, berikut ini pasal-pasal yang berkaitan dengan
tindak kejahatan cybercrime :
a. Pasal 282 KUHP digunakan untuk menjerat hukum bagi
pelaku tindak kejahatan cybercrime yang melakukan
penyebaran pornografi maupun menyediakan website
porno yang banyak beredar dan mudah diakses di Internet.

144
 b. Pasal 282 dan 311 KUHP dikenakan untuk kasus seperti
penyebaran file foto atau film pribadi seseorang yang vulgar
di Internet.
c. Pasal 303 KUHP dapat menjerat pelaku cybercrime dalam
kasus permainan judi yang dilakukan secara online di
Internet dengan penyelenggara berasal dari negara
Indonesia.
d. Pasal 311 KUHP dapat menjerat pelaku cybercrime dalam
kasus pencemaran nama baik menggunakan media
Internet.
e. Pasal 335 KUHP dapat menjerat pelaku cybercrime dalam
kasus pemerasan dan pengancaman terhadap seseorang
yang dilakukan menggunakan e-mail.
f. Pasal 362 KUHP dapat menjerat pelaku cybercrime dalam
kasus carding yaitu melakukan pembobolan terhadap kartu
kredit milik orang lain.
g. Pasal 378 dan 262 KUHP dapat menjerat pelaku cybercrime
dalam kasus carding dimana pelaku menggunakan kartu
kredit curian untuk mengelabuhi penjual dengan seolah-
olah ingin membeli suatu barang.
h. Pasal 406 KUHP dapat menjerat pelaku cybercrime dalam
kasus deface atau melakukan hacking yang membuat sistem
atau website milik orang lain menjadi tidak berfungsi
sebagaimana mestinya.

11.4 Undang-Undang No 19 Tahun 2002 tentang Hak Cipta

Menurut Pasal 1 angka (8) Undang-Undang No 19 Tahun
2002 tentang Hak Cipta, Hak Cipta adalah hak eksklusif bagi
Pencipta atau penerima hak untuk mengumumkan atau
memperbanyak Ciptaannya atau memberikan izin untuk itu
dengan tidak mengurangi pembatasan-pembatasan menurut
peraturan perundang-undangan yang berlaku. Program
komputer adalah sekumpulan intruksi yang diwujudkan dalam

145
bentuk bahasa, kode, skema ataupun bentuk lain yang apabila
digabungkan dengan media yang dapat dibaca dengan komputer
akan mampu membuat komputer bekerja untuk melakukan
fungsi-fungsi khusus atau untuk mencapai hasil yang khusus,
termasuk persiapan dalam merancang intruksi-intruksi tersebut.
Hak cipta untuk program komputer berlaku selama 50
tahun sejak pertama kali diumumkan (Pasal 30). Pasal-pasal
tersebut dapat digunakan untuk menjerat pelaku cybercrime
dalam kasus pelanggaran hak cipta. Kasus pelanggaran hak cipta
program komputer atau software merupakan kasus yang cukup
banyak terjadi. Menurut survei yang dilakukan oleh aliansi
software BSA di Amerika pada tahun 2017, negara Indonesia
menempati posisi ke dua paling banyak menggunakan software
komputer bajakan yaitu sebanyak 83%. Hal tersebut berkaitan
dengan harga dari program atau software komputer cenderung
sangat mahal bagi kalangan pengguna di Indonesia. Adanya hal
tersebut menjadi sebuah peluang yang cukup menjanjikan bagi
para pelaku bisnis untuk menduplikasi atau menggandakan
software serta menjual software bajakan tersebut dengan harga
yang murah. Contohnya adalah software sistem operasi dimana
harganya sekitar 2-3 jutaan dapat dibeli dengan harga Rp 50.000.
Keuntungan dari penjualan software bajakan dengan harga
yang murah tersebut mendatangkan keuntungan bagi pelaku
karena hanya mengeluarkan modal yang sangat kecil.
Pembajakan software tersebut sangat merugikan bagi sebuah
perusahaan atau pemilik hak cipta. Tindakan pelaku cybercrime
dalam kasus pembajakan software dapat dijerat sanksi hukum
dengan menggunakan pasal 72 ayat 3 yang berbunyi ” Barang
siapa dengan sengaja dan tanpa hak memperbanyak penggunaan
untuk kepentingan komersial suatu Program Komputer dipidana
dengan pidana penjara paling lama 5 (lima) tahun dan/atau
denda paling banyak Rp 500.000.000,00 (lima ratus juta rupiah)”.

146
11.5 Undang-Undang No 36 Tahun 1999 tentang
Telekomunikasi
Berdasarkan pasal 1 ayat 1 Undang-Undang No 36 Tahun
1999 yang berbunyi “Telekomunikasi adalah setiap pemancaran,
pengiriman, dan atau penerimaan dari setiap informasi dalam
bentuk tanda-tanda, isyarat, tulisan, gambar, suara, dan bunyi
melalui sistem kawat, optik, radio, atau sistem elektromagnetik
lainnya”. Penggunaan internet secara tidak sah/illegal dan
mengganggu ketertiban umum atau pribadi dapat dikenakan
sebuah sanksi hukum. Undang-undang ini juga dapat digunakan
sebagai aturan bagi para pelaku cybercrime dimana pada pasal
22 menjelaskan bahwa Setiap orang dilarang melakukan
perbuatan tanpa hak, tidak sah, atau memanipulasi :
1. Akses ke jaringan telekomunikasi;
2. Akses ke jasa telekomunikasi; dan atau
3. Akses ke jaringan telekomunikasi khusus.
Jika melanggar hal-hal tersebut maka dapat dikenakan
sanksi hukum seperti kasus yang terjadi pada tahun 2004 tentang
pembobolan situs KPU dimana pelaku melakukan akses dan
memanipulasi data yang ada di website KPU, sehingga terjerat
pasal 50 yang berbunyi ” Barang siapa yang melanggar ketentuan
sebagaimana dimaksud dalam Pasal 22, dipidana dengan pidana
penjara paling lama 6 (enam) tahun dan atau denda paling
banyak Rp 600.000.000,00 (enam ratus juta rupiah)”.

11.6 Undang-undang Nomor 11 Tahun 2008 Tentang

Internet & Transaksi Elektronik (UU ITE)
Pasal-pasal yang ada dalam Undang-Undang ITE No 11
tahun 2008 memiliki fungsi sebagai aturan pedoman para
pengguna internet. Contoh sanksi hukum menjerat pelaku
kejahatan didunia maya pada kasus ujaran kebencian yang
berbentuk SARA dijerat dengan pasal 28 ayat 2 yang berbunyi :
”Setiap Orang dengan sengaja dan tanpa hak menyebarkan

147
informasi yang ditujukan untuk menimbulkan rasa kebencian
atau permusuhan individu dan/atau kelompok masyarakat
tertentu berdasarkan atas suku, agama, ras, dan antar golongan
(SARA)”. Kasus pelanggaran tersebut mendapat sanksi pidana
sesuai dengan pasal 45 ayat 2 yang berbunyi : ”Setiap Orang yang
memenuhi unsur sebagaimana dimaksud dalam Pasal 28 ayat (1)
atau ayat (2) dipidana dengan pidana penjara paling lama 6
(enam) tahun dan/atau denda paling banyak Rp1.000.000.000,00
(satu miliar rupiah)”.
Sistem perundang-undangan di Indonesia sendiri belum
mengatur secara khusus mengenai kejahatan didunia maya
menggunakan internet. Walaupun sudah ada beberapa peraturan
seperti KUHP, UU ITE dan Undang-Undang lainnya yang bisa
diterapkan untuk beberapa kejahatan didunia maya, akan tetapi
ada juga kejahatan yang tidak bisa diatasi dengan undang-undang
yang berlaku saat ini. Menurut (Marita, 2015) masalah penerapan
dan penegakan hukum cybercrime saat ini masih tertinggal
dengan negara-negara lain yang sudah memiliki kebijakan dan
undang-undang khusus dalam mengatasi kasus yang terjadi
didunia maya. Ada beberapa penerapan yang sudah dijalankan
oleh beberapa negara terkait dengan Cyber law, antara lain :
1. United States of America sudah menerapkan cyber law yang
mengatur terkait dengan transaksi elektronik atau dikenal
dengan Uniform Electronic Transactions Act (UETA). UETA
ini sudah diadopsi dan diterapkan di 47 negara bagian,
Kepulauan Virgin AS, Distrik Columbia dan Puerto Rico.
2. Singapura memiliki cyber law yaitu Electronic Act pada tahun
1998, Electronic Communication Privacy Act tahun 1996.
Peraturan tersebut digunakan untuk mengatasi masalah
terkait dengan transaksi perdagangan elektronik. Tujuan
adanya peraturan tersebut adalah mendorong kementerian
komunikasi, informasi dan kesenian untuk dapat membuat

148
 sebuah peraturan terkait dengan perijinan dan otoritas
sertifkasi di Singapura.
3. Malaysia memiliki cyber law yang pertama yaitu Digital
Signature Act 1997. Tujuan peraturan tersebut untuk
memungkinan antara perusahaan dan konsumen
menggunakan tanda tangan elektronik dalam hukum dan
transaksi bisnis. Kemudain cyber law yang berikutnya adalah
Telemidicine Act 1997. Peraturan ini dibuat untuk
memberikan pelayanan atau konsultasi dari jarak jauh
menggunakan fasilitas komunikasi elektronik.

149
Bab 12. ISO 27001

12.1 Pendahuluan
Saat ini informasi menjadi hal sangat crusial, dimana
peranan data dan informasi menjadi hal utama di era digitalisasi.
Untuk itu perlu penanganan khusus menjaga keamanan data dan
informasi. Banyak ancaman terkait perangkat aplikasi baik
disengaja oleh Hacker untuk merusak atau mencuri informasi
maupun yang tidak sengaja dilakukan seperti menaruh password
yang bisa dibaca orang lain, pengunaan sharing data Bersama dan
lain sebagainya. Di era sharing data dan informasi terkadang
terjadi kebocoran data informasi yang penting sehingga akan
berdampak negative pada perusahaan. Untuk itu perlu dilakukan
proteksi yang handal terkait aturan atau regulasi sharing data
dan informasi dengan standar ISO 27001.
Kegiatan keamanan yang terstandarisiais internasional
sangat penting terhadap keamanan data dan informasi.
Penerapan kemanan sistem informasi dapat dilakukan dengan
mengunakan standar yang ada melalui kemanan sistem informasi
ISO 27001. ISO 27001 secara umum memiliki 14 kalusa yang
meliputi 113 kontrol kemanan informasi dan data. Standar
kemanan sistem informasi sangat relevan di aplikasikan pada
perusahaan, perusahaan non profit juga pemerintah meliputi 5
area meliputi tata Kelola, pengeloaan asset informasi perusahan,
teknologi kemanan, manajemen resiko dan pengelolaan kemanan
sistem informasi.

150
12.2 Sejarah ISO 27001
ISO 27001 merupakan standar untuk mengaudit keamanan
sebuah sistem informasi dan digunakan sebagai acuan
untuk menghasilkan dokumen (temuan dan rekomendasi) (M.
Bakri et.al, 2017). Internasional Standar Organization, ISO secara
keseluruhan dibentuk untuk menangani bidang kegiatan teknis
secara spesifik. Perusahaan, pemerintah dapat menerapkan
salah satu standar dari ISO series, namun dalam pembahasan
pada Bab ini terkait ISO 27001 di bidang keamanan sistem.
Standar ini digunakan dalam mengidentifikasikan dan
meminimalkan risiko keamanan informasi sampai pada tingkat
yang dapat diterima (risk appetite).
ISO mengembangkan standar internasional. ISO didirikan
pada tahun 1947, dan sejak itu telah menerbitkan lebih dari
19.500 standar internasional mencakup hampir semua aspek
teknologi dan bisnis. Dari keamanan pangan ke komputer, dan
pertanian untuk kesehatan. SO adalah badan standarisasi
internasional yang menangani masalah standarisasi untuk
barang dan jasa. Badan ini merupakan federasi badan-badan
standarisasi dari seluruh dunia yang berkedudukan di Ganeva
Swiss. Keanggotaan Indonesia dalam ISO diwakili oleh Dewan
Standarisasi Nasional (Husaini Usaman, 2014).
Standar keamanan ISO khususnya ISO 27001 merupakan
standarisasi internasional untuk sistem manajemen kemanan
indormasi (SMKI) atau information security management system
(ISMS) yang terdiri dari prosedur, kebijakan dan control yang
berinteraksi terhadap teknologi informasi, sumberdaya atau orng
yang terlibat dan proses secara keseluruhan (Sigit Tri Yuwono
et.al, 2022). Standar keamanan ISO 27001 mampu menerapkan,
memantau, menetapkan, mengoperasikan, memaintenance,
mengkaji, menganalisis serta mampu meningkatkan sistem
kemanan perusahaan secara keseluruhan.

151
 ISO/IEC 27001 salah satu standar yang dikeluarkan oleh
International Organization for Standardization (ISO) bersama
IEC- International Electrotechnical Commision membangun
brand yang focus terhadap ISMS- Information Security
Management Systems (ISMS) atau yang sering kita menyebutkan
kemanan sistem informasi yang telah menjadi salah satu best
practise standar kemanan yang banyak dipergunakan
perusahaan maupun pemerintahan di dunia.
Dasar ISO/IEC ISME terkait manajemen resiko terhadap
control kemanan yang dipelihara dan selalu di terapkan.
Harapannya perusahaan yang mendapati sertifikasi ISO 27001
akan terstandarisasi dalam mengelola, mengendalina dan
menjaga it risk atau resiko kemanan sistem informasi yang
mampu mencangkup standar keamanan yaitu kerahasiaan,
ketersediaan dan integritas agar keamanan tetap terjaga. Standar
ISO 27001 spesifikasi untuk keperluan sistem manajemen
keamanan informasi.

Gambar 41. Logo ISO 27001

Standar ISO 27001:2005 telah digantikan dengan ISO

27001: 2013 yang diterbitkan pada Oktober 2013 dan sekarang
telah terbit ISO 27001: 2022 yang berarti standar ISO telah
mengalami perubahan dan perkembangan sesuai kebutuhan
kemanan sistem informasi saat ini di era digitalisasi dan era
diskrupsi industry 4.0.

152
 Gambar 42. Domain ISO 27001

Pada ISO yang sebelumnya ISO 27001:2005 terdiri 133

kendali -Contol dan 11 DOMAIN sedangkan untuk ISO
27001:2013 Standar dikembangkan melalui 114 control
pengendalian dalam 14 domain. Perubahan tahun 2013
mengikuti perkembangan teknologi informasi (TI) seperti era
digitalisasi, teknologi komputasi awan, cloud strorage. Pada ISO
TAHUN 2013 memiliki perubahan terkait pemeriharaan asset
informasi.

12.3 Manfaat Penerapan ISO 27001

Era informasi dan digital yang memiliki banyak sekali data,
informasi dimana seluluh aktivitas terkendali berdaasarkan
pengolahan dan pertukaran informasi secara global saat ini.
Hampir semua transaksi besar perusahaan dalam hal
pembayaran dilakukan secara digital. Untuk itu perlu
perlindungan terhadap asset informasi disemua lini yang mampu
mengelola dan melindungi aset data dan informasi yang berharga
melalui standar ISO 27001.
ISO 27001: 2013 bertujuan diantaranya dalam melindungi
dan memelihara informasi data di perusahaan di dunia maya
yang harus dilindungi agar tidak disalahgunakan atau di
curi/Hack oleh orang yang tidak bertanggungjawab.

153
 Penting perusahan atau oemerintah menerapkan standar
ISO 27001:2013 , di antaranya:
1. Keuanggulan kompetitif
2. Mengelola resiko IT
3. Memenuhi persyaratan hukum
4. Menjaga informasi aman khususnya informasi rahasia
5. Mengelola dan meminimalisir resiko
6. Menyakinkan klien dan pemangku kepentingan
7. Membangun budaya keamana
8. Meningkatkan retensi klien
9. Konsistensiterhadap pengiriman produk atau layanan
Ketika sebuah bisnis tumbuh dengan cepat, tidak butuh
waktu lama untuk bertanggung jawab atas aset informasi mana.
Standar ISO 27001 membantu organisasi menjadi lebih produktif
dengan menetapkan tanggung jawab risiko informasi secara jelas.
Manfaat memiliki struktur yang jelas dan terdefinisi dengan
baik untuk mengelola risiko informasi adalah:
1. Peningkatan produktivitas: Organisasi dapat meningkatkan
produktivitas dengan memastikan bahwa setiap orang
memahami siapa yang bertanggung jawab atas aset informasi
tertentu. Dengan cara ini, tidak ada duplikasi upaya dan
semua orang mengetahui peran mereka.
2. Pengambilan keputusan yang lebih baik: Organisasi
menbangun keputusan yang lebih baik tentang cara
mengelola risiko informasi dengan memahami risiko yang
terlibat.
3. Pengurangan biaya: Organisasi dapat menghindari upaya dan
pengeluaran yang sia-sia dengan memiliki struktur yang jelas
dan ringkas untuk mengelola risiko informasi.

154
 Standarisasi ISO menerapkan CIA sebagai dasar keamanan
sistem informasi meliputi:
1. Confidentiality-Kerahasiaan. Kerahasian memastikan data
dan informasi perusahaan termonitor, dapat diakses oleh
pihak berwewenang dengan dibuatkan regulasi dan
melakukan klasifikasi data dnegan kriteria rahasia / sangat
rahasia / biasa juga previllage terhadap akses terhadap data
dan informasi.
2. Integrity- Integritas. Integritas dituntut untuk memastikan
informasi akurat, lengkap, tepat serta aman dari pihak yang
tidak berwenang atau tidak bertanggung jawab. Untuk itu
perlu dibuatkan regulasi dengan ketentuan hak akses data
crusial atau penting atau data center hnay untuk divisi atau
karyawan tertentu atau memiliki acess control Khusus.
3. Availability – Ketersediaan. Ketersediaan ini memastikan
data dan informasi selalu ada tersedia dan mudah diakses
sesuai wewenang dan kebutuhan dari perusahaan. Hal – hal
yang perlu dilakukan terkait ketersediaan diantaranya
penyimpanan lokasi yang secure dari ganguan baik
pencurian, bencana alam, hacker atau serangan siber (Cyber
Attack) melalui penyimpanan di cloud storage.
Melalui Implmenatasi keamanan sistem informasi yang baik
maka perusahaan akan menjaminan kelangsungan proses bisnis
kepada para mitra atau klien dan stakeholder sehingga brand
image perusahaan yang aman terstandar internasional menjadi
standar kemanan perusahaan serta dapat boosting reputasi
perusahaan yang aman dimata para klien dan mitra.

12.4 Komponen Dalam ISO 27001

Serangan dunia maya meningkat volume dan kekuatannya
setiap hari. Kerusakan finansial dan reputasi yang disebabkan
oleh keamanan informasi yang tidak efektif dapat menjadi
bencana. Menerapkan ISMS bersertifikasi ISO 27001 membantu

155
melindungi organisasi Anda dari ancaman tersebut dan
menunjukkan diperlukan melindungi bisnis perusahaan.

12.5 Kontrol dalam ISO 27001

Untuk memastikan semua terkontrol dengan baik perlu
memperhatikan beberapa aspek didalammnya diantaranya:
1. Kebijakan Keamanan Informasi-Information Security
Policies
2. Organisasi Keamanan Informasi- Organisation of Information
Security
3. Keamanan Sumber Daya Manusia - Human Resource Security
4. Manajemen Aset - Asset Management
5. Kontrol Akses - Access Control
6. Kriptografi - Cryptography
7. Keamanan Fisik dan Lingkungan-Physical and
Environmental Security
8. Keamanan Operasi - Operations Security
9. Keamanan Komunikasi - Communications Security
10. Akuisisi, Pengembangan dan Pemeliharaan Sistem - System
Acquisition, Development and Maintenance
11. Hubungan dengan Supplier -Supplier Relationships
12. Manajemen Insiden Keamanan Informasi-Information
Security Incident Management
13. Aspek Keamanan Informasi Manajemen Kontinuitas Bisnis -
Information Security Aspects of Business Continuity
Management
14. Kepatuhan - Compliance
Dalam ISO 27001 terdapat tambahan aspek yang tercantum
dalam Annex A meliputi information security policies,
organization of information security, human resourses security,
management asset dan aspek lainnya. Berikut ini pembahasan
terkait aspek tambahan sebagai control dlam ISO 27001 sebagai
berikut:

156
a. Annex.5 (A5) Kebijkaan kemanan informasi (Information
Security Policies) yaitu terkait kontrol untuk dapat mengawasi
dan melaksanakan kebijakan secara tertulis sesuai arahan
perusahaan atau organisasi.
b. Annex 6 (A.6) Keamanan Informasi organisasi (Organisation of
Information Security), keamanan informasi terkait organisasi
dibagi menjadi 2 yaitu: penetapan kerangka kerja untuk
memelihara juga menerapkan keamanan informasi secara
lebih memadai serta efektif (6.1) dan Adanya remote
working dan mobile devices, dimana pekerjaan dalat dilakukan
dari rumah ataupun selama di perjalanan atau dari mana saja
asalkan mampu mengikuti aturan yang sudah diberlakukan.
(6.2).
c. Annex 7 (A.7) Kemanan SDM (Human Resource Security),
Keamanan SDM ini untuk memastikan semua karyawan atau
SDM dan kontraktor telah memahami hak dan tanggungjawab
(responbility) terhadap lingkungan perusahaan bekerja.
d. Annex 8 (A.8) Managemen Aset (Asset Management),
manajemen asset merupakan salah satu control perusahan
terhadap identifikasi dan penentuan terhadap asset
perusahaan sesuai standar yang telah diberlakukan. Untuk
pengelolaan manajemen asset ini dibagi menjadi 3 bagian
diantaranya:
1) Perusahaan harus melakukan pendataan atau identifikasi
asset informasi yang dimiliki dalam linkup keamanan
manajemen sistem informasi (8.1), Perusahaan memastikan
bahwa asset informasi telah sesuai dnegan standar yang
diberlakukan sesuai klasifikasi yang telah dilakukan (8.2)
dan Adanya penanganan media khusus untuk memastikan
bahwa data tidak boleh di hapus, di modifikasi, dihancurkan
bahkan di publish atau diungkap jika tujuan yang sah atau
valid atas persetujuan perusahaan (8.3).

157
2) Annex 9 (A.9) Kontrol Akses (Access Control), Kontrol ini
dilakukan untuk membatasi hal askses jaryawan agar hanya
dapat melihat , mengelola informasi yang sesuai dan relevan
dnegan job descripsion atau jabatan serta tupoksinya. Dalam
manajemen control terhadap akses terdiri dari 4 bagian
meliputi manajemen akses penguna, tanggungjawab dari
penguna (User), persyaratan bisnis dari acess control dan
akses control terhadap lingkup sistem jug aaplikasi yang ada
di perusahaan.
3) Annex 10 (A.10) Kriptograpi (Cryptography), Kontrol
memlalui kriptografi ini meliputi berbagai hal berkaitan
dengan enkripsi suatu data, pengelolaan informasi –
informasi yang crucial atau sensitive. Kontrol melalui
kriptografi memastikan oragnisasi untuk mampu
memfasilitasi pengunaan kriptografi secara handal, efektif
dan tepat dalam melindungi informasi penting di perusahaan
yang bersifat CIA yaitu integritas, kerahasiaan dan
ketersediaan data.
4) Annex 11 (A.11) Physical and Environmental security,
kemanan fisik ini membahas control terhadap informasi juga
control terhadap kemanan lingkungan dalam perusahaan
atau organisasi.
5) Keamanan Operasi (Operational Security) merupakan bagian
dari Annex 12 (A.12), yang membahas terkait control
terhadap operasi atau operasional yang memastikan semua
proses informasi terjaga aman dan terkendali.
6) Keamanan komunnikasi (Communications Security)
merupakan bagian dari Annex 13 (A.13), yang membahas
keamanan komunikasi terhadap perlindungan atas informasi
suati jaringan dari klien atau mitra perushaaan.
7) ANNEX 14. (A14) System Acquisition, Development &
Maintenance. Annex 14 ini membahas terkait kontrok
terhadap kepastian akan kemanan informasi yang menjadi

158
 bagian terpusat da paling bergarga atau peting bagi
perusahaan.
8) Annex 15 Hubungan Supplier (Supplier Relationship),
merupakan control terhadap perjanjian kontrak atau
Kerjasama yang dimiliki pihak perusahaan dengan pihak
mitra atau pihak ketiga dengan focus terhadap jasa yang telah
disepakati Bersama.
9) Annex 16 Information security incedent management yang
merupakan yang membahas pelaporan & pengelolaan jika
terjadi suatu inseden kemanan di perusahaan. Penanganan
dilakuakn dengan melibatkan karyawan yang sudah
ditugaskan untuk incident manajemen handling sehingga
akan lebih efektif dalam melakukan penaganan inseden
kemananan.
10) Annex 17. Information security aspecs of Business Continuity
Management merupakan bentuk control yang dilakukan
untuk membangun atau membuat sistem yang efektif, lebih
efesien dalam pengelolaan berbagai gangguan atau kendala
bisnis.

12.6 Compliance
Annex 18 merupakan Annext yang terkahir di ISO terkait
Complience. Control terhadap Complience yaitu mampu
memastikan perusahaan atau organisasi telah dilakukan
identifikasi hukum dan peraturan sesuai bahkan lebih sesuai lagi
terhadap persyaratak terkait hukum dan kontrak serta mampu
meminimalisir jika terkadi resiko maupun ktidakpatuhan serta
hukum yang akan terkait hal tersebut.
Standar Internasional ISO terkait keamanan perlu
dievaluasi melingkupi manajemen resiko terhadap keamanan
informasi, evaluasi terhadap tata kelola, kerangka framework
pengelolaan keamanan informasi, evaluasi terhadap teknologi

159
keamanan informasi dan pengelolaan aset informasi, serta 10
klausal.
Klasusal dalam ISO 27001 meliputi:
1. Cakupan
2. Aturan dan definisi
3. Konteks
4. Referensi normatif
5. dukungan
6. Kepemimpinan
7. Perencanaan dan manajemen risiko
8. Performa
9. Operasi
10. Perbaikan atau improvisasi.

12.7 Sistem Manajemen Keamanan

Sistem manajemen kemanan sistem informasi atau ISO
27001 merupakah pilihan yang tepat dalam menerapkan
Langkah-langkah perlindungan terhadap kemana sistem
informasi. Beberapa Langkah-langakh kemanan yang umumnya
dilakuakan sepertli perlindunagn anti virus, perlindungan
malware, pergantian password secara berkala atau manajemen
Patch. Untuk Langkah dalam control keamanan informasi yang
sistematis diperlukan pendekatan control yang aman atau
manajemen kemanan sistem informasi melalui penerapan
standar ISO 27001, ISO 27002 dan series kemanan ISO lainnya.
Untuk itu perusahaan perlu mengetahui dan menjaga
kemananan informasi perusahaan baik untuk para pemilik, para
pelanggan, para karyawan juga mitra untuk dnegan focus
menegtahui resiko keamanan sistem dan mengetahui cara
mengatasinya untuk meminimilalisir resiko yang dialami
Bersama. Data dan informasi merupakan asset penting dan
berharga yang harus terjada keamananya meliputi SDM,
Kebijakan, regulasi, indfrastruktur, data dan serta sisten

160
informasi Ti harus memperhatikan pengelolaan atas resiko yang
akan mungkin terjadi. untuk itu jika pelanggan dan perusahaan
akan merasa aman jika ada jaminan atas efektifitas kemanan
sistem infomasi dan kerahasiaan (Confidentiality), Integritas , dan
ketersediaan terhadap data dan informasi (Availaibility)
terhadap seluruh proses informai di perusahaan maka
kelangsungan perusahaan akan tetap terjaga dnegan baik dan
aman (CIA).

Gambar 43. Sertifikat ISO 27001

Sumber: https://pecb.com/en/education-and-certification-for-
individuals/iso-iec-27001

161
12.8 Tahapan implementasi ISO 27001
Proses implementasi ISO 27001
1. Membiasakan standar ISO 27001 dan ISO 27002, Sebelum
memperoleh banyak manfaat dari ISO 27001, pertama-tama
harus membiasakan diri dengan Standar dan persyaratan
intinya.
2. Kumpulkan tim proyek dan mulai proyek. Pertama-tama
harus menunjuk seorang pemimpin proyek untuk mengelola
proyek, Kedua, memulai latihan pengumpulan informasi
untuk meninjau tujuan tingkat senior dan menetapkan tujuan
keamanan informasi. Ketiga, mengembangkan rencana
proyek dan daftar risiko proyek.
3. Melakukan analisis kesenjangan, Analisis kesenjangan
membantu perusahaan menentukan area organisasi mana
yang tidak sesuai dengan ISO 27001, dan apa yang perlu
diperbaiki perusahaan untuk melakukan untuk menjadi
patuh.
4. Cakupan Sistem manajemen kemananan informasi,
Mengharuskan perusahaan untuk memutuskan aset
informasi mana yang akan dilindungi. Hal ini perlu dilakuan
dengan tepat dan benar sangatlah penting.
5. Memulai pengembangan kebijakan tingkat tinggi dan
dokumentasi key success penerapan ISO 27001, Perusahann
perlu menetapkan kebijakan tingkat tinggi untuk Sistem
manajemen kemananan informasi denagn melakukan
penetapan peran dan tanggung jawab serta menetapkan
aturan untuk peningkatan berkelanjutannya (Continous
improvement). Perusahaan juga perlu melakukan konsolidasi
dengan meningkatkan kesadaran Sistem manajemen
kemananan informasi melalui komunikasi internal dan
eksternal.
6. Lakukan penilaian risiko, Penilaian risiko adalah inti dari
Sistem manajemen kemananan informasi dengan melibatkan

162
 lima aspek penting: menetapkan kerangka kerja manajemen
risiko, mengidentifikasi, menganalisis, dan mengevaluasi
risiko, serta memilih opsi penanganan risiko.
7. Pilih dan terapkan control, Kontrol harus diterapkan dalam
mengelola atau mengurangi risiko yang diidentifikasi dalam
penilaian risiko. ISO 27001 mewajibkan organisasi untuk
membandingkan kontrol apa pun dengan daftar praktik
terbaiknya sendiri menurut 18 Annex.
8. Mengembangkan dokumentasi risiko, Rencana penanganan
risiko dan SOA merupakan dokumen utama yang diperlukan
dalam standarisasi ISO 27001. Rencana penanganan risiko
akan menjelastahapan diambil untuk menangani setiap
risiko yang telah teridentifikasi, sedangkan SOA untuk semua
kontrol ISO 27001serta merinci setiap kontrol telah
diterapkan.
9. Pelatihan dan Sosialasi para karyawan, Human Error atau
kesalaan SDM dapat menjadi mata rantai terlemah dalam
keamanan dunia maya. Oleh karena itu, semua karyawan
harus menerima pelatihan secara berkala untuk
meminimalisir kesalahan dnegan meningkatkan kesadaran
karyawan melalui pelatihanmaupun sosialisasi berkala akan
masalah keamanan informasi.
10. Menilai, mengkaji dan melakukan audit internal, ISO 27001
membutuhkan audit dan pengujian berkala untuk
memastikan bahwa kontrol berfungsi sebagaimana mestinya
dan bahwa rencana respons insiden berfungsi secara efektif.

12.9 Rangkuman
Standarisasi internasioanl ISO 27001 perusahaan
mengetahui resiko atas kemanan sistem informasi dan dapat
mengantisipasai dnegan melakuakn mitigasi resiko. Implemtasi
ISO 27001 Menerapkan PDCA – Plan-Do-Check-Action untuk
continues improvement perusahaan agar semakin aman, nyaman

163
dan terkendali dengan baik. ISMS (sistem manajemen keamanan
informasi) selalu memastikan data informasi terjaga dnegan
pendekatan CIA (Confidential Integrated, Avabiality)

164
Bab 13. Tentang ISO 27002

ISO 27000 merupakan serangkaian standar yang disediakan

oleh International Standards Organization (ISO) dan International
Electrotechnical Commission (IEC) dalam penanganan keamanan
informasi. Standard ISO 27000 Series secara spesifik telah
ditetapkan oleh ISO untuk urusan yang terkait dengan information
security (Papagiannakis, A. T et.al, 1998).

Gambar 44. ISO 27002

Apakah ISO 27001 dan ISO 27002 adalah hal yang sama
dengan ISO 27001 tidak sedetail jika dibandingkan dengan ISO
27002 yang berisi tentang kontrol dan pedoman implementasi.
Sebaliknya, ISO 27001 menguraikan gambaran umum komponen
ISMS dengan panduan lebih mendalam yang disediakan dalam

165
standar ISO lainnya. Salah satu standar tersebut adalah ISO
27002 (Andriana, M., Sembiring et.al, 2020).

Gambar 45. Standar ISO/IEC 27002: 2022

Standar ISO/IEC 27002 Versi Terbaru dengan menerapkan

keamanan data atau informasi maka sebuah perusahaan dapat
meningkatkan kualitas layanannya karena tidak khawatir data
nasabah atau user bocor. Berbicara mengenai meningkatkan
kualitas layanan, hal ini merupakan suatu langkah penting untuk
perusahaan adaptasi, yakni mengamankan data penggunanya.
Pada awal tahun 2022 salah satu standar ISO 27002 telah merilis
versi terbarunya (Kurniawan, E. 2018). Versi ini berisi panduan
dan contoh-contoh penerapan keamanan informasi yang
menggunakan bentuk-bentuk kontrol informasi (Muhammad
Rusli, M. T., 2020). Penerapan kontrol informasi ini dapat dipilih
oleh penggunanya akan menerapkan kontrol apa saja yang tepat
dengan kebutuhannya. Adapun hal-hal yang harus
dipertimbangkan mengenai hasil kajian risiko yang telah

166
dilakukannya. Jika dibandingkan oleh Standar ISO 27001 di edisi
ke-2 terdapat 114 information security control, 14 klausul, dan
35 kategori (Idik Saeful Bahri, S. H, 2020). Sedangkan ISO 27002
versi baru ini hanya memuat 93 control dan 4 klausul. Dengan
demikian kontrol informasi dalam ISO 27002 versi baru terdiri
dari: 11 new controls, 24 merged controls dan 58 updated
controls (Kurniawan, E. 2018).
Pada Standar ISO 27002 banyak memuat ratusan cara untuk
menangani keamanan informasi dan memiliki banyak bab
mengenai bagaimana cara mengamankan informasi (Hananto, A.
L. 2023). Mengamankan informasi biasanya identik dengan
teknologi informasi, namun di standar ISO 27002 juga dapat
berkaitan dengan mengamankan informasi di atas kertas.
Walaupun Standar ISO 27002 lebih menunjukkan kepada
departemen IT. Standar ISO 27002 memang berkaitan erat
dengan ISO 27001, karena memang keduanya menangani subyek
yang sama meskipun dengan cara yang berbeda. Dua hal ini
dipisahkan agar dokumen yang diterbitkan tidak terlalu panjang
dan tidak membingungkan (Suherman, S. 2017).

13.1 Definisi, Cakupan dan Manfaatnya ISO 27002

International Organization for Standardization (ISO) adalah
badan non-pemerintah yang bertugas membuat standar untuk
sebagian besar subjek teknis. (Sakinah, F et.al, 2014). ISO 27002
adalah seperangkat standar dan prosedur yang berkaitan dengan
keamanan dan kontrol informasi yang memungkinkan bisnis
untuk menerapkan keamanan yang tepat. Standar ini sebagian
besar dilengkapi dengan ISO 27001 yang merinci tugas
manajerial seperti penilaian risiko dan meninjau keamanan.
Dilain pihak, ISO 27002 banyak berbicara tentang aspek kontrol.
Dua standar juga pernah digunakan sebelum ISO 27002 diadopsi.
Pertama adalah BS7799 yang digunakan di Inggris dan muncul
pada tahun 1995. Setelah direvisi, BS7799 diterbitkan lagi oleh

167
ISO sebagai ISO 17799. Pada tahun 2005, setelah suntingan lebih
lanjut, ISO 17799 dikenal sebagai ISO 27002. Sementara setiap
versi berbeda namun ketiganya sama-sama berurusan dengan
keamanan informasi (Chazar, C. 2015).

Gambar 46. Cakupan dan Manfaatnya ISO

ISO 27002 memuat ratusan cara untuk menangani

keamanan informasi dan memiliki banyak bab tentang cara
mengamankan informasi (Muharram, M. S. 2019). Beberapa bab
berkaitan dengan sumber daya manusia dan interaksi mereka
dengan informasi, sementara yang lain memuat cara sebuah
bisnis untuk mengontrol akses dan kelangsungan usaha dengan
prosedur keamanan mereka. Keamanan informasi biasanya
identik dengan teknologi informasi (TI), tetapi ISO 27002 juga
berkaitan dengan mengamankan informasi diatas kertas,
meskipun sebagian besar dari standar ini ditujukan untuk
departemen TI. Dalam rilis pertama, standar 27002 dimaksudkan
untuk meliputi semua lembaga yang membutuhkan keamanan
informasi (Ramdani, D. 2018). Ini berarti perusahaan, organisasi

168
non-profit, lembaga pemerintah, dan entitas bisnis semua akan
mengikuti standar yang sama. Namun, versi selanjutnya
memisahkan standar untuk berbagai sektor agar lebih efisien
(Puspadini, A. 2016).

Gambar 47. Pengendalian ISO

ISO 27002 berisi rincian tentang pengendalian dan

prosedur yang digunakan untuk menjaga informasi tetap aman.
Standar lainnya, seperti ISO 27001, hanya berisi bagian kecil
tentang kontrol (Budiarto, R. 2017). Sebaliknya, 27002 banyak
berkaitan dengan kontrol tapi menawarkan sedikit dalam hal
manajemen. Pada ISO 27001, semua aspek manajemen tersebut
turut dimasukkan. Itu sebab, banyak orang bingung membedakan
ISO 27001 dan 27002 karena keduanya menangani subyek yang
sama meskipun dengan cara yang berbeda.
Apa Perbedaan ISO 27001 dan ISO 27002 keduanya dalam
organisasi atau perusahaan kita memiliki Information Security
Management System (ISMS) untuk mengumpulkan data
konsumen, Kita mungkin pernah mendengar istilah ISO 27001
dan ISO 27002 (Rinaldi, A et.al, 2017). Keduanya sama-sama
standar yang diterapkan di bidang IT. Namun, tahukah Kita
perbedaan ISO 27001 dan ISO 27002.

169
13.2 ISO 27001
ISO 27001 adalah kerangka kerja utama dari seri ISO 27000
yang menguraikan secara spesifik dan praktik terbaik untuk ISMS
organisasi atau perusahaan. Sertifikasi ini merupakan rangkaian
dokumen yang berkaitan dengan berbagai bagian manajemen
keamanan informasi.

Gambar 48. Pengendalian ISO 27001

Pada dasarnya, sertifikasi adalah daftar yang berisi ikhtisar

dari semua yang Kita butuhkan dan harus Kita lakukan untuk
mencapai standar. Untuk penerapannya bisa untuk semua jenis
organisasi, perusahaan atau nirlaba, pemerintah atau swasta, dari
berbagai jenis dan ukuran.

13.3 ISO 27002

ISO 27002 adalah serangkaian pedoman keamanan yang
dirancang untuk membantu perusahaan memilih, menerapkan,
dan memelihara ISMS-nya (Setiawan, A. B. 2013). Sebagai
standar pelengkap, ISO 27002 digunakan sebagai panduan yang
lebih spesifik dari kerangka kerja ISO 27001 untuk memilih
kontrol keamanan yang sesuai dalam menerapkan ISMS yang
efektif.

170
 Gambar 49. ISO 27002

Singkatnya, standar ini berisi panduan tentang cara

membuat ISMS bersertifikasi ISO 27001. Karena berfungsi
sebagai sertifikasi tambahan, standar ini tidak memiliki kriteria
sertifikasi sendiri (Tiatama, A. 2016).

13.4 Perbedaan Utama Antara ISO 27001 dan ISO 27002

ISO 27001 dan 27002 memiliki tiga perbedaan utama
terkait sertifikasi, detail pedoman, dan penerapan (Wijaya, R. A.
P., 2020). Berikut penjelasannya:
1. Detail Pedoman ISO 27001 tidak sedetail jika dibandingkan
dengan ISO 27002 yang berisi tentang kontrol dan pedoman
implementasi. Sebaliknya, ISO 27001 menguraikan gambaran
umum komponen ISMS dengan panduan lebih mendalam yang
disediakan dalam standar ISO lainnya. Salah satu standar
tersebut adalah ISO 27002.
2. Sertifikasi suatu perusahaan dapat disertifikasi untuk
mematuhi standar ISO 27001, tetapi tidak untuk ISO 27002.
ISO 27001 adalah standar yang menyediakan daftar lengkap
kriteria kepatuhan, sedangkan ISO 27002 hanya menangani
satu bagian dari ISMS.

171
3. Penerapan ISO 27001 menetapkan bahwa organisasi harus
melakukan penilaian risiko untuk mengidentifikasi dan
memprioritaskan potensi risiko terkait keamanan informasi
mereka. Namun, ISO 27002 tidak memiliki ketentuan ini. Oleh
karena itu, sulit untuk menentukan kontrol mana yang harus
Kita terapkan hanya dengan mengacu pada standar ISO 27002.

13.5 Peran ISO 27002

Keamanan informasi di organisasi ISO/IEC 27002
menyediakan rekomendasi manajemen keamanan informasi
yang baik. Dimana informasi merupakan objek penting dalam
proses bisnis di organisasi. Standar dan prosedur yang berkaitan
dengan keamanan dan kontrol informasi memungkinkan
organisasi menerapkan keamanan yang baik pada informasi yang
dimiliki.

13.6 Bagaimana Revisi Baru ISO 27002 Mempengaruhi ISO

27001

Gambar 50. ISO 27001-27002

Dengan diterbitkannya ISO/IEC 27002:2022 baru pada

Februari 2022, ISO memulai siklus pembaruan standar keamanan

172
informasi yang telah lama ditunggu-tunggu yang tercakup dalam
rangkaian ISO 27000 (Krisna, M., et.al, 2020). Dalam artikel ini,
kita akan melihat konsekuensi bagi komunitas profesional
keamanan global yang mencoba menjaga lingkungan mereka
seaman mungkin. Revisi Baru ISO 27002, Namun ceritanya
sedikit lebih rumit dari sekadar memperbarui serangkaian
standar keamanan informasi global. Sejak publikasi generasi
sebelumnya pada tahun 2013, dunia keamanan informasi telah
berubah secara drastis karena meningkatnya tekanan terhadap
keamanan siber dan keamanan cloud. GDPR tidak hanya
mendorong ekspektasi perlindungan data di Eropa, tetapi banyak
wilayah juga telah mengasimilasi aturan perlindungan data
serupa (Huraerah, A. 2022). Di era baru ini, tidak ada privasi atau
perlindungan data tanpa keamanan siber. Dan sistem manajemen
keamanan informasi (cyber) yang dibangun dengan baik dalam
format apapun merupakan persyaratan mutlak untuk melindungi
diri Kita, organisasi Kita, dan rekan-rekan Kita. Ini bukan hanya
tentang perlindungan Kita sendiri lagi.
Untuk memahami dampak pembaruan ISO/IEC 27002,
izinkan kita mundur selangkah dulu. ISO 27001 sebagai standar
referensi untuk banyak pendekatan keamanan (Rachmawan, D. I
et.al, 2013). Pertama-tama, harus dikatakan bahwa ISO/IEC
27001 (alias Sistem Manajemen Keamanan Informasi ISMS) versi
2013 adalah standar master saat ini, meskipun telah diperbarui
dengan 2 koreksi kecil pada tahun 2014 dan 2015,
dikonsolidasikan pada versi 2017, tetapi ini adalah pembaruan
kosmetik yang agak tidak penting.
Perubahan paling menonjol pada ISO/IEC 27002 baru bisa
kita lihat dalam tabel pencocokan untuk menjelaskan kecocokan
antara versi 2013 dan 2022, dan juga sebaliknya menurut
(Kurniawan, E. 2018).

173
 Tabel 14. Pencocokan ISO/IEC 27002

Intinya, pembaruan terpenting adalah reorganisasi lengkap

dari kategori utama kontrol. Tinjauan singkat: standar ISO/IEC
27002:2013 berisi 14 klausa kontrol keamanan, 35 subkategori
dengan 114 kontrol. Versi 2022 berisi 4 klausa utama dengan 93
kontrol. Pada dasarnya, versi 2013 memiliki kontrol yang diatur
pada fungsi operasional, versi 2022 didasarkan pada PPT
(manusia, proses, dan teknologi).

174
 Tabel 15. Kontrol baru dalam ISO/IEC 27002:2022

Mengingat versi 2013, dibandingkan dengan keadaan

teknologi saat ini hampir 10 tahun kemudian, cukup jelas bahwa
standar perlu dirubah. Dan biasanya standar ISO ditinjau setiap 5
tahun, oleh karena itu, dalam perspektif itu juga, sudah lama
tertunda, yang menimbulkan banyak kritik dari lapangan
(Witara, K. 2018). Di sisi lain, topik, bagian, kontrol, dan ukuran
dalam standar saat ini masih memiliki pendekatan umum yang
kuat dan valid. Itu dapat dilengkapi dengan sempurna dengan
kerangka kerja teknis lain yang lebih detail (seperti NIST, kontrol
CIS, COBIT, CSA, dll.) dan praktik terbaik agar sesuai dengan
persyaratan keamanan mutakhir saat ini (Wibisono, D. 2013).
Standar tersebut dibangun dari berbagai praktik keamanan
global. Dan masih ada kesamaan yang merekatkan mereka.
Tujuan standar ini adalah untuk mendukung keamanan yang

175
efektif, bukan hanya daftar periksa kepatuhan, seperti yang
dipikirkan banyak orang. Ingatlah bahwa ISO/IEC 27001 juga
merupakan standar referensi global untuk banyak kerangka kerja
turunan lainnya (Rangkuti, F. 2013). Beberapa lebih ringan,
sedangkan yang lain lebih fokus pada sektor tertentu atau
menargetkan organisasi tertentu misalnya usaha kecil dan
menengah atau bisnis (UKM/UKM). Hubungan antara ISO27001
dan ISO 27002 mungkin berpikir pertanyaan itu retoris, atau
sebaliknya Kita mungkin menemukan hubungannya jelas,
padahal tidak. Banyak yang berpikir bahwa ISO/IEC 27001
adalah standar utama dan bahwa ISO/IEC 27002 memberikan
panduan tambahan yang mendalam untuk Lampiran ISO/IEC
27001, tetapi itu tidak benar. Faktanya, hal pertama yang
disebutkan dalam ISO/IEC 27001 Annex A (normatif) adalah:
“Tujuan pengendalian dan pengendalian yang tercantum dalam
Tabel A.1 diturunkan langsung dari dan diselaraskan dengan
yang tercantum dalam ISO/IEC 27002:2013, Klausul 5 sampai 18
dan harus digunakan dalam konteks dengan Klausul 6.1.3.”.
Artinya ISO/IEC 27002 adalah Code of Practice sebagai pedoman
utama untuk persyaratan yang tercantum dalam ISO/IEC 27001,
atau dikatakan berbeda, bahwa persyaratan dalam ISO/IEC
27001 adalah daftar kompak dari ISO/IEC 27002. Akibatnya, jika
persyaratan SMKI harus diperbarui, pembaruan ISO/IEC 27002
didahulukan (Adrian Sutedi, S. H. 2015).

176
Daftar Pustaka

A. D. Purba, I. K. A. Purnawan, I. P. A. E. Pratama. (2018). Audit

Keamanan TI Menggunakan Standar ISO / IEC 27002
dengan COBIT 5. J. MERPATI, vol. 6, no. 3, pp. 148–158.
A. Hamzah, S. Juli, I. Ismail, L. Meisaroh. (2019). Implementasi
Sistem Monitoring Jaringan Menggunakan Zabbix dan Web
Application Firewall di PT PLN (Persero) Transmisi Jawa
Bagian Tengah. e-Proceeding Appl. Sci., vol. 5, no. 3.
Adelheid Andrea, 2013. 1 Hari menjadi Hacker. Jakarta: Media
Kita.
admin. (2022). Kenali Apa itu Vulnerability dan Elemen yang
Harus Anda Waspadai pada Sistem. tersedia :
https://www.cloudmatika.co.id/blog-detail/apa-itu-
vulnerability, diakses : 24 Novemver 2022.
Admin. (2022). SQL Injection adalah: Pengertian dan Contohnya.
tersedia: https://kumparan.com/how-to-tekno/sql-
injection-adalah-pengertian-dan-contohnya-
1xu3r865Ocd/full, diakses : 19 April 2022.
Adrian Sutedi, S. H. (2015). Buku pintar hukum perseroan
terbatas. Raih Asa Sukses.
Afrianto, I. (2016). Materi 5-Keamanan Sistem www (world Wide
Web).
Alghawazi, M., Alghazzawi, D., & Alarifi, S. (2022). Detection of
sql injection attack using machine learning techniques:
a systematic literature review. Journal of Cybersecurity
and Privacy, 2(4), 764–777.

177
Ananda, Ridwan Ighfirlana, Fauziah, and Nur Hayati. 2020.
“Keamanan Email Menggunakan Metode Pretty Good
Privacy Dengan Algoritma Rsa.” Jurnal Ilmiah Informatika
Komputer 25(3): 213–24.
Andriana, M., Sembiring, I., & Hartomo, K. D. (2020). SOP of
information system security on Koperasi Simpan Pinjam
using ISO/IEC 27002: 2013. Jurnal Transformatika, 18(1),
25-35.
Angela Merici Elu. (2013). RANCANG BANGUN APLIKASI
PENDETEKSIAN VULNERABILITY STRUCTURED QUERY
LANGUAGE (SQL) INJECTION UNTUK KEAMANAN
WEBSITE. Vol . VII Nomor 22 Maret 2013 - Jurnal Teknologi
Informasi.
Anonim. (2022). https://cve.mitre.org/
Anwar, A. S. H. (2011). Pengaruh intensi, pengalaman
menggunakan internet, kondisi pemfasilitasan, dan undang
undang informasi & transaksi elektronik No. 11/2008
terhadap cybercrime. Jurnal Reviu Akuntansi Dan
Keuangan, 1(1), 69.
https://doi.org/10.22219/jrak.v1i1.501.
APJII. (2022). Hasil Survei Penetrasi dan Perilaku Pengguna
Internet. Asosiasi Penyelenggara Jasa Internet Indonesia.
Budiarto, R. (2017). Manajemen risiko keamanan sistem
informasi menggunakan metode fmea dan iso 27001 pada
organisasi xyz. CESS (Journal of Computer Engineering,
System and Science), 2(2), 48-58.
Candiwan. Sari, Puspita Kencana. Nurshabrina. (2015).
Assessment of Information Security Management on
Indonesian Higher Education Institution. ICOCOE'2015
1570110525.
Chalifa Chazar (2015).”Standar Manajemen Keamanan Sistem
Informasi Berbasis ISO/IEC 27001:2005”.

178
Chazar, C. (2015). Standar manajemen keamanan sistem
informasi berbasis ISO/IEC 27001: 2005. Jurnal
Informatika dan Sistem Informasi, 7(2), 48-57.
Death Darren. 2017. Information Security Handbook: Develop a
threat model and incident response strategy to build a
strong information security framework. Published on 2017
by Packt Publishing.
Disterer, G. (2012). ISO/IEC 27000,27001, and 27002 for
Information Security Manajement. Journal of Information
Security.
Emmywati. (2016). PENGARUH KUALITAS LAYANAN YANG
TERDIRI DARI KENYAMANAN, KEAMANAN, KEMUDAHAN
DAN FASILITAS TERHADAP KEPUASAN KONSUMEN PADA
GALERI SENI DAN PUSAT MEDITATION PONOROGO JAWA
TIMUR. Jurnal Penelitian Ilmu Manajemen, Volume I, No.03.
Fadlin Arsin, Muh. Yamin, La Surimi , 2017, “Implementasi
Security System Menggunakan Metode IDPS (Intrusion
Detection and Prevention System) Dengan Layanan
Realtime Notification”, semanTIK, ISSN : 2502- 8928, Vol. 3,
No.2, pp.39-48, Juli – Desember.
Fitria, Kiki Nur. 2007. “Email Bomber.” : 1–5.
Hananto, A. L. (2023). Tata Kelola Keamanan Sistem Informasi.
Media Sains Indonesia.
Hapsari, N. S., Fatman, Y., & Isbandi, I. (2020). Implementasi
Metode One Time Password pada Sistem Pemesanan
Online. JURNAL MEDIA INFORMATIKA BUDIDARMA, 4(4),
930–939.
Haryana, KM. S. (2088). KONSEP SOLUSI KEAMANAN WEB PADA
PEMOGRAMAN PHP" Jurnal Computech & Bisnis, Vol. 2, No.
2.
Hasanah, Uswatun, Arintowati H Handoyo, Poppy Ruliana, and
Irwansyah Irwansyah. 2018. “Efektivitas E-Mail Sebagai
Media Komunikasi Internal Terhadap Kepuasan

179
 Komunikasi Karyawan.” Inter Komunika : Jurnal
Komunikasi 3(2): 153.
Hasibuan, M. S. (2018). Keylogger pada Aspek Keamanan
Komputer. Jurnal Teknovasi: Jurnal Teknik Dan Inovasi
Mesin Otomotif, Komputer, Industri Dan Elektronika, 3(1),
8–15.
Hilaluddin Jauhary, Geta Eldisa Pratiwi, Ariq Zamzami Salim,
Fitroh. (2022). Penerapan ISO27001 dalam Menjaga dan
Meminimalisir Risiko Keamanan Informasi: Literatur
Review,"Media Jurnal Informatika, Vol. 14, no.1.
https://pecb.com/en/education-and-certification-for-
individuals/iso-iec-27001.
Huraerah, A. (2022). Kebijakan perlindungan sosial: teori dan
aplikasi Dynamic Governance. Nuansa Cendekia.
Husaini Usman. Manajemen:Teori, Praktik, dan Riset
Pendidikan. (Jakarta: Bumi Aksara,2014) hal 579.
Idik Saeful Bahri, S. H. (2020). CYBER CRIME DALAM SOROTAN
HUKUM PIDANA (Vol. 159). Bahasa Rakyat.
ID-SIRTII. (2018). Laporan Tahunan ID-SIRTII. ID-SIRTII.
Islam, S., Systematic literature review: Security challenges of
mobile banking and payments system. International Journal
of u-and e-Service, Science and Technology, 7(6), 2014,
hlm.116.
Jamaludin, J., O. K. Sulaiman, S. Tandungan, L. M. Putra, Y.
Yuswardi, N. Yulianti, J. Sidabutar, S. Aisa, H. Tantriawan,
and A. Arizal. (2022). Kriptografi: Teknik Keamanan Data.
Yayasan Kita Menulis.
JAROT DIAN SUSATYONO. (2022). Apa Itu Hacker? Berikut
Adalah Definisi, Jenis, Dan Cara Menghindarinya!. Tersedia :
http://sistem-komputer-
s1.stekom.ac.id/informasi/baca/Apa-itu-Hacker-Berikut-
adalah-Definisi-Jenis-dan-Cara-

180
 Menghindarinya/c34a1d3e46947ce5b4f3239f067d52eb8
1c3b1f5, diakses : 24 Pebruari 2022.
Johan Ericka Wahyu Prakasa. (2020). Peningkatan Keamanan
Sistem Informasi MelaluiKlasifikasi Serangan Terhadap
Sistem Informasi. Jurnal Ilmiah Teknologi Informasi Asia,
ol.14, No.2, Tahun 2020, ISSN: 2580-8397 (O);0852-730X
(P).
Jonathan Rosenoer. (1997). Cyber law : The Law of the Internet.
Springer US.
Krisna, M., Ade, A., Sasmita, A., Made, G., & Putri, G. A. A. (2020).
Perbaikan Tata Kelola Teknologi Informasi pada Lembaga
Pemerintah Daerah X. Jurnal Ilmiah Teknologi Dan
Komputer, 1(2), 56-66.
Kristanto, Andri. (2008). Perancangan Sistem Informasi dan
Aplikasinya.Gava Media Yogyakarta.
Kurniawan, E. (2018). Analisis Tingkat Keamanan Sistem
Informasi Akademik Berdasarkan Standard ISO/IEC 27002:
2013 Menggunakan SSE-CMM (Master's thesis, Universitas
Islam Indonesia).
Kurniawan, E. (2018). Analisis Tingkat Keamanan Sistem
Informasi Akademik Berdasarkan Standard ISO/IEC 27002:
2013 Menggunakan SSE-CMM (Master's thesis, Universitas
Islam Indonesia).
Kurniawan, E. (2018). Analisis Tingkat Keamanan Sistem
Informasi Akademik Berdasarkan Standard ISO/IEC 27002:
2013 Menggunakan SSE-CMM (Master's thesis, Universitas
Islam Indonesia).
Kurniawan, Irfan Arief, Hadi Mahmud, and Nourma Dewi. 2021.
“Penyebaran Virus Ransomware Wannacry Berdasarkan
Undang-Undang No. 11 Tahun 2008.” Jurnal Inovasi
Penelitian 2(2): 427–31.
Mahardika, Krisdana Bima., Fritz Wijaya, Agustinus,. dan
Cahyono, Ariya Dwika. (2018). MANAJEMEN RISIKO

181
 TEKNOLOGI INFORMASI MENGGUNAKAN ISO 31000: 2018
(STUDI KASUS: CV. XY),"SEBATIK 1410-3737.
Mollin, Richard A. (2006). An Introduction to Cryptography.
Chapman and Hall/CRC.
Muhammad Anis Al Hilmi, Emah Khujaemah. (2022). NETWORK
SECURITY MONITORING WITH INTRUSION DETECTION
SYSTEM,"Jurnal Teknik Informatika (JUTIF), Vol.3, No. 2,
hlm. 249-253.
Muhammad Bakri, Nia Irmayana. (2017). ANALISIS DAN
PENERAPAN SISTEM MANAJEMEN KEAMANAN
INFORMASI SIMHP BPKP MENGGUNAKAN STANDAR ISO
27001. Jurnal TEKNOKOMPAK, Vol. 11, No. 2, 2017, 41-44.
ISSN 1412-9663 (print).
Muhammad Rusli, M. T., Hermawan, D., & Supuwiningsih, N. N.
(2020). Memahami E-learning: Konsep, Teknologi, dan Arah
Perkembangan. Penerbit Andi.
Muharram, M. S. (2019). SISTEM ACCESS CONTROL WAREHOUSE
DENGAN STANDAR ISO 27002 INTEGRASI TEKNOLOGI
RASPBERRY PI DAN TEKNOLOGI FACE RECOGNITION
(STUDI KASUS RUANG GUDANG PT. TELKOM AKSES
CIJAWURA) (Doctoral dissertation, Program Studi Teknik
Informatika S1 Fakultas Teknik Universitas Widyatama).
Munir, Rinaldi. (2004). Pengolahan Citra Digital Dengan
Pendekatan Algoritmik. INFORMATIKA.
Napitupulu, D. (2017). Kajian Peran Cyber Law Dalam
Memperkuat Keamanan Sistem Informasi Nasional.
Teknologi Informasi Dan Komunikasi, 100–113.
Nardi Tehupeiory dan Dian W. Chandra., (2016). Analisis
Perbandingan Mekanisme Secure Socket Layer (SSL) dan
Transfer Layer Security (TLS) Pada Koneksi File Transfer
Protocol (FTP) Server Ubuntu (Jurnal Universitas Kristen
Satya Wacana).

182
Nunuk Sulisrudatin. (2018). ANALISA KASUS CYBERCRIME
BIDANG PERBANKAN BERUPA MODUS PENCURIAN DATA
KARTU KREDIT. Jurnal Ilmiah Hukum Dirgantara–Fakultas
Hukum Universitas Dirgantara Marsekal Suryadarma |
Volume 9 No. 1, September 2018.
Nurrofiq, Nurjaya, Ahmad. (2022). STEGANOGRAFI DALAM
KEAMANAN KOMPUTER: (TEORI & PRAKTIK). Pascal
Books.
Pamungkas, Petrus Dwi Ananto. 2018. “Analisis Cara Kerja Sistem
Infeksi Virus Komputer.” Bina Insani ICT Journal 1(1): 15–
40.
Papagiannakis, A. T., & Raveendran, B. (1998). International
standards organization-compatible index for pavement
roughness. Transportation research record, 1643(1), 110-
115.
Puspadini, A. (2016). Penyusunan SOP Pengelolaan Kontrak
dengan Supplier Penyedia Layanan TI Berdasarkan
Kerangka Kerja COBIT 5 dan ITIL V3 Studi Kasus Rumah
Sakit Angkatan Laut Dr Ramelan (Doctoral dissertation,
Universitas Airlangga).
Rachmawan, D. I., Pribadi, A., Tyas, D., & Wahyu, E.
(2017). Pembuatan Dokumen Sop Keamanan Aset
Informasi yang Mengacu pada Kontrol Kerangka Kerja Iso
27002: 2013 (Studi Kasus: CV Cempaka
Tulungagung) (Doctoral dissertation, Sepuluh Nopember
Institute of Technology).
Ramdani, D. (2018). Peta dan Tata Kelola TIK Institusi
Pemerintah: Diandra Kreatif. Diandra Kreatif.
Rangkuti, F. (2013). Customer Service Satiscaction & Call Centre
Berdasarkan ISO 9001. Gramedia Pustaka Utama.
Rinaldi, A., Ritzkal, R., Prakosa, B. A., & Goeritno, A. (2017).
ANALISIS SISTEM KEAMANAN SUMBERDAYA MANUSIA
DENGAN PENERAPAN ISO 27001 KLAUSAL 9 DI

183
 UNIVERSITAS IBN KHALDUN BOGOR. Prosiding
SENIATI, 3(1), A4-1.
Riska dan Hendri Alamsyah. (2021). Penerapan Sistem keamanan
WEB Menggunakan metode WEB Aplication Firewall. Jurnal
Amplifier. Vol 11 No. 1.
Rivai, D. A., & Purnama, B. E. (2014). Pembangunan Sistem
Informasi Pengolahan Data Nilai Siswa Berbasis Web Pada
Sekolah Menengah Kejuruan (SMK) Miftahul Huda
Ngadirojo. IJNS – Indonesian Journal on Networking and
Security.
Sakinah, F., & Setiawan, B. (2014). Indeks Penilaian Kematangan
(Maturity) Manajemen Keamanan Layanan TI. Jurnal
Teknik ITS, 3(2), A222-A227.
Sari, Ika Yusnita, Muttaqin Muttaqin, Jamaludin Jamaludin, Janner
Simarmata, M. Arif Rahman, Akbar Iskandar, Andrew
Fernando Pakpahan, Sugianto Abdul Karim, Yo Ceng Giap,
and Hazriani Hazriani. (2020). Keamanan Data Dan
Informasi. Yayasan Kita Menulis.
Schneier, Bruce. 1996. Applied Cryptography Second Edition.
John Wiley & Sons.
Setiawan, A. B. (2013). Kajian Kesiapan Keamanan Informasi
Instansi Pemerintah Dalam Penerapan E-
Government. Masyarakat Telematika dan Informasi, 4(2),
109-126.
Shaimaa Khalifa Mahmoud, Marco Alfonse, Mohamed Ismail
Roushdy, Abdel Badeeh M. Salem. (2017). Acomparative
Analysis of Cross Site Scripting (XSS) Detecting anda
Defensive Techniques, Vol, Ed, IEEE/ICICIS International
Conference on Intelligent Computing and Information
System, Cairo, Egypt.
Shinta, Nurul., Shynta, Anggrainy., Aprelyani, Siska. (2022).
FAKTOR-FAKTOR YANG MEMPENGARUHI KEAMANAN
SISTEM INFORMASI: KEAMANAN INFORMASI, TEKNOLOGI

184
 INFORMASI DAN NETWORK (LITERATURE REVIEW SIM)",
Jurnal Ekonomi ManjameN Sistem Informasi. Volume 3,
Issue 5. E-ISSN: 2686-5238, P-ISSN 2686-4916.
Sigit Tri Yuwono, Nanang Pratama, Vivi Afifah. (2022). Re-
Assessment Konsistensi Dokumen Kontrol Sertifikasi ISO
27001:2013 (ISMS) di Bagian Komunikasi Satelit
Monitoring PT. Bank BRI, TBK. Jurnal IKRAITH-
INFORMATIKA Vol 6 No 2 Juli 2022.
SIM, S., & Budyastuti, T. (2019). Sistem Informasi
Manajemen.Uwais Inspirasi Indonesia.
Simarmata, J. (2006). Pengamanan sistem komputer, Yogyakarta:
Andi.
Sinaga, M. C. (2017). Kriptografi Python. Matius Celcius Sinaga.
Siti Nur Khasanah, Liliyani Asri Utami., "Implementasi Failover
Pada Jaringan WAN Berbasis VPN,"JURNAL TEKNIK
INFORMATIKA STMIK ANTAR BANGSA, VOL. IV NO. 1
FEBRUARI 2018.
Sitompul, J. (2012). Cyberspace, Cybercrimes, Cyber law :
Tinjauan Aspek Hukum Pidana (Cetakan Pe). PT Tatanusa.
Situmorang, H. (2016). Keamanan Basis Data dengan Teknik
Enkripsi. Jurnal Mahajana Informasi, 1(1), 22–27.
SophosLab. (2013). Security Threat Report. SophosLab.
Stephen Watts. (2020). IT Security Vulnerability vs Threat vs
Risk: What are the Differences?. Tersedia:
https://www.bmc.com/blogs/security-vulnerability-vs-
threat-vs-risk-whats-difference/. diakses : 13 Mei 2020.
Stevani, Rozalin Kiama. 2014. “Pemanfaatan E-Mail Dalam
Korespondensi Sebagai Perwujudan Paperless Office Di Pt
Telkom.” Pemanfaatan E-Mail Dalam Korespondensi
Sebagai Perwujudan Paperless Office Di Pt Telkom 1(1): 1–
19.
http://ejournal.unesa.ac.id/jurnal/jpap/artikel/3736/pem

185
 anfaatan-e-mail-dalam-korespondensi-sebagai-
perwujudan-paperless-office-di-pt-telkom.
Stiawan, Deris. (2005). Sistem Keamanan Komputer. Elex Media
Komputindo.
Suci, Yuni Selvita, Aryanti Aryanti, and Asriyadi Asriyadi. 2018.
“Rancang Bangun Sistem Keamanan Data Komputer Pada
Antivirus Vici Menggunakan Sistem Realtime Protector Dan
MetodeHeuristic Ganda.” It Journal Research and
Development 3(1): 84–94.
Suherman, S. (2017). Efektivitas Keamanan Informasi dalam
Menghadapi Ancaman Social Engineering. Peperangan
Asimetris (PA), 3(1).
Suroto Suroto, Asman Asman. (2021). ANCAMAN TERHADAP
KEAMANAN INFORMASI OLEH SERANGAN CROSS-SITE
SCRIPTING (XSS) DAN METODE PENCEGAHANNYA.
Volume 11 Nomor 1, Zona Komputer ISSN 2087- 7269.
Tiatama, A. (2016). Perencanaan Tata Kelola Manajemen
Keamanan Informasi Menggunakan Information
Technology Infrastructure Library (Itil) V3. Pada D~ Net
Surabaya. Pada D~ Net Surabaya.
Whitman, M. E., & Mattord, H. J. (2010). Management of
information security, Third Edition. Boston: Course
Technology.
Wibisono, D. (2013). How To Creat world Class Company.
Gramedia Pustaka Utama.
Wijaya, R. A. P., & Hakim, A. R. (2020). Perancangan Perangkat
Audit Internal Untuk Sistem Keamanan Informasi Pada
Organisasi XYZ. Jurnal Teknologi Informasi dan Ilmu
Komputer (JTIIK), 7(3).
Wirdasari, D. (2008). Mengenal Teknik-Teknik Keamanan
Komputer Dan Model-Model Serangannya (Security Attack
Models). J. Saintikom, 4(1), 111–119.

186
Witara, K. (2018). Cara singkat memahami sistem manajemen
mutu iso 9001: 2015 dan implementasinya. CV Jejak (Jejak
Publisher).

187
Biodata Penulis

Nurlindasari Tamsir
Penulis bersekolah di SMA Negeri 3 kota
Makassar angkatan 2022, ditahun yang sama
penulis melanjutkan pendidikan di salah satu
perguruan tinggi swasta di Makassar, STMIK
Dipanegara Makassar jenjang Strata 1, jurusan
Sistem Informasi alumni angkatan 2007.
Tahun 2008, penulis melanjutkan pendidikan jenjang Strata 2 di
Universitas Hasanuddin, jurusan Teknik elektro, konsentrasi
Teknik Informatika dan lulus Tahun 2010. Sejak 2011 sampai
sekarang penulis mengabdi pada almamater, terdaftar sebagai
Dosen Tetap Yayasan di STMIK Dipanegara Makassar dan
sekarang berubah menjadi Universitas Dipanegara Makassar.
Afiliansi : Universitas Dipa Makassar

Nurul Aini
Lahir di Barru, Sulawesi Selatan, 06 Desember
1986. Ketertarikan penulis terhadap ilmu
komputer dimulai pada tahun 2005 silam. Hal
tersebut membuat penulis lanjut ke perguruan
tinggi di Universitas Dipa Makassar dengan
memilih Jurusan Sistem Informasi dan berhasil
lulus pada tahun 2009.
Penulis kemudian melanjutkan pendidikan ke studi S2 di prodi
Teknik Informatika Program Pasca Sarjana Universitas

188
Hasanuddin dan menyelesaikan studi di tahun 2013. Penulis
memiliki ketertarikan dan aktif menulis karya ilmiah Data
Mining, Decision Support System (DSS) dan Data Science. Dan
untuk mewujudkan karir sebagai dosen profesional, penulis pun
aktif sebagai peneliti dibidang kepakarannya tersebut. Selain
meneliti, penulis juga aktif menulis buku dengan harapan dapat
memberikan kontribusi positif bagi bangsa dan negara yang
sangat tercinta ini.
Afiliansi: Universitas Dipa Makassar
e-mail Penulis: nurulaini.m11@undipa.ac.id

Rahmadi Asri
Penulis sangat tertarik terhadap Ilmu Komputer
sejak tahun 2009. Setelah lulus di Sekolah
Madrasah Aliyah Negeri Lampahan, melanjutkan
ke Perguruan Tinggi Swasta Universitas Gajah
Putih Takengon (UGP) dan berhasil
menyelesaikan Pendidikidikan S1 di Prodi
Teknik Informatika UGP pada tahun 2015.
Setahun kemudian penulis melanjutkan Pendidikan S2 Ilmu
Komputer, di Universitas Sumatera Utara dan selesai pada tahun
2019. Konsentrasi penulis di bidang Technical Support
Komputer, Web Technology, Cloud Computing, dan Data Science.
Penulis juga aktif menulis sesuai dengan kepakarnya tersebut.
Penulis juga aktif melaksanakan Tridarma Perguruan Tinggi yaitu
Pendidikan, Penelitian dan Pengambdian Kepada Masyarakat.
Afiliansi: Universitas Gajah Putih Takengon
e- mail Penulis: rahmadi2808@gmail.com

189
 Jimmy Herawan Moedjahedy
Jimmy Herawan Moedjahedy adalah seorang
pria kelahiran Jayapura dan dibesarkan di
Manado. Sejak bangku sekolah menengah sudah
mulai tertarik dengan bidang komputer.
Menyelesaikan studi S1 Ilmu Komputer di
Universitas Klabat, S2 Manajemen di Universitas
Klabat dan S2 Teknik Informatika di Universitas
Amikom Yoygakarta.
Kini ia bekerja sebagai dosen di Fakultas Ilmu Komputer,
Universitas Klabat, Airmadidi, Sulawesi Utara. Selain sebagai
dosen, ia juga aktif sebagai instruktur Cisco Networking Academy
sejak tahun 2014-sekarang. Pengalaman kerja sebelumnya,
pernah menjabat sebagai Kepala Sistem Informasi dan IT disalah
satu universitas swasta. Saat ini aktif menulis buku dan publikasi
karya ilmiah pada jurnal dan konferensi baik nasional maupun
internasional. Serta menjadi reviewer pada beberapa jurnal
nasional terakreditas.
e-mail: jimmy@unklab.ac.id
Afiliansi : Universitas Klabat

Yusuf Muhyidin
Lahir di Bandung, Jawa Barat, 20 Mei 1990.
Menjadi anggota Aptikom Jabar pada tahun 2018
sampai saat ini, dan aktif sebagai dosen di STT
Wastukancana Purwakarta. Menjadi Kepala
Program Teknik Komputer Jaringan dari tahun
2017-2019 di SMK Yadika Cicalengka. Menjadi
Asesor Komptensi BNSP/ LSP sejak tahun 2019-
sekarang.
Sebagai Pendiri dan Ketua Yayasan Pendidikan AL-Hikmah.
Bidang kajian yang diminati ialah kajian Network, Network

190
Security, Data Mining, Artifical Intelegence. Selain aktif sebagai
Dosen, aktif juga sebagai trainer IT Di PT.Telkom Prima Cipta
Certifia sejak 2016 sampai sekarang dan di beberapa
penyelenggara pelatihan lainya. Menjadi Anggota Tim
Pengembang Kurikulum Industri Telkom tahun 2019. Mengelola
Chanel Youtube Pribadi: Yusuf Shikudo.
Afiliansi : STT Wastukancana

Ahyuna
Lahir di Pare-pare, 14 November 1985. Saat ini
penulis menjadi dosen tetap program studi
Teknik Informatika diUniversitas Dipa Makassar
sejak tahun 2009. Pendidikan terakhir penulis
S2 Ilmu Komunikasi dan kini kesibukan penulis
adalah lebih menghabiskan waktu untuk
mengajar dan menulis.
Karya-karya yang telah dibuat kini telah dimuat di media online,
jurnal nasional, jurnal internasional,dan jurnal nasional
bereputasi. Penulis juga aktif dalam pembuatan dan kegiatan
prosiding, penelitian dan pengabdian Masyarakat. Jurnal ditulis
bekerjasama dengan para pakar diluar negara dan dalam negara.
Anak ke tiga dari tiga bersaudara sering melakukan penelitian
kecil dan dijadika pelaporan aktifitas dalam kampus dan pribadi.
Berkat hobi menulis dan membaca maka kadang penulis sering
diajak berkolaborasi dalam kegiatan menulisan jurnal, kegiatan
akademik dan kegiatan lainnya. Manfaat dari kegiatan yang
dilakukan dapat menambah rasa semangat saat penulisan terbit
dan memotivasi diri sendiri untuk selalu melakukan lebih dan
tidak pernah puas dalam kegiatan riset bidang teknik.
Afiliansi : Universitas Dipa Makassar

191
 I Wayan Widi Pradnyana
Lahir di kota Denpasar, penulis menyelesaikan
pendikan dasar dan menengah di Provinsi Bali.
Pada tahun 2004 penulis menyelesaikan
pendidikan Sarjana Teknik Informatika di
Institut Teknologi Sepuluh Nopember Surabaya.
Selanjutnya menempuh karir profesional
sebagai konsultan teknologi informasi dan staf
IT pada perusahaan di Jakarta hingga tahun
2014.
Menuntaskan pendidikan Magister Teknologi Informasi di
Fakulas Ilmu Komputer Universitas Indonesia pada 2011. Pada
tahun 2015 berkarir sebagai pengajar di program Sarjana Sistem
Informasi di Fakultas Ilmu Komputer Universitas Pembangunan
Nasional Veteran Jakarta. Mata kuliah yang diajarkan dan
penelitian yang dikerjakan terkait dengan topik Jaringan
Komputer, Sistem Terdistribusi, Keamanan Informasi, Arsitektur
Enterprise, dan Big Data.

Dudih Gustian
Lahir di Sukabumi, Jawa Barat, 05 Agustus 1980.
Menjadi anggota Aptikom Jabar pada tahun 2016
sampai saat ini, dan aktif sebagai pengasuh data
mining grup disalah satu jejaring sosial. Menjadi
Kepala Program Studi Sistem Informasi
Universitas Nusa Putra Sukabumi pada tahun
2016 - 2020 dan saat ini menjadi Divisi
Penelitian dan Publikasi LPPM di Universitas
yang sama.
Bidang kajian yang diminati ialah kajian data mining, Kecerdasan
Buatan, Statistik, Riset Operasi.

192
Selain aktif sebagai penulis dan Dosen, aktif pula dikeanggotaan
Aptikom Jabar, PII Kab. Sukabumi juga juga aktif sebagai peneliti
khususnya dalam bidang data mining sampai saat ini. Selain itu
aktif menjadi Reviewer di beberapa jurnal Nasional dan
Internasional bidang computer, serta Editor di beberapa Penerbit
Nasional dan Pimpinan di salah satu penerbit Nasional. Beberapa
tulisan yang telah ditulisnya melalui blog pribadi yang bisa
dikunjungi : http://catatandudihgustian. blogspot.com/.

Wildani Eko Nugroho

Lahir di Brebes, Jawa Tengah, 17 Juli 1982.
Menjadi anggota APTIKOM Jawa Tengah pada
tahun 2017 sampai sekarang. Menjadi Kepala
Program Studi Teknik Komputer Politeknik
Harapan Bersama Tegal 2014 – 2016 dan saat ini
menjadi Sub Bagian Pelatihan dan
Pengembangan Karir Dosen pada Bagian
Kepegawaian Politeknik Harapan Bersama
Tegal.
Bidang kajian yang diminati adalah data mining, image
processing, computer vision, kecerdasan buatan, internet of
thing. Selain aktif menjadi penulis dan dosen, aktif pula sebagai
editor jurnal pada jurnal informatika Universitas Panca Sakti
Tegal dan editor jurnal pada journal of information system and
computer (JISTER) Fakultas Sains Dan Teknologi Universitas
Islam Nahdlatul Ulama Jepara.
Afiliansi : Politeknik Harapan Bersama Tegal

193
 Suci Rahma Dani Rachman
Lahir di Makassar, 12 April 1989. Meraih
gelar Sarjana Komputer (S.Kom) dari
STMIK Dipanegara Makassar Jurusan
Teknik Informatika pada tahun 2010.
Kemudian meraih gelar Magister Teknik
(M.T) dari Program Pascasarjana
Universitas Hasanuddin Makassar
Program Studi Teknik Elektro Peminatan
Teknik Informatika pada tahun 2013.
Saat ini bertugas sebagai Dosen Tetap Yayasan di Universitas
Dipa Makassar untuk Program Studi Teknik Informatika dari
tahun 2010-sekarang. Memiliki ketertarikan dibidang data
science dan information security analyst. Penulis aktif melakukan
kegiatan penelitian baik internal maupun eksternal dan aktif
menulis di beberapa jurnal ilmiah nasional yang terakreditasi.
Afiliansi: Universitas Dipa Makassar

Indrawan Ady Saputro

Penulis pernah bersekolah di SMA Negeri 1
Ngemplak angkatan 2015, kemudian
melanjutkan pendidikan di salah satu perguruan
tinggi swasta di Surakarta, STMIK Sinar
Nusantara jenjang Strata 1, jurusan Teknik
Informatika alumni angkatan 2019.
Pada saat kuliah aktif dibeberapa organisasi kampus seperti
Korps Suka Rela dan BEM STMIK Sinar Nusantara. Tahun 2019,
penulis melanjutkan pendidikan jenjang Strata 2 di Universitas
Islam Indonesia, Program Studi Informatika dengan mengambil
konsentrasi forensika digital dan lulus Tahun 2022. Pengalaman
lain yang berkaitan dengan dunia Forensika Digital salah satunya

194
menjadi pembicara dalam webinar dengan judul “Kriptografi”.
Sejak 2021 sampai sekarang penulis mengajar sebagai dosen
tidak tetap di STMIK Amikom Surakarta.
Afilinasi : Universitas Islam Indonesia

Kraugusteeliana
Menghabiskan masa sekolah SD KS – SMAN 2
Cilegon, S1 Manajemen Informatika Univ Budi
Luhur, S2 bidang software engineering
(Informatika) di STTBI Benarif, S2 Magister
Manajemen kosentrasi HR Aktif mengajar sejak
1999.
Pengalaman mengajar diantaranya matakuliah Manajemen
Resiko TI, PTI, Tata Kelola Teknologi Informasi, RPL, CRM, Audit
Sistem Informasi, Sistem Enterprise, Manajemen layanan TI,
APSI, Knowledge Management, SIM, SPK, Analisa Proses Bisnis,
IMK serta beberapa matakuliah lainnya. Buku dan book Chapter
terkait PTI, SIM, IMK, RPL, APSI, Pengantar Manajemen SDM,
EGoverment, Arsitektur Enterprise, Digital Government,
Kemanan sistem Informasi, Manajemen layanan TI, Kemana Siber
dan Multimedia terapan. Dalam hal penulis focus penelitian pada
ranah egovernance, egoverment evaluasi atau Audit system
Cobit, ITIIL, UI/UX, Webqual 4.0, IPA, UTAUT, TOGAF, TAM, SUS,
ISO 27001, NIST SP 30-80 juga Octave Allegro, dengan software
olah data mengunakan, SEM PLS, SPSS, Stat-R, Lisrel, dan
beberapa software data lainnya serta DSS dan Expert System.
e- mail Penulis: kraugusteeliana@upnvj.ac.id

195
Yuswardi
Dilahirkan di Sigli, Pidie, Aceh, pada tanggal 12
Oktober 1986 Sarjana alumni Fakultas Teknik
program Studi Teknik Informatika Lulus Tahun
2010 Universitas Jabal Ghafur. Sedangkan
Magister selesaikan pada tahun 2016 di program
Pascasarjana Magister Teknik Elektro Bidang
Kosentrasi Teknologi Informasi Universitas
Syiah Kuala Banda Aceh. Saat Ini aktif Mengajar
di universitas Jabal Ghafur.

196
 197

View publication stats