Tuesday, March 31, 2009

Your Privacy is Your Soul

Privasi anda adalah jiwa anda.


Demikian tema yang saya angkat dalam blog ini. Sebenarnya saya pribadi bukan seorang yang paranoid tentang keamanan di Internet. Sebagai seseorang yang sering menggunakan internet, tidak salahnya kita aware terhadap keamanan dalam dunia maya tersebut.

Informasi adalah data-data/material yang terorganisir dan memiliki arti dan merupakan suatu kekayaan intelektual. Oleh karena itu, informasi sangat sulit sekali untuk dinilai harganya. Suatu perusahaan baik yang berskala kecil maupun besar perlu mewaspadai segala potensi terjadi penyusupan dan tidak boleh menganggap sepele mengenai masalah keamanan data. Menurut Kevin Beaver dalam bukunya yang berjudul “Hacking for Dummies”, mengungkapkan bahwa ada beberapa aspek utama dalam dunia keamanan dimana menyebabkan terjadinya kasus penyusupan pada suatu sistem komputer yaitu:



1. Mayoritas dari sistem-sistem yang disusupi oleh hacker tidak terurus dengan baik.
Sistem komputer tidak di-patched, di-hardened dan diawasi dengan baik sebagaimana mestinya. Dengan begitu, hacker dapat dengan mudah melakukan serangan yang mampu menembus firewall, IDS (Intrusion Detection System), dan sistem pengesahan (authentication) dari sistem komputer tersebut.


2. Kebanyakan jaringan dan keamanan tidak dapat mengikuti perkembangan informasi terbaru dari celah sistem komputer.

3. Sistem informasi terus berkembang lebih kompleks setiap tahun. Inilah yang menyebabkan beban pencarian bagi para administrator yang semakin sulit dalam mengetahui apa yang terjadi dalam sistem komputer mereka.


Mengenai proteksi suatu informasi dalam sistem komputer, tidak terlepas dari berbagai macam teknik-teknik perlawanan yang digunakan dalam memproteksi komputer dan informasi di dalamnya. Menurut Rick Lehtinen, dalam bukunya yang berjudul “Computer Security Basics, 2nd Edition”, mengungkapkan ada tiga kategori dasar dalam metode-metode countermeasure yaitu:

I. Keamanan Komputer (Computer Security)

Kata “keamanan komputer” umumnya memiliki arti bahwa suatu proteksi yang meliputi komputer dan semuanya yang berhubungan dengannya. Akan tetapi, lebih tepatnya pengertian keamanan komputer adalah suatu proteksi terhadap informasi yang disimpan dalam sebuah sistem komputer, berlawanan dengan pengertian proteksi informasi yang ditransmisikan (keamanan jaringan) atau proteksi peralatan dan fasilitasnya (keamanan fisik). Keamanan komputer fokus pada fitur-fitur sistem operasi yang mengontrol siapa yang dapat mengakses sistem ini dan data yang disimpan di dalamnya.

Seorang administrator dalam menentukan bagaimana sebuah sistem komputer dapat menyediakan proteksi harus memperhatikan 4 metode utama yaitu:

a. Kontrol akses sistem (System access controls)

Metode ini untuk menjamin bahwa penguna yang tidak sah tidak dapat masuk ke dalam sistem tersebut dan menganjurkan pada pengguna sah (authorized user) untuk lebih mawas diri mengenai keamanan misalnya mengubah kata sandi mereka secara regular. Sistem ini juga memproteksi data kata sandi dan merekam aktifitas siapapun yang berada pada sistem ini, khususnya jika mengenai apa yang mereka lakukan berhubungan dengan masalah keamanan (misalnya log in, mencoba membuka file, menggunakan hak istimewa). Kontrol akses sistem adalah jiwa dari pengesahan (authentication).

b. Administrasi sistem dan keamanan (System and Security Administration)

Metode ini berfungsi sebagai prosedur offline yang dimana digunakan dalam membuat sebuah sistem keamanan, dimana di dalamnya menjelaskan secara gamblang tanggung-jawab dari administrator, cara pelatihan yang baik bagi para pengguna, dan pengawasan untuk para pengguna untuk menjamin bahwa kebijakan keamanan (security policy) dapat teramati. Kategori ini lebih meliputi manajemen keamanan secara global, contohnya memutuskan ancaman apa yang akan dihadapi oleh suatu sistem dan berapa biaya yang harus dikeluarkan dalam proteksi melawan ancaman tersebut.

c. Kontrol akses data (Data access controls)

Metode ini mengawasi siapa saja yang dapat mengakses suatu data dan apa tujuan dari pengaksesan tersebut. Dengan kata lain, metode ini mengungkapkan apa yang dapat dikerjakan oleh pengguna ketika dia telah diterima. Suatu sistem diharapkan dapat mendukung kontrol akses yang bersifat mengizinkan seorang pengguna untuk hak dalam membuat keputusannya; dengan ini, sistem tersebut harus dapat membuat keputusan siapa saja yang boleh membaca atau mengubah suata data. Suatu sistem juga harus mendukung kontrol akses mandatory; dengan ini, sistem harus dapat menentukan peraturan akses yang berdasarkan pada tingkatan keamanan (security level) dari pengguna, file, atau objek lainnya yang berada dalam sistem tersebut.

d. Desain sistem (System Design)

Metode ini mempertimbangkan keuntungan yang dapat diperoleh dari karakteristik-karakteristik keamanan dari hardware dan software contohnya, dengan menggunakan sebuah arsitektur sistem yang dapat membagi memori, sehingga dapat mengisolasi proses istimewa (privileged process) dari proses non-istimewa.

Dalam kasus pengamanan akses terhadap suatu informasi, kita dapat menerapkan skema pengamanan kata sandi yang kuat pada suatu form login, misalnya kata sandi seorang pengguna harus berupa lebih dari 6 karakter, tidak memiliki arti (untuk menghindari dictionary attack), dan dapat merupakan kombinasi dari karakter huruf (huruf besar atau huruf kecil), angka, karakter non-alphanumerik dan karakter unicode. Lebih lanjut lagi, kata sandi yang kuat tidak terdiri dari tiga atau lebih karakter yang berurutan yang berasal dari nama account pengguna .

Sebenarnya dalam menyediakan proteksi bagi kata sandi yang kuat dalam proses pengesahan (authentication), dapat juga kita menerapkan metode multifactor authentication misalnya penggunaan biometrik, token, dan OTP (one-time password) yang sangat menjanjikan dalam meningkatkan keamanan suatu jaringan dan fasilitasnya. Teknik ini juga merupakan solusi dalam penyelesaian masalah bagi beberapa pengguna yang cenderung menulis kata sandinya di tempat yang mudah dilihat.

Metode pengesahan dengan menggunakan token dapat dapat meningkatkan keamanan dalam proses login. Token atau kartu token adalah peralatan kecil yang di dalamnya terdapat kata sandi yang telah terenkripsi dan dapat digunakan dengan mengkombinasi kata sandi dari inputan user. Dengan kata lain, token diibaratkan sebagai sebuah kunci yang terenkripsi yang digunakan dalam proses login.

One-time password (OTP) adalah sebuah pemvariasian kombinasi dari nama pengguna atau password. Dengan OTP, seorang pengguna membuat sebuah kata sandi dan sistem tersebut dapat membuat variasi dari kata sandi tersebut setiap waktu ketika kata sandi tersebut dibutuhkan. Kemudian sistem tersebut memberikan sebuah daftar kata sandi ke pengguna dan bila pengguna telah selesai habis menggunakan semua kata sandi di daftar tersebut, maka sistem akan mengirimkan daftar kata sandi yang baru lagi. OTP merupakan solusi bagi pemecahan masalah keystroke logger (pencurian informasi pada hasil ketikan di keyboard).

Ada dua klasifikasi penting dari titik-titik lemah kata sandi (password vulnerability) yaitu:
1. Organizational or end-user vulnerabilities: Kelemahannya adalah kurangnya kesadaran pada kata sandi untuk kalangan pengguna akhir (end-user) dan kurangnya kesadaran pada kebijakan kata sandi yang dilaksanakan dalam suatu organisasi.

2. Technical vulnerabilities: Ini meliputi metode enkripsi yang lemah, tempat penyimpanan kata sandi yang tidak aman pada sistem komputer dan aplikasi end-user yang menampilkan kata sandi pada layar ketika sedang mengetik.

Pengamanan terhadap kata sandi tidak terlepas dari suatu kebijakan yang kuat yang terbentuk dalam suatu organisasi. Biasa pencurian informasi yang disebabkan oleh kebocoran kata sandi ke pihak yang tidak bertanggung-jawab ini disebabkan oleh terjadinya pelanggaran terhadap kebijakan keamanan (security policy) yang dibuat. Kebijakan keamanan komputer bila dilakukan secara efektif maka dapat menghindari terjadinya pencurian data dan lebih lanjut lagi penyebaran virus, worm, program-program jahat dapat dieliminasi. Kebijakan keamanan membutuhkan prosedur-prosedur yang mana menangani audit keamanan secara regular, dan penerapan peraturan-peraturan seperti pemisahan kewajiban dan penggunaan pengontrolan dua orang (two-man control). Di dalam kebijakan keamanan ini, juga harus mencantumkan kategori resiko dan prioritas penanganan resiko, serta nilai dari aset yang diproteksi yang telah dibandingkan dengan harga dari apa yang diproteksinya.

Jadi, kebutuhan akan kebijakan keamanan didasarkan pada penjaminan hal-hal keamanan dan pendelegasian kekuasaan yang sebagai berikut:

a. Hanya sejumlah kecil pihak yang berwenang yang dapat me-reset kata sandi

b. Seorang pengguna hanya pernah diberitahukan adanya pe-reset-an kata sandi secara tertulis misalnya melalui email atau diberitahukan secara personal. Tidak pernah melalui telepon.

c. Seorang pengguna yang diberikan sebuah kata sandi baru secara personal harus membuat beberapa surat identifikasi bila mereka tidak dikenal oleh orang yang mendistribusikan kata sandi.

d. Seseorang yang melupakan kata sandinya tidak akan dikritik atau dipenalti, ataupun akan membuat mereka menulis kata sandinya ke media penyimpanan (misalnya kertas).

e. Kata sandi administrator hanya digunakan ketika fungsi tambahan dibutuhkan. Untuk keseluruhan waktu yang lain, administrator harus menggunakan kata sandi untuk tingkatan pengguna standard. Hal ini menolong untuk menghindari terjadinya kehilangan data yang disebabkan oleh kesalahan yang sebaliknya telah dicegah dan mengurangi sejumlah waktu yang tersedia bagi seorang hacker yang mungkin mencoba untuk mencuri atau menemukan kata sandi administrator.

f. Pegawai tidak boleh diizinkan untuk menggunakan kata sandi temannya atau pegawai yang lain meskipun keduanya memiliki hak akses yang sama, karena ini merupakan suatu perintah bahwa log file seorang pengguna sangat bergantung untuk menyediakan sebuah catatan yang akurat yang mana mencantumkan aksi apa yang telah dilakukan oleh orang yang mana.

g. Penjaminan bahwa tidak ada kata sandi yang duplikat lintas sistem. Ini adalah hal yang umum bagi seorang administrator untuk membuat kata sandi yang sama pada setiap mesin yang mereka awasi.

h. Pengubahan kata sandi administrator harus sesering mungkin. Bila seorang administrator telah keluar dari perusahaan, semua kata sandi yang mana merupakan hak aksesnya harus diubah secepatnya.

i. Tidak akan ada pernah pengecualian dari peraturan-peraturan ini.

II. Keamanan komunikasi (Communications security)

Keamanan komunikasi adalah proteksi dari informasi ketika dia sedang ditransmisikan baik melalui media telepon, kabel, microwave, satelit ataupun media lainnya. Keamanan komunikasi fokus pada akses jaringan ke sistem komputer dan teknologi yang meningkatkan keamanan sistem yang mengizinkan terjadinya koneksi dengan dunia luar.

Biasanya pencurian informasi sering terjadi ketika sebuah sistem komputer telah terkoneksi dengan dunia luar. Berikut ini adalah tips-tips yang berguna dalam pengelolaan keamanan jaringan khususnya keamanan komunikasi:

a. Memproteksi pada fisik kabel. Seorang perusak dapat melumpuhkan area jaringan lokal atau sebuah bagian dari sebuah jaringan besar dengan memotong sebuah kabel tunggal saja.

b. Menyediakan keamanan fisik yang ekstra untuk sistem apapun yang spesial dalam jaringan, sebagai contoh, peralatan backup atau disk library.

c. Menggunakan tempat penyimpanan offsite yang terjamin untuk backup sehingga bila sesuatu terjadi pada fungsi utama, data duplikat masih tetap utuh.

d. Menyediakan firewall dan IDS (Intrusion Detection System) untuk memproteksi baik pertahanan di luar maupun di dalam.

e. Menggunakan produk-produk enkripsi dan pengesahan jaringan (network authentication) yang terpecaya.

Dalam memproteksi informasi dari serangan luar, banyak perusahaan-perusahaan besar saat ini menggunakan IDS (Intrusion Detection System) atau juga IPS (Intrusion Prevention System) pada sistem keamanan komputer mereka. Perbedaan antara IDS dengan IPS adalah IDS memberitahukan ke sistem bahwa ada orang yang hendak mencoba untuk meng-hack ke dalam jaringan, sedangkan IPS adalah suatu program yang mencoba mencegah serangan ini lebih lanjut.

Yang menjadi faktor penentu lainnya dalam pencurian informasi misalnya melalui media internet (website) adalah kurangnya memperhatikan mengenai masalah pengamanan pemrograman (secure programming). Seseorang programmer yang menulis spesifikasi desain haruslah kompeten dalam keamanan Web dan juga harus memperhatikan segala aspek keamanan dalam spesifikasi desainnya secara mendetail. Script yang memenuhi spesifikasi desain yang benar akan kokoh terhadap serangan Web. Seorang programmer juga harus paham betul mengenai data apa yang harus difilter dan mengerti mengapa sebuah pemfilteran yang spesial diperlukan. Hal ini berfungsi agar sistem komputer di server tetap kokoh meskipun ada pengguna yang memasukkan nilai parameter tidak logis (illogical) pada input box di browser.

Oleh karena itu, dalam pengamanan informasi, keamanan dari aplikasi Web harus sudah dipertimbangkan terlebih dahulu pada tahap awal dari penulisan spesifikasi desain, sebelum baris pertama dari kode dituliskan. Sebenarnya titik kelemahan biasanya tidak dapat diprediksi dalam sebuah spesifikasi desain karena mereka sangat spesifik pada bahasa pemrograman yang digunakan. Mengenai aturan mainnya, setiap bahasa pemrograman memiliki fitur atau fungsi yang harus digunakan secara hati-hati.

Sebagai contoh, dalam C dan C++, seperti isu-isu ketidakstabilan dari penggunaan printf(), strcpy() dan fungsi sejenisnya. Mereka menkopi blok yang spesifik dari memori tanpa memeriksa apakah data yang dikopi masih dalam address space yang dialokasikan.

Dalam PHP, sebuah bahasa pemrograman yang popular untuk aplikasi Web, mendapat juga masalah yang sama yang berhubungan dengan definisi otomatis dari variabel global yang berdasarkan pada data yang diterima seperti GET, POST dan parameter-parameter COOKIES.

Sebenarnya dalam keamanan komunikasi tidak terlepas dari enkripsi. Enkripsi adalah suatu bentuk pengamanan informasi/data yang mana mentransformasikan informasi original (disebut sebagai plaintext atau cleartext) ke dalam informasi yang tidak dapat dipahami (biasa disebut ciphertext atau codetext). Dengan adanya enkripsi, maka informasi yang telah terenkripsi diharapkan aman meskipun informasi tersebut dicuri.

III. Keamanan Fisik (Physical security)

Keamanan fisik adalah suatu proteksi fisik pada peralatan komputer baik pada pengrusakan maupun pada pencurian yang disebabkan bencana alam dan penyusup. Proteksi pada peralatan komputer tidak hanya bergantung pada faktor teknologi dan penguncian tetapi juga pada faktor manajemen yang efektif. Manajemen yang efektif adalah bentuk pencegahan terhadap pencurian yang dilakukan oleh pegawai maupun orang yang dipercayai. Dengan adanya manajemen yang efektif, peralatan yang hilang dapat diketahui dan dilacak kembali.

Dalam perlindungan suatu informasi, maka metode-metode keamanan fisik dapat dikombinasikan dengan enkripsi. Komputer yang dicuri yang terdiri dari informasi yang terenkripsi maka kerugiannya adalah hanya komputernya. Bila komputer yang dicuri yang terdiri dari informasi yang sama dan tak terenkripsi maka kerugiannya akan jauh lebih besar.

Hal yang biasa penyebab terjadinya kasus-kasus pencurian informasi yang dalam suatu perusahaan yang berhubungan dengan masalah kelemahan keamanan fisik sebagai berikut :

a. Tidak ada resepsionis dalam perusahaan tersebut
b. Tidak ada visitor sign-in (tempat penanda-tangan) atau pengawalan yang dibutuhkan untuk mengakses ke ruangan di suatu perusahaan
c. Pegawai mempercayai seorang tamu karena dia memakai seragam dari salah satu vendor atau karena dianggap mereka bekerja di sana untuk permasalahan komputer.
d. Tidak ada pengontrolan akses pada pintu
e. Orang-orang publik dapat dengan mudah mengakses di ruangan komputer
f. Media backup yang berserakan dan diletakkan tidak teratur
g. Peralatan komputer dan softwarenya tidak di-“amankan” (misalnya tidak diberi password)
h. Tempat penyimpanan seperti CD dan floppy disk yang berisi informasi penting dibuang di tong sampah tanpa terlebih dahulu menghancurkan data di dalamnya.

Sebenarnya selain metode-metode countermeasure yang telah dijabarkan di atas, kita juga harus mempertimbangkan ancaman yang berasal dari social engineering. Social engineering adalah orang yang mencuri informasi dengan menggunakan cara-cara pembujukan/penipuan kepada sang korban demi mendapatkan informasi. Penyerangan ini lebih tertuju pada manusia dibandingkan pada komputer atau teknologi lainnya. Sebagian besar dari aksinya yang dilakukannya tidak perlu menggunakan software atau hardware yang canggih, hanya menggunakan kata-kata yang cerdik dalam berkomunikasi. Oleh karena itu, social engineering adalah bentuk kejahatan komputer yang berbahaya karena tidak ada firewall atau produk software yang dapat mendeteksi atau mencegahnya. Dalam memproteksi suatu organisasi dari ancaman social engineers, maka perusahaan perlu melatih pegawainya dengan tujuan meminimalisir resikonya. Inilah dinamakan human firewall.

Berikut ini adalah beberapa contoh dari aktivitas social engineering:

1. Berpura-pura sebagai seorang dari divisi support yang menuntut bahwa diperlukan peng-install-an patch baru atau versi baru dari suatu software pada komputer si pengguna, membujuk si pengguna supaya men-download software tersebut dengan tujuan untuk dapat mengontrol secara remote pada sistem tersebut.

2. Berpura-pura sebagai seorang dari suatu vendor komputer yang menutut bahwa diperlukan update pada accounting package dari perusahaan tersebut dan meminta kata sandi administrator demi memperoleh akses penuh.

3. Berpura-pura sebagai seorang pegawai di suatu perusahaan dan memberitahukan ke security desk bahwa mereka telah kehilangan kunci ke ruangan komputer sehingga mereka tidak dapat mengaksesnya dan meminta supaya dibukakan ruangan komputer tersebut.

Akhir kata, semoga artikel ini membantu saudara-saudara sekalian dalam menyadari pentingnya keamanan informasi baik di tempat kerja kita maupun di ruang kerja kita.

Seperti perkataan dari Bung Napi encem, kejahatan terjadi bukan karena hanya niat tetapi karena ada kesempatan. Jadi, Waspadalah.


:wave::wave:


Referensi:
[1] Beaver, Kevin. Hacking for Dummies. Wiley Publishing, Inc. Indianapolis 2004.
[2] Nizamutdinov, Marsel. Hacker Web Exploitation Uncovered. A-LIST Publishing. Pennsylvania 2005.
[3] Rick Lehtinen, Deborah Russell, dan G.T. Gangemi Sr. Computer Security Basics, 2nd Edition. O'Reilly Media, Inc. California 2006.
[4] Schifreen, Robert. Defeating the Hacker: A Non-Technical Guide to Computer Security. John Wiley & Sons. England 2006.

Creative Commons License
Your Privacy is Your Soul by Hermin Kosasih is licensed under a Creative Commons Attribution 3.0 United States License.

0 comments: