Pada pertemuan hari ini,
kami membahas berbagai teori mengenai Keamanan Sistem Komputer yang sudah cukup
mendalam.
Berikut ini adalah penjelasannya dan
tambahan-tambahan teorinya:
Keamanan Sistem Komputer merupakan
sebuah upaya yang dilakukan untuk mengamankan kinerja,fungsi atau proses
komputer. KSK juga berguna untuk menjaga komputer dari para penjahat dunia maya
seperti hacker.
Apa sih hacker itu?
Hacker adalah Seorang yang mempunyai keinginan
untuk mengetahui secara mendalam mengenai kerja suatu system, komputer atau
jaringan komputer, sehingga menjadi orang yang ahli dalam bidang penguasaan
sistem, komputer atau jaringan komputer
Tetapi layaknya seperti
gembok kunci dalam rumah yang menjaga rumah dari para maling untuk masuk. Namun
sebaik apapun sistem keamanan rumah anda pasti ada cara untuk masuk kedalam
rumah anda. Dan mengapa dibutuhkannya sistem keamanan komputer ?
Karena meningkatnya perkembangan
teknologi dalam jaringan. Fungsi sistem keamanan komputer adalah untuk menjaga
sumber daya sistem agar tidak digunakan,dimodifikasi, dan diganggu oleh orang
lain yang tidak bertanggungjawab.
Seperti postingan sebelumnya, gambar
diatas menerangkan beberapa gangguan-gangguan yang terjadi pada sistem
komputer. Apabila anda mau melihat arti-arti dari kata-kata gambar diatas dapat
dilihat disini
Alasan di butuhkan keamanan sistem
komputer, diantaranya :
- “information-based society”,
menyebabkan nilai informasi menjadi sangat penting dan menuntut kemampuan
untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi
sangat esensial bagi sebuah organisasi,.
- Infrastruktur jaringan komputer,
seperti LAN dan Internet, memungkinkan untuk menyediakan informasi secara
cepat, sekaligus membuka potensi adanya lubang keamanan (security hole)
- Banyaknya software yang pada awalnya digunakan untuk
melakukan audit sebuah system dengan
cara mencari kelemahan dan celah yang mungkin disalahgunakan untuk
melakukan scanning system orang lain.
- Banyaknya
software-software untuk melakukan penyusupan yang tersedia di Internet dan
bisa di download secara gratis.
- Meningkatnya
kemampuan pengguna komputer dan internet.
- Kurangnya
hukum yang mengatur kejahatan komputer.
- Banyaknya software yang mempunyai kelemahan (bugs).
 |
| Skema letak potensi lubang keamanan secara sederhana |
Pelanggaran Keamanan Komputer
 |
| i |
 |
| ii |
Kejahatan Komputer semakin
meningkat karena :
1. Aplikasi bisnis berbasis TI dan jaringan komputer meningkat
: online banking, ecommerce, Electronic data Interchange (EDI).
2. Desentralisasi server/server yang dibuat tersebar.
3. Transisi/perubahan dari single vendor ke multi vendor.
4. Meningkatnya kemampuan pemakai (user).
5. Kesulitan penegak hukum dan belum optimalnya perundang-undangan
mengenai cybercrime.
6. Sistem yang terhubung dengan jaringan Internet.
Pendekatan yang umum
dilakukan untuk meningkatkan keamanan komputer antara lain:
1.
Membatasi akses fisik
terhadap komputer
2.
Menerapkan mekanisme pada
perangkat keras dan sistem operasi untuk keamanan komputer
3.
Membuat strategi
pemrograman untuk menghasilkan program komputer yang dapat diandalkan
Kebijakan dalam keamanan
sistem komputer dapat berupa Pengaman-pengaman yang bagus. Pengamanan yang
disarankan :
1.
Terapkan rencana
pengamanan untuk mencegah pembobolan.
2.
Buat rencana/planning
penanganan jika pembobolan terjadi.
3.
Buatlah backup.
4.
Hanya ijinkan akses untuk
pegawai tertentu.
5.
Ubah password secara
teratur.
6.
Jagalah informasi yang
tersimpan dengan aman.
7.
Gunakan software
antivirus.
8.
Gunakan biometrik untuk
mengakses sumberdaya komputasi.
9.
Rekrut tenaga kerja /
pegawai yang bisa dipercaya.
10. Enkripsi – proses penyandian pesan sebelum memasuki jaringan
atau gelombang udara, kemudian membuka kembali pada ujung penerimaan(Dekripsi).
Penyebab Meningkatnya
Kejahatan Komputer :
- Aplikasi bisnis berbasis TI dan
jaringan komputer meningkat : online banking, e-commerce, Electronic data
Interchange (EDI).
- Desentralisasi Server
Apa sih itu? Desentralisasi merupakan Pemrosesan
dilakukan dimasing-masing pengguna yang dibagi menjadi dua yaitu peer
to peer dan sistem terdistribusi. Penempatan data atau informasi dan
aplikasi yang digunakan untuk memperoleh informasi diletakkan secara tersebar
karena desentralisasi ini merupakan kebalikan dari sentralisasi. Jadi
administrator server dapat mengakses data tanpa dibatasi waktu dan jarak.
sumber :http://lisacutez.wordpress.com/2012/09/30/tipe-dari-sistem-informasi-sentralisasidesentralisasi-dan-clientserver/ dengan
beberapa tambahan.
- Transisi dari single vendor ke
multi vendor.
Untuk pengetahuan saja, kalau single vendor bisa dikatakan lebih
baik dari multi vendor apabila dilihat dari segi kemudahan.
Single vendor lebih mudah dalam konfigurasi dan integrasi, dan users
tidak perlu mempelajari lagi banyak sistem yang ada karena semua sistem dan
perangkatnya satu sumber sehingga dapat berdaptasi dengan cepat atas perubahan
lingkungan dan teknologi. Bila dilihat dari segikeamanan,
single vendor lebih aman karena sistem yang dikembangkan masih tertutup dan
lebih bersifat monoculture sehingga tidak banyak dikembangkan oleh vendor lain.
Disamping dua hal diatas, single vendor memiliki keunggulan dalam Standart,
suplly,integritas,dan fitur walaupun tentu saja dengan
biaya yang tidak murah. Dan ternyata Multivendor memperlihatkan jauh lebih
banyak masalah kompabilitas daripada single-vendor.
Sedangkan multi vendor bisa dikatakan lebih baik dari single
vendor apabila dilihat dari segi biaya. Dengan penggunaan
multi vendor dapat meminimalkan
biaya di muka dan biaya operasional.Upaya menekan biaya juga dimungkinkan
karena untuk membangun sebuah system tidak harus mengganti perangkat
pendukung secara keseluruhan. Kelebihan multi vendor
yang lain adalah dapat
dipadu padankan dengan
perangkat yang sudah ada jika memang diperlukan, jadi tinggal menambah saja sesuai dengan
kebutuhan. Dari segi kemandirian,
multi vendor memberikan kebebasan kepada konsumen dalam hal pemakaian sistem
atau aplikasi sehingga konsumen tidak terikat dan bebas menentukan pilihan mana
yang terbaik dan sesuai bagi konsumen itu sendiri. Tetapi dari segi
efektifitas sistem atau perangkat yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu
jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani
berjenis-jenis perangkat. Jadi sebaiknya tidak menggunakan variasi yang terlalu
banyak. Dari segi keamanan multi vendor merupakan salah satu penyebab yang
memicu terjadinya kejahatan komputer
- Meningkatnya kemampuan pemakai
(user)
- Semakin kompeksnya sistem yang
digunakan, semakin besarnya source code program yang digunakan.
- Berhubungan dengan jaringan /
internet.
Klasifikasi Kejahatan
Komputer menurut David Icove [Jhon D. Howard, “An Analysis Of Security
Incidents On The Internet 1989-1995” PhD thesis, Engineering and Public policy,
carnegia Mellon University, 1997] berdasarkan lubang keamanan, kemanan dapat di
klasifikasikan menjadi empat yaitu:
- Keamanan yang bersifat
fisik (Physical security), termasuk akses orang ke gedung,
peralatan, dan media yang digunakan. Contoh: Wiretapping atau hal-hal yang
ber-hubungan dengan akses ke kabel atau komputer yang digunakan juga dapat
dimasukan kedalam kelas ini. Daniel of service, dilakukan misalnya dengan
mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan
(yang dapat berisi apa saja karena yang diutamanakn adalah banyanya jumlah
pesan) Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh
permintaan sehingga dia menjadi ter-lalu sibuk dan bahkan ndapat berakibat
macetnya sistem (hang)
- Keamanan yang
berhubungan dengan orang (personal) , contohnya
Indentifikasi user (username dan password) Profil resiko dari orang yang mempunya
- Keamanan dari data dan
media serta teknik komunikasi
- Keamanan dalam operasi: Adanya prosedur yang digunakan untuk mengatur dan
mengelola sistem keamanan, dan juga termasuk prosedur setetlah
serangan (post attack recovery)
Berbicara tentang
keamanan-keamanan, pasti ada yang mencoba menyusup dan membobolnya.
Apa saja sih tipe-tipe
penyusup keamanan sistem komputer itu?
1.
The Curios (Si ingin
Tahu) Tertarik menemuan jenis dan data yang anda miliki.
2.
The Malicious (Si
Perusak) Berusaha merusak sistem, atau merubah web page, atau sebaliknya
membuat waktu dan uang anda kembali pulih. Biasanya dia akan menjebak kita dan
mengancam kita untuk memberikan uang atau dia akan menyalahgunakan data.
3.
The High-Profile (Si
Profil Tinggi) Berusaha menggunakan sistem, untuk memperoleh popularitas dan
ketenaran. Dan juga mungkin menggunakan sistem profil tinggi anda untuk
mengiklankan kemampuannya
4.
The Competition (Si
Pesaing) Penyusup ini tertarik pada data yang anda miliki dalam sistem anda, Ia
mungkin seseorang yang beranggapan bahwa anda memiliki sesuatu yang dapat
menguntungkan secara keuangan atau sebaliknya.
Ada berbagai-bagai tipe
penyusup, antara lain:
1.
Mundane: tahu mengenai
hacking tapi tidak mengetahui metode dan prosesnya.
2.
Lamer (Script Kiddies):
Mencoba script-script yang pernah dibuat oleh aktivis hacking, tapi tidak
pernah paham bagaimana cara membuatnya.
3.
Wannabe:
Paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga
berfalsafah; HACK IS MY RELIGION.
4.
Larva
(newbie): Hacker pemula, teknik hacking mulai dikuasai dengan baik, sering
bereksperimen.
5.
Hacker:
Aktivitas hacking sebagai profesi.
6.
Wizar:
Hacker yang membuat komunitas pembnelajaran diantara mereka.
7.
Guru:
master of the master hacker, lebih mengarah ke penciptaan tools-tools yang
powerfull yang salah satunya dapat menunjang aktivitas hacing, namun lebih jadi
tools pemrograman system yang umum.
Aspek
Kemanan Komputer antara lain:
- Privacy /
Confidentiality: Menjaga informasi dari orang yang tidak berhak mengakses.
Lebih kearah data-data yang sifatnya privacy, Contoh: e-mail seorang
pemakai (user) tidak boleh dibaca oleh administrator.
Confidentiality berhubungan dengan data yang
diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk
keperluan tertentu tersebut. Contoh : Data-data yang sifatnya pribadi (seperti
nama, tempat tanggal lahir, social scurity number, agama, status perkawinan,
penyakityang pernah diderita, nomor kartu kredit dll) harus dapat diproteksi
dalam penggunaan dan penyebarannya. Bentuk Serangan : Usaha penyadapan (dengan
program sniffer).
Usaha-usaha yang dapat dilakukan untuk meningkatkan
privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.
Apa sih kriptografi itu? Kriptografi
adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan
aspek keamanan informasi seperti keabsahan, integritas data, serta autentikasi
data. Kriptografi tidak berarti hanya memberikan keamanan informasi saja, namun
lebih ke arah teknik-tekniknya. Secara
umum dikenal dua teknik dalam kriptografi, yaitu symmetric-key dan
asymmetric-key (public-key).
- Integrity yang
artinya Informasi tidak boleh diubah tanpa seijin
pemilik informasi. Contoh : e-mail di Intercept ditengah jalan,
diubah isinya, kemudian diteruskan ke alamat yang dituju. Bentuk
serangan : adanya virus, trojan horse, atau pemakai lain yang
mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang
menempatkan diri di tengah membicaraan dan menyamar sebagai orang lain.
- Authentication, artinya metode
untuk menyatakan bahwa informasi betul-betul asli, atau orang yang
mengakses atau memberikan informasi adalah betul-betul yang dimaksud. [1]Dukungan: Adanya Tools
membuktikan keaslian dokumen, dapat dilakukan dengan teknologi
watermarking (untuk menjaga “intellectual property” yaitu dengan menandai
dokumen atau hasil karya dengan “tanda tangan” pembuat) dan digital
signature. Yang sedang ngetren saat ini adalah Acces control, yaitu
berkaitan dengan pembatasan orang yang dapat mengakses informasi. User
harus menggunakan password biometric (ciri-ciri khas orang), dan
sejenisnya.
- Availability, artinya berhubungan
dengan ketersediaan informasi ketika dibutuhkan. [1]Contoh
hambatan :
1.
[1]“deniel
of service attack” (Dos attack), dimana server dikirimi permintaan (biasanya
palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak
dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
2.
[1]Mailbom,
dimana seorang pemakai dikirim e-mail bertubi-tubi (katakan ribuan email)
dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya
atau kesulitan mengakses e-mailnya.
- Acces Control,
artinya cara pengaturan akses kepada informasi. Berhubungan dengan
masalah authentication dan juga privacy. Metodenya adalah
menggunakan kombinasi user id/password atau dengan menggunakan
mekanisme lain.
- Non-repudation, yang artinya aspek
ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah
transaksi. Dukungan bagi electronic commerce.
Apa itu Electronic Commerce ? Electronic Commerce
merupakan pertukaran bisnis yang rutin dengan menggunakan transmisi Electronic
Data Interchange (EDI), email, electronic bulletin boards, mesin faksimili, dan
Electronic Funds Transfer yang berkenaan dengan transaksi-transaksi belanja di
Internet shopping.
Dan berikut adalah
macam-macam serangan pada Keamanan Sistem Komputer:
1. Interruption : Perangkat sistem menjadi rusak atau tidak
tersedia. Serangan ditujukan kepada ketersediaan (availability) dari
sistem. Contoh serangan adalah “Denial of service attack”.
2. Interception : Pihak tidak berwenang berhasil mengakses asset
atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
3. Modification : Pihak yang tidak berwenang tidak saja
berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset.
Contohnya dari serangan ini antara lain adalah mengubah isi dari website
dengan pesan –pesan yang merugikan pemilik website.
4. Fabrication : Pihak yang tidak berwenang menyisip objek palsu
ke dalam sistem. Contoh dari serangan jenis ini adalah
memasukkan pesan-pesan palsu seperti e-mail palsu kedalam jaringan
komputer.
Untuk pembahasan terakhir
mengenai lapisan keamanan pada keamanan sistem komputer, yang berupa:
1.
Lapisan Fisik, untuk
membatasi akses fisik ke mesin yang berupa akses masuk ke ruangan komputer, penguncian
komputer secara hardware, keamanan BIOS, keamanan Bootloader. Selain itu
lapisan fisik juga berfungsi pada bagian Backup Data, atau lebih lengkapnya
melakukan Pemilihan piranti back-up, Penjadwalan Backup. Lapisan fisik juga
dapat mendeteksi gangguan Fisik berupa Log File dan mengontrol akser sumber
daya.
2.
Keamanan Lokal, yang
berkaitan dengan hak-haknya user adalah memberikan mereka fasilitas minimal
yang diperlukan. Dan hati-hati terhadap saat / dari mana mereka login, atau
tempat seharusnya mereka login. Tak lupa juga memastikan dan hapus rekening
mereka ketika mereka tidak lagi membutuhkan akses.
3.
Keamanan Root, yang
menjadikan root untuk melakukan tugas tunggal tertentu, membatasi jalur perintah
bagi pemakai root, dan tidak memperbolehkan menggunakan perangkat utilitas
rlogin/rshrexec.
4.
Keamanan File dan system
file. Keamanan ini dapat dilakukan dengan tidak memperbolehkan mengakses
perintah mengubah sistem, seperti partisi, perubahan device dan lain-lain, lalu
melakukan setting limit system, mengatur akses dan permission file, dan
terakhir selalu cek program-program yang tidak dikenal.
5.
Keamanan Password dan
Enkripsi. Keamanan ini dapat dilakukan dengan cara hati-hati terhadap brute
forec attack dengan menbuat password yang baik, selalu mengenkripsi file yang
diperlukan, lalu lakukan pengamanan pada level tampilan, seperti screen saver.
6.
Kemanan Kernel , dengan
cara selalu Update kernel system operasi dan mengikuti review bugs dan
kekurangan-kekurngan pada system operasi.
7.
Keamanan Jaringan, dengan
cara mewaspadai paket sniffer yang sering menyadap port ethernet, Lakukan
prosedur untuk mengecek integritas data, Verifikasi informasi DNS, Lindungi
Network File Sistem dengan menggunakan Firewall untuk barrier anatar jaringan
privat dengan jaringan eksternal.
Pertemuan ditutup dengan
slide terakhir yang menjelaskan bagaimana hacker bekerja. Secara umum hacker
bekerja melalui beberapa tahapan :
1. Tahap Mencari tahu
system komputer sasaran.
2. Tahap Penyusapan.
3. Tahap Penjelajahan.
4. Tahap Keluar dan
menghilangkan Jejak.
Tidak ada komentar:
Posting Komentar