Penipuan &
Pengamanan komputer
Penipuan
merupakan sesuatu / segala sesuatu yang digunakan oleh seseorang untuk
mendapatkan keuntungan secara tidak adil dari orang lain. Tindakan curang
tersebut meliputi kebohongan, penyembunyian kebenaran, muslihat dan kelicikan,
dan tindakan tersebut sering mencakup pelanggaran kepercayaan. Pelaku penipuan
sering disebut sebagai penjahat berkerah putih (white collar criminals), untuk membedakannya dari penjahat
yang melakukan kejahatan dengan kekerasan.
Penipuan internal dibedakan menjadi dua kategori :
penggelapan aset dan penipuan pelaporan keuangan. Penggelapan aset atau
penipuan pegawai, dilakukan oleh seseorang atau kelompok orang untuk keuntungan
keuangan pribadi. Penipuan yang ditemukan oleh Jason Scott suatu penggelapan
aset. Komisi Nasional atas Penipuan Pelaporan Keuangan (Treadway Commision)
mendefinisikan penipuan pelaporan keuangan sebagai tindakan yang sembrono atau
disengaja, baik melalui tindakan atau penghilangan yang menghasilkan
laporan keuangan yang menyesatkan secara material.
Treadway Commision merekomendasikan empat tindakan untuk
mengurangi kemungkinan penipuan pelaporan keuangan :
· Bentuklah lingkungan organisasi yang memberikan kontribusi terhadap integritas proses pelaporan keuangan .
· Identifikasi dan pahami factor-faktor yang mendorong ke arah penipuan pelaporan keuangan.
· Nilai risiko dari penipuan pelaporan keuangan di dalam perusahaan.
· Desain dan implementasikan pengendalian internal untuk menyediakan keyakinan yang memadai sehingga penipuan pelaporan keuangan dapat dicegah.
· Bentuklah lingkungan organisasi yang memberikan kontribusi terhadap integritas proses pelaporan keuangan .
· Identifikasi dan pahami factor-faktor yang mendorong ke arah penipuan pelaporan keuangan.
· Nilai risiko dari penipuan pelaporan keuangan di dalam perusahaan.
· Desain dan implementasikan pengendalian internal untuk menyediakan keyakinan yang memadai sehingga penipuan pelaporan keuangan dapat dicegah.
PROSES PENIPUAN
terdapat tiga karakteristik yang sering dihubungkan dengan kebanyakan penipuan, yaitu :
· Pencurian sesuatu yang berharga, seperti uang tunai, persediaan, peralatan, atau data.
· Konversi asset yang dicuri ke dalam uang tunai.
· Penyembunyian kejahatan untuk menghindari pendeteksian.
Cara yang umum dan efektif untuk menyembunyikan pencurian adalah untuk membebankan item yang dicuri ke suatu akun biaya. Cara lain untuk menyembunyikan penurunan asset adalah denganc ara gali lubang tutup lubang (lapping). Dalam skema gali lubang tutup lubang, pelaku mencuri uang yang diterima dari pelanggan A untuk membayar piutangnya. Di dalam skema perputaran (kiting), pelaku menutupi pencuriannya dengan cara menciptakan uang melalui transfer uang antar bank.
SEBAB-SEBAB TERJADINYA PENIPUAN
· Tekanan
Tekanan adalah motivasi untuk melakukan penipuan. Tekanan dapat berupa tekanan keuangan, seperti gaya hidup yang berada di luar kemampuan atau memiliki banyak utang atau biasanya banyak tagihan. Sering kali pelaku merasa tekanan-tekanan semacam ini tidak dapat dibagi dengan orang lain. Tekanan dapet juga berkaitan dengan pekerjaan. Beberapa pegawai mencuri data, sehingga mereka dapat membawanya ke pekerjaan baru mereka atau perusahaan tempat mereka bekerja. Motivasi lain yang mengarah pada tindakan curang adalah tekanan keluargaatau tekanan kerja, ketidakstabilan emosi, dan tunjangan menumbangkan system pengendalian serta masuk ke dalam system.
terdapat tiga karakteristik yang sering dihubungkan dengan kebanyakan penipuan, yaitu :
· Pencurian sesuatu yang berharga, seperti uang tunai, persediaan, peralatan, atau data.
· Konversi asset yang dicuri ke dalam uang tunai.
· Penyembunyian kejahatan untuk menghindari pendeteksian.
Cara yang umum dan efektif untuk menyembunyikan pencurian adalah untuk membebankan item yang dicuri ke suatu akun biaya. Cara lain untuk menyembunyikan penurunan asset adalah denganc ara gali lubang tutup lubang (lapping). Dalam skema gali lubang tutup lubang, pelaku mencuri uang yang diterima dari pelanggan A untuk membayar piutangnya. Di dalam skema perputaran (kiting), pelaku menutupi pencuriannya dengan cara menciptakan uang melalui transfer uang antar bank.
SEBAB-SEBAB TERJADINYA PENIPUAN
· Tekanan
Tekanan adalah motivasi untuk melakukan penipuan. Tekanan dapat berupa tekanan keuangan, seperti gaya hidup yang berada di luar kemampuan atau memiliki banyak utang atau biasanya banyak tagihan. Sering kali pelaku merasa tekanan-tekanan semacam ini tidak dapat dibagi dengan orang lain. Tekanan dapet juga berkaitan dengan pekerjaan. Beberapa pegawai mencuri data, sehingga mereka dapat membawanya ke pekerjaan baru mereka atau perusahaan tempat mereka bekerja. Motivasi lain yang mengarah pada tindakan curang adalah tekanan keluargaatau tekanan kerja, ketidakstabilan emosi, dan tunjangan menumbangkan system pengendalian serta masuk ke dalam system.
· Peluang
Peluang merupakan kondisi atau situasi yang memungkinkan seseorang melakukan dan menutupi suatu tindakan yang tidak jujur. Peluang sering berasal dari kurangnya pengendalian internal. Situasi lain yang mempermudah seseorang untuk melakukan penipuan adalah kepercayaan berebih atas pegawai utaa, personil supervisi yang tidak kompeten, tidak memperhatikan perincian, jumlah pegawai tidak memadai, kurangnya pelatihan, dan kebijakan perusahaan yang tidak jelas.
Peluang merupakan kondisi atau situasi yang memungkinkan seseorang melakukan dan menutupi suatu tindakan yang tidak jujur. Peluang sering berasal dari kurangnya pengendalian internal. Situasi lain yang mempermudah seseorang untuk melakukan penipuan adalah kepercayaan berebih atas pegawai utaa, personil supervisi yang tidak kompeten, tidak memperhatikan perincian, jumlah pegawai tidak memadai, kurangnya pelatihan, dan kebijakan perusahaan yang tidak jelas.
· Rasionalisasi
banyak pelaku penipuan yang mempunyai alasan atau rasionalisasi yang membuat mereka merasa perilaku yang illegal tersebut sebagai sesuatu yang wajar. Mungkin, rasionalisasi yang paling umum adalah pelaku hanya “meminjam” asset yang dicuri karena mereke bermaksud untuk mengembalikannya pada perusahaan. Beberpaa pelaku membuat rasionalisasi bahwa mereka tidak menyakiti seseorang secara langsung. Pihak yang terpengaruh hanyalah system computer yang tidak bermuka dan bernama atau perusahaan besar yang bukanlah manusia yang tidak akan merasa kehilangan uang tersebut.
banyak pelaku penipuan yang mempunyai alasan atau rasionalisasi yang membuat mereka merasa perilaku yang illegal tersebut sebagai sesuatu yang wajar. Mungkin, rasionalisasi yang paling umum adalah pelaku hanya “meminjam” asset yang dicuri karena mereke bermaksud untuk mengembalikannya pada perusahaan. Beberpaa pelaku membuat rasionalisasi bahwa mereka tidak menyakiti seseorang secara langsung. Pihak yang terpengaruh hanyalah system computer yang tidak bermuka dan bernama atau perusahaan besar yang bukanlah manusia yang tidak akan merasa kehilangan uang tersebut.
Berikut ini adalah rasionalisasi yang sering dipakai :
· Anda akan memahami apabila anda mengetahui betapa saya membutuhkannya.
· Apa yang saya lakukan tidak seserius itu.
· Hal ini dilakukan demi kebaikan. (Ini adalah sindrom Robin Hood, mencuri dari yang kaya dan memberikannya kepada yang miskin).
· Saya mendapat epercayaan yang sangat tinggi. Saya berada di atas peraturan.
· Setiap orang melakukannya, jadi tidak mungkin hal tersebut salah.
· Tidak aka nada yang mengetahui.
· Perusahaan berutang kepada saya, dan saya mengambil tidak lebih dari yang seharusnya menjadi milik saya.
· Anda akan memahami apabila anda mengetahui betapa saya membutuhkannya.
· Apa yang saya lakukan tidak seserius itu.
· Hal ini dilakukan demi kebaikan. (Ini adalah sindrom Robin Hood, mencuri dari yang kaya dan memberikannya kepada yang miskin).
· Saya mendapat epercayaan yang sangat tinggi. Saya berada di atas peraturan.
· Setiap orang melakukannya, jadi tidak mungkin hal tersebut salah.
· Tidak aka nada yang mengetahui.
· Perusahaan berutang kepada saya, dan saya mengambil tidak lebih dari yang seharusnya menjadi milik saya.
PENIPUAN KOMPUTER
Departemen Kehakiman Amerika Serikat mendefinisikan penipuan komputer sebagai tindakan illegal.adapun yang membutuhkan pengetahuan teknologi computer untuk melakukan tindakan awal penipuan, penyelidikan, atau pelaksanaannya. Secara khusus,penipuan computer mencakup hal-hal berikut ini :
· Pencurian, penggunaan, akses, modifikasi,penyalinan, dan perusakan software / data secara tidak sah.
· Pencurian uang dengan mengubah catatan computer atau pencurian waktu computer.
· Pencurian atau perusakan hardware computer.
· Penggunaan atau konspirasi untuk menggunakan sumber daya computer dalam melakukan tindak pidana.
· Keinginan secara illegal mendapatkan informasi atau property berwujud melalui penggunaan computer.
Departemen Kehakiman Amerika Serikat mendefinisikan penipuan komputer sebagai tindakan illegal.adapun yang membutuhkan pengetahuan teknologi computer untuk melakukan tindakan awal penipuan, penyelidikan, atau pelaksanaannya. Secara khusus,penipuan computer mencakup hal-hal berikut ini :
· Pencurian, penggunaan, akses, modifikasi,penyalinan, dan perusakan software / data secara tidak sah.
· Pencurian uang dengan mengubah catatan computer atau pencurian waktu computer.
· Pencurian atau perusakan hardware computer.
· Penggunaan atau konspirasi untuk menggunakan sumber daya computer dalam melakukan tindak pidana.
· Keinginan secara illegal mendapatkan informasi atau property berwujud melalui penggunaan computer.
Peningkatan Penipuan Komputer
6 alasan yang tidak diketahui seorangpun dengan pasti
bagaimana perusahaan kalah menghadapi penipuan computer :
1. Tidak semua orang setuju tentang hal-hal yang termasuk penipuan computer.
1. Tidak semua orang setuju tentang hal-hal yang termasuk penipuan computer.
2. Banyak penipuan computer yang tidak terdeteksi. Pada suatu
hari, FBI memperkirakan bahwa hanya 1 persen dari seluruh kejahatan computer
yang terdeteksi, yang lainnya memperkirakan antara hingga 5 hingga 20 persen.
3. Sekiar 80 hingga 90 persen penipuan yang terungkap, tidak
dilaporkan. Hanya industry perbankan yang disyaratkan oleh peraturan untuk
melaporkan seluruh jenis penipuan.
4. Sebagian jaringan memliki tingkat keamanan yang rendah.
5. Banyak halaman dalam internet yang memeberikan instruksi
per lngkah tentang bagaimana memulai kejahatan dan melakukan penyalahgunaan
computer.
6. Penegakan hokum tidak mampu mengikuti pertumbuhan jumlah
penipuan computer.
Klasifikasi Penipuan Komputer
Klasifikasi Penipuan Komputer
· Input
Cara yang umum dan sederhana untuk melakukan penipuan adalah dengan cara mengubah input computer. Cara ini hanya memerlukan sedikit keterampilan computer.
Cara yang umum dan sederhana untuk melakukan penipuan adalah dengan cara mengubah input computer. Cara ini hanya memerlukan sedikit keterampilan computer.
· Pemroses (processor)
Penipuan computer dapat dilakukan melalui penggunaan system tanpa diotorisasi, yang meliputi pencurian waktu dan jasa computer.
Penipuan computer dapat dilakukan melalui penggunaan system tanpa diotorisasi, yang meliputi pencurian waktu dan jasa computer.
· Perintah computer
Penipuan computer dapat dilakukan dengan cara merusak software yang memproses data perusahaan. Pendekatan penipuan computer dengan cara ini merupakan paling tidak umum, karena memerlukan pengetahuan khusus tentang pemrograman computer yang berada di luar kemampuan kebanyakan pemakai. Akan tetapi, saat ini, penipuan jenis ini menjadi lebih sering karena banyak halaman web yang memeberitahukan cara menciptakan virus dan cara penipuan berbasis computer lainnya.
Penipuan computer dapat dilakukan dengan cara merusak software yang memproses data perusahaan. Pendekatan penipuan computer dengan cara ini merupakan paling tidak umum, karena memerlukan pengetahuan khusus tentang pemrograman computer yang berada di luar kemampuan kebanyakan pemakai. Akan tetapi, saat ini, penipuan jenis ini menjadi lebih sering karena banyak halaman web yang memeberitahukan cara menciptakan virus dan cara penipuan berbasis computer lainnya.
· Data
Penipuan computer dapat diawali dengan mengubah atau merusak file data perusahaan atau menyalin, menggunakan mencari file-file data tersebut tanpa otorisasi. Dalam banyak situasi, para pegawai yang merasa tidak puas telah mengacau, mangubah, atau menghancurkan file-file data perusahaan.
Penipuan computer dapat diawali dengan mengubah atau merusak file data perusahaan atau menyalin, menggunakan mencari file-file data tersebut tanpa otorisasi. Dalam banyak situasi, para pegawai yang merasa tidak puas telah mengacau, mangubah, atau menghancurkan file-file data perusahaan.
Penipuan dan Teknik Penyalahgunaan Komputer
· Kuda Troya (Trojan Horse)
Sekumpulan perintah computer yang tidak sah yang masuk ke dalam program computer yang sah dan berfungsi dengan baik.
Sekumpulan perintah computer yang tidak sah yang masuk ke dalam program computer yang sah dan berfungsi dengan baik.
· Pembulatan ke bawah
Teknik yangs erring digunakan padainstitusi keuangan yang membayar bunga.
Teknik yangs erring digunakan padainstitusi keuangan yang membayar bunga.
· Teknik salami
Sejumlah kecil uang yang dicuri.
Sejumlah kecil uang yang dicuri.
· Pintu jebakan
Cara masuk ke system tanpa melewati pengendalian system yang normal.
Cara masuk ke system tanpa melewati pengendalian system yang normal.
· Serangan cepat
Penggunaan tidak secara tidak sah dari program system khusus untuk memotong pengendalian system regular dan melakukan tindakan yang illegal.
· Pembajakan software
Menyalin software tanpa izin dari pembuatnya.
Penggunaan tidak secara tidak sah dari program system khusus untuk memotong pengendalian system regular dan melakukan tindakan yang illegal.
· Pembajakan software
Menyalin software tanpa izin dari pembuatnya.
· Mengacak data
Mengubah data sebelum, selama, atau setelah dimasukkan ke system.
Mengubah data sebelum, selama, atau setelah dimasukkan ke system.
· Kebocoran data
Mengacu pada penyalinan tidak sah atas data perusahaan.
Mengacu pada penyalinan tidak sah atas data perusahaan.
· Menyusup
Menyadap masuk ke saluran telekomunikasi dan mengunci diri ke pemakai yang sah sebelum pemakai tersebut memasuki suatu system.
Menyadap masuk ke saluran telekomunikasi dan mengunci diri ke pemakai yang sah sebelum pemakai tersebut memasuki suatu system.
· Penyamaran atau penipuan
Pelaku penipuan mendapatkan akses ke system dengan cara berpura-pura sebagai pemakai yang memiliki otorisasi.
Pelaku penipuan mendapatkan akses ke system dengan cara berpura-pura sebagai pemakai yang memiliki otorisasi.
· Rekayasa social
Para pelaku menipu pegawai untuk memberikan informasi yang dibutuhkan agar dapat masuk ke dalam system.
Para pelaku menipu pegawai untuk memberikan informasi yang dibutuhkan agar dapat masuk ke dalam system.
· Bom waktu logika
Program yang sementara tetap diam hingga keadaan atau waktu tertentu yang telah ditentukan memicunya.
Program yang sementara tetap diam hingga keadaan atau waktu tertentu yang telah ditentukan memicunya.
· Hacking atau cracking
Akses ke dan penggunaan system computer secara tidak sah, biasanya dilakukan melalui computer pribadi dan jaringan telekomunikasi
Akses ke dan penggunaan system computer secara tidak sah, biasanya dilakukan melalui computer pribadi dan jaringan telekomunikasi
Cara Mencegah dan Mendeteksi Adanya
Kecurangan Komputer
Beberapa indikasi menurunnya
tingkat penipuan adalah :
1.Berusaha
menurunkan tingkat penipuan, dengan cara :
·
Mengadakan
perekrutan karyawan secara tepat.
·
Menciptakan kepuasan
karyawan.
·
.Mengadakan
pelatihan bagi karyawan dalam menjaga keamanan data dan pencegahan
penipuan
·
Menggunakan
perangkat lunak yang dilengkapi dengan lisensi.
·
Mengadakan
perjanjian dengan pihak yang memiliki kapasitas dalam menjagakerahasiaan data perusahaan.
2.Meningkatkan metode
pendeteksian penipuan dan kecurangan, dengan cara:
·
Melindungi saluran
telepon dan system dari virus.
·
Mengontrol
sensitifitas data.
·
Mengontrol
komputer dan laptop.
·
Memperhatikan
informasi hacker pada monitor.
3.Menurunkan kerugian yang
diakibatkan oleh penipuan, dengan cara:
·
Mengikuti
program asuransi yang memadai.
·
Menyimpan
salinan cadangan program di luar lokasi penyimpanan—ygtentunya lokasi aman dari penipuan.
·
Mengembangkan
rencana kontinjensi dalam menghadapi terjadinya penipuan.
·
Gunakan
sistem yang dapat memonitor aktivitas dan mampu melindungi dari penipuan/ kecurangan.
4.Mengadili
dan menghukum pelaku penipuan, dengan cara :
Sebagian besar kasus penipuan
komputer tidak dilaporkan, mengapa?
·
Banyak
kasus penipuan komputer belum terdeteksi.
·
Perusahaan
enggan melaporkan tindak kejahatan komputer.
·
Para
penegak hukum dan pengadilan terlalu sibuk dengan kejahatankekerasan dan mereka hanya mempunyai waktu sedikit untuk
kasus penipuan.
·
Selain
memakan biaya yang mahal, kasus kejahatan komputer memakan banyak watu dalam proses penyelidikan.
·
Banyaknya
aparat penegak hukum yang kyrang begitu memilikiketrampilan
komputer yang diperlukan untuk menyelidiki, mengadili, danmengevaluasi
kejahatan komputer.
Objek Penyerangan dalam Komputer
Komputer sebagai sistem
mempunyai beberapa bagian. Bagian-bagian dari komputer menimbulkan luasnya
kemungkinan terjadinya pelanggaran komputer atau kejahatankomputer. Berikut
merupakan bagian dari sistem komputer yang mungkin diserang ;
1.
Perangkat keras
(Hardware)Adalah bagian dari komputer yang dapat dilihat dan disentuh oleh
manusia. Perangkatkeras terdiri dari terminal komputer, printer, external
modem, scanner, mouse,pointingdevice, disk, tape drives, dll.
2.
Perangkat Lunak
(Software)Perangkat lunak adalah seperangkat instruksi yang ditulis oleh
manusia untuk memberi perintah bagi komputer untuk melakukan fungsinya.
Pada dasarnya ada dua bagiandari perangkat lunak yaitu operating sistem (
perangkat lunak yang sudah ditulis di pabrik yang berfungsi sebagai
penengah antar perangkat keras dengan perangkat lunak yang ditulisoleh pemakai
komputer) dan program aplikasi (program yang ditulis dan diterjemahkan
olehlanguage software untuk menyelesaikan suatu aplikasi tertentu. Ada dua cara
untuk bisamendapatkan program aplikasi yang dibutuhkan, yaitu dengan
mengembangkan program aplikasi sendiri atau membelinya.
3.
Data Dapat
dipersamakan bahwa data seperti darah yang menjadi tanda kehidupanseseorang
begitupula dengan data yang menjadi sumber kehidupan suatu organisasi.
Datadalam organisasi menghimpun berbagai macam informasi dalam perusahaan,
seperti data jumlah barang, data perjanjian, data keuangan,dll. Apabila
sesorang mencuri data dari suatuorganisasi artinya ia mencuri aset perusahaan
tersebut, sama seperti ia mencuri uang atau perlengkapan.
4.
KomunikasiKomunikasi
bertempat di network. Network membentuk jaringan dari sistemkomunikasi data
yang melibatkan sebuah atau lebih sistem komputer yang dihubungkandengan jalur
transmisi alat komunikasi membentuk satu sistem. Dengan network,
komputer satu dapat menggunakan data di komputer lain, dapat mencetak
laporan komputer lain, dapatmemberi berita ke komputer lain walaupun berlainan
area. Network merupakan cara yangsangat berguna untuk mengintegrasikan sistem
informasi dan menyalurkan arus informasidari satu area ke area lainnya.
Sedangkan internetwork menghubungkan satu atau lebihnetwork. Internet adalah
jaringan global yang menghubungkan ribuan jaringan komputer independen
dari berbagai belahan dunia. Terhubungnya komputer ke dalam berbagai
network membuka peluang diserangnya informasi yang tersimpan dalam
komputer tersebut. Cracker dapat menggunakan satu komputer dalam network
untuk menghubungi network yang lainserta merusak sistem dan network yang terhubung
tersebut. Craker dapat berpindah dari satunetwork ke network yang lainnya untuk
menyulitkan terdeteksi diri atau keberadaannya.
Keamanan informasi di era internet
sangat penting dan harus diwaspadai, karena jaringan internet tersambung
kemanapun di dunia ini dan publik (milik umum), maka dapat dikatakan
jaringan internet sangat tidak aman, seperti halnya sebuah mobil membawa
penumpang (informasi) lewat di jalan raya, kapanpun mobil tersebut dapat
berbelok atau tertabrak mobil lain di jalan raya tersebut.
Saat data terkirim dari satu
komputer ke komputer lain di jaringan internet, maka data tersebut tentu saja
melewati jaringan-jaringan lain (router dsbnya), hal ini sangat dimungkinkan
informasi tersebut dapat berpindah ke komputer lain yang tidak kita inginkan,
dapat dikatakan informasi kita telah dicuri atau disadap oleh orang lain tanpa
kita ketahui.
Informasi tersebut bisa juga
hilang di jalan atau telah diubah oleh orang lain dan terkirim ke komputer
tujuan dengan informasi yang telah berubah. Modus operandi saat ini adalah
informasi tersebut bocor tanpa kita sadari. Artinya informasi telah dicuri
tetapi informasi tersebut tetap sampai ke tujuan dengan selamat, tetapi
tiba-tiba saja orang lain/perusahaan lain telah memiliki informasi yang sama dengan
yang kita miliki. Sistem keamanan informasi dibuat aman sedemikian rupa, tetapi
tidak menutup kemungkinan keamanan sistem tersebut dijebol oleh para penyusup,
karena mahal dan pentingnya informasi tersebut bagi perusahaan yang
memilikinya, semakin bernilai sebuah informasi maka akan semakin diburulah
informasi tersebut oleh para pedagang informasi di dunia underground.
Sistem keamanan jaringan komputer
yang terhubung ke internet harus direncanakan dan dipahami dengan baik agar
dapat melindungi investasi dan sumber daya di dalam jaringan komputer tersebut
secara efektif. Sebelum mulai mengamankan suatu jaringan komputer, harus
ditentukan terlebih dahulu tingkat ancaman (threat) yang harus diatasi dan
resiko yang harus diambil maupun yang harus dihindari. Untuk itu, jaringan
komputer harus dianalisa untuk mengetahui apa yang harus diamankan, untuk apa
diamankan, seberapa besar nilainya, dan siapa yang bertanggung jawab terhadap
data dan asset-aset lain di dalam jaringan komputer tersebut. Di bawah ini adalah
hal-hal yang harus dimengerti dalam perencanaan kebijakan keamanan jaringan
komputer:
1. Risiko
Resiko adalah suatu kemungkinan di mana penyusup berhasil mengakses komputer di dalam jaringan yang dilindungi. Apakah penyusup dapat membaca, menulis atau mengeksekusi suatu file yang dapat mengakibatkan kerugian terhadap organisasi pemilik jaringan komputer tersebut? Apakah penyusup dapat merusak data yang penting? Seberapa besar hal-hal tersebut dapat mengakibatkan kerugian terhadap pemilik jaringan komputer? Harus diingat pula bahwa siapa saja yang dapat memperoleh hak akses terhadap suatu account, maka dia dapat dengan menyamar sebagai pemilik account. Dengan kata lain, dengan adanya satu account yang tidak aman di dalam suatu jaringan komputer dapat berakibat seluruh jaringan komputer menjadi tidak aman.
Resiko adalah suatu kemungkinan di mana penyusup berhasil mengakses komputer di dalam jaringan yang dilindungi. Apakah penyusup dapat membaca, menulis atau mengeksekusi suatu file yang dapat mengakibatkan kerugian terhadap organisasi pemilik jaringan komputer tersebut? Apakah penyusup dapat merusak data yang penting? Seberapa besar hal-hal tersebut dapat mengakibatkan kerugian terhadap pemilik jaringan komputer? Harus diingat pula bahwa siapa saja yang dapat memperoleh hak akses terhadap suatu account, maka dia dapat dengan menyamar sebagai pemilik account. Dengan kata lain, dengan adanya satu account yang tidak aman di dalam suatu jaringan komputer dapat berakibat seluruh jaringan komputer menjadi tidak aman.
2. Ancaman
Pada dasarnya ancaman datang dari seorang yang mempunyai keinginan memperoleh akses ilegal ke dalam suatu jaringan komputer. Oleh karena itu harus ditentukan siapa saja yang diperbolehkan mempunyai akses legal ke dalam sistem dan ancaman-ancaman yang dapat mereka timbulkan. Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer. Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran. Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya.
Pada dasarnya ancaman datang dari seorang yang mempunyai keinginan memperoleh akses ilegal ke dalam suatu jaringan komputer. Oleh karena itu harus ditentukan siapa saja yang diperbolehkan mempunyai akses legal ke dalam sistem dan ancaman-ancaman yang dapat mereka timbulkan. Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer. Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran. Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya.
3. Kelemahan
Kelemahan menggambarkan seberapa kuat sistem keamanan suatu jaringan komputer terhadap jaringan komputer yang lain dan kemungkinan bagi seseorang untuk mendapat akses illegal ke dalamnya. Risiko apa yang bakal dihadapi bila seseorang berhasil membobol sistem keamanan suatu jaringan komputer? Tentu saja perhatian yang harus dicurahkan terhadap sambungan Point to Point Protocol secara dinamis dari rumah akan berbeda dengan perhatian yang harus dicurahkan terhadap suatu perusahaan yang tersambung ke internet atau jaringan komputer besar yang lain. Seberapa besar waktu yang dibutuhkan untuk mendapatkan kembali data yang rusak atau hilang? Suatu investasi untuk pencegahan akan dapat memakan waktu sepuluh kali lebih cepat dari pada waktu yang diperlukan untuk mendapatkan kembali data yang hilang atau rusak.
Kelemahan menggambarkan seberapa kuat sistem keamanan suatu jaringan komputer terhadap jaringan komputer yang lain dan kemungkinan bagi seseorang untuk mendapat akses illegal ke dalamnya. Risiko apa yang bakal dihadapi bila seseorang berhasil membobol sistem keamanan suatu jaringan komputer? Tentu saja perhatian yang harus dicurahkan terhadap sambungan Point to Point Protocol secara dinamis dari rumah akan berbeda dengan perhatian yang harus dicurahkan terhadap suatu perusahaan yang tersambung ke internet atau jaringan komputer besar yang lain. Seberapa besar waktu yang dibutuhkan untuk mendapatkan kembali data yang rusak atau hilang? Suatu investasi untuk pencegahan akan dapat memakan waktu sepuluh kali lebih cepat dari pada waktu yang diperlukan untuk mendapatkan kembali data yang hilang atau rusak.
PENGERTIAN
CYBER CRIME
Cybercrime adalah
istilah yang mengacu kepada aktivitas kejahatan dengan menggunakan komputer
atau jaringan komputer sebagai alat, sasaran atau tempat terjadinya kejahatan
tersebut. Di berbagai literatur,cybercrime dideteksi dari dua
sudut pandang :
1. Kejahatan yang
Menggunakan Teknologi Informasi sebagai Fasilitas, contohnya: pencurian Account
Internet, penipuan lewat Email (Fraud), pemalsuan/pencurian Kartu Kredit,
pembajakan, pornografi, Email Spam, perjudian online, terorisme, isu sara,
situs yang menyesatkan dan lain sebagainya.
2. Kejahatan yang
Menjadikan Sistem Teknologi Informasi sebagai sasaran, contohnya: cyberwar,
pembobolan/pembajakan situs,pembuatan/penyebaran virus komputer, pencurian
abstracts pribadi, Denial of Service (DOS), kejahatan berhubungan dengan nama
domain, dan lain sebagainya.JENIS-JENIS CYBERCRIME :Berdasarkan
dokumen kongres PBB tentang The Prevention of Crimeand
The Treatment of Offlenderes di Havana, Cuba pada tahun 1999 dan di Wina,
Austria tahun 2000, menyebutkan ada 2 istilah yang dikenal :
1. Cyber
crime in a narrow sense (dalam arti sempit) disebut computercrime:
any illegal behaviour directed by means of electronic operation that target the
security of computer system and the data processed by them.2. Cyber
crime in a broader sense (dalam arti luas) disebut computer
related crime: any illegal behaviour committed by means on
relation to, a computer system offering or system or network, including such
crime as illegal possession in, offering or distributing information by means
of computer system or network MODUS OPERANDI CYBER
CRIME1.
Unauthorized Access to
Computer System and ServiceAdalah kejahatan yang dilakukan dengan menyusup ke
dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa
sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya.2. Illegal
ContentsMerupakan kejahatan dengan memasukkan data atau informasi ke Internet
tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar
hukum atau mengganggu ketertiban umum.3. Data ForgeryMerupakan kejahatan dengan
memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless
document melalui Internet.4. Cyber EspionageMerupakan
kejahatan yang memanfaatkan jaringan Internet untuk melakukan kegiatan
mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer
(computer network system) pihak sasaran.5. Cyber Sabotage
and ExtortionKejahatan ini dilakukan dengan membuat gangguan, perusakan atau
penghancuran terhadap suatu data, program komputer atau sistem jaringan
komputer yang terhubung dengan Internet.6. Offense Against Intellectual
PropertyKejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang
dimiliki pihak lain di Internet.7. Infringements of PrivacyKejahatan ini
biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada
formulir data pribadi yang tersimpan secara computerized, yang apabila
diketahui oleh orang lain maka dapat merugikan korban secara materil maupun
immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit
tersembunyi dan sebagainya.
Contoh kasus yang ada di
Indonesia:
· Pada
hari Sabtu, 17 April 2004, Dani Firmansyah, konsultan Teknologi Informasi (TI)
PT Danareksa di Jakarta berhasil membobol situs milik Komisi Pemilihan
Umum (KPU) dan berhasil melakukan perubahan pada seluruh nama partai
disitus TNP KPU pada jam 11:24:16 sampai dengan 11:34:27. Perubahan ini
menyebabkan nama partai yang tampil pada situs yang diakses oleh publik, seusai
Pemilu Legislatif lalu, berubah menjadi nama-nama lucu seperti Partai Jambu,
Partai Kelereng, Partai Cucak Rowo, Partai Si Yoyo,Partai Mbah Jambon, Partai
Kolor Ijo, dan lain sebagainya. Dani menggunakan teknik SQL Injection(pada
dasarnya teknik tersebut adalah dengan cara mengetikkan string atau perintah
tertentu di address bar browser) untuk menjebol situs KPU. Kemudian Dani
tertangkap pada hari Kamis, 22 April 2004. Dan sidang kasus pembobolan
situs TNP Komisi Pemilihan Umum (KPU) digelar Senin(16/8/2004).
· Mabes
Polri Tangkap Pembobol “Website” Partai Golkar,
Unit Cyber
Crime Badan Reserse dan Kriminal (Bareskrim) Mabes Polri menangkap pembobol
website (situs) Partai Golkar, Isra Syarat (26) di Warnet Belerang, Jl Raden
Patah No 81, Batam, pada 2 Agustus 2006. Tersangka pembobol website Partai
Golkar pada Juli 2006. Dikatakan, penangkapan tersangka berkat hasil
penyelidikan, analisa data dan penyamaran dari petugas unit cyber sehingga
menemukan keberadaan tersangka. Petugas belum mengetahui latar belakang
tersangka membobol situs Partai Golkar. tersangka diduga kuat membobol website
Partai Golkar dari pulau itu. “Tersangka dijerat dengan UU No 36/1999 tentang
Telekomunikasi dengan ancaman hukuman 6 tahun penjara dan Pasal 406 KUHP
tentang perusakan barang Serangan terhadap situs partai berlambang pohon
beringin itu terjadi pada 9 hingga 13 Juli 2006 hingga menyebabkan tampilan
halaman berubah. “Pada 9 Juli 2006, tersangka mengganti tokoh Partai Golkar
yang termuat dalam situs dengan gambar gorilla putih tersenyum dan di bagian
bawah halaman dipasangi gambar artis Hollywood yang seronok, Pada 10 Juli 2006,
tersangka mengubah halaman situs Partai Golkar menjadi foto artis Hollywood
yang seronok dan mencantumkan tulisan “Bersatu Untuk Malu”. Serangan pada 13
Juli 2006 lalu, halaman depan diganti dengan foto gorilla putih yang tersenyum
dan mencantumkan tulisan “bersatu untuk malu”. “Saat serangan pertama terjadi,
Partai Golkar sudah berusaha memperbaiki namun diserang lagi hingga terjadi
beberapa kali perbaikan sampai akhirnya Partai Golkar melaporkan kasus ini ke
Mabes Polri.
Contoh kasus yang ada di Luar Negeri:
· Pembajakan
film dengan memanfaatan BitTorrent, Seorang warga negara Hongkong dinyatakan
bersalah karena telah membajak film dan mengedarkannya melalui internet. Kasus
ini dianggap sebagai kasus pertama yang melibatkan BitTorrent. BitTorrent
merupakan software pertukaran data. Software ini telah digunakan secara luas
untuk pertukaran materi seperti acara film dan televisi. BitTorrent membuat
pertukaran materi jadi lebih mudah, dengan cara memecah file menjadi fragmen
dan mendistribusikan fragmen tersebut. Warga negara Hong Kong yang bernama Chan
Nai-ming itu, dinyatakan bersalah karena telah membajak karya yang dilindungi
hak cipta. Yakni dengan mendistribusikan tiga film Hollywood lewat pemanfaatan
BitTorrent. Namun Chan dibebaskan dengan uang jaminan sebesar 5000 dollar
Hongkong (HKD 1 = Rp 1,286.81 Sumber: xe.com). Sebelumnya ia didakwa April
silam, karena telah meng-upload tiga film Hollywood ke internet yaitu
Daredevil, Red Planet dan Miss Congeniality. Pemerintah Hongkong menyebut kasus
tersebut sebagai kasus yang pertama kali sukses menjerat pelaku pertukaran
materi melalui jaringan peer-to-peer. Hukuman maksimum untuk kasus tersebut
adalah empat tahun penjara serta denda yang mahal. “Hukuman tersebut amat
sangat signifikan,” ujar Sekretaris Perdagangan HongKong John Tsang seperti
dikutip detikinet dari BBC News Kamis (27/10/2005). Tsang menjelaskan bahwa
hukuman ini akan membantu menanggulangi maraknya aksi pertukaran
file.Departemen Bea Cukai Hong Kong, menginformasikan adanya penurunan
peredaran pertukaran data sebanyak 80 persen sejak adanya penahanan tersebut.
Sementara itu, operator jaringan BitTorrent telah menjadi target tuntutan
kalangan industri film sejak akhir Desember lalu.
· Dan
berikut ini adalah contoh-contoh kasus di Luar Negeri: Contoh Kasus 1 :
Dua Warga Indonesia Berhasil Bobol Kartu Kredit Via Online
Kejahatan dunia maya atau cyber crime memang tidak pernah ada habisnya, kasus dunia maya ternyata tidak hanya menimpa Luna Maya saja contoh lainnya beberapa hari ini Polda Metro Jaya melalui Kasat Cyber Crime Ajun Komisaris Besar Winston Tommy Watuliu berhasil meringkus dua pelaku kejahatan cyber crime kasus mereka yaitu membobol kartu kredit secara online milik perusahaan di luar negeri. Kedua Cracker ini bernama Adi dan Ari mereka berhasil menerobos sistem perbankan perusahaan asing, seperti Capital One USA, Cash Bank USA dan GT Morgan Bank USA kemudian membobol kartu kredit milik perusahaan ternama tersebut.Setelah berhasil kedua pelaku tersebut menggunakan kartu kreditnya untuk membeli tiket pesawat Air Asia lalu tiket tersebut dijual pelaku dengan harga yang sangat murah. Tidak tanggung-tanggung untuk menarik pembeli mereka sengaja memasang iklan seperti di situs weeding.com dan kaskus. Dan hebatnya lagi dari pengakuan kedua cracker tersebut mereka mempelajari teknik bobol credit card ini secara otodidak.Tapi sepandai-pandai tupai melompat akhirnya jatuh juga, begitulah kisah dua cracker tanah air kita, setelah berhasil membobol kartu kredit dari Ricop yaitu perusahaan yang memproduksi anggur di san francisco mereka berhasil ditangkap oleh Polda Metro Jaya ditempat terpisah, di Jakarta dan Malang. Dari tangan mereka berhasil diamankan barang buktiseperti laptop, dua BalckBerry, modem, komputer, buku tabungan BCA dan daftar perusahaan yang akan menjadi target pembobolan
Dua Warga Indonesia Berhasil Bobol Kartu Kredit Via Online
Kejahatan dunia maya atau cyber crime memang tidak pernah ada habisnya, kasus dunia maya ternyata tidak hanya menimpa Luna Maya saja contoh lainnya beberapa hari ini Polda Metro Jaya melalui Kasat Cyber Crime Ajun Komisaris Besar Winston Tommy Watuliu berhasil meringkus dua pelaku kejahatan cyber crime kasus mereka yaitu membobol kartu kredit secara online milik perusahaan di luar negeri. Kedua Cracker ini bernama Adi dan Ari mereka berhasil menerobos sistem perbankan perusahaan asing, seperti Capital One USA, Cash Bank USA dan GT Morgan Bank USA kemudian membobol kartu kredit milik perusahaan ternama tersebut.Setelah berhasil kedua pelaku tersebut menggunakan kartu kreditnya untuk membeli tiket pesawat Air Asia lalu tiket tersebut dijual pelaku dengan harga yang sangat murah. Tidak tanggung-tanggung untuk menarik pembeli mereka sengaja memasang iklan seperti di situs weeding.com dan kaskus. Dan hebatnya lagi dari pengakuan kedua cracker tersebut mereka mempelajari teknik bobol credit card ini secara otodidak.Tapi sepandai-pandai tupai melompat akhirnya jatuh juga, begitulah kisah dua cracker tanah air kita, setelah berhasil membobol kartu kredit dari Ricop yaitu perusahaan yang memproduksi anggur di san francisco mereka berhasil ditangkap oleh Polda Metro Jaya ditempat terpisah, di Jakarta dan Malang. Dari tangan mereka berhasil diamankan barang buktiseperti laptop, dua BalckBerry, modem, komputer, buku tabungan BCA dan daftar perusahaan yang akan menjadi target pembobolan
Contoh kasus 2 :
Kodiak
Tahun 1994, Kodiak mengakses rekening dari beberapa pelanggan perusahaan besar pada bank utama dan mentransfer dana ke rekening yang telah disiapkan oleh kaki tangan mereka di Finlandia, Amerika Serikat, Jerman, Israel dan Inggris. Dalam tahun 2005, dia dijatuhi hukuman dan dipenjara selama tiga tahun. Diperkirakan Kodiak telah mencuri sebesar 10,7 juta dollar.
Kodiak
Tahun 1994, Kodiak mengakses rekening dari beberapa pelanggan perusahaan besar pada bank utama dan mentransfer dana ke rekening yang telah disiapkan oleh kaki tangan mereka di Finlandia, Amerika Serikat, Jerman, Israel dan Inggris. Dalam tahun 2005, dia dijatuhi hukuman dan dipenjara selama tiga tahun. Diperkirakan Kodiak telah mencuri sebesar 10,7 juta dollar.
Contoh kasus 3 :
Don Fanucci
Di usia 15 tahun, Don Fanucci melakukan suatu rangkaian serangan pada bulan Februari 2000 terhadap beberapa situs web komersil ber-traffick tinggi. Dia dihukum tahanan kota di tempat tinggalnya, Montreal, Quebec, pada 12 September 2001 selama delapan bulan dengan penjagaan terbuka, satu tahun masa percobaan, pembatasan pemakaian Internet, dan denda. Kerusakan ekonomi secara global sebagai akibat serangan-serangannya itu diyakini mencapai 7,5 juta hingga 1,2 milyar dollar.
Don Fanucci
Di usia 15 tahun, Don Fanucci melakukan suatu rangkaian serangan pada bulan Februari 2000 terhadap beberapa situs web komersil ber-traffick tinggi. Dia dihukum tahanan kota di tempat tinggalnya, Montreal, Quebec, pada 12 September 2001 selama delapan bulan dengan penjagaan terbuka, satu tahun masa percobaan, pembatasan pemakaian Internet, dan denda. Kerusakan ekonomi secara global sebagai akibat serangan-serangannya itu diyakini mencapai 7,5 juta hingga 1,2 milyar dollar.
Keamanan komputer
adalah suatu perlindungan yang diusahakan oleh suatu system informasi dalam rangka mencapai sasaran hasil yang bisa diterapkan atau cara untuk memelihara integritas, kerahasiaan dan tersedianya informasi. Tetapi pada saat ini sistem komputer yang terpasang makin mudah diakses. Sistem time sharing dan akses jarak jauh menyebabkan kelemahan komunikasi data menjadi pokok masalah keamanan. Kelemahan ini menjadi amat serius dengan meningkatknya perkembangan jaringan komputer. Saat ini, implementasi pengamanan sangat penting untuk menjamin sistem tidak diinterupsi dan diganggu. Proteksi dan pengaman terhadap perangkat keras dan sistem operasi sama pentingnya.
Pengamanan sistem komputer bertujuan untuk menjamin sumber daya tidak digunakan atau dimodifikasi oleh orang tak berhak. Pengamanan termasuk masalah teknis, manajerial, legalitas dan politis.
Terdapat empat macam kejahatan komputer, antara lain :
1. Pencurian waktu komputer. Ini meliputi waktu yang diperlukan memperbaiki sistem komputer setelah terkena virus.
2. Pencurian data
3. Manipulasi program komputer
4. Pencurian software maupun pengkopian software
Keamanan sistem terbagi menjadi tiga, yaitu :
Keamanan eksternal
Keamanan eksternal berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran atau kebanjiran.
Keamanan interface pemakai
Keamanan interface pemakai berkaitan dengan identifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang disimpan.
Keamanan internal
Keamanan internal berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang lhandal dan tak terkorupsi untuk menjaga integritas program dan data.
Masalah-masalah Keamanan
Pada keamanan, terdapat dua masalah penting, yaitu :
1. Kehilangan
2. Penyusup
Kehilangan data dapat disebabkan, antara lain :
a. Bencana
- kebakaran
- banjir
- gempa bumi
- perang
- kerusuhan
- gerogotan tikus pada pita rekaman data atau floopy disk
b. Kesalahan perangkat keras dan perangkat lunak
- ketidak berfungsian pemroses
- disk atau tape yang tidak terbaca
- kesalahan program (bugs)
- keandalan perangkat keras dapat dilakukan dengan pencegahan dan perawatan rutin
- keandalan perangkat lunak dilakukan dengan testing dan debugging
c. Kesalahan manusia
- kesalahan pemasukan data
- memasang tape atau disk yang salah
- eksekusi program yang salah
- kehilangan disk atau tape
Kehilangan data dapat diatasi dengan mengelola beberapa backup dan backup ditempatkan dari data yang online.
Penyusup, terdiri dari :
1. Penyusup pasif, yaitu yang memabca data yang tak diotorisasi
2. Penyusup aktif, yaitu mengubah data yang tak diotorisasi
Kategori penyusupan
1. Lirikan mata pemakai non-teknis. Pada sistem time-sharing kerja pemakai dapat diamati orang sekelilingnya. Bila dengan lirikan mata itu dapat mengetahui apa yang diketik pengisian password, maka pemakaian non teknis dapat mengakses fasilitas yang bukan haknya
2. Penyadapan oleh orang dalam
3. Usaha hacker dalam mencari uang
4. Spionase militer atau bisnis
Ancaman-ancaman Keamanan
Sasaran pengamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem. Kebutuhan keamanan sistem komputer dikategorikan ke dalam tiga aspek, yaitu :
1. Kerahasiaan (secrecy, diantaranya adalah privacy)
Kerahasiaan adalah keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di sistem.
2. Integritas (integrity)
Integritas adalah keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oelh pihak-pihak yang diotorisasi
3. Ketersediaan (availabilitiy)
Ketersediaan adalah keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.
Tipe-tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan memandang fungsi sistem komputer sebagai penyedia informasi. Berdasarkan fungsi ini, ancaman terhadap sistem komputer dikategorikan menajdi empat ancaman, yaitu :
- Interupsi
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak berguna. Interupsi merupakan ancaman terhadap ketersediaan.
Contoh :
o Penghancuran bagian perangkat keras, seperti harddisk
o Pemotongan kabel komunikasi
- Intersepsi
Pihak tak diotorisasi dapat mengakses sumber daya. Intersepsi merupakan ancaman terhadap keterahasiaan. Pihak tak diotorisasi dapat berupa orang atau progaram komputer.
Contoh :
o Penyadapan untuk mengambil data rahasia.
o Mengkopi file tanpa diotorisasi
- Modifikasi
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi merupakan ancaman terhadap integritas.
Contoh :
o Mengubah nilai-nilai file data
o Mengubah program sehingga bertindak secara beda
o Memodifikasi pesan-pesan yang ditransmisikan pada jaringan
- Fabrikasi
Pihak tak diotorisasi menyisipkan atau memasukkan objek-objek palsu ke sistem. Fabrikasi merupakan ancaman terhadap integritas.
Contoh :
o Memasukkan pesan-pesan palsu ke jaringan
o Penambahan record ke file.
Autentikasi Pemakai
Kebanyakan proteksi didasarkan asumsi sistem mengentahui identitas pemakai. Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication). Kebanyakan metode atutentikasi didasarkan pada tiga cara, yaitu :
1. Suatu yang diketahui pemakai, misalnya :
o passsword
o kombinasi kunci
o nama kecil ibu mertua, dsb
2. Sesuatu yang dimiliki pemakai, misalnya :
o badge
o kartu identitas
o kunci, dsb
3. Sesuatu mengenai (merupakan ciri) pemakai, misalnya :
o sidik jari
o sidik suara
o foto
o tanda tangan, dsb
Password
Pemakai memilih satu kata kode, mengingatnya dan mengetikan saat akan mengakses sistem komputer. Saat diketikkan, komputer tidak menampilkan di layar. Teknik ini mempunyai kelemahan yang sangat banyak dan mudah ditembus. Pemakai cenderung memilih password yang mudah diingat. Seseorang yang kenal dengan pemakai dapat mencoba login dengan sesuatu yang diketahuinya mengenai pemakai. Percobaan Morris dan Thompson menyatakan proteksi password dapat ditembus dengan mudah. Percobaan yang dilakukan adalah :
- terdapat file berisi nama depan, nama kecil, nama jalan, nama kota dari kamus ukuran sedang disertai dengan pengejaan dibalik, nomor plat mobil yang valid dan string-string pendek karakter acak.
- Isian di file dicocokkan dengan file password
Hasil percobaan menunjukkan lebih dari 86% cocok dengan password digunakan pemakai di file password.
Upaya untuk lebih mengamankan proteksi password, antara lain :
1. Salting
Menambahkan string pendek ke string password yang diberikan pemakai sehingga mencapai panjang password tertentu.
2. One-Time Password
Pemakai harus mengganti password secara teratur. Upaya ini untuk membatasi peluang password telah diketehaui atau dicoba-coba pemakai lain. Bentuk ekstrim pendekatan ini adalah one time password, yaitu pemakai mendapat satu buku berisi dafatar password. Setiap kali pemakai login, pemakai menggunakan password berikutnya yang terdapat di daftar password, pemakai direpotkan keharusan menjaga agar buku passwrod-nya jangan sampai dicuri.
3. Satu Daftar Panjang Pertanyaan dan Jawaban
Variasi terhadap password adalah mengharuskan pemakai memberii satu daftar pertanyaan panjang dan jawabannya. Pertanyaan-pertanyaan dan jawabannya dipilih pemakai sehingga pemakai mudah mengingatnya dan tak perlu menuliskan di kertas.
Pada saat login, komputer memilih salah satu dari pertanayaan-pertanyaan secara acak, menanyakan ke pemakai dan memeriksa jawaban yang diberikan.
4. Tantangan-Tanggapan (Chalenge-Response)
Pemakai diberi kebebasan memilih suatu algoritma, misalnya x3., Ketika pemakai login, komputer menuliskan di layar anga 3. Dalam kasus ini pemakai mengetik angka 27. Algoritma dapat berbeda di pagi, sore dan hari berbeda,dari terminal berbeda dan seterusnya.
Program-program Jahat
Ancaman-ancaman canggih terhadap sistem komputer adalah programyang mengeksploitasi kelemahan sistem komputer. Kita berurusasn dengan program aplikasi begitu juga program utilitas, seperti editor dan kompilator.
Bowles memberikan taksonomi ancaman perangkat lunak atau klasifikasi program jahat (malicious program). Ancaman-ancaman itu dapat dibagi menjadi dua kategori, yaitu :
1. Program-program yang memerlukan program inang (host program)
Fragmen progam tidak dapat mandiri secara independen dari suatu program aplikasi, program utilitas atau program sistem.
2. Program-program yang tidak memerlukan program inang. Program sendiri yang dapat dijadualkan oleh sistem operasi
Pembagian atau taksonomi Bowles menghasilkan tipe-tipe program jahat sebagai berikut:
1. Bacteria
2. Logic Bomb
3. Trapdoor
4. Trojan Horse
5. Virus
6. Worm
Bacteria
Bacteria adalah program yang mengkonsumsi sumber daya sistem dengan mereplikasi dirinya sendiri. Bacteria tidak secara eksplisit merusak file. Tujuan program ini hanya satu,yaitu mereplikasi dirinya. Program bacteria yang sederhanan bisa hanya mengeksekusi dua kopian dirinya secara simultan pada sistem multiproramming atau menciptakan dua file baru, masing-masing adalah kopian file program bacteria. Kedua kopian ini kemudian mengkopi dua kali dan seterusnya.
Bacteria bereproduksi secara eksponensial, dengna cepat mengambil alih seluruh kapsitas pemroses, memori atau ruang disk, mengakibatkan penolakan pengaksesan pemakai ke sumber daya.
Logic Bomb
Logic Bomb adalah logik yang ditempelkan pada program komputer agar memeriksa suatu kumpulan kondisi di sistem Ketika kondisi-kondisi yang dimaksud ditemui, logik mengeksekusi suatu fungsi yang menghasilkan aksi-aksi tak diotorisasi.
Logic Bomb menempel pada suatu program resmi yang di-set “meledak” ketika kondisi-kondisi tertentu dipenuhi. Contoh kondisi-kondisi untuk memicu logic bomb adalah ada atau tidak adanya file-file tertentu, hari tertentu dari minggu atau tanggal atau pemakai dan pola bit yang sama di semua kopiannya. Teknik ini terbatas untuk deteksi virus-virus yang telah dikenal. Tipe lain anti virus generasi pertama adalah mengelola rekaman panjang (ukuran) program dan memeriksa perubahan panjang program.
Virus
Virus komputer adalah buatan manusia yang bertujuan merugikan orang lain. Ancaman yang paling serius dari sebuah virus komputer adalah sifatnya yang merusak. Tidak semua program virus dibuat untuk merusak. Ada yang mungkin membuat virus dengan tujuan melindungi hasil karya sendiri.
Perbedaan yang sangat mendasar antara virus dengan worm meskipun sama-sama mempunyai sifat merusak dan kekuatannya untuk memperbanyak diri, worm tidak mampu menempelkan dirinya pada program lain. Worm hanya memperbanyak diri dengan memakan ruang kosong dalam memori komputer. Kegiatan memperbanyak diri ini dilakuakan terus sampai memori komputer menjadi penuh dan sistem menjadi macet.
Kuda troya merupakan teknik integrasi yang sering dilakukan oleh virus dengan membuat suatu program yang bermanfaat, tetapi dalam program ini diselipkan suatu program yang amat berbahaya karena dapat menghancurkan atau menghapus data yang ada dalam disket atau harddisk. Program ini berupa virus komputer. Oleh karena itu apabila komputer diaktifkan, secara tidak disengaja juga mengaktifkan program virus.
Trapdoor merupakan suatu titik masuk ke dalam suatu sistem dengan cara mem-bypass sistem keamanan. Dengan demikian, seseorang dapat melakukan sesuatu dengan sistem tersebut. Para hacker pada umumnya menggunakan cara itu untuk bisa masuk ke sistem komputer yang ingin dirusaknya.
Ada empat cara membagi jenis virus komputer , yaitu :
1. Berdasarkan cara penularannya atau penyebarannya
2. Berdasarkan keganasannya
3. Berdasarkan maksud dan tujuan pembuatan virus
4. Berdasarkan sistem operasinya
Cara virus masuk ke sistem
Berdasarkan berbagai evaluasi mengenai virus diketahui bahwa virus-virus canggih dibentuk dengan empat komponen utama, yaitu :
a. inisialisasi ke memori
b. menyalinkan dirinya ke disk
c. beraksi
Tahap inisialisasi merupakan tahap awal kegiatan virus. Beberapa cara yang digunakan virus untuk melakukan tahap ini, antara lain :
a. memodifikasi ke dalam bentuk file .exe atau .com
b. memodifikasi atau mengganti boot record
c. memodifikasi atau mengganti partisi record
d. memodifikasi atau mengganti program kerja peralatan komputer
e. memodifikasi file-file overlay
Worm
Worm adalah program yang dapat mereplikasi dirinya dan mengirim salinan dari komputer ke komputer lewat hubungan jaringan. Begitu tiba, worm diaktifkan untuk mereplikasi dan propagasi kembali. Selain hanya propagasi, worm biasanya melakukan fungsi yang tak diinginkan.
Network worm menggunakan hubungan jaringan untuk menyebar dari sistem ke sistem lain. Sekali aktif di suatu sistem, network worm dapat berlaku seperti virus atau bacteria atau menempelkan program trojan horse atau melakukan sejumlah aksi menjengkelkan atau menghancurkan.
Untuk mereplikasi dirinya, network worm menggunakan suatu layanan jaringan, seperti :
- fasilitas surat elektronik (electronic mail facility) yaitu worm mengirimkan kopian dirinya ke sistem-sistem lain
- kemampuan eksekusi jarak jauh (remote execution capability) yaitu worm mengeksekusi kopian dirinya di sistem lain.
adalah suatu perlindungan yang diusahakan oleh suatu system informasi dalam rangka mencapai sasaran hasil yang bisa diterapkan atau cara untuk memelihara integritas, kerahasiaan dan tersedianya informasi. Tetapi pada saat ini sistem komputer yang terpasang makin mudah diakses. Sistem time sharing dan akses jarak jauh menyebabkan kelemahan komunikasi data menjadi pokok masalah keamanan. Kelemahan ini menjadi amat serius dengan meningkatknya perkembangan jaringan komputer. Saat ini, implementasi pengamanan sangat penting untuk menjamin sistem tidak diinterupsi dan diganggu. Proteksi dan pengaman terhadap perangkat keras dan sistem operasi sama pentingnya.
Pengamanan sistem komputer bertujuan untuk menjamin sumber daya tidak digunakan atau dimodifikasi oleh orang tak berhak. Pengamanan termasuk masalah teknis, manajerial, legalitas dan politis.
Terdapat empat macam kejahatan komputer, antara lain :
1. Pencurian waktu komputer. Ini meliputi waktu yang diperlukan memperbaiki sistem komputer setelah terkena virus.
2. Pencurian data
3. Manipulasi program komputer
4. Pencurian software maupun pengkopian software
Keamanan sistem terbagi menjadi tiga, yaitu :
Keamanan eksternal
Keamanan eksternal berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran atau kebanjiran.
Keamanan interface pemakai
Keamanan interface pemakai berkaitan dengan identifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang disimpan.
Keamanan internal
Keamanan internal berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang lhandal dan tak terkorupsi untuk menjaga integritas program dan data.
Masalah-masalah Keamanan
Pada keamanan, terdapat dua masalah penting, yaitu :
1. Kehilangan
2. Penyusup
Kehilangan data dapat disebabkan, antara lain :
a. Bencana
- kebakaran
- banjir
- gempa bumi
- perang
- kerusuhan
- gerogotan tikus pada pita rekaman data atau floopy disk
b. Kesalahan perangkat keras dan perangkat lunak
- ketidak berfungsian pemroses
- disk atau tape yang tidak terbaca
- kesalahan program (bugs)
- keandalan perangkat keras dapat dilakukan dengan pencegahan dan perawatan rutin
- keandalan perangkat lunak dilakukan dengan testing dan debugging
c. Kesalahan manusia
- kesalahan pemasukan data
- memasang tape atau disk yang salah
- eksekusi program yang salah
- kehilangan disk atau tape
Kehilangan data dapat diatasi dengan mengelola beberapa backup dan backup ditempatkan dari data yang online.
Penyusup, terdiri dari :
1. Penyusup pasif, yaitu yang memabca data yang tak diotorisasi
2. Penyusup aktif, yaitu mengubah data yang tak diotorisasi
Kategori penyusupan
1. Lirikan mata pemakai non-teknis. Pada sistem time-sharing kerja pemakai dapat diamati orang sekelilingnya. Bila dengan lirikan mata itu dapat mengetahui apa yang diketik pengisian password, maka pemakaian non teknis dapat mengakses fasilitas yang bukan haknya
2. Penyadapan oleh orang dalam
3. Usaha hacker dalam mencari uang
4. Spionase militer atau bisnis
Ancaman-ancaman Keamanan
Sasaran pengamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem. Kebutuhan keamanan sistem komputer dikategorikan ke dalam tiga aspek, yaitu :
1. Kerahasiaan (secrecy, diantaranya adalah privacy)
Kerahasiaan adalah keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di sistem.
2. Integritas (integrity)
Integritas adalah keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oelh pihak-pihak yang diotorisasi
3. Ketersediaan (availabilitiy)
Ketersediaan adalah keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.
Tipe-tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan memandang fungsi sistem komputer sebagai penyedia informasi. Berdasarkan fungsi ini, ancaman terhadap sistem komputer dikategorikan menajdi empat ancaman, yaitu :
- Interupsi
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak berguna. Interupsi merupakan ancaman terhadap ketersediaan.
Contoh :
o Penghancuran bagian perangkat keras, seperti harddisk
o Pemotongan kabel komunikasi
- Intersepsi
Pihak tak diotorisasi dapat mengakses sumber daya. Intersepsi merupakan ancaman terhadap keterahasiaan. Pihak tak diotorisasi dapat berupa orang atau progaram komputer.
Contoh :
o Penyadapan untuk mengambil data rahasia.
o Mengkopi file tanpa diotorisasi
- Modifikasi
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi merupakan ancaman terhadap integritas.
Contoh :
o Mengubah nilai-nilai file data
o Mengubah program sehingga bertindak secara beda
o Memodifikasi pesan-pesan yang ditransmisikan pada jaringan
- Fabrikasi
Pihak tak diotorisasi menyisipkan atau memasukkan objek-objek palsu ke sistem. Fabrikasi merupakan ancaman terhadap integritas.
Contoh :
o Memasukkan pesan-pesan palsu ke jaringan
o Penambahan record ke file.
Autentikasi Pemakai
Kebanyakan proteksi didasarkan asumsi sistem mengentahui identitas pemakai. Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication). Kebanyakan metode atutentikasi didasarkan pada tiga cara, yaitu :
1. Suatu yang diketahui pemakai, misalnya :
o passsword
o kombinasi kunci
o nama kecil ibu mertua, dsb
2. Sesuatu yang dimiliki pemakai, misalnya :
o badge
o kartu identitas
o kunci, dsb
3. Sesuatu mengenai (merupakan ciri) pemakai, misalnya :
o sidik jari
o sidik suara
o foto
o tanda tangan, dsb
Password
Pemakai memilih satu kata kode, mengingatnya dan mengetikan saat akan mengakses sistem komputer. Saat diketikkan, komputer tidak menampilkan di layar. Teknik ini mempunyai kelemahan yang sangat banyak dan mudah ditembus. Pemakai cenderung memilih password yang mudah diingat. Seseorang yang kenal dengan pemakai dapat mencoba login dengan sesuatu yang diketahuinya mengenai pemakai. Percobaan Morris dan Thompson menyatakan proteksi password dapat ditembus dengan mudah. Percobaan yang dilakukan adalah :
- terdapat file berisi nama depan, nama kecil, nama jalan, nama kota dari kamus ukuran sedang disertai dengan pengejaan dibalik, nomor plat mobil yang valid dan string-string pendek karakter acak.
- Isian di file dicocokkan dengan file password
Hasil percobaan menunjukkan lebih dari 86% cocok dengan password digunakan pemakai di file password.
Upaya untuk lebih mengamankan proteksi password, antara lain :
1. Salting
Menambahkan string pendek ke string password yang diberikan pemakai sehingga mencapai panjang password tertentu.
2. One-Time Password
Pemakai harus mengganti password secara teratur. Upaya ini untuk membatasi peluang password telah diketehaui atau dicoba-coba pemakai lain. Bentuk ekstrim pendekatan ini adalah one time password, yaitu pemakai mendapat satu buku berisi dafatar password. Setiap kali pemakai login, pemakai menggunakan password berikutnya yang terdapat di daftar password, pemakai direpotkan keharusan menjaga agar buku passwrod-nya jangan sampai dicuri.
3. Satu Daftar Panjang Pertanyaan dan Jawaban
Variasi terhadap password adalah mengharuskan pemakai memberii satu daftar pertanyaan panjang dan jawabannya. Pertanyaan-pertanyaan dan jawabannya dipilih pemakai sehingga pemakai mudah mengingatnya dan tak perlu menuliskan di kertas.
Pada saat login, komputer memilih salah satu dari pertanayaan-pertanyaan secara acak, menanyakan ke pemakai dan memeriksa jawaban yang diberikan.
4. Tantangan-Tanggapan (Chalenge-Response)
Pemakai diberi kebebasan memilih suatu algoritma, misalnya x3., Ketika pemakai login, komputer menuliskan di layar anga 3. Dalam kasus ini pemakai mengetik angka 27. Algoritma dapat berbeda di pagi, sore dan hari berbeda,dari terminal berbeda dan seterusnya.
Program-program Jahat
Ancaman-ancaman canggih terhadap sistem komputer adalah programyang mengeksploitasi kelemahan sistem komputer. Kita berurusasn dengan program aplikasi begitu juga program utilitas, seperti editor dan kompilator.
Bowles memberikan taksonomi ancaman perangkat lunak atau klasifikasi program jahat (malicious program). Ancaman-ancaman itu dapat dibagi menjadi dua kategori, yaitu :
1. Program-program yang memerlukan program inang (host program)
Fragmen progam tidak dapat mandiri secara independen dari suatu program aplikasi, program utilitas atau program sistem.
2. Program-program yang tidak memerlukan program inang. Program sendiri yang dapat dijadualkan oleh sistem operasi
Pembagian atau taksonomi Bowles menghasilkan tipe-tipe program jahat sebagai berikut:
1. Bacteria
2. Logic Bomb
3. Trapdoor
4. Trojan Horse
5. Virus
6. Worm
Bacteria
Bacteria adalah program yang mengkonsumsi sumber daya sistem dengan mereplikasi dirinya sendiri. Bacteria tidak secara eksplisit merusak file. Tujuan program ini hanya satu,yaitu mereplikasi dirinya. Program bacteria yang sederhanan bisa hanya mengeksekusi dua kopian dirinya secara simultan pada sistem multiproramming atau menciptakan dua file baru, masing-masing adalah kopian file program bacteria. Kedua kopian ini kemudian mengkopi dua kali dan seterusnya.
Bacteria bereproduksi secara eksponensial, dengna cepat mengambil alih seluruh kapsitas pemroses, memori atau ruang disk, mengakibatkan penolakan pengaksesan pemakai ke sumber daya.
Logic Bomb
Logic Bomb adalah logik yang ditempelkan pada program komputer agar memeriksa suatu kumpulan kondisi di sistem Ketika kondisi-kondisi yang dimaksud ditemui, logik mengeksekusi suatu fungsi yang menghasilkan aksi-aksi tak diotorisasi.
Logic Bomb menempel pada suatu program resmi yang di-set “meledak” ketika kondisi-kondisi tertentu dipenuhi. Contoh kondisi-kondisi untuk memicu logic bomb adalah ada atau tidak adanya file-file tertentu, hari tertentu dari minggu atau tanggal atau pemakai dan pola bit yang sama di semua kopiannya. Teknik ini terbatas untuk deteksi virus-virus yang telah dikenal. Tipe lain anti virus generasi pertama adalah mengelola rekaman panjang (ukuran) program dan memeriksa perubahan panjang program.
Virus
Virus komputer adalah buatan manusia yang bertujuan merugikan orang lain. Ancaman yang paling serius dari sebuah virus komputer adalah sifatnya yang merusak. Tidak semua program virus dibuat untuk merusak. Ada yang mungkin membuat virus dengan tujuan melindungi hasil karya sendiri.
Perbedaan yang sangat mendasar antara virus dengan worm meskipun sama-sama mempunyai sifat merusak dan kekuatannya untuk memperbanyak diri, worm tidak mampu menempelkan dirinya pada program lain. Worm hanya memperbanyak diri dengan memakan ruang kosong dalam memori komputer. Kegiatan memperbanyak diri ini dilakuakan terus sampai memori komputer menjadi penuh dan sistem menjadi macet.
Kuda troya merupakan teknik integrasi yang sering dilakukan oleh virus dengan membuat suatu program yang bermanfaat, tetapi dalam program ini diselipkan suatu program yang amat berbahaya karena dapat menghancurkan atau menghapus data yang ada dalam disket atau harddisk. Program ini berupa virus komputer. Oleh karena itu apabila komputer diaktifkan, secara tidak disengaja juga mengaktifkan program virus.
Trapdoor merupakan suatu titik masuk ke dalam suatu sistem dengan cara mem-bypass sistem keamanan. Dengan demikian, seseorang dapat melakukan sesuatu dengan sistem tersebut. Para hacker pada umumnya menggunakan cara itu untuk bisa masuk ke sistem komputer yang ingin dirusaknya.
Ada empat cara membagi jenis virus komputer , yaitu :
1. Berdasarkan cara penularannya atau penyebarannya
2. Berdasarkan keganasannya
3. Berdasarkan maksud dan tujuan pembuatan virus
4. Berdasarkan sistem operasinya
Cara virus masuk ke sistem
Berdasarkan berbagai evaluasi mengenai virus diketahui bahwa virus-virus canggih dibentuk dengan empat komponen utama, yaitu :
a. inisialisasi ke memori
b. menyalinkan dirinya ke disk
c. beraksi
Tahap inisialisasi merupakan tahap awal kegiatan virus. Beberapa cara yang digunakan virus untuk melakukan tahap ini, antara lain :
a. memodifikasi ke dalam bentuk file .exe atau .com
b. memodifikasi atau mengganti boot record
c. memodifikasi atau mengganti partisi record
d. memodifikasi atau mengganti program kerja peralatan komputer
e. memodifikasi file-file overlay
Worm
Worm adalah program yang dapat mereplikasi dirinya dan mengirim salinan dari komputer ke komputer lewat hubungan jaringan. Begitu tiba, worm diaktifkan untuk mereplikasi dan propagasi kembali. Selain hanya propagasi, worm biasanya melakukan fungsi yang tak diinginkan.
Network worm menggunakan hubungan jaringan untuk menyebar dari sistem ke sistem lain. Sekali aktif di suatu sistem, network worm dapat berlaku seperti virus atau bacteria atau menempelkan program trojan horse atau melakukan sejumlah aksi menjengkelkan atau menghancurkan.
Untuk mereplikasi dirinya, network worm menggunakan suatu layanan jaringan, seperti :
- fasilitas surat elektronik (electronic mail facility) yaitu worm mengirimkan kopian dirinya ke sistem-sistem lain
- kemampuan eksekusi jarak jauh (remote execution capability) yaitu worm mengeksekusi kopian dirinya di sistem lain.
0 komentar:
Posting Komentar