1 Menganalisis SPAM dengan Why-Because-Analysis Avinanta Tarigan Agustus 2004 Ringkasan sampah (SPAM) merupakan masalah hampir semua pengguna Interne...
Menganalisis SPAM dengan Why-Because-Analysis Avinanta Tarigan∗ Agustus 2004
Ringkasan Email sampah (SPAM) merupakan masalah hampir semua pengguna Internet dan berbagai upaya penanggulangan telah dilakukan. Tanpa mengetahui faktor-faktor penyebab terjadinya SPAM, maka permasalahan ini tetap akan berlanjut. Tulisan ini mengetengahkan analisis terhadap SPAM dengan Why-Because-Analysis, untuk mencari kesalahan dalam sistem serta faktor-faktor signifikan lainnya yang menyebabkan Spam. Analisis ontologi atas arsitektur sistem e-mail menjabarkan bagianbagian sistem serta keterhubungan diantaranya sehingga kelemahan sistem dapat diketahui. Kemudian semua faktor yang signifikan dihubungkan satu dengan lainnya dengan relasi kausalitas dan dibuktikan dengan logika formal kausalitas “counter factuals”. Hasil analisis menunjukkan bahwa bukan hanya faktor teknis seperti arsitektur sistem e-mail dan proses autentikasi yang menjadi faktor berarti dalam SPAM, tetapi juga faktor lainnya seperti kurang menyeluruhnya penerapan kebijakan keamanan (security policy), dan faktor ekonomi seperti biaya pengiriman e-mail yang rendah. Tulisan ini juga memuat beberapa saran untuk perbaikan sistem Internet mail dan implementasinya di waktu yang akan datang.
Kata Kunci : spam, Internet mail, smtp, why-because-analysis, disain, kesalahan, keamanan
1
Pendahuluan
SPAM (unsolicited “junk” e-mail ) atau email sampah, merupakan problem yang mengganggu pengguna aplikasi Internet mail. Email yang berisi propaganda seringkali membuat pengguna Internet email merasa dirugikan, karena banyak waktu dan sumber daya yang dikerahkan untuk memilah Spam dan menanggulangi kejadian ini. Produk-produk seperti Spam Filter, blacklist provider, dan aplikasi email khusus yang dapat mendeteksi kehadiran Spam telah banyak diimplementasikan. Tetapi permasalaan Spam tetap belum secara tuntas dihilangkan. Untuk itu perlu dilakukan kajian yang lebih mendalam tentang Spam untuk memperoleh faktor-faktor yang cukup signifikan sebagai penyebab Spam. ∗ Staff
pengajar tetap Universitas Gunadarma yang sedang melanjutkan studi di Networks and distributed Systems working group, Universitas Bielefeld. Dapat dihubungi di : [email protected] atau [email protected]
1
Tulisan ini mengetengahkan analisis Spam dengan metoda Why-BecauseAnalysis , sebuah metoda yang telah digunakan untuk menganalisis kesalahan dalam suatu sistem yang terbuka, secara rinci dan tajam. Tujuan penelitian ini adalah untuk menemukan faktor-faktor penyebab Spam dan memberikan usulan-usulan penanggulangan Spam. Sebelum melangkah lebih lanjut, perlu diketahui apakah Spam itu Berikut ini definisi dari Spam menurut [5]: 1. Isi atau konten dari email tidak relevan dengan minat penerima, dan 2. penerima tidak dapat menolak datangnya e-mail yang tidak diminta tersebut dengan cara-cara lazim, dan 3. dari sisi penerima, pengiriman dan penerimaan pesan tersebut memberikan keuntungan bagi pengirimnya Dari definisi tersebut di atas dapat ditarik kesimpulan bahwa determinasi Spam ada pada level individual. Tidak semua mail yang berisi propaganda dapat dikategorikan sebagai Spam. Jika isi mail tersebut relevan dengan minat penerima email, maka email tersebut bukan Spam bagi pengguna email tersebut. Hal ini yang menyebabkan usaha untuk mengirimkan Spam terus dilancarkan, karena penerima yang tepat akan benar-benar membalas atau berminat terhadap isi yang ditawarkan [5]. Tulisan ini dimulai dengan pengenalan WBA, dilanjutkan dengan analisis ontologi sistem Internet mail untuk membelah sistem secara rinci dan menemukan kelemahan sistem dalam menanggulangi Spam. Kemudian hasil analisis WBA dalam bentuk WB-Graph diketengahkan dan hasilnya digunakan untuk merangkai usul dan saran dalam rancangan dan implementasi sistem Internet mail di masa yang akan datang.
2 2.1
Why Because Analysis Konsep Dasar
Manusia membuat sebuah sistem (artifactual systems) beradasarkan prinsip dan hubungan kausal. Setiap bagian dirancang agar mempunyai pengaruh tertentu terhadap bagian yang lain sehingga sistem tersebut dapat bekerja untuk mencapai tujuannya. Batas (boundary) dari sistem juga ditentukan oleh relasi kausal [11]. Oleh sebab itu, kesalahan dalam sistem dapat dijelaskan dengan menggunakan prinsip kausal. Why-Because-Analysis (WBA) menggunakan prinsip tersebut untuk menganalisis kesalahan (failure) yang mengakibatkan kegagalan sistem kompleks, terbuka (open), dan heterogen [12]. Untuk menemukan kesalahan sebuah sistem dan mencari faktor yang signifikan penyebabnya, perlu diketahui secara pasti bagian-bagian, struktur, dan relasi-relasi dalam sistem tersebut serta pengaruh lingkungannya. Oleh karena itu analisis ontologi adalah langkah awal yang penting dalam proses analisis. Dalam WBA, sistem dipandang sebagai “world of objects”, yaitu sebuah sistem mengandung obyek-obyek yang bekerja (engage) dengan perilaku (behaviour ) masing-masing dan berinteraksi satu sama lain. Di luar sistem terdapat obyek lain yang dapat mempengaruhi sistem (environment) dan yang tidak mempengarui sistem (world ) [4]. Pendefinisian relasi kausalitas dalam sistem yang
dibuat manusia pada dasarnya adalah mendefinisikan fungsi dari setiap bagian dan pengaruhnya terhadap bagian yang lain. Dalam WBA, Eksplanatory Logic (EL) digunakan untuk memformulasikan penjelasan suatu kejadian. Fakta-fakta kejadian dikumpulkan dan dibentuklah rantai fakta yang berisi event (kejadian) dan state (keadaan) sistem. Dalam penyusunan rantai fakta-fakta tersebut, urutan waktu (temporal order ) merupakan hal yang sangat penting, karena kausalitas mempunyai konsistensi dengan urutan waktu: A A
⇒ ∗ ,→
B B
(1)
Jika A kausalitas dari B, maka A terjadi sebelum B terjadi. Kemudian masing-masing event dan state tersebut diuji apakah benar adalah faktor kausal event atau state yang disebabkannya. Relasi kausal dalam WBA didasarkan pada formal semantik kausalitas oleh David Lewis [6, 7]. Lewis mendefinisikan faktor kausal sebagai counterfactuals: A ¬A A
2→ 2→ ⇒
B ¬B B
(2)
A faktor kausal dari B, jika dan hanya jika : A terjadi maka B terjadi DAN jika A tidak terjadi maka B tidak terjadi. Semantik dari 2→ adalah semantik possible-worlds, sehingga A merupakan possible-worlds dari B. Possible-worlds memungkinkan pengembangan kemungkinan-kemungkinan dan alternatif-alternatif yang menyebabkan suatu situasi. Hal ini mempermudah analis untuk mengembangkan faktor-faktor penyebab dalam menganalisis atau memprediksi suatu kejadian. Tentu saja untuk memastikan kejadian yang sebenarnya, faktor-faktor kausal yang dikembangkan tidak terlalu jauh dari kenyataannya (nearest-possible-worlds) dan memenuhi prinsip counterfactuals. Relasi ⇒ ∗ “kausalitas” merupakan klosur transitif dari relasi ⇒ “faktor kausal dari”. Dalam [4] dibuktikan bahwa relasi dari kausalitas bersifat transitif: A B A
⇒ ∗ ⇒ ∗ ⇒ ∗
B C C
(3)
Jika A kausalitas dari B dan B kausalitas dari C, maka A juga kausalitas dari C. Informasi lengkap WBA dapat diperoleh dari homepage WBA [8].
2.2
Causal Analysis (CSA)
Jika WBA digunakan untuk menganalisis suatu kejadian yang sudah terjadi akibat kegagalan sistem, maka CSA (Causal Analysis) digunakan untuk menganalisis keselamatan (safety) atau keamanan (security) pada proses perancangan sistem. WBA merupakan bagian dari kerangka-kerja CSA, dimana CSA merupakan a priori dan WBA posteriori.
Analisis CSA memerlukan keahlian analis untuk dapat menjabarkan secara mendetail semua komponen dalam sistem, fungsi, dan pengaruhnya satu sama lain (analisis ontologi), dan mendefinisikan penalaran atas keselamatan atau keamanan sistem tersebut. Mengetahui semuanya, merupakan kunci dalam CSA.
2.3
Penerapan Why-Because-Analysis
WBA telah banyak diaplikasikan untuk menganalisis kegagalan sistem kompleks pada sistem transportasi baik transportasi luar angkasa (aerospace), udara (avionics), darat (railway), dan laut. Diantaranya : kecelakaan PX-31 dan Boeing A320 di Warsawa, kecelakaan American Airlines Flight 965 Boing 757 di Cali, kecelakaan kereta api di Ladbroke Grove, dan kecelakaan roket Ariane-5 pada tanggal 4 Juni 1996. Hasil analisis ini telah dibuat dalam bentuk paper, WB-Graph, dan laporan penelitian yang tersedia di [8]. Selain itu, WBA juga dikembangkan untuk menganalisis pelanggaran keamanan (security violation) sistem komputer. Diantaranya adalah analisis bufferoverflow dan analisis kejadian mistypo yang menimpa nasabah sebuah internet banking di Indonesia. Dalam [1], dijelaskan bahwa WBA mempunyai beberapa keunggulan dibandingkan metode analisis keamanan lainnya seperti Fault-Tree dan Attack-Tree[10].
2.4
Konsep dasar WBA dalam menganalisis keamanan sistem
Dalam keamanan komputer (computer security) dikenal istilah vulnerability (kelemahan) dan attack (penyerangan). Sebagian besar kejadian pelanggaran keamanan disebabkan oleh kesalahan dalam disain, implementasi, dan pengoperasian suatu sistem. Kesalahan ini menyebabkan kelemahan dalam sistem yang dimanfaatkan oleh seseorang yang disebut sebagai penyerang (attacker ) untuk melakukan suatu aksi yang berakibat suatu keadaan dimana bagian dari sistem dikuasai oleh penerang sehingga terjadi pelanggaran keamanan. Aksi serangan tersebut juga dikenal dengan istilah exploitation (exploitasi). Pada suatu sistem, sebuah state sistem V merupakan kelemahan dari sistem sehingga jika serangan A dilakukan, maka sistem akan mencapai state I dimana pelanggaran keamanan terjadi : V ∧ A ⇒ I
(4)
1 [I] Pencurian berhasil
1.1 [V] Penjaga tertidur
1.2 [A] Kunci dibuka dan masuk waktu penjaga tertidur
1.3 [V] Kunci pintu mudah dibuka
Gambar 1: Contoh Why-Because-Graph dalam kasus keamanan
Contoh WB-Graph untuk pelanggaran keamanan ini diketengahkan pada gambar 1. Setiap node adalah state atau event dalam sistem, sedangkan garis dan anak panah menunjukkan relasi kausalitas. Kunci pintu yang mudah dibuka (1.3) dan tertidurnya penjaga (1.1) adalah keadaan (state) yang dimanfaatkan pencuri untuk masuk ke dalam (event) dengan membuka kunci dan pada saat penjaga tidur lelap (1.2), dan berakibat pencurian berhasil dilakukan (1): (1.1) ∧ (1.2) ∧ (1.3) 2→ (1) Kunci pintu yang mudah dibuka adalah kelemahan sistem akibat dari kesalahan dalam disain mekanisme kunci, dan tertidurnya penjaga adalah kelemahan sistem akibat dari kesalahan operasional. Setiap faktor kausal (1.1) (1.2) dan (1.3) dapat diperiksa dengan counterfactuals : ¬(1.1) ∨ ¬(1.2) ∨ ¬(1.3) 2→ ¬(1) Sebagai contoh, jika pencuri berhasil membuka pintu tetapi penjaga dalam keadaan bangun, maka pencurian kemungkinan besar gagal. Atau, apabila penjaga tidur lelap tetapi kunci sangat sulit untuk dibuka, maka pencurian pun tidak mungkin dapat dilakukan. Atau sebaliknya, apabila penjaga tertidur lelap dan kunci mudah untuk dibuka, tetapi tidak ada pencuri yang melakukan pencurian, maka kejadian tersebut juga tidak terjadi. Sehingga : (1.1) ∧ (1.2) ∧ (1.3) ⇒ (1) Tidak semua kejadian pelanggaran keamanan sistem disebabkan oleh fenomena vulnerability-attack [1]. Analisis terhadap beberapa kejadian pelanggaran keamanan menunjukkan bahwa tidak ada penyerangan dalam sistem, tetapi pengguna (user) mempunyai persepsi lain terhadap suatu kejadian (incident). Akibatnya kejadian tersebut dianggap sebagai suatu pelanggaran keamanan dalam sistem, yang tentu saja merugikan pemilik sistem karena reputasi terhadap sistem tersebut menjadi menurun.
3
Arsitektur Internet mail
Bagian ini memaparkan arsitektur sistem Internet mail (email) dan analisis ontologinya. Tujuan analisis ontologi adalah untuk mengetahui Internet mail secara konseptual, menspesifikasikan bagian-bagiannya, fungsi-fungsi bagian tersebut, dan pengaruh bagian satu dengan bagian lainnya. Analisis diharapkan dapat menggali kekurangan sistem Internet mail dalam konteks keamanan komputer terutama kelemahannya dalam menghadapi serangan Spam. Oleh karena itu diperlukan pengetahuan persyaratan keamanan sebuah sistem email, serta fungsi-fungsi apa saja yang harus dipenuhi untuk mencapai suatu tingkat keamanan sistem yang memadai.
3.1
Sekilas arsitektur Internet Mail
Gambar 2 mengetengahkan arsitektur Internet mail. Pengirim mengirimkan pesan melalui satu atau lebih server relai (relay server ) dengan menggunakan protokol SMTP (Simple Mail Transfer Protocol ). Protokol ini juga digunakan server relai untuk mengirimkan email ke server relai selanjutnya. Setiap mail server
mempunyai MSA (Mail Service Agent) yang menerima memberikan pelayanan pengiriman email dari luar. MSA kemudian mengirimkan mail yang diterima ke MQ (Mail Queue). Dalam pengiriman email, sistem membutuhkan informasi email routing dari DNS (Domain Name Server ) atau LDAP (Lightweight Directory Access Protocol ). Berdasarkan informasi ini sistem memutuskan apakah mail yang diterima oleh MSA akan dimasukkan ke dalam kotak surat penerima (MB - mailbox ) melalui MDA (Mail Delivery Agent), atau dikirimkan kembali melalui server relai berikutnya. Bagian yang bekerja untuk mengirimkan email kembali ke server berikutnya disebut sebagai MTA (Mail Transfer Agent). Dalam melakukan relai, setiap mail server menambahkan informasi pada header email, sebagai berikut: • alamat IP dan nama host asal email • waktu penerimaan • nama dan alamat IP penerima Informasi si atas disebut sebagai jejak email (email trace) yang diletakkan pada header email (amplop email). Jika sistem mengenali email yang datang sampai email yang ditujukan untuk pengguna yang terdaftar pada sistem (tujuan akhir), maka sistem akan meletakkan email tersebut ke dalam mailbox masing-masing pengguna. Pengguna membaca mail yang ada di dalam mailbox dengan menggunakan mail client yang biasanya berupa aplikasi mail pada sisi pengguna. Mail client berbicara dengan bagian mail server yang disebut MRA (Mail Retrieval Agent) dengan protokol POP3 atau IMAP.
DNS
R1
R2
Rn
MQ
MQ
MQ
MSA
MTA
MSA
MTA
MSA
Md
MTA
MDA
MB
MSA
MRA POP3/IMAP
SMTP SMTP
SMTP
SMTP Penerima
Pengirim
Gambar 2: Arsitektur E-mail
3.2
Analisis keamanan Internet mail
Obyek Berikut ini pemaparan singkat obyek-obyek apa saja yang terdapat dalam sistem Internet mail :
Pengirim (P ) mengirimkan email yang merupakan komposisi dari header (H ) dan pesan (M ) dan ditujukan untuk penerima (E ) email. Pada keadaan normal, aplikasi email pengirim menghubungi relai server (R) dengan menggunakan protocol SMTP. Server relay bertugas mengirimkan email tersebut ke server tujuan secara langsung ataupun melalui relai server yang lain. Dalam pengiriman ke tujuan, relai server ataupun aplikasi email akan bertindak sebagai mail client (C ). Dengan menggunakan nama domain email penerima, mail client meminta server DNS (D) untuk memberikan informasi server berikutnya berdasarkan MX record. Dalam pengiriman, setiap server akan menambahkan beberapa informasi jejak email (T ) pada header. Predikat Berdasarkan keterangan di atas maka fungsi-fungsi setiap obyek dan keterhubungannya dispesifikasikan sebagai berikut: • Pengiriman mail : Send (P , E , H , M , R), sedangkan R adalah hasil dari fungsi LookupMX (D, E ) • Fungi penerimaan mail Receive(P , E , H , M , C )
oleh
server
R
dari
mail
client
C
:
0
• Proses relai pada server Rn adalah Relay(P , E , H , M , C , Rn+1 ) yang merupakan komposisi fungsi dari penerimaan mail dari client atau relai server sebelumnya: Receive(P , E , H , M , Rn−1 ), penambahan jejak email 0 pada header: H = H ∪Tn , dan pengiriman kembali mail ke server berikut0 nya: Send (P , E , H , M , Rn+1 ), sedangkan informasi server berikutnya diperoleh dari: Rn+1 = LookupMX (D, E ) • Apabila email S melewati telah n server, maka jejak email dalam header n adalah : H = i=1 Ti , dimana T1 adalah mail client pengirim mail dan Tn adalah server tujuan akhir. Kelemahan sistem Internet mail Berdasarkan analisis ontologi di atas dan dibandingkan dengan persyaratan keamanan sebuah sistem mail, diperoleh beberapa fungsi keamanan yang belum tersedia dalam sistem Internet mail yang digunakan saat tulisan ini dibuat, sebagai berikut: 1. Tidak tersedianya fungsi autentikasi pada level network, dimana setiap obyek dapat mengenali dengan benar obyek lainnya dengan alamat IP. 2. Informasi akses kontrol baik pada level IP maupun aplikasi sebagai bagian dari kebijakan keamanan (security policy). 3. Tidak adanya autentikasi antara mail client dan server pada level aplikasi. Autentikasi yang diharapkan adalah dua arah: client mampu mengenali server dan sebaliknya server dapat mengenali client. 4. Proses autentikasi dan antara mail client atau server relai dengan server DNS dan kepercayaan (trust) atas MX record yang diperoleh dari server DNS, sehingga mail routing dapat dipertanggungjawabkan.
5. Verifikasi integritas dan originalitas pesan. Apakah email telah diubah selama perjalanan dan apakah benar pesan berasal dari obyek yang tercantum sebagai pengirim. 6. Verifikasi integritas dan originalitas setiap jejak mail yang dibuat oleh server relai. 7. Belum adanya informasi server relai mana sajakah yang dapat melakukan proses mail relaying untuk domain tertentu. Dengan melakukan analisis ontologi, kelemahan dan kelebihan sistem Internet mail dapat teridentifikasi secara rinci dan komprehensif. Hal ini sangat diperlukan dalam analisis baik dengan metoda WBA maupun CSA, karena tanpa pengetahuan yang mendetail dan tajam (rigorous), maka analisis tidak dapat dilakukan dengan benar dan tepat.
4
Analisis dengan WBA
Analisis ontologi berhasil mengidentifikasi beberapa kekurangan dalam rancangan dan implementasi yang merupakan kelemahan Internet mail untuk mencapai keamanan yang memadai. Kekurangan dan kelemahan tersebut adalah fakta yang digabungkan dengan fakta lainnya, baik dari beberapa penelitian tentang Spam maupun dari pengetahuan analis, sebagai kandidat faktor causal. Faktafakta tersebut diurutkan berdasarkan waktu terjadinya dan dihubungkan satu dengan lainnya dengan relasi kausalitas. Pengujian counterfactuals digunakan untuk memeriksa kesahihan penalaran kausalitas. Hasil analisis digambarkan dalam WB-Graph yang diketengahkan pada gambar 3. Hal yang menarik dalam analisis ini adalah ketidakmapanan akuntabilitas (accountability) sistem Internet mail (1.2.1.1.4.1) yang cukup signifikan sebagai faktor penyebab Spam. Hal ini menyebabkan kurang memadainya proses pemilahan (filtering) antara email biasa dengan spam, yang memanfaatkan alamat IP atau alamat email sebagai patokan. Kurang memadainya akuntabilitas juga menyebabkan kurang kuatnya bukti yang dapat digunakan oleh perangkat hukum untuk membuktikan kegiatan spammer dan membatasinya. Akuntabilitas merupakan hal yang penting dalam keamanan sistem. Dengan akuntabilitas yang baik, setiap perubahan dalam sistem, waktu, sebab, dan akibatnya, terekam secara rinci, dapat dipertanggungjawabkan, dan tidak dapat diingkari oleh pelaku. Sehingga hasilnya dapat digunakan untuk keperluan auditing dan dalam mekanisme keamanan sistem lainnya. Akuntabilitas harus memuat beberapa hal seperti: kondisi awal (pre-condition), aktor yang melakukan, aksi, transisi dan perubahan, waktu pencatatan, dan kondisi akhir (post-condition). Beberapa syarat akuntabilitas adalah: autentikasi yang memadai untuk mengidentifikasi aktor, adanya audit-trail, integritas dari audit-trail itu sendiri, dan keadaan yang tidak dapat diingkari (non-repudation). Mekanisme akuntabilitas pada setiap sistem harus dirancang dengan benar, diimplementasikan secara menyeluruh, dan selalu terjaga integritasnya. Sehingga tidak ada contoh (counter-examples) yang dapat menggagalkan penalaran hasil dari proses akuntabilitas.
Kurang memadainya akuntabilitas dalam sistem email disebabkan tiga faktor, yaitu kurang memadainya akuntabilitas pada lapisan network (1.2.1.1.4.1.1), kurang memadainya akuntabilitas alamat email (1.2.1.1.4.1.2), dan kurang memadainya jejak (trace) email dalam sebagai bagian penting dari proses akuntabilitas (1.2.1.1.4.1.3). Dengan pengujian countefactuals dapat dijelaskan bahwa: akuntabilitas dapat dicapai dengan baik apabila ketiga faktor tersebut dapat diatasi secara menyeluruh tanpa kecuali. Pada awalnya TCP/IP dilahirkan sebagai hasil riset packet switching network yang dilakukan oleh DARPA dan pada akhirnya dimanfaatkan sebagai media komunikasi antara peneliti pada universitas-universitas di USA. Pemanfaatannya pada publik yang akhirnya membawa Internet berkembang sampai saat ini. TCP/IP tidak didisain untuk mendukung aplikasi yang mengharuskan adanya infrastruktur keamanan sistem yang memadai (1.2.1.1.4.1.1.1.1), sehingga mekanisme autentikasi pada lapisan network kurang diperhatikan dalam perancangan TCP/IP (1.2.1.1.4.1.1.1). Kelemahan ini dimanfaatkan oleh Spammer untuk mengirimkan email dengan menggunakan alamat IP palsu (IP Spoofing - 1.2.1.1.4.1.1.2). Oleh karena itu alamat IP yang tetera dalam email atau pemeriksaan paket IP dalam proses pengiriman-penerimaan email, tidak dapat dijadikan sumber yang cukup dalam proses akuntabilitas (1.2.1.1.4.1.1). Hal ini juga berdampak bahwa alamat IP kurang kuat untuk dijadikan alat bukti, karena siapa saja dapat mengirimkan email dengan alamat IP milik orang lain. Dalam analisis ontologi sebelumnya, diketahui bahwa rancangan sistem email yang digunakan saat ini belum memperhatikan fungsi-fungsi keamanan seperti autentikasi pengirim, autentikasi relai, dan integritas data (1.2.1.1.4.1.1.2). Spammer memanfaatkan kelemahan ini untuk mengirimkan email dengan alamat email palsu (pseudonym) (1.2.1.1.4.1.2.1). Tentu saja alamat email pengirim (From:) baik dalam proses berjalanannya protokol SMTP maupun yang tercantum dalam header email tidak dapat digunakan sebagai sumber yang cukup dalam akuntabilitas (1.2.1.1.4.1.2). Autentikasi pada lapisan aplikasi (application layer ) yang saat ini dikembangkan (SMTP/TLS - Simple Mail Transfer Protocol / Transport Layer Security) adalah fungsi tambahan dalam SMTP. Selain itu tengah dikembangkan bakuan S/MIME (Secure-MIME) untuk memelihara integritas dan membuktikan kesahihan identifikasi pengirim, dengan memanfaatkan penyandian (cryptography), fungsi hash, dan tanda tangan digital (digital-signature). Sayangnya kedua mekanisme tersebut dan tidak diimplementasikan secara menyeluruh diseluruh Internet (1.2.1.1.4.1.1.2.1) meskipun keduanya sudah cukup matang dalam penelitian dan implementasinya. Hal ini disebabkan karena perkembangan Internet yang sudah terlalu besar dan kompleks (1.2.1.1.4.1.2.2.1.1). Pembaharuan memerlukan kesediaan seluruh pengguna Internet, penyedia layanan, dan vendor untuk memikul bersama tugas tersebut. Selain masalah autentikasi dan identifikasi, kelemahan desain sistem email juga disebabkan oleh lemahnya integritas dan faktor non-repudiation pada jejak pengiriman email (trace) (1.2.1.1.4.1.3.3). Selain itu informasi dari DNS kurang memadai sebagai sumber pelacakan dalam proses akuntabilitas (1.2.1.1.4.1.3.1). Hal ini disebabkan oleh dua faktor; pertama DNS hanya menyediakan data MX (mail-exchanger), yaitu server yang bertanggungjawab sebagai penerima mail dari sebuah domain, sedangkan data server yang berhak melakukan relai (relayserver) tidak ada dalam data DNS, sehingga proses verifikasi relai server tidak dapat dilakukan (1.2.1.1.4.1.3..1.1); kedua, dalam proses DNS lookup, tidak ada
mekanisme autentikasi dan kepercayaan (trust) dari sistem DNS itu sendiri, sehingga data yang diperoleh dari hasil DNS lookup tidak dapat diverifikasi kebenarannya (1.2.1.1.4.1.3.1.2). Ketidakmampuan sistem untuk memverifikasi integritas jejak pada header dan tidak adanya informasi relai server yang berhak merelai email dari domain tertentu merupakan kelemahan sistem yang dimanfaatkan oleh pengirim Spam dengan menggunakan open-relay server, yaitu server mail yang tidak terkonfigurasi dengan benar sehingga dapat melakukan open relaying. Hal ini juga bisa dilakukan dengan menggunakan local smtp yaitu pengiriman email tidak melalui server perantara, seperti yang digunakan oleh virus untuk menyebarkan diri lewat email (1.2.1.1.4.1.3.2). Ketiga faktor ini menyebabkan pemanfaatan jejak email kurang memadai dan tidak dapat dipertanggungjawabkan dalam proses akuntabilitas (1.2.1.1.4.1.3). Kurang memadainya akuntabilitas dalam sistem email menyebabkan kurangnya alat bukti yang bisa digunakan oleh perangkat hukum untuk membuktikan dan membatasi kegiatan pengirim Spam (1.2.1.1.4). Akibatnya pengirim Spam bebas mengirimkan email berisi propaganda ke semua orang dengan berbagai cara (1.2.1.1). Selain itu, beberapa faktor lain jugam menjadi penyebab kemudahan, kebebasan, dan kontinuitas pengiriman Spam. Faktor kedua adalah biaya pengiriman email yang cukup murah (1.2.1.1.2) yang disebabkan oleh push-model dalam sistem email (1.2.1.1.2.1). Sebagian besar biaya pada pengiriman email dibebankan pada penerima email bukan pada pengirimnya. Komponen biaya ini termasuk diantaranya mailbox dan traffik masuk (incoming traffic). Apabila saja biaya pengiriman email cukup mahal, misalnya dengan menggunakan pull-model seperti pada [2], maka pengirim spam juga akan membatasi diri dalam kegiatannya. Faktor ketiga adalah Spam seringkali tepat pada sasarannya [5], sehingga pengirim spam termotivasi untuk mengirimkannya lagi (1.2.1.1.3). Faktor lainnya adalah intensi untuk melakukan propaganda (1.2.1.1.1) yang jelas dimiliki oleh pengirim spam. Dalam sistem email, pengiriman email dilayani oleh Mail Service Agent (MSA) yang merupakan perisai pertama sistem pencegahan spam. Pada tahap ini MSA dapat memeriksa alamat IP, alamat email, maupun jejak email yang diterimanya, dan dibandingkan dengan blacklist atau whitelist yang berisikan data Spam berdasarkan alamat IP pengirim dan alamat email pengirim. Telah disinggung sebelumnya bahwa determinasi antara email dan spam yang menggunakan alamat IP, alamat email, dan jejak email tidak dapat dilakukan dengan baik (1.2.1.2) akibat tidak memadainya akuntabilitas (1.2.1.1.4.1). Hal ini menyebabkan email yang berpotensi menjadi spam diterima oleh MSA (mail accepted ) (1.2.1) karena pengirim spam mengelabuinya dengan tindakan-tindakan (1.2.1.1.4.1.1.2 - 1.2.1.1.4.1.2.1 - 1.2.1.1.4.1.3.1.2 ) Dalam sistem email modern, setelah email diterima oleh MSA maka email tersebut diambil-alih oleh Mail Delivery Agent (MDA) untuk diperiksa isinya dan ditempatkan pada mailbox. Pemeriksaan ini (content inspection/filtering) mempunyai tujuan yang berbeda-beda, misalnya mendeterminasi email berisi pornografi untuk melindungi anak-anak dibawah umur, penggunaan email resmi perusahaan untuk kegiatan pribadi, dan tentu saja spam dan virus. Pendeteksi email berisi spam saat ini dilakukan dengan menggunakan metoda bayesian (statistik) dari keseringan (frekwensi) kemunculan kata-kata tertentu pada email berisi spam dan header email yang disimpulkan sebagai karakteristik spam. Metoda di atas membutuhkan proses belajar dan pembaharuan tabel bayesian,
yang cukup memakan waktu (1.2.2.2), karena determinasi spam berdasarkan isi sangat bergantung pada interest penerima. Dengan kata lain tidak semua mail berisi propaganda adalah spam untuk penerima tertentu, sehingga penerapan filter kurang dapat diimplementasikan secara system-wide, apalagi jika profil pengguna sistem berbeda-beda. Kelemahan ini disiasati oleh pengirim spam dengan menggunakan karakter-karakter tertentu dan konten yang dinamik (1.2.2.1), sehingga filter kurang mampu mengenali Spam (1.2.2). Hal ini menyebabkan email kandidat spam yang berisi propaganda diterima oleh MDA (1.2) dan ditempatkan pada mailbox penerima. Pada saat penerima membaca email tersebut dan isinya tidak relevan dengan interest penerima, maka email tersebut dikategorikan sebagai Spam (1) dan berdampak dengan kerugian penerima.
5
Usulan perbaikan
Dari hasil analisis, terdapat beberapa jenis faktor penyebab Spam: faktor teknis seperti kesalahan dalam desain dan implementasi sistem Internet mail, faktor hukum dan sosial, serta faktor ekonomi (ongkos pengiriman email yang cukup murah dibandingan penerimaannya). Selain itu terdapat value-influence factors yaitu faktor yang jika dikurangi dapat memperbaiki keadaan, dan discrete factors, yaitu faktor-faktor yang jika dihilangkan dapat mencegah secara total kejadian Spam. Berdasarkan hasil analisis, berikut ini adalah beberapa usulan untuk menanggulangi masalah Spam : 1. Mendesain ulang sistem Internet mail dan memfokuskannya pada akuntabilitas 2. Meninjau ulang desain sistem mail yang membebankan ongkos pada pengirim 3. Menggalakkan usaha untuk membatasi kegiatan pengiriman Spam, baik sebagai fungsi sosial maupun hukum, yang dibantu dengan perbaikan akuntabilitas pada sistem Internet mail. 4. Mengembangkan metoda content-filtering yang mampu mendeteksi isi email yang tidak relevan dengan profil penggunanya Mendesain ulang sistem Internet mail dan mengimplementasikannya secara benar tidak secara total dapat menghilangkan Spam, karena faktor manusia juga banyak berperan. Akan tetapi kekuatan hukum ataupun sosial dapat lebih ditingkatkan dengan memperbaiki akuntabilitas sistem. Beradasarkan analisis ontologi dan WBA, maka berikut ini adalah usulan perbaikan sistem Internet mail dalam rangka meningkatkan akuntabilitas sistem. Usulan perbaikan akuntabilitas sistem Internet mail. Obyek yang belum diikutsertakan dalam sistem Internet mail adalah kebijakan keamanan obyek A terhadap obyek B : (Pab ) dan fungsi keamanan yang belum ada dalam rancangan sistem Internet mail adalah sebagai berikut:
• Client C melakukan koneksi ke server S : Connect(C , S ) kemudian server meminta client untuk melakukan autentikasi terlebih dahulu untuk membuktikan alamat IP dan identitas client: Auth(C , S , Am). Am adalah metoda autentikasi yang disetujui antara server dan client. • Setelah autentikasi dilakukan, maka server memeriksa apakah permintaan client dapat diteruskan berdasarkan aturan/kebijakan keamanan server terhadap client (access control ): Acontrol (S , C , Psc ). Sehingga penerimaan client karena memenuhi persyaratan adalah: Accept(C , S ) dimana Connect(C , S ) ∧Auth(C , S , Am)∧Acontrol (S , C , Psc ) • Pada sisi client, proses tersebut hadap server : Accept(S , C ) ∧Auth(S , C , Am)∧Acontrol (C , S , Pcs )
juga dilakukan terdimana Connect(S , C )
• Penandatanganan (signaturing) obyek P terhadap data O: S = Sig(O, P ) dilakukan agar verifikasi Ver (O, P , S ), sehingga Ver (O, P , Sig(O, P )) valid. Verifikasi dalam hal ini berarti bahwa O benar-benar dibuat oleh P dan integritasnya selalu terjaga. Contoh signature-verification yang dimaksudkan di sini adalah digital-signature dalam kerangka kerja Public Key Infrastructure (PKI). • Pemanfaatan signature-verification yang dijelaskan sebelumnya dimanfaatkan untuk : 1. melakukan verifikasi pesan pengirim : Ver (M , P , Sig(M , P )) valid.
Sig(M , P ) sehingga
2. melakukan verifikasi jejak email yang dibuat setiap server relai. Server R melakukan signaturing : Sig(T , R) sehingga Ver (T , R, Sig(T , R)) valid. Pada relai ke n, jejak email adalah : H = H ∪ (Tn , Sig(Tn , R)), sehingga pada Vn relai ke n + 1 jejak email dapat diverifikasi validitasnya dengan i=1 Ver (Ti , Ri , Sig(Ti , Ri )) • Dengan demikian pengiriman email menjadi : Send (P , E , H , M , Sig(M , P ), R) dimana Accept(P , R) ∧ (Accept(P , D) ∧ LookupMX (D, E )) • Pada penerimaan email oleh server, perlu diketahui apakah client C berhak melakukan relai untuk email P . Hal ini dilakukan dengan meminta informasi ke DNS dengan fungsi LookupRL(D, P ). • Penerimaan email oleh server Receive(P , E , H , Sig(M , P ), C ) dimana :
Rn
menjadi
:
– C diidentifikasi dengan: Accept(R, C ) dan – C diterima sebagai relai untuk email P dengan: LookupRL(D, P ) ∧ Accept(R, D) dan – M diterima validitasnya dengan Ver (M , P , Sig(M , P )) dan – jejak email dan server relai yang dilewatinya valid dengan dengan Vn−1 melakukan verifikasi i=1 Ver (Ti , Ri , Sig(Ti , Ri )) dimana setiap Ri valid dengan menggunakan LookupRL(D, P ) ∧ Accept(R, D)
• Sehingga relai pada server Rn menjadi : 0 Relay(P , E , H , M , Sig(M , P ) , C , Rn+1 ) dimana mail diterima dan diverifikasi dengan Receive(P , E , H , M , Sig(M , P ), Rn−1 ), jejak email 0 ditambahkan dengan menggunakan signaturing, H = H ∪ (T , Sig(T , R)), dan pengiriman kembali dilaksanakan dengan mekanisme autentikasi 0 yang cukup memadai Send (P , E , H , M , Sig(M , P ), Rn+1 ). Beberapa usulan perbaikan sistem Intenet mail, baik yang sifatnya hanya perbaikan sementara maupun perombakan yang mendasar juga telah dilakukan oleh peneliti dan pengembang di seluruh dunia. Tetapi beberapa usulan tersebut mungkin akan menambah masalah yang lebih besar lagi jika masalah utama yaitu akuntabilitas tidak dapat diperbaiki. Beberapa usulan tersebut antara lain: • Challenge-response Mekanisme ini banyak diusulkan peneliti seperti yang dilakukan dalam [9]. Prinsip challenge-response beradasarkan premis bahwa orang yang berniat baik dalam mengirimkan mail akan membuktikan dirinya sendiri, sedangkan orang yang bermaksud tidak baik tidak melakukan hal yang sama. Email yang diterima oleh server mail tidak akan langsung ditempatkan pada mailbox pengguna, melainkan server mail akan melayangkan email berisi data (challenge) yang harus dijawab (response) oleh pengirim. Jika pengirim menjawab maka mail yang tertahan akan diteruskan, jika tidak maka email dianggap Spam. Dengan akuntabilitas yang tidak memadai bukan tidak mungkin spam mempergunakan alamat email orang lain untuk mengirimkan email, sehingga mekanisme ini akan membuat masalah yang lebih besar lagi, yaitu challenge akan menjadi Spam untuk orang yang termanfaatkan alamat emailnya. • Remailer system Mekanisme ini [3] adalah usaha untuk menerapkan kebijakan keamanan dalam sistem email tanpa harus merombak sistem yang sudah ada. Prinsip remailer adalah bahwa dengan penerapan restrictive aliasing sehingga penanganan mail dilakukan oleh server email khusus (remailer) yang menerapkan kebijakan keamanan tertentu sehingga diharapkan dapat menahan Spam sebelum diteruskan ke server email tempat mailbox pengguna berada. • Community voting & reputation system Prinsipnya adalah akuntabilitas yang menggunakan fungsi sosial (komunitas) untuk memeriksa reputasi alamat email, server email, ataupun alamat IP pengirim. Akuntabilitas yang dibangun merupakan sumbangan dari feedback dan voting yang individu yang ada dalam suatu komunitas. Kelemahan sistem reputasi adalah memanfaatkan subyektivitas dan dengan tidak adanya akuntabilitas di level aplikasi, yang membuat sistem ini rentan terhadap usaha untuk menjatuhkan reputasi orang lain. • Mail 2000 Internet Mail 2000 [2] merupakan usaha untuk mengganti push-model menjadi pull-model. Yaitu setiap mail yang dikirim akan disimpan pada mailbox pengirim dan pesan singkat akan dikirimkan kepada penerima
berisi kode dan password untuk membuka mail tersebut dari mailbox pengirim.
6
Kesimpulan
Dalam proses analisis dengan metoda WBA ataupun CSA, analisis ontologi berperan sangat besar untuk menelaah obyek, fungsi, dan keterhubungan kausal antar obyek, sehingga ditemukan beberapa kelemahan sistem mail yang rentan terhadap serangan Spam. Tidak memadainya akuntabilitas dalam sistem Internet mail saat ini merupakan faktor penyebab yang cukup signifikan, sehingga perbaikan sistem mail difokuskan untuk membangun mekanisme akuntabilitas yang memadai untuk menghambat dan menanggulangi Spam. Dengan WBA, tidak hanya faktor teknis saja yang dapat ditemukan, tetapi juga faktor sosial-hukum dan ekonomi. Oleh karena itu dari hasil analisis diperoleh beberapa usulan yang mencakup usulan teknis dan sosial-hukum. Dalam tulisan ini juga dimuat usulan spesifikasi teknis yang cukup rinci dan formal, dan terfokus pada pengembangan mekanisme keamanan yang mencakup akuntabilitas dalam sistem Internet mail. Dengan menerapkan usulan-usulan ini diharapkan tidak hanya Spam saja yang tertanggulangi, tetapi juga pemenuhan persyaratan keamanan sistem Internet mail yang dimanfaatkan untuk tujuan e-bisnis dan e-government di masa yang akan datang.
Pustaka [1] I Made Wiryana Avinanta Tarigan, Analyzing Security Incidents with Why Because Analysis, Bieleschweig Workshop - System Safety, German Chapter of System Safety, December 2002. [2] D. J. Bernstein, Internet Mail 2000, http://cr.yp.to/im2000.html. [3] Pawel Gburzynski and Jacek Maitan, Fighting the spam wars: A remailer approach with restrictive aliasing, ACM Transactions on Internet Technology (TOIT) 4 (2004), no. 1, 1–30. [4] Peter B. Ladkin, Causal system analysis formal reasoning about safety and failure. draft version 2.0, To be published, RVS-Bk-01-01, 2001. [5] Anselm Lambert, Analysis of SPAM, Master’s thesis, Department of Computer Science, University of Dublin, Trinity College., September 2003. [6] David Lewis, Causation, Journal of Philosophy, vol. 70, 1973, pp. 556–567. [7]
, Causal explanation, Philosophical Papers, Oxford University Press, 1986, pp. 214–240.
[8] Network and Distributed Systems Working Group, The WBA homepage, http://www.rvs.uni-bielefeld.de. [9] Pawel Gburzynski, SFM: an Implementation of the ChallengeResponse Paradigm in Electronic Mail for Spam Avoidance, http://www.cs.ualberta.ca/ pawel/PAPERS/spam.pdf.
[10] Bruce Schneier, Attack trees : modelling security threats, Dr. Dobb’s Journal, December 1999, pp. 21,22,24,26,28,29. [11] John R. Searle, The construction of social reality, The Free Press, 1995. [12] Avinanta Tarigan, Peter B. Ladkin, and I Made Wiryana, Why-BecauseAnalysis, metoda analisis sistem kompleks, Komputasi dan Sistem Intelijen (Kommit) 2002 (2002).
1 SPAM dan implikasinya
1.1 Tidak ada relevansi antara isi eMail dengan interest penerima
1.2.1.1 Pengiriman eMail berisi propaganda tertentu secara massal dengan berbagai cara
1.2.1.1.2 Biaya pengiriman eMail relatif murah
1.2.1.1.3 Pemanfaatan eMail untuk berpropaganda seringkali tepat dan efektif
1.2.1 Diterimanya eMail kandidat SPAM oleh Mail Service Agent
1.2.2 Filter eMail berbasiskan bahasa dan statistik kurang mampu mengenali SPAM
1.2.1.2 Determinasi antara SPAM dan eMail normal berdasarkan alamat eMail/IP/Trace tidak dapat dilakukan dengan baik
1.2.2.1 Jenis konten SPAM sangat bervariasi dan dinamik
1.2.2.2 Proses personalisasi dan pembentukan Filter membutuhkan waktu dan kesempurnaan tidak mudah dicapai
1.2.1.1.1 Intensi Berpropaganda
1.2.1.1.4.1 Akuntabilitas dalam sistem Internet dan eMail kurang memadai
1.2.1.1.2.1 Push Model pada sistem Email
1.2.1.1.4.1.1 Pemanfaatan alamat IP dalam akuntabilitas kurang memadai
1.2.1.1.4.1.1.2 [A] Pemanfaatan IP Spoofing
1.2.1.1.4 Kurangnya perangkat pembuktian Hukum yang dapat membatasi kegiatan Spammer
1.2 Diterimanya eMail kandidat SPAM oleh Mail Delivery Agent
1.2.1.1.4.1.3 Pemanfaatan jejak (trace) relay pada header email kurang memadai untuk akuntabilitas
1.2.1.1.4.1.2 Pemanfaatan alamat eMail dalam akuntabilitas kurang memadai
1.2.1.1.4.1.1.1 [V] Kurang memadainya mekanisme autentikasi dalam TCP/IP
1.2.1.1.4.1.2.2 [V] Tidak menyeluruhnya penggunaan mekanisme autentikasi dan ID (identifikasi) yang memadai di Internet
1.2.1.1.4.1.1.1.1 Kurang memadainya aspek keamanan dalam disain TCP/IP
1.2.1.1.4.1.2.2.1 Kebijakan keamanan (security policies) yang memadai tidak dipaksakan dan diimplementasikan secara menyeluruh
1.2.1.1.4.1.2.1 [A] Pemanfaatan alamat email palsu (address spoofing) atau pseudonym
1.2.1.1.4.1.3.2 [A] Penggunaan open relay atau pemanfaatan smtp lokal seperti pada virus
1.2.1.1.4.1.2.2.2 Disain sistem eMail kurang memadai
1.2.1.1.4.1.2.2.1.1 Internet sudah berkembang terlalu besar dan kompleks
Gambar 3: WB-Graph untuk SPAM
1.2.1.1.4.1.3.3 [V] Integritas jejak (trace) pada header email tidak dapat dipastikan
1.2.1.1.4.1.3.1 [V] Informasi dari DNS kurang memadai untuk digunakan dalam akuntabilitas
1.2.1.1.4.1.3.1.2 Fungsi kepercayaan (trust) dan autentikasi dalam DNS kurang memadai
1.2.1.1.4.1.3.1.1 DNS tidak memuat informasi email server yang diijinkan untuk merelay email dari domain tertentu
