A. Serangan Terhadap Keamanan Sistem Informasi
Security attack, atau
serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan
komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia
informasi. Menurut W. Stallings [40] ada beberapa kemungkinan serangan
(attack):
• Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”.
• Interception: Pihak
yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari
serangan ini adalah penyadapan (wiretapping).
• Modification: Pihak
yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah
(tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari
web site dengan pesanpesan yang merugikan pemilik web site.
• Fabrication: Pihak
yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari
serangan jenis ini adalah memasukkan pesanpesan palsu seperti e-mail palsu ke
dalam jaringan komputer.
B. Electronic Commerce : Mengapa Sistem Informasi Berbasis Internet
Sistem informasi saat
ini banyak yang mulai menggunakan basis Internet. Ini disebabkan Internet
merupakan sebuah platform yang terbuka (open platform) sehingga menghilangkan
ketergantungan perusahaan pada sebuah vendor tertentu seperti jika menggunakan
sistem yang tertutup (proprietary systems). Open platform juga mempermudah
interoperabilityantar vendor. Selain alasan di atas, saat ini Internet
merupakan media yang paling ekonomis untuk digunakan sebagai basis sistem
informasi.
Hubungan antar komputer
di Internet dilakukan dengan menghubungkan diri ke link terdekat, sehingga
hubungan fisik biasanya bersifat lokal.
Perangkat lunak (tools) untuk
menyediakan sistem informasi berbasis Internet (dalam bentuk server web, ftp,
gopher), membuat informasi (HTML editor), dan untuk mengakses informasi (web
browser) banyak tersedia. Perangkat lunak ini banyak yang tersedia secara murah
dan bahkan gratis. Alasan-alasan tersebut di atas menyebabkan Internet menjadi
media elektronik yang paling populer untuk menjalankan bisnis, yang kemudian dikenal
dengan istilah electronic commerce (e-commerce). Dengan diperbolehkannya bisnis
menggunakan Internet, maka penggunaan Internet menjadi meledak. Statistik yang
berhubungan dengan kemajuan Internet dan e-commerce sangat menakjubkan.
C. Statistik Internet
Jumlah komputer,
server, atau lebih sering disebut hostyang terdapat di Internet menaik dengan
angka yang fantastis. Sejak tahun 1985 sampai dengan tahun 1997 tingkat
perkembangannya (growth rate) jumlah host setiap tahunnya adalah 2,176. Jadi
setiap tahun jumlah host meningkat lebih dari dua kali. Pada saat naskah ini
ditulis (akhir tahun 1999), growth rate sudah turun menjadi 1,5.
Data-data statistik
tentang pertumbuhan jumlah host di Internet dapat diperoleh di “Matrix Maps
Quarterly” yang diterbitkan oleh MIDS
Beberapa fakta menarik
tentang Internet:
• Jumlah host di
Internet Desember 1969: 4
• Jumlah host di
Internet Agustus 1981: 213
• Jumlah host di
Internet Oktober 1989: 159.000
• Jumlah host di Internet
Januari 1992: 727.000
D. Meningkatnya Kejahatan Komputer
Jumlah kejahatan
komputer (computer crime), terutama yang berhubungan dengan sistem informasi,
akan terus meningkat dikarenakan beberapa hal, antara lain:
• Aplikasi bisnis yang
menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin
meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line banking, electronic commerce (e-commerce), Electronic
Data Interchange(EDI), dan masih banyak lainnya. Bahkan aplikasi e-commerceakan
menjadi salah satu aplikasi pemacu di Indonesia (melalui“Telematika Indonesia”
[43] dan Nusantara 21). Demikian pula di berbagai penjuru dunia aplikasi
ecommerce terlihatmulai meningkat.
• Desentralisasi (dan
distributed) server menyebabkan lebih banyak sistem yang harus ditangani. Hal
ini membutuhkan lebih banyak operator dan administrator yang handal yang juga
kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan
administrator yang handal adalah sangat sulit.
• Transisi dari single
vendorke multi-vendorsehingga lebih banyak sistem atau perangkat yang harus
dimengerti dan masalah interoperabilityantar vendor yang lebih sulit ditangani.
Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah, apalagi
harus menangani berjenis-jenis perangkat.
• Meningkatnya
kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang
mencoba-cobabermain atau membongkar sistem yang digunakannya (atau sistem
milikorang lain). Jika dahulu akses ke komputer sangat sukar, maka sekarang
komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di
sekolah serta rumah-rumah.
• Mudahnya diperoleh
software untuk menyerang komputer dan jaringan komputer. Banyak tempat di
Internet yang menyediakan software yang langsung dapat diambil (download) dan
langsung digunakan untuk menyerang dengan Graphical User Interface(GUI) yang
mudah digunakan. Beberapa program, seperti SATAN, bahkan hanya membutuhkan
sebuah web browser untuk menjalankannya. Sehingga, seseorang yang dapat
menggunakan web browser dapat menjalankan program penyerang (attack).
• Kesulitan dari
penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat
cepat. Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk
mengatasi masalah yang justru terjadi pada sebuah sistem yang tidak memiliki
ruang dan waktu.
E. Klasifikasi Kejahatan Komputer
Kejahatan komputer
dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan
(annoying). Menurut David Icove [18] berdasarkan lubang keamanan, keamanan
dapat diklasifikasikan menjadi empat, yaitu:
1. Keamanan yang
bersifat fisik(physical security): termasuk akses orang ke gedung, peralatan,
dan media yang digunakan. Beberapa bekas penjahat komputer (crackers) mengatakan
bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang
mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan
coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau
hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan
juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang
ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat
dimasukkan ke dalam kelas ini. Denial of servicedapat dilakukan misalnya dengan
mematikan peralatan atau membanjiri saluran komunikasidengan pesan-pesan (yang
dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa
waktu yang lalu ada lubangkeamanan dari implementasi protokol TCP/IP yang
dikenal dengan istilah Syn Flood Attack, dimana sistem (host) yang dituju
dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat
berakibat macetnya sistem (hang).
2. Keamanan yang
berhubungan dengan orang (personel): termasuk identifikasi, dan profil resiko dari
orang yang mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem
informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik
yang dikenal dengan istilah “social engineering” yang sering digunakan oleh kriminal
untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya
kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta
agardiganti menjadi kata lain.
3. Keamanan dari data
dan media serta teknik komunikasi(communications). Yang termasuk di dalam kelas
ini adalah kelemahan dalam software yang digunakan untuk mengelola data.
Seorang kriminal dapat memasang virusatau trojan horsesehingga dapat
mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses.
4. Keamanan dalam
operasi: termasuk prosedur yang digunakan untuk mengatur dan mengelola sistem
keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
DAFTAR
PUSTAKA
Rahardjo, Budi. 1999.
Keamanan Sistem Informasi Berbasis Internet. Bandung : PT Insan Infonesia.
Tidak ada komentar:
Posting Komentar