Bab 1 pendahuluan a. Lata Latarr bel belak akan ang g Dalam dunia komunikasi data global dan perkembangan teknologi informasi yang
senantiasa berubah serta cepatnya perkembangan software, keamanan merupakan suatu isu yang sangat penting, baik itu keamanan fisik, keamanan data maupun keamanan aplikasi. Perlu kita sadari bahwa untuk mencapai suatu keamanan itu adalah suatu hal yang sangat mustahil, seperti yang ada dalam dunia nyata sekarang ini. Tidak ada satu daerah pun yang betul-betul aman kondisinya, walau penjaga keamanan telah ditempatkan di daerah tersebut, ters ebut, begitu juga dengan keamanan sistem s istem komputer. Namun yang bisa kita lakukan adalah untuk untuk mengurangi gangguan keamanan keamanan tersebut. Salah satu metode pengamanan sistem informasi yang umum diketahui oleh banyak orang adalah password . Tanpa disadari password disadari password mempunyai peranan penting dalam mengamankan informasi-informasi yang sifatnya pribadi confidential confidential !. !. Pada beberapa aplikasi yang berhubungan dengan dengan piranti lunak, seperti "P, "P, kartu #T #T$, dll., ada juga sistem pengamanannya yang fungsinya mirip dengan password dengan password % biasa dikenal sebagai &ode P'N. (alaupun hanya terdiri dari angka, namun kegunaannya sama seperti password seperti password , yaitu untuk mengamankan informasi. 'nformasi yang disimpan tersebut biasanya sudah berbentuk digital. Tetapi Tetapi banyak dari para pengguna password pengguna password yang membuat password membuat password secara sembarangan tanpa mengetahui kebijakan pengamanan password policy! policy! dan bagaimana membuat password membuat password yang kuat strong password password !. !. $ereka tidak sadar dengan bahayanya para )penyerang* attacker attacker ! yang dapat mencuri atau mengacakacak informasi tersebut.
b. Rumus umusan an masa masala lah h Dalam makalah ini, permasalahan yang akan dibahas adalah bagaimana menanggulangi dampak-dampak negatif dari internet dan juga upaya-upaya apa yang bisa dilakukan untuk mengurangi mengurangi tindak kejahatan dalam dunia maya. $engapa penanggulangan atau keamanan komputer dibutuhkan+
c. Tujuan Tujuan dalam penulisan makalah ini adalah untuk memenuhi tugas mata kuliah etika profesi serta dapat menambah pengetahuan dan diharapkan bermanfaat bagi kita semua. ab a. Pengertian cyber security Cyber security merupakan upaya untuk melindungi informasi dari adanya cyber attack. Cyberattack dalam operasi informasi adalah semua jenis tindakan yang sengaja dilakukan untuk mengganggu kerahasiaan (condentiality) integritas (integrity) dan ketersedian (a!ailability) informasi. "indakan ini bisa ditujukan untuk mengganggu secara sik maupun dari alur logic sistem informasi. Cyber attack merupakan upaya mengganggu informasi yang berfokus pada alur logic sistem informasi. b. lemen pokok dari cyber security /. #okumen security policy merupakan dokumen standard yang
.
0.
1.
2.
3.
4.
dijadikan acuan dalam menjalankan semua proses terkait keamanan informasi. Information infrastructure merupakan media yang berperan dalam kelangsungan operasi informasi meliputi hardware dan software. Contohnya adalah router switch server, sistem operasi, database, dan website. Perimeter Defense merupakan media yang berperan sebagai komponen pertahanan pada infrastruktur informasi misalnya IDS, IPS, dan rewall. Network onitoring System merupakan media yang berperan untuk memonitor kelayakan, utilisasi, dan performance infrastruktur informasi. System Information and !vent anagement merupakan media yang berperan dalam memonitor berbagai ke"adian di "aringan termasuk ke"adian terkait pada insiden keamanan. Network Security #ssessment merupakan elemen cyber security yang berperan sebagai mekanisme kontrol dan memberikan measurement level keamanan informasi. $uman resource dan security awareness berkaitan dengan sumber daya manusia dan awareness%nya pada keamanan informasi.
c. National 5yber Securiry
$ational Cyber %ecurity merupakan istilah yang digunakan untuk cyber security terkait dengan asset&resource yang dimiliki sebuah negara. 'bjecti!e dari national cyber security adalah perlindungan pendominasian dan penguasaan terhadap data dan informasi. $ational cyber security terkait erat dengan operasi informasi yang melibatkan berbagai pihak yaitu militer pemerintahan B$ akademisi sektor s*asta perorangan dan internasional. %ecara umum operasi informasi tercakup dalam+ /. &'ensive information operation . Defensive information operation
,edua operasi informasi ini menjadi bagian tidak terpisahkan yang harus direncanakan dan dikerjakan untuk memperoleh objecti!e cyber security . d. -enanggulangan ,ejahatan didunia maya Penanggulangan kejahatan di dunia maya atau yang biasa dikenal dengan keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan. $enurut 6arfinkel dan Spafford, ahli dalam computer security, komputer dikatakan aman jika bisa diandalkan dan perangkat lunaknya bekerja sesuai dengan yang diharapkan. Penanggulangan kejahatan memiliki 3 tujuan, yaitu7 /. Privacy / Confdentiality a. Defenisi 7 menjaga informasi dari orang yang tidak berhak mengakses. b. Privacy 7 lebih kearah data-data yang sifatnya pri8at , 5ontoh 7 e-mail seorang pemakai (user! tidak boleh dibaca oleh administrator. c. Confidentiality 7 berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut. 5ontoh 7 data-data yang sifatnya pribadi seperti nama, tempat tanggal lahir, social security number , agama, status perkawinan, penyakit yang pernah
diderita, nomor kartu kredit, dan sebagainya! harus dapat diproteksi dalam penggunaan dan penyebarannya. d. entuk Serangan 7 usaha penyadapan dengan program sniffer!. e. 9saha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi. . 'ntegrity a. Defenisi 7 informasi tidak boleh diubah tanpa seijin pemilik informasi. 5ontoh 7 e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. b. entuk serangan 7 #danya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, :man in the middle attack ; dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain. 0. Authentication a. Defenisi 7 metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. b. #danya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking untuk menjaga “intellectual propert y;, yaitu dengan menandai dokumen atau hasil karya dengan :tanda tangan; pembuat ! dan digital signature. c. Access control , yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. ser harus menggunakan password, biometric ciri-ciri khas orang!, dan sejenisnya. 1. Availability a. Defenisi 7 berhubungan dengan ketersediaan informasi ketika dibutuhkan. 5ontoh hambatan 7 “denial of service attack; !o" attack !, dimana ser8er dikirimi permintaan biasanya palsu! yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. b. mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi katakan ribuan e-mail ! dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka surat elektroniknya atau kesulitan mengakses surat elektoniknya. 2. #ccess 5ontrol a. Defenisi 7 cara pengaturan akses kepada informasi. berhubungan dengan masalah authentication dan juga privacy b. $etode 7 menggunakan kombinasi user id dan password atau dengan menggunakan mekanisme lain. 3. Non-repudiation Defenisi 7 #spek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan bagi electronic commerce. Penanggulangan kejahatan di dunia maya memberikan persyaratan terhadap komputer yang berbeda dari kebanyakan persyaratan sistem karena sering kali berbentuk pembatasan terhadap apa yang tidak boleh dilakukan komputer. 'ni membuat penanggulangan menjadi lebih menantang karena sudah cukup sulit untuk membuat program komputer melakukan segala apa yang sudah dirancang untuk dilakukan dengan benar. Persyaratan negatif juga sukar untuk dipenuhi dan membutuhkan pengujian mendalam untuk 8erifikasinya, yang tidak praktis bagi kebanyakan program komputer. Penanggulangan kejahatan di dunia maya
memberikan strategi teknis untuk mengubah persyaratan negatif menjadi aturan positif yang dapat ditegakkan. Pendekatan yang umum dilakukan untuk penanggulangan kejahatan dunia maya antara lain adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi untuk penanggulangan kejahatan, serta membuat strategi pemrograman untuk menghasilkan program komputer yang dapat diandalkan. e. $etode $enghadapi #ncaman $enghadapi ancaman managing threats! terhadap sistem keamanan komputer dapat di.gunakan suatu model yaitu #isk $anagement $odel . $anajemen ini membagi 0 tiga! komponen yang dapat memberikan kontribusi terhadap risk , yaitu 7 /. #set assets!, yaitu pemilik sistem informasi harus mendiskripsikan segala kekayaan pada sistem dan memperhitungkan segala resiko yang akan timbul dari kegagalan terhadap salah satu komponen tersebut, seperti 7 a. %ardware b. "oftware c. Dokumentasi d. Data e. &omunikasi f.
a. = read !, yaitu penguncian atrribut sehingga pemakai hanya dapat melakukan pembacaan saja terhadap terhadap isi file. b. ( write!, yaitu penguncian attribut sehingga pemakai dapat melakukan penulisan simpan! terhadap isi file. c. > atau # access!, yaitu penguncian atrribut sehingga pemakai dapat melakukan pengaksesan eksekusi! file. Perintah penguncian ini dapat dilakukan dengan menggunkan perintah eksternal dari Sistem ?perasi )perating "ystem! seperti 7 a. 5<' Command *ine +nterface! dalam !isk )perating "ystem D?S! dengan menggunkan perintah #TT='. b. 69' rafics ser +nterface! dalam sistem operasi indows. . Compress eying , yaitu suatu penguncian terhadap hasil pemadatan file data. Setiap file data dapat dirobah kedalam bentuk yang lebih padat dengan menggunakan aplikasi kompres, seperti =#=, @'P dan lain-lain. "asil dari kompres dapat di kunci dengan menambahkan Password kata kunci! pembuka apabila file tersebut di decompress atau dikembalikan kedalam bentuk semula e.tract !. Prinsip kerja dari kompres adalah mencari character atau byte yang sering atau banyak berada dalam sebuah file data. &arakter tersebut akan dirobah kedalam kumpulan bit yang lebih sedikit kurang dari A bit !. 0. /ncription nkripsi!, yaitu merupakan suatu teknik merubah isi file data dengan bentuk rahasia yang tidak dimengerti oleh orang lain. Benis-jenis proteksi data enkripsi terdiri atas 7 a. Teknik Substitusi "ubstitution &echni0ue!, yaitu teknik yang melakukan proteksi data dengan cara menggantikan setiap elemen data atau karakter dengan karakter lain. b. Teknik lok 1locking &echni0ue!, yaitu teknik proteksi data dengan cara mengelompokan beberapa karakter ke dalam blok-blok yang berisi beberapa karakter. c. Teknik Permutasi Permutation &echni0ue!, yaitu teknik proteksi data dengan cara menukarkan letak karakter-karakter yang ada. d. Teknik kspansi /.pansion &echni0ue!, yaitu teknik proteksi data dengan cara menambahkan suatu karakter kedalam data. e. Teknik Pemadatan Compaction &echni0ue!, yaitu teknik proteksi data dengan cara menghilangkan sejumlah karakter dalam data. g. Password /. Pengertian Password Password adalah suatu bentuk dari data otentikasi rahasia yang digunakan untuk mengontrol akses ke dalam suatu sumber informasi. Password akan dirahasiakan dari mereka yang tidak diijinkan untuk mengakses, dan mereka yang ingin mengetahui akses tersebut akan diuji apakah layak atau tidak untuk memperolehnya. (alaupun demikian, password bukan berarti suatu bentuk kata-kata% tentu saja password yang bukan suatu kata yang mempunyai arti akan lebih sulit untuk ditebak. Sebagai tambahan, password sering digunakan untuk menggambarkan sesuatu yang lebih tepat disebut pass phrase. Password kadang-kadang digunakan juga dalam suatu bentuk yang hanya berisi angka numeric!% salah satu contohnya
adalah Personal +dentification 2umber P'N!. Password umumnya cukup pendek sehingga mudah untuk diingat. . Perkembangan Password -erkembangan otentikasi password ini dapat dilihat dengan contoh contoh dari kelemahan sistem yang mudah dibahayakan yang kebanyakan masih digunakan sampai saat ini. #iba*ah ini akan diperlihatkan beberapa kategori utama dari sistem otentikasi password bersamaan dengan beberapa contoh implementasi yang mengilustrasikan kekurangan masing masing + a. Otentikasi Lemah (Weak Authentication Secara umum, sistem dengan otentikasi yang lemah dicirikan dengan protokol yang memiliki kebocoran password langsung diatas jaringan atau membocorkan informasi yang cukup untuk diketahui )penyerang* sehingga password dapat dianalisis dan ditebak. C Cleartext Passwords $etode otentikasi yang paling tidak aman adalah menyimpan password pada database di suatu tempat di ser8er. Selama otentikasi, user mengirim password langsung ke ser8er dan ser8er akan membandingkan dengan password yang ada di ser8er. $asalah keamanan disini sangat jelas terlihat. C Hashed Passwords Password pengguna dapat dijalankan melalui suatu fungsi one-way hash, dimana dapat mengubahnya ke dalam urutan byte secara acak. Sebagai fungsi ini akan lebih susah dikembalikkan7 lebih mudah mengubah password menjadi hash daripada hash menjadi password . ?tentikasi terdiri dari menjalankan fungsi hash ketika password diketik dan membandingkannya dengan password yang telah disimpan. Sistem seperti ini masih digunakan sampai sekarang pada sistem utama 9N'>. C Challange-Response 9ntuk menghindari kemunculan password secara langsung pada jaringan yang tidak terpercaya, dibuatlah sistem challangeresponse. Ser8er akan mengirim beberapa challange, yang mencirikan beberapa string pendek secara acak. Sayangnya, sistem challange-response sudah tidak mampu lagi mengimbangi aplikasi jaringan modern. b. Otentikasi !uat ("tron# Authentication (alaupun enkripsi yang baik sudah ada sejak beberapa dekade yang lalu, pengembangan dari otentikasi protokol langsung yang kuat baru dimulai tahun /E dengan publikasi dari :& family of algorithms;. C EKE $erupakan keluarga protokol yang terdiri dari simetrik dan publickey cryptosystems untuk melakukan otentikasi password . 9ntuk pertama kalinya,
protokol dapat menghindari dictionary attacks dan memung-kinkan pemberitahuan secara rahasia tanpa melibatkan pihak ketiga atau keymanagement . C DH-EKE, SPEKE & yang paling terkenal dan aman, sama dengan protokol pengganti kunci !iffie-%ellman. Sebagai contoh7 D"-&, adalah & yang diimplementasikan menggunakan !iffie-%ellman. Perbedaan yang paling signifikan yaitu pada pertukaran pesan pada D" yang sekarang dienkripsi dengan shared password . Demikian juga dengan SP&, yang juga berbasis !iffie-%ellman. Tetapi password sekarang digunakan untuk mempengaruhi pemilihan dari parameter generator di dalam fungsi session-key generation. C A-EKE $erupakan modifikasi dari &, biasa disebut Augmented-// % di-mana ser8er dapat menyimpan beberapa yang tidak plainte.te0uivalent ke password pengguna. Protokol ini adalah satu-satunya protokol yang sampai saat ini tahan terhadap dictionary attacks dan tidak mempunyai database password yang plainte.t-e0uivalent . Sayangnya, #-& mengorbankan kerahasiaan dalam usahanya untuk menghindari plainte.t-e0uivalence. c. Gangguan tent!"as! #$ncon%en!ent Authent!cat!on& &etidakhadiran otentikasi yang kuat, teknologi otentikasi password yang mudah, membuat para pendesain sistem tahun /AEan mencoba teknik lain untuk menjamin keamanan password . &ebanyakan dari sistem yang ada, tidak sepenuhnya password-based dan sering membutuhkan sesuatu yang lebih pada bagian pengguna, administrator, atau keduanya untuk meng-operasikan secara halus. #da tiga metode yang dapat dilakukan, yaitu one-time passwords, erberos, dan SS".
0. Proteksi Password 9paya untuk mengamankan proteksi password tersebut antara lain7 a! "alting "tring password yang diberikan pemakai ditambah suatu string pendek sehingga mencapai panjang password tertentu. b! )ne-time Passwords
Password yang dimiliki oleh pemakai diganti secara teratur, dimana seorang pemakai memiliki daftar password sendiri sehingga untuk login ia selalu menggunakan password berikutnya. Dengan cara ini pemakai akan menjadi lebih direpotkan karena harus menjaga daftar password tersebut tidak sampai tercuri atau hilang. c! Satu pertanyaan dan jawaban yang panjang Fang mengharuskan pemakai memberikan satu pertanyaan yang panjang beserta jawabannya, yang mana pertanyaan dan jawabannya dapat dipilih oleh pemakai, yang mudah untuk diingat sehingga ia tidak perlu menuliskannya pada kertas. d! Tanggapan-tanggapan Pemakai diberikan kebebasan untuk menggunakan satu atau beberapa algoritma sekaligus 1. Pass$ord Policy / !ebi%akan Pen#amanan &ebijakan pengamanan atau yang biasa dikenal dengan password pol!c' adalah sekelompok peraturan yang dibuat untuk meningkatkan keamanan informasi dengan mendorong pengguna untuk memakai password yang kuat dan menggunakannya dengan tepat. &ebijakan pengamanan sering menjadi bagian dari regulasi resmi suatu organisasi. &ebijakan pengamanan dapat dilaporkan atau ditugaskan dengan melakukan berbagai jenis pengujian ke dalam operating system. &ebijaksanaan pengamanan biasanya sederhana dan umum digunakan, dimana setiap pengguna dalam sistem dapat mengerti dan mengikutinya. 'sinya berupa tingkatan keamanan yang dapat melindungi data-data penting yang disimpan oleh setiap user . eberapa hal yang dipertimbangkan dalam kebijaksanaan pengamanan adalah siapa sajakah yang memiliki akses ke sistem, siapa sajakah yang diiGinkan untuk menginstall program ke dalam sistem, siapa memiliki data apa, perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem. 2. Kesalahan (ta)a Para Pengguna Password #da lima kesalahan yang biasanya dilakukan orang sehingga mengakibatkan data mereka dapat dicuri orang lain, login dapat di-hack, dan sebagainya. 9mumya orang mengunci pintu rumahnya terlebih dahulu se belum pergi meninggalkan rumah. Namun dalam penggunaan komputer, orang cenderung bertindak ceroboh. Tidak hanya pengguna saja, tetapi termasuk juga administratornya. Dari kelima kesalahan tersebut, hanya empat yang berkaitan erat dengan penggunaan password . erikut ini adalah empat kesalahan utama yang berhubungan dengan pengamanan password 7
/! $enuliskan password di kertas. Pengguna biasanya menuliskan password di secarik kertas dan kemudian menempelkannya di P5 atau di samping monitor. $ereka terlalu malas mengingat password itu sehingga mencatatnya di kertas dan meletakkannya begitu saja sehingga semua orang dapat membacanya. "al ini didasarkan atas penelitian yang dilakukan oleh lembaga security di 9S yang menyatakan sekitar /2-EH penggunan disuatu perusahaan melakukan hal ini. ! Pemilihan password yang buruk. Di dalam memilih password, orang cenderung menggunakan nama orang dekat, seperti nama suami atau istri, nama pacar, nama orang-tua, nama binatang kesayangan, atau tulisan disekitar mereka yang gampang ditebak oleh orang lain. #tau bahkan menggunakan tanggal lahir mereka sendiri. Password yang buruk akan dengan gampang dicrack , apalagi kalau password itu sama dengan username. Bika anda menggunakan password dengan kombinasi abjad, nomor, dan huruf besarkecil case sensitive!, maka akan dibutuhkan waktu yang cukup lama untuk meng- crack . "al itu juga tergantung seberapa panjang password yang digunakan. Saat ini beberapa situs tertentu menggunakan kalimat sebagai password, misalnya situs :hushmail;. 0! $eninggalkan komputer yang masih hidup begitu saja. anyak orang meninggalkan komputer mereka tanpa proteksi apa-apa. Dengan demikian orang lain tinggal datang dan duduk untuk mengakses data. erbagai sistem operasi sudah memberikan fasilitas seperti screen saver yang bisa diaktifkan passwordnya setelah lima menit tergantung setting dari pengguna! atau bisa di-lock begitu kita mau meninggalkan komputer kita.
1! Tidak adanya kebijakan keamanan komputer di perusahaan. ukan hal yang aneh jika banyak perusahaan di 'ndonesia tidak memilikinya karena mereka masih belum peduli dengan keamanan, terkecuali untuk perusahaan multinasional. "al itupun karena adanya keharusan dari head0uarter yang mengharuskan mereka menerapkan kebijakan itu di perusahaan mereka yang berada di 'ndonesia. "ecurity policy ini mengatur segala hal yang berkaitan dengan keamanan komputer, seperti penerapan password untuk setiap orang misalnya7 panjang password minimal karakter dengan kombinasi numerik dan karakter!, yang juga disertai dengan sanksi yang akan diberikan jika mereka melanggarnya. 3. Penggunaan Password yang aik
#da beberapa cara untuk menjaga keamanan komputer, terutama dalam hal pemakaian password. Password merupakan hal 8ital dalam proses otentikasi. Penggunaan password yang baik dan efektif seharusnya7 /! $inimal mempunyai panjang 3-A karakter, yang dikombinasikan dengan karakter angka, simbol atau menggunakan sensitive case. ! Tidak memiliki maksud atau makna. Password yang memiliki makna relatif mudah untuk ditebak. Badi penggunaan nama anggota keluarga, alamat, tanggal lahir, dan sejenisnya harus dihindari. 0! Tidak terdiri dari urutan abjad atau angka, misalnya )34AE* atau )hijklmn*. 1! Sebaiknya diberi periode berlaku. 'ni berarti harus sering mengganti password. 2! Bangan gunakan nama login username! sebagai password dalam bentuk apapun, baik dengan mengganti huruf kapital, dibalik, diulang, dan sebagainya. 3! Bangan menggunakan kata-kata yang umum dan terdapat dalam kamus. 4! Bangan pernah menuliskan password yang #nda pakai di tempat-tempat yang dapat diakses umum. A! Bangan membuat
password yang membuat
#nda
kesulitan
untuk
menghafalnya. uatlah password yang mudah diingat, namun s ulit untuk ditebak. ! Bangan pernah memberitahu password #nda kepada orang lain. /E! #pabila diperlukan, ada baiknya jika menggunakan software atau utilitas tambahan untuk menambah keamanan komputer #nda.
ab 0 Penutup /. &esimpulan cybersecurity adalah segala bentuk system keamanan di dalam dunia maya yang berhubungan dengan segala macam bentuk kegiatan menggunakan internet dan sebagai system keamanan informasi atau data. a. Cybersecurity sangat berguna untuk banyak orang, karena data-data yang penting dan rahasia dapat di jaga kerahasiaan data tersebut. b. erbagai upaya telah dilakukan pemerintah salah satunya dengan cybersecurity ini untuk menanggulangi terjadinya pencurian data oleh cybercrime dan pemerintah juga bahkan membuat undang-undang tentang tindak pidana cybercrime.
.
