TUGAS KELOMPOK SISTEM DAN TEKNOLOGI INFORMASI TEKNIK INDUSTRI
KEAMANAN DALAM TRANSAKSI INTERNET Dosen Pengampu: Dr. Widyawan
Disusun oleh: Kelompok 2
Benedikta Anna H S
(10/306200/PTK/06873)
Wilhelmus Abisatya Pararta
(08/268818/TK/34087)
Emmy Indriany
(08/265963/TK/33915)
PROGRAM STUDI TEKNIK INDUSTRI JURUSAN TEKNIK MESIN DAN INDUSTRI FAKULTAS TEKNIK UNIVERSITAS GADJAH MADA YOGYAKARTA 2011
BAB I PENDAHULUAN
1.1 Latar Belakang Perkembangan dunia digital, khususnya internet saat ini sudah sangat mengglobal. Teknologi informasi atau information technology (IT) telah mengubah masyarakat, dalam menciptakan jenis-jenis dan peluang-peluang bisnis yang baru, serta menciptakan jenis pekerjaan dan karier baru dalam pekerjaan manusia terutama interconnection networking (internet). Pada awalnya internet diciptakan sebagai saluran swasta untuk kepentingan kegiatan penelitian dan akademis. Namun, seiring dengan perkembangannya kini internet lebih banyak dimanfaatkan oleh bidang bisnis untuk berbagai macam pelayanan komersial. Dalam bidang perdagangan, penggunaan internet didominasi oleh electronic commerce (e-commerce), selain itu ada electronic banking (e-banking) dan electronic business (e-business). Hal ini dikarenakan melalui internet masyarakat memiliki ruang gerak yang lebih luas dalam memilih produk baik barang maupun jasa, serta melakuka berbagi macam transaksi sesuai dengan keinginannya. Sehingga dalam penggunaannya diatur dalam Undang-Undang Nomor 11 Tahun 2008. Namun dalam dibalik semua sisi positif yang dapat ditawarkan oleh fasilitas electronic ini, ada beberapa permasalahan yang sering terjadi. Hal ini menjadi tantangan bagi perlindungan konsumen yang diatur dalam Undang-Undang Nomor 8 Tahun 1999. Makalah ini akan membahas mengenai tujuan dari keamanan sistem informasi, berbagai macam serangan keamanan, dan teknologi yang dapat digunakan untuk mengamankan sistem informasi.
1.2 Tujuan Makalah ini bertujuan untuk: 1. Mengetahui apakah tujuan dari keamanan sistem informasi. 2. Mengetahui apa saja jenis-jenis ancaman dalam transaksi melalui internet. 3. Mengetahui teknologi apa yang dapat digunakan untuk menghindari dan atau mengatasi ancaman tersebut. 4. Memenuhi tugas Sistem dan Teknologi Informasi Teknik Industri
BAB II PEMBAHASAN
2.1 Tujuan Keamanan Sistem Informasi Tujuan utama dalam keamanan informasi ada tiga, yaitu: 1. Kerahasiaan Rahasia berarti pengguna sistem tidak ingin informasi yang dimilikinya diketahui oleh pihak lain yang tidak diberi kewenangan. Kerahasian informasi dalam satu perusahaan tertentu dapat menjadi aspek kompetensi perusahaan yang sangat penting, misalnya saja pada perusahaan konsultan.
2. Ketersediaan Data dan informasi harus selalu tersedia dan mudah diakses oleh pengguna atau pihak yang berwenang. Hal ini penting karena dalam penggunaannya informasi menjadi sangat penting disaat pengambilan keputusan.
3. Integritas Semua sistem informasi harus memberikan representatif akurat atas sistem fisik yang direpresentasikannya.
2.2 Jenis-Jenis Ancaman Keamanan Ancaman keamanan informasi adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ancaman dapat bersifat internal ataupun eksternal, dan dapat bersifat tidak disengaja maupun disengaja (McLeod & Schell, 2011). Berikut adalah jenis ancaman-ancaman bagi keamanan dalam transaksi yang dilakukan dengan media internet (Garbin, 2004): 1. Ancaman serangan aktif Ancaman serangan aktif yaitu upaya untuk menyebabkan kerusakan biasanya melalui kesalahan sistem atau kekerasan yang berhubungan dengan interupsi aliran data, data modifikasi dan disinformasi. Ancaman ini dapat berupa:
Gambar 2.1 Ancaman Keamanan Sistem Informasi (Sumber: McLeod & Schell, 2011).
a. Virus Virus yang sering didengar oleh pengguna internet merupakan salah satu contoh jenis software yang disebut sebagai malicious software (malware). Malware ini terdiri dari program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diinginkan oleh pengguna sistem, seperti menghapus file atau merusak sistem. b. Penghancuran yang tidak terotorisasi dan penolakan layanan Penghancuran software atau hardware akan menyebabkan operasional komputer menjadi tidak berfungsi. Dan kejahatan ini dapat dilakukan dari jarak jauh. Penjahat ini dapat memasuki jaringan komputer pengguna dan menggunakan informasi di dalamnya sehingga operasional bisnis tidak dapat berjalan dengan baik. c. Modifikasi yang tidak terotorisasi Perubahan pada data, informasi, dan software dapat terjadi tanpa disadari oleh pengguna sehingga dapat menyebabkan terjadinya kesalahan pengambilan
keputusan oleh para decision maker. Contohnya adalah data penjualan tahunan perusahaan.
2. Ancaman Serangan Pasif Serangan pasif merupakan suatu ancaman yang dilakukan oleh pihak tidak berwenang melalui sistem pemantauan data dan pengumpulan informasi. Serangan pasif juga ditandai oleh tindakan pelanggaran kerahasiaan aturan tetapi tidak menghasilkan kerusakan data atau sistem (tidak menghapus atau memodifikasi data). Ancaman ini dapat berupa: a. Pencurian informasi yang tidak terotorisasi Ketika suatu basis data dan software tersedia secara bebas bagi masyarakat umum, hasilnya adalah kemungkinan hilangnya informasi atau uang. Sebagai contoh yaitu mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyelundupkan dana perusahaan.
b. Penggunaan yang tidak terotorisasi
Gambar 2.2 Skenario Pencurian Informasi Rahasia secara offline (Sumber: Simanjuntak, H., dan Sigoro, M., 2005)
Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak memiliki akses ke sumber daya perusahaan menjadi memiliki kemampuan tersebut. Contohnya adalah hacker yang dapat memasuki jaringan komputer
sebuah perusahaan, mendapatkan akses ke dalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi. c. Persoalan e-commerce Permasalahan yang terjadi pada aktivitas e-commerce adalah adanya pemalsuan kartu kredit. Dari hasil survei oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce dibandingkan dengan para pedagang yang bertemu langsung dengan pelanggan mereka (McLeod & Schell, 2011). Misalkan saja dengan hardware atau software dari “sniffer” dapat diperoleh password, account number, nomor kartu kredit, dan lainlain tanpa akses yang legal.
Security attack atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut pandang peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings (dalam Budi Rahardjo,2005) ada beberapa kemungkinan akibat dari serangan (attack): 1. Interuption
: Perangkat sistem menjadi rusak atau tidak tersedia.
2. Interception
: Pihak yang tidak berwenang berhasil mengakses aset atau
informasi. 3. Modification : Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah aset. 4. Fabrication
: Pihak yang tidak berwenang menyisipkan obyek palsu ke
dalam sistem.
d. Hackers dan Crakers Kata hackers dan crackers sudah terkenal sebagai akibat dari perkembangan teknologi komputer. Hacker pada dasarnya merupakan seorang programmer yang pandai dan senang mengutak-atik sesuatu yang perlu agar sistem yang bisa bertujuan untuk melindungi sistem komputer. Hacker dibagi dalam dua golongan yaitu: a. Golongan putih Hacker yang termasuk dalam golongan putih adalah mereka yang tidak memiliki niat jahat dan hanya beraktivitas untuk memuaskan rasa ingin tahu, kemampuan programming-nya. b. Golongan hitam
Golongan ini melakukan penyusupan paling tidak untuk mencuri sistem komputer, merusak sistem yang sedang berjalan. Hacker yang termasuk dalam golongan hitam ini biasa disebut dengan cracker. Orang-orang yang masuk dalam golongan ini tidak tanggung-tanggung mampu menembus pertahanan sistem komputer untuk merusak, mencari keuntungan pribadi dan merugikan pemilik sistem komputer. Ada beberapa macam teknik penyerangan yang digunakan untuk melakukan hacking antara lain : 1. Denial of Service (DoS) Serangan ini bertujuan untuk menggagalkan pelayanan sistem jaringan kepada penggunanya yang sah. 2. Back Door Serangan jenis ini bersumber dari suatu software yang baru terinstal dengan sengaja, dan jika orang tanpa sadar menginstal software tersebut maka mereka dengan mudah mengakses sistem jaringan orang lain. 3. Snifer Dasar teknik ini adalah membuat program agar dapat melacak paket data seseorang jika paket tersebut melintasi internet, sehingga program tersebut dapat menangkap password dan isinya. 4. Email trojan Teknik ini merupakan teknik serangan virus melalui attachment pada email, sehingga menjadi ditakuti oleh para pemakai PC. 5. dll.
2.3 Teknologi untuk Mengamankan Sistem Informasi Munculnya berbagai teknik-teknik serangan keamanan yang mengancam keamanan sistem informasi terutama dalam bertransaksi bisnis, membuat para ahli hacker golongan putih berpikir keras untuk melindungi sistem komputernya. Ada dua cara dan teknologi yang sudah berkembang untuk memproteksi sistem dan data, yaitu: 1. Steganografi Pengamanan dengan menggunakan steganografi merupakan sistem pengamanan yang dibuat seolah-olah pesan rahasia tidak ada atau tidak tampak, padahal ada pesan di dalamnya. Hanya kadangkala pengguna tidak menyadarinya. Beberapa aplikasi steganografi adalah:
a. Pada dunia digital, muncul dalam bentuk digital watermark, yaitu tanda digital yang disisipkan dalam gambar (digital image), seperti hak cipta (copyright) dimana gambar disisipkan dengan menggunakan bit-bit dari pixel yang membentuk gambar tersebut. b. Aplikasi digital audio untuk melindungi lagu dari pembajakan. Contoh: dengan menyisipkan informasi sudah berapa kali lagu didengarkan. 2. Kriptografi Kriptografi merupakan penggalan dari dua kata yaitu “crypto” yang berarti secret (rahasia), dan “graphy” yang berarti writing (tulisan), sehingga dapat dikatakan bahwa kriptografi adalah ilmu dan seni untuk menjaga kerahasiaan pesan agar aman. Pengamanan dengan kriptografi dibagi dalam dua cara yaitu: a. Transposisi Transposisi merupakan suatu cara yang mengubah-ubah posisi hurufnya. b. Substitusi Cara ini dilakukan dengan mengganti-ganti huruf atau simbolnya.
Proses agar pesan dalam aman dan rahasia dinamakan enkripsi, yang dilakukan dengan mengamankan pesan (plaintext) menjadi pesan tersembunyi (ciphertext). Sebaliknya, proses mengubah ciphertext menjadi plaintext dinamakan dekripsi. Dalam proses enkripsi data disandikan dengan menggunakan sebuah kunci (key). Ada dua kasus kunci dalam enkripsi: a. Kasus private key Kasus ini dilakukan jika kunci untuk membuka data (dekripsi) sama dengan kunci untuk mengenkripsi. b. Kasus public key Kasus ini dilakukan jika kunci untuk membuka data (dekripsi) tidak sama dengan kunci untuk mengenkripsi.
Pada kriptografi ada dua tipe algoritma yang digunakan agar keamanan data dan sistem terjaga, yaitu : a. Algoritma simetri (private key) Algoritma ini berfungsi untuk mengamankan yaitu menjamin keamanan dari pesan karena memiliki private key. b. Algoritma asimetri (public/private key)
Algoritma ini berfungsi unuk autentifikasi yang memiliki dua buah kunci yaitu public key dan private key. Algoritma yang sering dipakai pada transaksi e-banking adalah RSA (panjang kunci mencapai 1024 bit) . Berikut aplikasi jenis autenfikasi dari sistem pengamanan kritografi: a. Short-time password
Gambar 2.3 Short Time Password
Short time password merupakan salah satu cara yang dapat digunakan untuk mengatasi masalah pencurian informasi secara offline. Autentifikasksi short time password menggunakan kriptograpfi simetri yang dikombinasikan dengan modul security berupa hardware (smart card) dan smart card reader offline (stand alone). Pada dasarnya cara ini menggunakan sebuah smart card yang dipersonalisasi dengan key kriptografi simetri secara random (3DES/AES) yang diproteksi dengan menggunakan pin yang digunakan untuk menyimpan atau menghasilkan password yang digunakan untuk melakukan transaksi. Skenario proses autentifikasi dengan menggunakan short time password adalah sebagai berikut:
1. User/nasabah berkomunikasi dengan server bank dengan menggunakan jalur
SSL/TSL sehingga dapat menjamin bahwa dia berkomunikasi dengan bank yang sah. 2. User memasukkan informasi berupa identitas (login id) 3. Pihak bank memberikan n-digit rahasia dan meminta n-digit rahasia dari user. 4. User membuka smart card dan memasukkan n-digit rahasia yang diterima dari bank. 5. Smart
card melakukan kalkulasi dengan mengenkripsi n-digit dari bank,
menambahkan symetric key dan meng-encode hasilnya ke dalam bentuk string yang mudah untuk dibaca. 6. User memasukkan hasil kalkulasi ke form login untuk memulai transaksi.
b. Public key infrastructure
Gambar 2.4 Public Key Infrastructure
Public Key Infrastructure merupakan suatu cara yang dilakukan untuk menangani serangan komunikasi online yang melindungi kunci privat yang dimiliki oleh user. Awalnya user memiliki sepasang kunci privat dan publik yang saling bersesuaian. Jika kunci tersebut disimpan di dalam komputer user, maka akan terancam akan pencurian informasi user dengan menggunakan trojan atau virus. Dalam rangka mengatasi hal ini maka dibuatlah kunci rahasia user yang disimpan dalam sebuah media seperti smart card atau javaCard sehingga dengan cara ini pencurian terhadap kunci privat akan sulit bahkan tidak
bisa dilakukan karena selain medianya adalah smart-card yang sulit untuk diakses, media tersebut juga diproteksi dengan menggunakan PIN tertentu. c. Kartu kredit “sekali pakai” Cara ini dilakukan saat pemegang kartu ingin membeli sesuatu secara online. User akan memperoleh angka acak dari situs web perusahaan kartu kredit tersebut. Angka yang diberikan bukan nomor kartu kredit yang diberikan kepada pedagang e-commerce, dan setelah itu user akan memberikan laporan ke perusahaan kartu kredit tersebut untuk pembayaran. Contohnya Desktop Virtual Credit dari Discover, Virtual Account Numbers dari Citibank, MBNA dengan program ShopSafe-nya dan American Express yang menjadi pelopor dari kartu sekali pakai ini.
2.4 Aktivitas Pengamanan Teknologi untuk Mengamankan Sistem Informasi Pada umumnya pengamanan dibagi dalam dua kategori yaitu pencegahan (preventif) dan perbaikan (recovery). Preventif dilakukan agar sistem informasi tidak memiliki celah keamanan sedangkan perbaikan dilakukan bila celah keamanan sudah dieksploitasi. Selain penggunaan teknologi pengamanan sistem informasi perlu juga dilakukan aktivitas penunjang lagi sehingga kemananan sistem informasi bertransaksi lebih terjamin. Aktivitas-aktivitas yang dilakukan adalah: 1. Mengatur akses dengan menggunakan user id, password, shadow password 2. Memasang proteksi seperti firewall (memfilter informasi tertentu), telnet (sistem dibatasi dengan IP tertentu). 3. Pemantau serangan (auto bouse, snort, courney, dan portsentry). 4. Pemantauan integritas sistem (bertujuan untuk memantau berkas asli yang bersifat rahasia) 5. Audit (mengamati log berkas data) 6. Back-up secara rutin (menghindari hilangnya data-data penting dan rahasia) 7. Penggunaan enkripsi (baik online maun offline).
Munculnya teknologi-teknologi pengamanan sistem informasi terutama dalam transaksi bisnis dan dukungan aktivitas-aktivitas lain (konsistensi dan komitmen organisasi) diharapkan akan meningkatkan sistem keamanan bertransaksi sehingga tidak ada pihakpihak berwenang yang dirugikan.
DAFTAR PUSTAKA
Garbin,P., 2004, Passive Attacks Against Computer Networks [diakses pada : 09 Desember 2009) URL : http://patrickgarbin.com/GradPaper.pdf McLeod, Jr., Raymond dan Schell, George P., 2011, Management Information System, 10th Edition, Salemba Empat, Jakarta Rahardjo Budi., 2005, Keamanan Sistem Informansi Berbasis Internet, PT Insan Indonesia, Bandung Simanjuntak, H. dan Sigoro, M., 2005, Penerapan Kriptografi dalam Pengamanan Transaksi Internet
Banking
[diakses
pada:
09
Desember
2011]
URL:
http://www.google.co.id/url?sa=t&rct=j&q=penerapan%20kriptografi%20dalam%20p engamanan%20transaksi%20internet%20banking&source=web&cd=1&sqi=2&ved=0 CCcQFjAA&url=http%3A%2F%2Fwww.informatika.org%2F~rinaldi%2FKriptograf i%2F2005-2006%2FMakalah%2FMakalah200522.pdf&ei=DELiTqjCGIenrAeFif3YAQ&usg=AFQjCNHiiDCdrsvh2eKraofSXPdMD6JNA&sig2=-F_ByouY56EPH_IFVqlQpw&cad=rja
