PENGENALAN SISTEM INFORMASI
1. Pendahuluan
Menurut G. J. Simons, keamanan informasi adalah
bagaimana kita dapat mencegah penipuan (cheating) atau, mendeteksi adanya
penipuan disebuah sistem yang berbasis informasi, dimana informasi sendiri tidak
berbentuk secara visual.
Lawrie Brown menyarankan menggunakan “Risk Management
Model” untuk menghadapi ancaman (managing threats). Ada tiga komponen yang memberikan kontribusi
kepada Risk,yaitu Asset, Vulnerabilities, dan Threats.
Untuk menanggulangi resiko (risk) tersebut dilakukan
apa yang disebut “countermeasures” yang dapat berupa:
a.
Usaha untuk mengurangi threat
b.
Usaha untuk mengurangi Vulnerability
c.
Usaha untuk mengurangi impak (impact)
d.
Mendeteksi kejadian yang tidak bersahabat (hostile
event)
2.
Meningkatnya Kejahatan Komputer
Jumlah kejahatan komputer (computer crime), terutama
yang berhubungan dengan sistem informasi, terus meningkat hal ini disebabkan
beberapa hal, yaitu:
a. Semakin banyaknya perusahaan yang menggunakan aplikasi
bisnis berbasis teknologi yang sangat cepat, untuk mengatasi hal tersebut
pemerintah diwajibkan untuk informasi dan jaringan komputer (internet), ini
dikarenakan perkembangan teknologi informasi semakin cepat membuat perusahaan
mengunakan fasilitas internet untuk mempermudah pekerjaan . Untuk itu
perusahaan rentan terkena virus (malware) atau terkena hacker disitus
perusahaan tersebut oleh pihak yang tidak bertanggung jawab.
b. Desentralisasi (distributed) server menyebabkan
lebih banyak sistem yang harus ditangani.
c. Transisi dari single vendor ke multi-vendor
sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah
interoperability antar vendor yang lebih sulit ditangani.
d.
Meningkatnya kemampuan pemakai dibidang komputer
sehingga mulai banyak pemakai yang mencoba bermain atau membongkar sistem yang
digunakannya (atau sistem orang lain). Contoh kasus berita yang dialami seorang
pemuda penjaga warnet yang bernama Wildan Yani alias Yayan , kelahiran Jawa
timur, 18 Juni 1992, meretas situs pribadi Presiden Susilo Bambang Yudhoyono
http://www.presidensby.info.
Seperti dipaparkan tim jaksa Penuntut Umum Kejaksaan Negri Jember, Wildan
melakukan aksinya di Warnet tersebut pada pertengahan 2012 hingga 8 Januari
2013.
e. Mudahnya memperoleh software untuk menyerang
komputer dan jaringan komputer, dengan perkembangan teknologi dan perkembangan
internet sekarang ini membuat orang – orang mudah sekali mendapatkan software
peretas tersebut bisa download diwebsite atau blog ketika seseorang mengetikan
kata tersebut diwebsite google.com.
f. Kesulitan dari penegak hukum untuk mengejar
kemajuan dunia komputer dan telekomunikasi menambahkan fasilitas dikantor Cyber
Crime mabes polri, atau dikapolda setempat.
g. Semakin kompleksnya sistem yang digunakan
seperti semakin besarnya program (source code) yang digunakan sehingga semakin
besar probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan
pemrograman , bugs).
3.
Kelasifikasi Kejahatan Komputer
a.
Keamanan yang bersifat fisik (physical security)
v
Termasuk askses orang ke gedung, peralatan, dan
media yang digunakan
v
Wiretapping, hal-hal yang berhubungan dengan
akses ke kabel atau komputer
v
Denial of Service, dilakukan misalnya dengan
mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang
dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan)
v
Syn Flood Attack, dimana sistem (host) yang
dituju dibanjiri oleh pemintaan sehingga dia menjadi terlalu sibuk dan bahkan
dapat berakibat macetnya sistem (hang).
v
Mematikan jalur listrik sehingga sistem tidak
berfungsi.
Dan masalah
keamanan fisik ini mulai menarik perhatian ketika gedung World Trade Center
yang dianggap sangat aman dihantam oeh pesawat terbang yang dibajak oleh
teroris, kejadian penyerangan tersebut terjadi di New York City dan Washington
D.C. pada 11 September 2001 . Akibatnya banyak sistem atau database tidak bisa
hidup kembali karena tidak diamankan. Belum lagi ribuan nyawa melayang akibat
kejadian tersebut.
b.
Keamanan Yang berhubungan Orang (Personal)
Termasik identifikasi dan profile resiko dari orang
yang mempunyai akses (pemakai dan pengelola).
Ada sebuah teknik yang dikenal dengan istilah “social
engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai
orang yang berhak mengakses informasi.
Misalnya kriminal ini berpura-pura sebagai pemakai
yang lupa passwordnya dan minta agar diganti menjadi kata lain.
c.
Keamanan dari data dan media serta teknik
komunikasi (Communications)
Yang termasuk didalam kelas ini adalah kelemahan
software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang
virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti
password) yang semestinnya tidak berhak diakses.
Contohnya saja ketika pengguna user mengakses internet
untuk mendownload file diwebsite atau blog
ketika klik download tiba2 pengguna user didirect link website lain seperti
iklan, ketika user tidak sengaja mengklik iklan tersebut tiba2 terdownload file
lain yang secara tidak sengaja itu virus malware yang sudah masuk disistem
komputer.
d.
Keamanan dalam operasi
Termasuk kebijakan (policy) dan prosedur yang
digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk
prosedur setelah serangan (post attack recovery).
4.
Aspek / Servis dari Security
Garfinkel mengemukakan bahwa keamanan komputer (computer security)
melingkupi empat aspek yaitu:
§
Privacy / Confindentiality
§
Integrity
§
Authentication
§
Availability
Selain hal siatas, masih ada dua
aspek lain yang kaitannya berhubungan dengan electronic commerce, yaitu:
§
Access control
§
Non-repudiation
Privacy
/ Confidentiality
Inti utama aspek privacy atau
confidentiality adalah usaha untuk menjaga informasi dari orang yan g berhak
mengakses. Contohnya ekripsi data.
Privacy lebih kearah data-data yang sifatnya privat, misalnya e-mail user tidak
boleh dibaca oleh administrator.
Confidentiality biasanya berhubungan
dengan data yang diberikan ke pihak lain untuk keperluan tertentu. Misalnya
proses pendaftaran yang wajb menginput data pribadi : Nama, tempat tanggal
lahir, social security number, agama, status perkawinan, penyakit yang pernah
diderita, nomor kartu kredit, dll.
Integrity
Aspek ini menekankan bahwa informasi
tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse,
atau pemakai lain yang mengubah informasi tanoa ijin merupakan contoh masalah
yang harus dihadapi.
Sebuah e-mail dapat saja “ditangkap” (intercept) ditengah jalan, diubah isinya
(altered, tampered, modified) kemudian diteruskan ke alamat yang dituju.
Dengan kata lain, integritas dari informasi sudah tidak terjaga.
Salah satu contoh kasus trojan horse adalah distribusi paket program TCP
Wrapper, contoh serangan lain adalah “man in the middle attack”.
Authentication
Aspek ini berhubungan dengan metode
untuk menyatakan bahwa informasi benar-benar asli, atau server yang kita
hubungi adalah betul – betul server yang asli. Contohnya saja login salah satu
yang ada kaitannya dengan access control, yaitu berkaitan dengan pembatasan
orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukan
bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan
password/pin/sidik jari.
Mudahnya membuat website palsu yang menyamar sebagai website sebuah bank yang
memberikan layanan Internet Banking . (Ini terjadi dengan kasus klikBCA.com).
Availability
Aspek ini berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Contoh hambatan adalah serangan yang
sering disebut:
· Denial of service attack” (Dos attack), dimana
server dikirimi permintaan (biasanya palsu) yang bertubi-tubi sehingga tidak
dapat melayani permintaan lain atau bahkan sampai down. Hang, crash.
· Mailbomb, dimana seorang pemakai dikirimi e-mail
bertubi-tubi dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka
e-mailnya.
Acces
Control
Aspek ini berhubungan dengan cara
pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan:
ü - Klasifikasi
data : Public, Private, Confidential, Top Secret
ü - User:
Guest, Admin, Top Manajer.
Access control seringkali dilakukan
dengan menggunakan kombinasi user id / password atau dengan menggunakan
mekanisme lain (seperti kartu, biometrics).
Non-Repudiation
Aspek ini menjaga agar seseorang
tidak dapat menyangkal telah melakukan sebuah transaksi.
Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak
dapat menyangkal bahwa dia telah mengirimkan email tersebut.
Aspek ini sangat penting dalam hal electronic commerce.
Penggunaan digital signature, certifiates, dan teknologi kriptografi secara
umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh
hukum sehingga status dari digital signature itu jelas legal.
1.
Serangan Terhadap Keamanan Sistem
Informasi
Security attack, atau serangan
terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer
atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi.
Ada beberapa kemungkinan (attack):
a.
Serangan Interruption
Perangkat sistem menjadi rusak atau tidak tersedia.
Seranan ditunjukan kepada ketersediaan (availability) dari sistem. Contoh
serangan adalah “denial of service attack”.
b.
Modification
Pihak yang tidak berwenang tidak saja berhasil mengakses,
akan tetapi dapat juga mengubah aset. Contoh dari serangan ini antara lain
adalah mengubah isi dari website dengan pesan-pesan yang merugikan pemilik
website.
c.
Fabrication
Pihak yang tidak berwenang objek palsu ke dalam Consistem
menyisipkan dari serangan jenis ini adalah memasukan pesan-pesan palsu seperti
e-mail palsu ke dalam jaringan komputer.
Serangan Terhadap Keamanan Sistem
Informasi
Jakarta
- Situs Teman Ahok di www.temanahok.com sempat diserang hacker yang mencoba
meretas. Percobaan peretasan ini mengakibatkan website Teman Ahok sempat
dinonaktifkan untuk beberapa jam tadi malam.
"WEBSITE WWW.TEMANAHOK.COM MENGALAMI PERCOBAAN HACK. SAAT INI SISTEM KAMI
SENGAJA DISABLE. Mohon maaf atas ketidaknyamanan ini. Kami mohon dukungan dari
teman2 semua.Our system has automatically detected an inbound DDoS against your
droplet named Teman-Ahok-1," bunyi pengumuman di laman Facebook Teman Ahok
seperti dikutip Kamis (10/3/2016).
Dalam postingan tersebut juga dijelaskan, penonaktifan sementara website
tersebut karena adanya serangan dari luar. "Ada serangan dari luar. Jadi
untuk sementara pihak Hosting disable web TA dalam waktu beberapa jam ke
depan," demikian tertulis.
Selang tiga jam, pada hari yang sama pukul 20.24 WIB, laman Facebook tersebut
kembali menyampaikan pengumuman. Kali ini pengumuman yang diberikan merupakan
satu kabar baik. Situs yang sempat mengalami serangan hingga terpaksa
dinonaktifkan, sudah dapat diakses kembali seperti semula.
"Setelah sempat mengalami percobaan hack, kini website www.temanahok.com
sudah dapat diakses kembali. Semua informasi yang terkait dengan pengumpulan
KTP, download formulir, lokasi Posko, proses verifikasi dll dapat ditemukan di
website kami, atau Fanpage Facebook ini, Instagram @temanahokofficial dan
Twitter @temanahok," tulis akun facebook temanahok.
Dalam postingan bernada pengumuman itu, juga terkandung imbauan agar teman Ahok
kembali mengikuti perkembangan melalui media sosial dan situs resmi temanahok.
"Silakan simak dan bagikan informasi dari semua sosial media dan situs
resmi Teman Ahok. Terimakasih atas segala masukan dan dukungan dari teman2
semua," demikian tertulis.
Begini Cara Peretas
Curi Foto Bugil Jennifer Lawrence
KOMPAS.com
- Setelah hampir dua tahun, kasus pencurian foto bugil artis Hollywood, seperti
Jennifer Lawrence, Lea Michele, dan Kirsten Dunst, di layanan iCloud akhirnya
memasuki babak baru.
Ryan Collins, seorang peretas berusia 36 tahun, telah mengaku bersalah atas
tindakan yang dilakukannya itu.
Pengakuan Collins itu juga diikuti dengan jawaban dari misteri yang
menyelubungi misteri lainnya: teknik yang digunakan si peretas untuk mencuri
foto bugil tersebut.
Berdasaran keterangan dari jaksa penuntut Departemen Kehakiman Amerika Serikat,
sebagaimana
KompasTekno rangkum dari
Buzzfeed, Jumat (18/3/2016),
Collins menggunakan sebuah trik
phising. Ia
mengelabui target dengan mengirim sebuah e-mail yang didesain khusus agar
seakan-akan tampak berasal dari
Apple atau Google.
E-mail itu berisi permintaan mengisi
username dan
password. Dengan begitu, target
-atau korban- diharap mau membalas dan memberikan informasi yang diminta.
Nah, saat korban merespons e-mail itu, Collins sudah berhasil mendapatkan
informasi username dan password tersebut. Dengan begitu, Collins bisa langsung
membuka akun iCloud dan melihat semua data yang tersimpan di dalamnya, termasuk
(jika ada) foto bugil korbannya.
Setelah itu, Collins bisa langsung mengunduh data yang diinginkan satu persatu.
Namun, tidak mau terlalu repot-repot, ia menggunakan sebuah program di komputer
untuk langsung mengunduh semua konten dari akun iCloud korbannya.
Sistem keamanan Apple diperketat
Setelah kejadian peretasan besar-besaran tersebut,
Apple langsung mengganti cara kerja sistem
keamanan iCloud.
Cara baru yang diterapkan, mirip dengan sejumlah layanan penyimpanan berbasis
cloud lain, yakni otentikasi dalam dua tahap.
Otentikasi dua tahap ini, selain membutuhkan password, juga menjuga
mengharuskan pengguna memasukkan kode yang dikirim melalui SMS ke perangkat
yang didaftarkan sebelumnya.
Kira-kira cara kerjanya seperti ini. Saat fitur otentikasi dua tahap sudah
dinyalakan, pengguna bisa mendaftarkan satu atau lebih perangkat yang
dipercaya.
Perangkat yang dipercaya ini nantinya bakal menerima kode berisi 4 angka
melalui SMS atau aplikasi Find My iPhone. Salah satu perangkat tersebut
diharuskan punya kemampuan menerima SMS.
Kemudian, saat pengguna ingin sign in ke iCloud, pengguna membutuhkan password
dan kode dari SMS atau aplikasi Find My iPhone tersebut untuk membuka akun
iCloud.
Untuk menyalakan fitur tersebut, pengguna bisa sign in ke laman
Apple ID, kemudian di bawah pilihan Two-Step
Verification, klik "Get Started". Setelah itu, jawab beberapa
pertanyaan keamanan dan ikuti langkah-langkah selanjutnya.
Jim Geovedi: Meretas Satelit diLangit
Seorang hacker Indonesia membangun
reputasi dunia. Dia terkenal karena bisa meretas satelit.
Jim
Geovedi adalah orang yang berbahaya. Pada masa ketika nyaris semua informasi
dan manusia terkoneksi, Jim, jika dia mau, bisa setiap saat keluar masuk ke
sana: melongok percakapan surat elektronik atau sekedar mengintip
perselingkuhan anda di dunia maya. Lebih
dari itu, dia bisa saja mencuri data-data penting: lalu lintas transaksi bank,
laporan keuangan perusahaan atau bahkan mengamati sistem pertahanan negara.
“Kalau
mau saya bisa mengontrol internet di seluruh Indonesia,“ kata Jim dalam
percakapan dengan Deutsche Welle. Saat saya tanyakan itu kepada pengamat
IT Enda Nasution, dia mengaku percaya Jim Geovedi bisa melakukan itu.
Saya
memilih percaya dan tidak mau menantang Jim untuk membobol situs Deutsche
Welle.
Dia
adalah hacker Indonesia dengan reputasi global: hilir mudik Berlin,
Amsterdam, Paris, Torino, hingga Krakow menjadi pembicara pertemuan hacker
internasional yang sering dibalut dengan nama seminar sistem keamanan. Dalam
sebuah pertemuan hacker dunia, Jim memperagakan cara meretas satelit:
ya, Jim bisa mengubah arah gerak atau bahkan menggeser posisi satelit.
Keahliannya ini bisa anda lihat di Youtube.
Jim
Geovedi sejak 2012 pindah ke London dan mendirikan perusahaan jasa sistem
keamanan teknologi informasi bersama rekannya. Dia menangani para klien yang
membutuhkan jasa pengamanan sistem satelit, perbankan dan telekomunikasi. Dua
tahun terakhir, dia mengaku tertarik mengembangkan artificial intelligence
komputer.
Tapi
Jim Geovedi menolak disebut ahli. Dalam wawancara, Jim lebih suka menganggap
dirinya “pengamat atau kadang-kadang partisipan aktif dalam seni mengawasi dari
tempat yang jauh dan aman.“
Tidak,
Jim bukan lulusan sekolah IT ternama. Lulus SMA, Jim menjalani kehidupan
jalanan yang keras di Bandar Lampung sebagai seniman grafis. Beruntung seorang
pendeta memperkenalkan dia dengan komputer dan internet. Sejak itu, Jim Geovedi
belajar secara otodidak: menelusuri ruang-ruang chatting para hacker
dunia.
Deutsche Welle
Apa
saja yang pernah anda hack?
Jim Geovedi
Saya
tidak pernah menghack…kalaupun ya, saya tidak akan mengungkapkannya
dalam wawancara, hehehe. Tapi saya banyak dibayar untuk melakukan uji coba
sistem keamanan. Saya punya konsultan perusahaan keamanan untuk menguji
aplikasi dan jaringan. Klien saya mulai dari perbankan, telekomunikasi,
asuransi, listrik, pabrik rokok dan lain-lain.
Deutsche Welle
Bagaimana
anda membangun reputasi sebagai hacker?
Jim Geovedi
Saya
tidak memulai dengan menghack sistem, kemudian setelah terkenal membuka
identitas dan membangun bisnis sistem keamanan. Sejak awal, saya lebih banyak
bergaul dengan para hacker dunia ketimbang Indonesia, dan dari sana saya
sering diundang menjadi pembicara seminar atau diwawancara media internasional.
Beberapa tahun setelah itu saya mulai diperhatikan di Indonesia. Tahun 2004,
saya diminta membantu KPU (saat itu data pusat penghitungan suara Pemilu
diretas-red) yang kena hack. Saya disewa untuk mencari tahu siapa
pelakunya (seorang hacker bernama Dani Firmansyah akhirnya
ditangkap-red). Ketika wireless baru masuk Indonesia tahun 2003, saya
sudah diminta menjadi pembicara di Kuala Lumpur tentang bahaya sistem itu.
Tahun 2006, saya diminta menjadi pembicara isu sistem keamanan satelit, dan itu
yang mungkin membuat nama saya naik.
Deutsche Welle
Apakah
anda bisa menghack satelit?
Jim Geovedi
Ya
bisa, satelit itu sistemnya cukup unik. Orang yang bisa mengontrol satelit
harus tahu A sampai Z tentang isi satelit. Dan satu-satunya cara adalah anda
harus masuk ke ruang operator atau berada dalam situasi kerja sang operator
(dengan meretasnya-red). Dari sana anda akan memahami semua hal: satelit ini
diluncurkan kapan, bagaimana cara kontrol, sistem apa yang digunakan. Setelah
itu anda akan bisa memahami: oh di sini toh kelemahan sistemnya. Itu semua
total insting. Semakin sering anda mempelajari kasus, jika berhadapan dengan
kasus lain, anda akan bisa melihat adanya kesamaan pola. Kalau anda sudah
melihat kesamaan pola, maka anda akan tahu.
Deutsche Welle
Satelit
mana saja yang pernah anda hack?
Jim Geovedi
Hahaha…saya
harus berada di lingkungan operatornya.
Deutsche Welle
Tapi
anda bisa masuk ke lingkungan itu dari jarak jauh (meretas-red) kan?
Jim Geovedi
Hahaha,
untuk satu atau dua kasus itu bisa dilakukan.
Deutsche Welle
Satelit
mana yang anda hack?
Jim Geovedi
Itu
satelit klien saya hahaha…satelit Indonesia dan satelit Cina.
Deutsche Welle
Apa
yang anda lakukan dengan satelit itu?
Jim Geovedi
Saat
itu saya diminta menguji sistem keamanan kontrol satelit, dan saya melihat: oh
ini ada kemungkinnan untuk digeser atau dirotasi sedikit… lalu ya saya
geser…dan itu membuat mereka panik karena agak sulit mengembalikan satelit itu
ke orbit. Untung mereka punya bahan bakar ekstra. Mereka bilang: oke cukup
jangan diteruskan. Satelit yang dari Cina bisa saya geser tapi kalau yang dari
Indonesia saya ubah rotasinya.
Deutsche Welle
Dengan
kemampuan seperti ini, bagaimana anda mengatasi godaan?
Jim Geovedi
Kalau
mau, saya bisa mengontrol internet seluruh Indonesia. Saya bisa mengalihkan traffic
(lalu lintas data-red), saya bisa mengamati traffic yang keluar ataupun
masuk Indonesia. Saya bisa memodifikasi semua transaksi keuangan…dengan
kapasitas saya itu mungkin saja dilakukan. Tapi buat apa? Saya termasuk orang
yang bersyukur atas apa yang saya punya. Saya nggak punya interest
berlebihan soal materi.
Sumber:
http://www.dw.com/id/jim-geovedi-meretas-satelit-di-langit/a-16564273