WEB SECURITY AND
CYBER SECURITY
Jessen Nindito Nathasia A E Syaibatul Hamdi Uly Rahmatul L M Zulfikar
1
KATA PENGANTAR Puji syukur kami panjatkan ke hadirat Allah SWT, atas limpahan rahmat-Nya sehingga buku Web Security dan Cyber Security yang dibuat untuk kelulusan matakuliah E-commerce dapat terselesaikan. Buku ini dapat kami tulis dengan baik atas dukungan dari berbagai pihak, secara langsung maupun tidak langsung, maka dari itu kami menyampaikan rasa terima kasih kami kepada seluruh pihak yang memberi dukungan kepada kami. Buku ini memaparkan hal hal yang menyangkut kepada keamanan di dunia komputer yang sekarang semakin berkembang dengan pesat. Secara umum, buku ini akan membahas seputar Cybercrime, atau kejahatan yang dilakukan di bidang teknologi komputer, Web Security yaitu sistem keamanan pada website, Pengamanan Insiden jika telah terjadi kejahatan, dan pembahasan dari sisi manusia atau secara etika. Penulis berharap agar buku ini dapat memberikan gambaran bagi pembaca dalam pengamanan, penangkalan, maupun cara meng-handle situasi-situasi kejahatan berbasis komputer. Kami menyadari bahwa isi maupun cara penyampaian buku ini masih jauh dari sempurna, untuk itu kami mengharapkan kritik dan saran yang bersifat konstruktif dari para pembaca sehingga kami bisa mengembangkan buku ini menjadi buku yang lebih baik.
Penulis.
2
DAFTAR ISI BAB I CYBERCRIME ............................................................................................................1 1.1 Pengertian Cybercrime ............................................................................................1 1.1.1 Perkembangan Cybercrime ......................................................................2 1.1.2 Jenis Jenis Cybercrime .............................................................................2 1.2 Cyber Law ..............................................................................................................5 1.2.1 Ruang Lingkup Cyber Law ......................................................................5 1.2.2 Topik Topik Cyber Law ...........................................................................6 1.2.3 Asas-Asas Cyber Law ..............................................................................7 1.2.4 Tujuan Cyber Law ....................................................................................8 1.3 Cyber Security .........................................................................................................8 BAB II WEB SECURITY ........................................................................................................9 2.1 SSL ..........................................................................................................................9 2.2 10 Celah Keamanan Pada Aplikasi Web ...............................................................11 BAB III SOCIAL ENGINEERING .......................................................................................14 1.3 Seluk Beluk Serangan Melalui Teknik Social Engineering ..................................14 1.3.1 Kelemahan Manusia ...............................................................................14 1.3.2 Tipe Social Engineering .........................................................................15 1.3.3 Target Korban Social Engineering .........................................................19 1.3.4 Solusi Menghindari Resiko Social Engineering .....................................20 3
BAB IV PENGAMANAN INSIDEN ....................................................................................25 4.1 Pengertian Incident Handling ................................................................................25 4.1.1 Contoh Insiden .......................................................................................25 4.1.2 Tujuan Insiden Handling ........................................................................26 4.1.3 Metodologi Insiden Handling ................................................................26 4.1.4 Permasalahan Incident Handling ............................................................27 4.2 Penanganan Insiden Forensik dan Freezing the Scene ..........................................28 4.3 Pengamanan Insiden Pada Web Security ..............................................................31 Daftar Pustaka .........................................................................................................................35
4
BAB 1 CYBERCRIME
1.1
Pengertian Cybercrime
Cybercrime adalah tidak criminal yang dilakkukan dengan menggunakan teknologi computer sebagai alat kejahatan utama. Cybercrime merupakan kejahatan yang memanfaatkan perkembangan teknologi computer khusunya internet. Cybercrime didefinisikan sebagai perbuatan melanggar hukum yang memanfaatkan teknologi computer yang berbasasis pada kecanggihan perkembangan teknologi internet. Dalam perkembangannya kejahatan konvensional cybercrime dikenal dengan : a.
Kejahatan kerah biru
b.
Kejahatan kerah putih
Cybercrime memiliki karakteristik unik yaitu : 1.
Ruang lingkup kejahatan
2.
Sifat kejahatan
3.
Pelaku kejahatan
4.
Modus kejahatan
5.
Jenis kerugian yang ditimbulkan
Dari beberapa karakteristik diatas, untuk mempermudah penanganannya maka cybercrime diklasifikasikan: •
Cyberpiracy : Penggunaan teknologi computer untuk mencetak ulang software atau
informasi, lalu mendistribusikan informasi atau software tersebut lewat teknologi komputer. 1
•
Cybertrespass : Penggunaan teknologi computer untuk meningkatkan akses pada
system computer suatu organisasi atau indifidu. •
Cybervandalism : Penggunaan teknologi computer untuk membuat program yang
menganggu proses transmisi elektronik, dan menghancurkan data dikomputer
1.1.1 Perkembangan Cyber Crime Awal mula penyerangan didunia Cyber pada tahun 1988 yang lebih dikenal dengan istilah: Cyber Attack. Pada saat itu ada seorang mahasiswa yang berhasil menciptakan sebuah worm atau virus yang menyerang program computer dan mematikan sekitar 10% dari seluruh jumlah komputer di dunia yang terhubung ke internet. Pada tahun 1994 seorang bocah sekolah musik yang berusia 16 tahun yang bernama Richard Pryce, atau yang lebih dikenal sebagai “the hacker” alias “Datastream Cowboy”, ditahan lantaran masuk secara ilegal ke dalam ratusan sistem komputer rahasia termasuk pusat data dari Griffits Air Force,NASA dan Korean Atomic Research Institute atau badan penelitian atom Korea. Dalam interogasinya dengan FBI, ia mengaku belajarhacking dan cracking dari seseorang yang dikenalnya lewat internet dan menjadikannya seorang mentor, yang memiliki julukan “Kuji“. Hebatnya, hingga saat ini sang mentor pun tidak pernah diketahui keberadaannya. Cyber Attack itu sendiri adalah semua jenis tindakan yang sengaja dilakukan untuk mengganggu kerahasiaan (confidentiality), integritas (integrity), dan ketersedian (availability) informasi. Tindakan ini bisa ditujukan untuk mengganggu secara fisik maupun dari alur logic sistem informasi.
1.1.2 Jenis-jenis cybercrime berdasarkan jenis aktivitasnya •
Unauthorized Access to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik system jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga 2
yang melakukan hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi internet/intranet. Kita tentu tidak lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam database berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang e-commerce, yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini dalam beberapa waktu lamanya. •
Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya adalah pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah, dan sebagainya. •
Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi “salah ketik” yang pada akhirnya akan menguntungkan pelaku. •
Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan matamata terhadap pihak lain, dengan memasuki sistem jaringan komputer(computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data-data pentingnya tersimpan dalam suatu system yang computerized.
3
•
Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku. Dalam beberapa kasus setelah hal tersebut terjadi, maka pelaku kejahatan tersebut menawarkan diri kepada korban untuk memperbaiki data, program komputer atau sistem jaringan komputer yang telah disabotase tersebut, tentunya dengan bayaran tertentu. Kejahatan ini sering disebut sebagai cyberterrorism. •
Offense against Intellectual Property
Kejahatan ini ditujukan terhadap Hak atas Kekayaan Intelektual yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya. •
Infringements of Privacy
Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized,yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materilmaupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakittersembunyi dan sebagainya. •
Cracking
Kejahatan dengan menggunakan teknologi computer yang dilakukan untuk merusak system keamaanan suatu system computer dan biasanya melakukan pencurian, tindakan anarkis begitu merekan mendapatkan akses. Biasanya kita sering salah menafsirkan antara seorang hacker dan cracker dimana hacker sendiri identetik dengan perbuatan negative, padahal hacker adalah orang yang senang memprogram dan percaya bahwa informasi adalah sesuatu hal yang sangat berharga dan ada yang bersifat dapat dipublikasikan dan rahasia.
4
•
Carding
Adalah kejahatan dengan menggunakan teknologi computer untuk melakukan transaksi dengan menggunakan card credit orang lain sehingga dapat merugikan orang tersebut baik materil maupun non materil.
1.2
CYBER LAW
Cyberlaw adalah hukum yang digunakan di dunia cyber (dunia maya), yang umumnya diasosiasikan dengan Internet. Cyberlaw dibutuhkan karena dasar atau fondasi dari hukum di banyak negara adalah "ruang dan waktu". Sementara itu, Internet dan jaringan komputer mendobrak batas ruang dan waktu ini . Cyber law tidak sama lagi dengan ukuran dan kualifikasi hukum tradisional. Kegiatan cyber meskipun bersifat virtual dapat dikategorikan sebagai tindakan dan perbuatan hukum yang nyata. Kegiatan cyber adalah kegiatan virtual yang berdampak sangat nyata meskipun alat buktinya bersifat elektronik. Dengan demikian subjek pelakunya harus dikualifikasikan pula sebagai orang yang telah melakukan perbuatan hukum secara nyata. Dari sini lahCyberlaw bukan saja keharusan, melainkan sudah merupakan kebutuhan untuk menghadapi kenyataan yang ada sekarang ini, yaitu dengan banyaknya berlangsung kegiatan cybercrime.
1.2.1 Ruang lingkup cyberlaw Menurut Jonathan Rosenoer dalam Cyber Law – The Law Of Internet menyebutkan ruang lingkup cyber law : a.
Hak Cipta (Copy Right)
b.
Hak Merk (Trademark)
c.
Pencemaran nama baik (Defamation)
d.
Hate Speech
e.
Hacking, Viruses, Illegal Access
5
f.
Regulation Internet Resource
g.
Privacy
h.
Duty Care
i.
Criminal Liability
j.
Procedural Issues (Jurisdiction, Investigation, Evidence, etc)
k.
Electronic Contract
l.
Pornography
m.
Robbery
n.
Consumer Protection
1.2.2 Topik-topik Cyber Law Secara garis besar ada lima topic dari cyberlaw di setiap negara yaitu: •
Information security, menyangkut masalah keotentikan pengirim atau penerima dan
integritas dari pesan yang mengalir melalui internet. Dalam hal ini diatur masalah kerahasiaan dan keabsahan tanda tangan elektronik. •
On-line transaction, meliputi penawaran, jual-beli, pembayaran sampai pengiriman
barang melalui internet. •
Right in electronic information, soal hak cipta dan hak-hak yang muncul bagi
pengguna maupun penyedia content. •
Regulation information content, sejauh mana perangkat hukum mengatur content
yang dialirkan melalui internet. •
Regulation on-line contact, tata karma dalam berkomunikasi dan berbisnis melalui
internet termasuk perpajakan, retriksi eksport-import, kriminalitas dan yurisdiksi hukum.
6
1.2.3 Asas-asas Cyber Law Dalam kaitannya dengan penentuan hukum yang berlaku dikenal beberapa asas yang biasa digunakan, yaitu: •
Subjective territoriality, yang menekankan bahwa keberlakuan hukum ditentukan
berdasarkan tempat perbuatan dilakukan dan penyelesaian tindak pidananya dilakukan di negara lain. •
Objective territoriality, yang menyatakan bahwa hukum yang berlaku adalah hukum
dimana akibat utama perbuatan itu terjadi dan memberikan dampak yang sangat merugikan bagi negara yang bersangkutan. •
nationality yang menentukan bahwa negara mempunyai jurisdiksi untuk menentukan
hukum berdasarkan kewarganegaraan pelaku. •
passive nationality yang menekankan jurisdiksi berdasarkan kewarganegaraan korban.
•
protective principle yang menyatakan berlakunya hukum didasarkan atas keinginan
negara untuk melindungi kepentingan negara dari kejahatan yang dilakukan di luar wilayahnya, yang umumnya digunakan apabila korban adalah negara atau pemerintah, •
Universality. Asas ini selayaknya memperoleh perhatian khusus terkait dengan
penanganan hukum kasus-kasus cyber. Asas ini disebut juga sebagai “universal interest jurisdiction”. Pada mulanya asas ini menentukan bahwa setiap negara berhak untuk menangkap dan menghukum para pelaku pembajakan. Asas ini kemudian diperluas sehingga mencakup pula kejahatan terhadap kemanusiaan (crimes against humanity), misalnya penyiksaan, genosida, pembajakan udara dan lain-lain. Oleh karena itu, untuk ruang cyber dibutuhkan suatu hukum baru yang menggunakan pendekatan yang berbeda dengan hukum yang dibuat berdasarkan batas-batas wilayah. Ruang cyber dapat diibaratkan sebagai suatu tempat yang hanya dibatasi oleh screens and passwords. Secara radikal, ruang cyber telah mengubah hubungan antara legally significant (online) phenomena and physical location.
7
1.2.4 Tujuan Cyber Law Cyberlaw sangat dibutuhkan, kaitannya dengan upaya pencegahan tindak pidana, ataupun penanganan tindak pidana. Cyber law akan menjadi dasar hukum dalam proses penegakan hukum terhadap kejahatan-kejahatan dengan sarana elektronik dan komputer, termasuk kejahatan pencucian uang dan kejahatan terorisme.
1.3
CYBER SECURITY
Sesuai terminologinya, cyber security adalah aktivitas untuk melakukan pengamanan terhadap sumber daya telematika demi mencegah terjadinya tindakan cyber crime seperti dijelaskan sebelumnya. Dan seperti jugacyber crime, spektrum dari aktivitas cyber security ini juga sangat luas. Sebuah proses peningkatan keamanan (security hardening), umumnya meliputi masalah teknis, seperti pengamanan dari sisi jaringan, sistem operasi, keamanan data dan source code aplikasi. Institusi keuangan dan telekomunikasi secara rutin menyewa konsultan keamanan untuk melakukan kegiatan 'penetration testing'. Pen Test ini dilakukan untuk menguji sejauh mana sistem yang mereka punya dapat bertahan dari serangan-serangan yang akan mengeksploitasi sistem tersebut. Biasanya 'pen test' ini dilanjutkan dengan sejumlah rekomendasi perbaikan di titik-titik vulnerabilities yang terdeteksi. Tapi selain dari sisi teknis, kegiatan pengutatan keamanan juga harus meliputi pengamanan terhadap ancaman dari personil internal. Harus ada sejumlah protokol atau SOP yang harus dilakukan oleh personilnya. Bahkan bisa dibilang personil internal adalah faktor ancaman keamanan paling tinggi dibandingkan hal-hal teknis. Apa yang dilakukan oleh Edward Snowden, seorang pegawai NSA, yang mencuri dan membocorkan data-data kegiatan penyadapan yang dilakukan oleh NSA adalah contoh sempurna. Dari sisi sumber daya manusia, praktisi cyber security ini bisa dikelompokkan setidaknya menjadi 3 kelompok:
8
1.
Analis Keamanan
Bertugas untuk memetakan potensi ancaman keamanan, lalu memberikan rekomendasi untuk mitigasi terhadap potensi ancaman tersebut. 2.
Spesialis Forensik
Sesuai namanya, spesialis forensik ini bertugas untuk melakukan penyelidikan pasca insiden kebocoran keamanan. Seorang spesialis forensik harus memiliki kemampuan teknis yang mumpuni untuk bisa mencari dan memetakan jejak-jejak yang ditinggalkan oleh pelaku, untuk bisa melacak dan menemukan pelaku. 3.
Hacker/Peretas
Istilah hacker selama ini telah mengalami distorsi makna, dimana seolah-olah tindakan hacking adalah sebuah tindakan kriminal padahal tidak sepenuhnya seperti itu. Hacker sendiri adalah istilah yang diberikan kepada orang-orang yang memiliki kemampuan untuk melakukan tindakan eksploitasi terhadap sistem telematika melalui berbagai cara. Untuk menjadi hacker yang 'sakti' diperlukan kemampuan teknis yang luar biasa tinggi. Mulai dari pemahaman mendalam terhadap sistem komunikasi data, perilaku dari operating system, kemampuan membaca source code lalu melakukan reverse engineering, memetakan mekanisme pengolahan data dan masih banyak lagi. Jadi seorang hacker ini berada di spektrum yang berlawanan dengan spesialis forensik, dan kisah epik dari pertarungan dua sisi ini bisa dibaca dari kisah penangkapan hacker legendaris, Kevin Mitnick, oleh agen-agen FBI di era 90 an.
9
BAB 2 WEB SECURITY 2.1 SSL SSL telah menjadi standar de facto pada komunitas untuk mengamankan komunikasi antara client dan server. Kepanjangan dari SSL adalah Secure Socket Layer; SSL adalah sebuah layer protocol yang berada antara layer TCP/IP standar dengan protocol di atasnya yaitu application-level protocol seperti HTTP. SSL mengijinkan server untuk melakukan autentikasi dengan client dan selanjutnya mengenkripsi komunikasi. Pembahasan tentang operasi SSL pada bab ini bertujuan agar kita mengetahui penggunaan teknologi ini untuk mengamankan komunikasi antara server dengan client. Mengaktifkan SSL pada aplikasi. Untuk mengetahui keuntungan SSL pada aplikasi, kita perlu melakukan konfigurasi server untuk menerima koneksi SSL. Pada servlet container yang berbeda akan berbeda pula cara untuk melakukannya. Disini kita akan belajar tentang melakukan konfigurasi Sun Application Server 8.1 Certificates Salah satu bagian yang perlu kita konfigurasi untuk membangun komunikasi SSL pada server adalah sebuah security certificate. Bisa kita bayangkan sebuah certificate dalam hal ini seperti sebuah pasport : dimana memiliki informasi-informasi penting pemilik yang bisa diketahui oleh orang lain. Sertifikat tersebut biasanya disebarkan oleh Certification Authorities (CA). Sebuah CA mirip seperti passport office : dimana CA bertugas untuk melakukan validasi sertifikat pemilik dan menandai sertifikat agar tidak dapat dipalsukan. Sampai saat ini sudah banyak Certification Authorities yang cukup terkenal, salah satunya adalah Verisign. Menentukan pemilihan CA adalah tanggung jawab atau wewenang dari seorang admin untuk memberikan sebuah sertifikat keamanan yang berlaku pada server. Apabila pada suatu kasus ditemukan tidak adanya certificate dari CA, sebuah certificate temporer (sementara) dapat dibuat menggunakan tools dari Java 1.4 SDK. Perlu Anda catat bahwa client biasanya tidak melanjutkan transaksi yang memerlukan tingkat kemanan yang tinggi dan menemukan bahwa certificate yang digunakan adalah certificate yang kita buat.
10
Membuat certificate private key Untuk menyederhanakan permasalahan ini, akan lebih mudah bila dengan melakukan operasi dimana certificate disimpan. Hal ini dapat ditemukan do dire ktori %APP_SERVER_ HOME%/domains/domain1/config.
Buka
directory
menggun
akan
command
line.
Selanjutanya panggil command berikut ini: keytool-genkey-aliaskeyAlias-keyalgRSAkeypasskeypassword-storepassstorepassword -keystore keystore.jk s Dalam hal ini mungkin sedikit membing ungkan dimana dibutuhkan dua password untuk membuat sebuah certificate . Untuk mengatasinya, bisa kita ingat bahwa key yang dimasukkan disebut juga keystore. Keystore dapat menyimpan satu atau beberapa key. Keypassword merupakan password dari private key yang akan digunakan pada certificate , sedangkan store password merupakan pass word dari key yang ada di dalam keys tore. Membuat certificate Setelah kita selesai membuat key yang akan digunakan oleh ceritificate sekarang kita dapat membuat file certi ficate itu sendiri. Mengatur certificate Agar aplikasi server dapat mengenali certificate yang sudah kita buat , kita perlu menambahkannya pada daftar dari trusted certificates. Server memiliki file bernama cacerts.jks yang di dalamnya terdapat certificates. Membuat HTTP listener Setelah kita sudah berhasil membuat certificate dan meregisternya untuk aplikasi server, sekarang kita harus membuat sebuah HTTP listener yang dapat digunakan untuk membuat komunikasi yang aman.
2.2 10 Celah keamanan pada aplikasi web Open Web Application Security Project (OWASP) adalah project open source yang dibangun untuk menemukan penyebab dari tidak amannya sebuah software dan menemukan cara menanganinya. Ada 10 celah kemanan aplikasi web yang ditemukan dan rekomendasi
11
mereka tentang menanganinya sebagai sebuah standard keamanan minimal dari aplikasi web. Berikut ini adalah 10 celah tersebut dan cara agar kita dapat mengatasi masalah tersebut. I. Unvalidated input Semua aplikasi web menampilkan data dari HTTP request yang dibuat oleh user dan menggun akan data tersebut untuk melakukan operasinya. Hacker dapat memanipulasi bagian bagian pada request (query string, cookie information, header) untuk membypass mekanisme keamanan. II. Broken Access Control Banyak aplikasi yang mengkategori kan user - user nya ke dalam role yang berbeda dan level yang berbeda untuk berinteraksi dengan content yang dibedakan dari kategori kategori tersebut. III. Broken Authent ication dan Session Management Authentication dan session management menunjuk kepada semua aspek dari pengaturan user authentikasi dan management of active session. Salah satu cara yang dapat digunakan untuk mencegah terlihatnya sessionID oleh seseorang pada suatu jaringan yang sama adalah menghubungkan komunikasi antara sever dan client pada sebuah SSLprot ected channel. IV. Cross site scripting Cross site scripting terjadi ketika seseorang membuat aplikasi web melalui script ke user lain. Hal ini dilakukan oleh penyerang dengan menambahkan content (seperti Java Script, ActiveX, Flash) pada request yang dapat membuat HTML output yang dapat dilihat oleh user lain. Apabila ada user lain yang mengakses content tersebut, browser tidak mengetahui bahwa halaman tersebut tidak dapat dipercaya . V. Buffer overflows Penyerang dapat menggun akan buffer overflows untuk merusak aplikasi web. Hal ini dilakukan karena penyerang mengirimkan request yang membuat server menjalan kan kode kode yang dikirimka n oleh penyerang.
12
VI. Injection flaws Salah satu kelemahan yang populer adalah injection flaw, dimana hacker dapat mengirimkan atau menginject request ke operating system atau ke external sumber seperti database VIII . Insecure storage Aplikasi web biasanya perlu menyimpan informasi yang sensitif seperti password , informasi kartu kredit, dan yang lain. Dika rena kan item - item tersebut bersifat sensitif item - item tersebut perlu dienkripsi untuk menghindari pengaksesan secara langsung. IX. Denial of Service Denial of Service merupakan serangan yang dibuat oleh hacker yang mengirim kan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan. Dikarenakan requestrequest tersebut, server menjadi kelebihan beban dan tidak bisa melayani user lainnya. Serangan DoS mampu menghabiskan bandwidth yang ada pada server. Selain itu dapat juga menghabiskan memory, koneksi data base , dan sumber yang lain. X. Insecure Configuration Management Biasanya kelompok (group) yang mengembangkan aplikasi berbeda dengan kelompok yang mengatur hosting dari aplikasi. Hal ini bisa menjadi berbahaya, dikarenakan keamanan yang dandalkan hanya dari segi aplikasi : sedangakan dari segi server juga memiliki aspek keamanan yang perlu diperhatikan. Adanya kesalahan dari konfigurasi server dapat melewati aspek keamanan dari segi aplikasi.
13
BAB 3 SOCIAL ENGINEERING
1.3
Seluk Beluk Serangan Melalui teknik Social Engineering Ada prinsip dalam dunia kemanan jaringan yang berbunyi “kekuatan sebuah rantai
tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa asingnya “the strength of a chain depends on the weakest link”. Apa atau siapakah “the weakest link” atau “komponen terlemah” dalam sebuah sistem jaringan komputer? Ternyata jawabannya adalah: manusia. Walaupun sebuah sistem telah dilindungi dengan perangkat keras(hardware) dan perangkat lunak(software) yang canggih, penangkal serangan seperti firewalls, anti virus, IDS/IPS, dan lain sebagainya – tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatitu tidaklah ada artinya. Para kriminal dunia maya paham betul akan hal ini sehingga kemudian mereka mulai menggunakan suatu kiat tertentu yang dinamakan sebagai “social engineering” untuk mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh manusia.
1.3.1 Kelemahan Manusia Menurut definisi “social engineering” adalah suatu teknik „pencurian‟ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contoh kelemahan yang dimaksud antara lain : Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hokum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
14
Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekertaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga Rasa Ingin Menolong – jika seorang dimintai data atau informasi dari orang yang sedang ditimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya terlebih dahulu.
1.3.2 Tipe Social Engineering Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis yaitu : berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang bisa dipergunakan oleh criminal, musuh, penjahat, penipu, atau mereka yang memiliki intensi tidak baik. a. Social Engineering Menggunakan Teknik Komunikasi Dalam sekenario ini yang menjadi sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan. Modus operasinya sama, yaitu melalui medium telepon. Sekenario 1 (Kedok sebagai User Penting) Seorang penipu menelepon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Hassan, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena takut – dan merasa sedikit teranjung kerena untuk pertama kalinya dapat berbicara dan mendengar suara direktur keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga seidkitpun. Si penipu bisa tahu nama direktur keuangannya adalah Hassan karena melihat dari situs perusahaan. Sekenario 2 (Kedok sebagai User yang Sah) Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf junior teknologi informasi sambil berkata “Halo, ini Desi ya? Des, ini Ani dari divisi Manajemen waktu outing di kantor Prambanan. Bisa tolong bantu reset passwordku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang 15
yang tahu passwordku, sementara saat ini aku lagi diluar kantor dan tidak bisa merubahnya. Bisa bantu ya?”.Sang junior yang tahu persis setahun lalu merasa berjumpa Ani dalam acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara criminal yang mengaku sebagai Ani mengetahui nama-nama terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor telepon Desi diketahuinya dari satpam ataupun receptionist. Sekenario 3 (Kedok sebagai Mitra Vendor) Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional teknologi informasi denfan mengajak berbicara hal-hal yang bersifat teknis sebagai berikut : “Pak Anto, saya Dimas dari PT Tunas Harapan, yang membantu outsource file CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba modul kami secara cuma-cuma. Boleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas canggih dari program CRM versi terbaru.” Merasa mendapatkan kesempatan, kepercayaan, dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya kepada si panjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu nama-nama yang bersangkutan melalui berita-berita di Koran dan majalah mengenai produk/jasa PT Tunas Harapan dan nama nama klien utamanya. Sekenario 4 (Kedok sebagai Konsultan Audit) Kali ini seorang penipu menelepon Manajer Teknologi Informasi dengan menggunakan pendekatan sebagai berikut: “Selamat pagi Pak Slamet, nama saya Annisa, auditor teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi prosedur. Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu cara bapak melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”.Merasa tertantang kompetensinya, dengan panjang lebar yang
bersangkutan
bercerita
mengenai
struktur
keamanan
website
yang
diimplementasi perusahaannya. Tentu saja sang kriminal sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga mempermudah yang bersangkutan dalam melakukan serangan.
16
Sekenario 5 (Kedok sebagai Penegak Hukum) Contoh terakhir ini adalah peristiwa klasik yang sering dipergunakan sebagai pendekatan penjahat kepada calon korbannya: “Selamat sore Pak, kami dari kepolisian yang bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan spesifikasi jaringan anda secara detail?”. Tentu saja yeng bersangkutan biasanya langsung memberikan informasi penting tersebut karena merasa takut untuk menanyakan keaslian identitas penelepon.
b. Social Engineering Menggunakan Medium Komputer Sementara itu untuk jenis kedua, yaitu menggunakan computer atau perangkat elektronik/digital lain sebagai alat bantu, cukup banyak modus operasi yang sering digunakan seperti :
Sekenario 1 (Teknik Pishing Melalui Email) Strategi ini yang paling banyak digunakan di Negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. Cotoh Email yang dikirim sebagai berikut : “Pelanggan Yth. Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank ini, maka agat anda tetap mendapatkan pelayanan perbankan yang prima, mohon disampaikan kepada kami nomor rekening, username, dan password anda untuk kami perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini. Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami. Wassalam, Manajer Teknologi Informasi”
17
Bagaimana cara si penjahat mengetahui alamat email yang bersangkutan? Banyak cara yang dapat diambil seperti : melakukan searching di internet, mendapatkan keterangan dari kartu nama, melihatnya dari anggota mailing list, dan lain sebagainya.
Sekenario 2 (Teknik Pishing Melalui SMS) Penggunal telepon genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor terjual pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau sejenisnya untuk melakukan social engineering seperti yang terlihat pada contoh SMS berikut ini: “Selamat. Anda baru saja memenangkan hadiah sebesar Rp. 25,000,000 dari Bank X yang bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai kemenangan ke rekening bank anda, mohon diinformasikan username dan password internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X mengucapkan selamat atas kemenangan anda”
Sekenario 3 (Teknik Pishing Melalui Pop Up Windows) Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut : “Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.” Tentu saja orang awam tanpa berpikir panjang langsung menekan tombol BERSIHKAN yang akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih computer terkait yang dapat dimasukkan virus atau program spyware lainnya. c. Jenis Social Engineering Lainnya Karena sifatnya yang sangat “manusiawi” dan memanfaatkan interaksi social, teknik
teknik memperoleh informasi rahasia berkembang sangat variatif. Beberapa contoh adalah sebagai berikut : Ketika seseorang memasukkan password di ATM atau di PC, yeng bersangkutan “mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat;
18
Mengaduk- aduk tong sampah tempat pembuangan kertas atau dokumen kerja perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya; Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia; Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara ”menguntit” individu atau mereka yang memiliki akses legal; Mengatakan secara meyakinkan bahwa yang bersangkutan telupa membawa ID-Card yang berfungsi sebagai kunci akses sehingga diberitahukan bantuan oleh satpam; Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah informasi berharga; Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah informasi berharga lainnya; Dengan menggunakan situs social networking seperti facebook, myspace, Friendster, dsb. Melakukasi diskusi dan komunikasi yang pelan pelan mengarah pada proses “panalanjangan” informasi rahasia; dan lain sebagainya.
1.3.3 Target Korban Social Engineering Statistik memperlihatkan, bahwa ada 5 (lima) kelompok individu di perusahaan yang kerap menjadi korban tindakan social engineering yaitu : Receptionist dan atau help desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data atau informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksudl Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis; Administrator sistem dan pengguna computer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan; Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan 19
Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
1.3.4 Solusi Menghindari Resiko Social Engineering Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana cara menghindarinya. Berikut adalah hal hal yang biasa disarankan kepada mereka yang merupakan pemangku kepentingan asset asset informasi penting perusahaan yaitu : Selalu hati – hati dalam melakukan interaksi di dunia nyata maupun dunia maya, tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan asset sangat berharga yang dimiliki oleh suatu organisasi maupun suatu perusahaan; Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan; Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering; Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat; Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari misalnya “clear table and monitor policy” – untuk memastikan semua pegawai melaksanakannya; dan sebagainya. Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha seperti : Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”; Mengembangkan kebijakan, peraturan, prosedur, proses, kemanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi; 20
Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan peduli pada keamanan informasi; Membuat standar klarifikasi asset informasi berdasarkan tingkat kerahasiaan dan nilainya; Melakukan audit secara berkala dan berkasinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan informasi; dan lain sebagainya. “Budaya aman” belumlah menjadi suatu perilaku sehari hari dari kebanyakan karyawan atau pegawai dalam sebuah organisasi. pengalaman membuktikan bahwa kebanyakan insiden keamanan informasi terjadi karena begitu banyaknya kecerobohan yang dilakukan oleh staf organisasi maupun karena kurangnya pengetahuan dari yang bersangkutan terkait dengan aspek aspek keamanan yang dimaksud. Tujuan utama dari kebijakan keamanan informasi dari sebuah perusahaan atau organisasi secara prinsip ada 4(empat) buah yaitu: Mencegah adanya pihak-pihak yang tidak berhak dan berwenang melakukan akses ke sistem computer atau teknologi informasi milik organisasi; Mencegah terjadinya pencuriah data dari sebuah sistem computer atau media penyimpanan data yang ada didalam teritori organisasi; Melindungi keutuhan dan integritas data yang dimiliki organisasi agar tidak dirubah, diganti, atau diganggu keasliannya; dan Menghindari diri dari dirusaknya sistem computer karena berbagai tindakan kerusakan yang dilakukan secara sengaja maupun tidak. Untuk dapat mencapai tujuan ini, setiap individu dalam organisasi haruslah benarbenar mengimplementasikan “buadaya aman”, yaitu suatu kebiasaan atau perilaku menjaga keamanan dengan memperhatikan dua aspek penting, yaitu : lingkungan fisik dan keamanan informasi. a. Keamanan Lingkungan Fisik
21
Setidaknya ada 11(sebelas) hal terkail dengan lingkungan fisik yang harus benar benar diperhatikan oleh staff karyawan maupun manajemen yang bekerja dalam organisasi atau perusahaan. Berikut adalah masing masing aspek yang dimaksud: Akses Masuk Organisasi Karena pintu-pintu ini merupakan jalan akses masuk ke dalam lingkungan perusahaan secara fisik, perlu dipastikan bahwa hanya mereka yang memiliki otoritas atau hak saja yang boleh masuk ke dalam lingkungan yang dimaksud. Lingkungan Sekitar Organisasi Walaupun sekilas Nampak bahwa pintu masuk adalah satu satunya jalan akses menuju perusahaan, namun pada kenyataannya terdapat sejumlah area yang dapat dimanfaatkan oleh pelaku kejahatan dalam menjalankan aksinya. Cara melindungi titik-titik penting ini antara lain dengan menggunakan kamera CCTV, atau memasang sistem alarm, atau memelihara anjing pelacakm atau mengaliri pagar dengan tegangan listrikm dan cara cara lainnya. Daerah Pusat Informasi(Reception) Banyak perusahaan tidak sadar, bahwa daerah “receptionist”merupakan sebuah titk rawahn yang harus diperhatikan keamanannya. Karena fungsi utamanya sebagai sumber informasi. Karena itulah perlunya diberlakukan “clear table and monitor” policy sehingga tidak ada informasi yang dapat dilirik dan memposisikan monitor agar tidak mudah diintip oleh orang lain. Ruang Sever Ruangan server harus tersedia dengan kondisi ruangan sesuai dengan persyaratan teknis yang berlaku, tidak boleh sembarang orang masuk ke ruangan server tersebut, pastikan server “terkunci” atau “terpasang” kuat di tempatnya, tidak berpindah dari suatu tempat ke tempat lain, dab set konfigurasi server dengan baik sehingga tidak memungkinkan adanya pintu akses ke dalamnya, misalnya dengan cara mematikan semua saluran port eksternal, mempartisi sistem operasi sesuai dengan tingkat hak akses, dan lain sebagainya.
22
Area Workstation Sama halnya seperti receptionist, adanya “clear table and monitor” policy sehingga tidak ada informasi yang dapat dilirik atau dipantau oleh orang lain. Wireless Access Points Terapkan enkripsi pada WEP, tidak memberitahu SSID kepada siapapun, untuk masuk ke WAP harus menggunakan password yang sulit, dan lain sebagainya. Fax Dan Media Elektronik Lainnya Jangan sampai beragam media eletronik ini berserakan tanpa ada yang mengelola dan bertanggung
jawab, karena jika berhasil diambil oleh yang tidak berhak dapat
mengakibatkan berbagai insiden yang tidak diinginkan. Entitas Kendali Akses Kartu entitas selalu dalam posesi yang bersangkutan sehingga tidak dapat dicuri oleh orang lain. Pengelolaan Asset Computer Pemusnahan data atau memformat ulang computer yang sudah tidak terpakai oleh perusahaan ataupun karyawan yang bersangkutan. Penyadapan Perlunya inspeksi audit yang teliti untuk memasitkan tidak terjadi kegiatan penyadapan dalam perusahaan. Remote Access Melakukan enkripsi atau penyandian terhadap data dan atau informasi yang dikirimkan agar tidak dapat dibaca oleh mereka yang mencoba untuk menyadap atau memanipulasinya.
b. Keamanan Informasi Setelah mengamankan lingkungan fisik, hal berikut yang disarankan untuk dilakukan, yaitu mengamankan konten dari data dan atau informasi itu sendiri. Setidaknya ada 7(tujuh) hal yang dapat dilakukan terkait dengan hal seperti yang dipaparkan dibawah ini:
23
Proteksi password Membuat password yang terdiri dari 6(enam) atau lebih yang merupakan campuran huruf besar kecil, angka, serta symbol. Dan paling tidak setiap 3(tiga) bulan sekali password tersebut harus diganti ataupun diperbaharui.
Enkripsi File
Kebiasaan melakukan enkripsiterhadap file-feile penting di perusahaan harus mulai disosialisasikan dan dibudayakan, terutama oleh kalangan manajemen yang berhubungan erat dengan informasi rahasia dan penting.
Software dan anti virus Perlu adanya “upgrade” file file library terhadap jenis jenis virus yang baru sehingga anti virus dapat bekerja dengan optimal.
Firewalls Dengan diinstalasinya firewalls ini paling tidak data yang ada di dalam internal perusahaan dapat terlindungi dari akses luar.
Intrusion detection system (IDS) IDS dapat mendeteksi terjadinya aktivitas “penyusupan” pada jejaring internal perusahaan dengan menganalisa trafik yang ada.
Update patches Update patches dapat meminimalisir bug yang dapat digunakan untuk menyusup ke sistem perusahaan.
Penutupan port dan akses
24
BAB 4 PENGAMANAN INSIDEN
4.1 Pengertian Insident Handling (Penanganan insiden) Insiden Handling (penanganan insiden) adalah cara untuk menangani pelanggaran atau ancaman terhadap keamanan. Apabilah ada virus yang masuk kekomputer kita secara tidak sengaja atupun sengaja dimasukan oleh orang yang tidak bertanggung jawab atau virus itu juga bisa masuk melalui file yang kita dikirimkan melalui email kita perlu tahu cara penanganannya sebelum maupun setelah terjadi insiden. Insiden keamanan sistem informasi sudah sering terjadi dan telah banyak tim khusus yang menangani insiden-insiden tersebut. Tim yang menangani insiden bertugas untuk membantu mendeteksi jauh sebelum terjadi insiden, memantau, dan memberikan peringatan sebelum insien. Tim tersebut juga melakukan penelusuran dan analisa insiden. Insiden dalam sistem informasi sudah sering teradi baik disengaja maupun tidak disengaja dari pihak pengguna disinilah dibahas tentang insiden dan penanganannya.
4.1.1 Contoh Insiden Banyak contoh-contoh insiden yang terjadi yaitu : Wabah Virus adalah Serangan virus yang masuk dalam computer kita. Spammail,mailbomb adalah Serangan yang biasa terjadi apa email seseorang yang dikirimi oleh orang yang tak bertanggung jawab Previloge attack, rootkit, intrusion adalah Sebuah sistem yang dapat menyusup masuk kedalam computer seseorang dan dapat mengambil alih computer tersebut untuk memantau apa yang dikerjakan oleh pengguna yang sebenarnya. Dos Attack adalah Serangan yang bisa melumpuhkan sistem computer seseorang jika mereka dikirimi serangan dos attack. 25
Unauthorized Access adalah terjadinya penyusutan pada computer kita tanpa sepengetahuan kita dan tanpa seizin kita. Kemungkinan scenario lain dimasa depan
4.1.2 Tujuan Insiden Handling Tujuan Insiden Handling diantaranya adalah sebagai berikut :
Memastikan bahwa insiden itu terjadi pada computer kita atau tidak terjadi.
Melakukan Pengumpulan informasi yang sangat akurat
Melakukan pengambilan dan penanganan bukti-bukti yang bisa memperkuat insiden yang telah terjadi.
Menjaga agar kegiatan beada dalam kerangka hukum yang masih berlaku.
Meminimalkan gangguan terhadap operasi bisnis dan jaringan yang terjadi pada sebuah operasi sistem.
Membuat laporan yang akurat beserta rekomendasi yang sangat menunjang laporan tersebut.
4.1.3 Metodologi Incident Handling Metologi respon terhadap insiden diantaranya adalah :
Preincident preparation : persiapan terhadap insiden yang mungkin terjadi dengan membuat peraturan dan sanksi terhadapnya.
Detection of incident : bagaimana mendeteksi insiden
Initial response : langkah awal untuk melakukan penanganan awal dan supaya bukti tidak hilang
Response stategy formulasi : pengaturan stategi terhadap insiden yang tejadi
Duplication (forensic backup) : mengamankan jalur penyebab insiden, ada 2 teknik pengamanan yang digunakan yaitu sebelum komputer dimatikan dan apabila telah ditutup tidak dinyalakan dulu.
Investigation : melakukan investigasi terhadap bukti-bukti yang ditemukan dari hasil forensic backup.
26
Security measure implementation : melakukan tindakan keamanan terhadap insiden tersebut.
Network monitoring : penelusuran ulang jalur / aktivitas insiden.
Recovery : pemulihan terhadap dampak insiden yang terjadi.
Follow-up : tindakan lanjut yang diambil
4.1.4 Permasalahan Incident Handling Permasalahan yang terjadi pada insiden handling yaitu : Secara teknis
Secara teknis yang terjadi pada insiden handling adalah apa saja yang dilaporkan oleh sistem operasi.
Secara teknis yang terjadi pada insiden handling adalah ketersedian trouble sistem untuk melakukan suatu bantuan help desh.
Secara teknis yang terjadi pada insiden handling adalah sering tidak tersedianya datadata log sehingga bisa menyulitkan insiden handling.
Secara teknis yang terjadi pada insiden handling adalah penggunaan perangkat yang sudah disertifikasi sebagai penanganan insiden (misalnya disk copier).
Secara Non-Teknis
Secara non-teknis yang terjadi pada insiden handling adalah Organisasi
Secara non-teknis yang terjadi pada insiden handling adalah hubungan dengan policy dan procedure SOP yang seringkali tidak dimiliki oleh institut Secara non-teknis yang terjadi pada insiden handling adalah ketersediaan Sumber Daya Manusia.
27
4.2 Penanganan Insiden Forensik dan Freezing The Scene Freezing the scene adalah sebuah proses untuk mengumpulkan bukti digital forensik dari suatu tindak kejahatan yang menggunakan komputer maupun barang – barang IT. Freezing the scene merupakan bagian dari Prinsip Kerja Forensik Digital. Menurut Pavel Gladyshev prinsip kerja dari forensik digital adalah sbb:
Pemeliharaan (“Freezing the Crime Scene”). Mengamankan lokasi dengan cara menghentikan
atau
mencegah
setiap
aktivitas
yang
dapat
merusak
atau
menghilangkan barang bukti.
Pengumpulan. Menemukan dan mengumpulkan semua barang bukti digital atau hal – hal yang dapat menjadi barang bukti atau informasi apa saja yang masih bersangkutan dengan kasus yang sedang diselidiki.
Pemeriksaan. Menganilisis barang bukti yang ada dan mencari data sebanyak – banyaknya yang berhubungan dengan kasus. Tahap ini adalah penentuan apakah pelaku kejahatan bisa tertangkap atau lolos dari jeratan hukum
Analisis. Menyimpulkan bukti – bukti yang dikumpulkan selama proses penyelidikan. Freezing the scene juga merupakan suatu tahap pencarian barang bukti berupa
informasi ataupun data sekaligus sebagai tujuan digital forensik. Tujuan dari digital forensik adalah untuk menjelaskan seputar digital artefak yakni sistem komputer, media penyimpanan (harddisk atau CD-ROM), dokumen elektronik (E-mail atau gambar JPEG) atau paket – paket data yang bergerak melalui jaringan komputer. Menurut Pasal 5 UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE) menyebutkan bahwa “informasi elektronik dan atau dokumen elektronik dan atau hasil cetaknya merupakan alat bukti hukum yang sah”. Barang bukti yang dapat diambil adalah merupakan bukti digital. Menurut Eoghan Casey : “Semua barang bukti informasi atau data baik yang tersimpan maupun yang melintas pada sistem jaringan digital, yang dapat dipertanggungjawabkan di depan pengadilan” sedangkan menurut Scientific Working Group on Digital Evidence : “Informasi yang disimpan atau dikirimkan dalam bentuk digital”. Contoh barang bukti digital: alamat E-Mail,
28
wordprocessor/spreadsheet files, source code dari perangkat lunak, files bentuk images (JPEG, PNG, dll), web browser bookmarks, cookies serta kalender dan to do list. Mengatasi Sarangan Hacker Pada Website 1.
Login ke cpanel, pastikan ‟Last Login From‟ tercantum IP publik anda Langkah
pertama adalah mengecek pada bagian “Last login from” melalui panel kontrol anda. Pastikan harus selalu tercantum alamat IP publik dari mana terakhir kali anda melakukan login. Bagaimana cara menemukan IP publik kita? Cara termudah adalah dengan membuka situs domain checker semacam http://who.is. Biasanya tepat pada portalnya akan muncul tulisan Your IP is 183.7.xxx.xxx. Itulah alamat IP publik anda.Kembali lagi jika pada “Last login from” tercantum alamat IP lain yang tidak anda ketahui, catat. Hal ini berbahaya sebab logikanya jika alamat IP lain bisa login ke kontrol panel kita, berarti mereka memiliki username, password, dan semua akses ke situs kita. Dan inilah indikasi awal bahwa website kita mendapat serangan. 2.
Menyalakan fitur Log ArchivingWebsite akses log menyimpan rekaman mendetail
tentang siapa yang melakukan koneksi ke situs kita, baik melalui HTTP (pengunjung normal) maupun melalui FTP (transfer file). Umumnya, log tersebut dihapus setiap harinya. Padahal peranan akses log sangatlah penting. Agar akses log tidak terhapus, lakukan langkah berikut : Login ke cpanel > Raw Log Manager, Cek pada kotak “Archive Logs”, Uncek pada kotak “Remove the previous month‟s archived logs”, Klik Save 3.
Langkah darurat; segera offline kan website anda Jika halaman anda terinfeksi virus
yang memiliki kemungkinan virus tersebut bisa menyerang pengunjung situs anda, maka segera lindungi pengunjung anda dan juga reputasi anda. Yaitu dengan membuat website anda berstatus offline. Bisa dengan menambahkan beberapa baris kode pada .htaccess, maupun mengupload tampilan halaman under construction. Jika anda melakukannya dengan segera, anda memiliki kemungkinan untuk menghindarkan situs anda mendapat predikat “This site may harm your computer” dari Google. Selain itu, penyerang biasanya telah menginstal backdoor script pada halaman index anda yang memungkinkan mereka untuk kembali ke server anda. Menetapkan status offline pada situs anda sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat penyerang tidak bisa masuk melalui backdoor yang telah diinstal.
29
4.
Semua administrators situs melakukan scan pada PC masing-masin Fakta bahwa di
tahun 2009, penyebab nomor satu dari hacking website adalah PC webmaster yang terinfeksi oleh malware. Malware semacam gumblar, dan martuz (yang telah kita bahas pada edisi sebelumnya, red.) Bertindak sebagai jembatan dalam mencuri informasi login FTP dan mengirimkannya ke komputer remote. Komputer remote inilah yang kemudian menyuntik halaman website korban dengan javascript atau iframes tersembunyi yang mengarahkan pengunjung website korban ke website berbahaya yang menyimpan gumblar dan martuz lainnya. Untuk menghindarinya, pastikan setiap orang yang memiliki akses password ke website anda melakukan setidaknya dua kali scan antivirus dan antispyware pada local komputer masing-masing dengan scanner yang bervariasi. Karena selama PC webmaster terinfeksi, mengubah password situs tidak akan berpengaruh sama sekali. Bukankah password baru dengan mudah dapat dicuri lagi? 5.
Ganti semua password anda Setelah PC administrator bebas dari virus dan spyware,
gantilah semua password yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi database, email akun, dan halaman administrator anda. Pergunakan kombinasi password yang kuat Yaitu password yang tidak mudah ditembus karena mengandung kombinasi kata, angka, dan karakter yang rumit. 6.
Upgrade semua third party script ke versi terbaru Serangan semacam Remote File
Inclusion (RFI) memanfaatkan vulnerability pada script versi lama dari script third party kita untuk menyusup ke dalam situs kita. Dan satu-satunya cara untuk menangkal serangan RFI ini adalah menggunakan versi terbaru dari script third party yang telah memiliki kekebalan terhadap RFI. Baik plugin, addon website hingga Content Management System (CMS) anda, segera upgrade ke versi terbaru. Jika anda menggunakan CMS semacam Joomla maupun wordpress, anda bisa mengikuti perkembangan rilis terbaru melalui situs resmi masingmasing CMS yang anda pakai. Update versi wordpress bisa dicek melalui wordpress.org, Joomla pada joomla.org, dan sebagainya. Cek juga situs secunia.com, sebuah situs yang berisi laporan sekuriti setiap third party script. Halaman situs secunia.com mendaftar kerentanan yang ditemukan pada plugin atau addon. Dengan mengecek di halaman tersebut, anda mengetahui apakah third party script yang anda pergunakan aman atau terdapat vulnerability di dalamnya.
30
Beberapa Tips Membuat Password Anti Hacker
Jangan menggunakan password yang sama untuk berbagai macam layanan, misalnya password email Anda sama dengan password facebook. Ini berarti :
seseorang yang
dapat menjebol password facebook Anda, bisa juga menjebol password email Anda. Sementara di mata hacker menjebol password facebook lebih mudah daripada menjebol email Yahoo. Admin atau “orang dalam” facebook tahu password Anda, dia juga bisa memasukkan password tersebut ke email Anda.
Jangan mengklik link di email yang menyatakan Anda harus memverifikasi password Anda. Email ini dikirim oleh hacker.
Jangan memasukkan password disitus selain yang memberikan layanan. Misalnya jangan memasukkan password yahoo di situs facebook untuk alasan apapun (misalnya import address book).
Sebelum login ke email atau yang lain, pastikan URL di browser Anda benar. Misalnya mail.yahoo.com bukan mail.yahoo-ltd.com atau yahoo-verify.com atau facebook.com buka facecrut.com atau yang lain.
Untuk rekening online seperti e-gold, klik BCA, paypal, sebaiknya Anda tidak mengetik password Anda lewat keyboard (karena hacker bisa membaca keyboard Anda dengan program keylogger). Gunakan On Screen Keyboard, Charakter Map, atau copy paste dari huruf acak.
4.3 Pengamanan Insiden pada Web Security Pengamanan Insiden pada Web Security diantaranya adalah: 1.
Enkripsi
(penyandian data), Metode enkripsi atau yang lebih dikenal dengan
kriptografi (cryptograph) adalah metode penyandian suatu pesan atau data yang terkirim melalui jaringan publik dengan menggunakan kunci-kunci (keys) tertentu. 2.
Otentifikasi (Melakukan verifikasi terhadap identitas pengirim dan penerima)
3.
Firewall ( Menyaring serta Melindungi lalu lintas data di jaringan atau server).
Firewall akan bertindak sebagai pelindung atau pembatas terhadap orang-orang yang tidak berhak untuk mengakses jaringan kita. Suatu jaringan yang terhubung ke Internet pasti memiliki IP address (alamat Internet) khusus untuk masing-masing komputer yang terhubung 31
dalam jaringan tersebut. Apabila jaringan ini tidak terlindungi oleh tunnel atau firewall, IP address tadi akan dengan mudahnya dikenali atau dilacak oleh pihak-pihak yang tidak diinginkan. Akibatnya data yang terdapat dalam komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. Dengan adanya pelindung seperti firewall, kita bisa menyembunyikan (hide) address tadi sehingga tidak dapat dilacak oleh pihak-pihak yang tidak diinginkan. Setiap kali sebuah inovasi bisnis E-Commerce baru dirilis, risiko keamanan baru berpose untuk konsumen. Dengan bisnis e-commerce, seluruh penjualan e-commerce di seluruh dunia diproyeksikan akan menembus angka $1.298 triliun pada tahun ini, dan beban menentukan bagaimana bertransaksi online secara aman dan paling sulut jatuh kepada pihak konsumen. Dengan segala resiko yang dihadapinya, berikut Paseban ulas tentang beberapa tips keamanan dalam bisnis E-Commerce yang bisa Anda ikuti. Bagi dengan Kehati-hatian Anda tidak harus berbagi lebih dari yang diperlukan, terutama informasi pribadi yang sangat sensitif seperti jaminan sosial atau nomor kartu kredit atau debit. Penjual menciptakan bentuk-bentuk checkout online dengan kolom untuk untuk rincian relevan untuk mengumpulkan data pelanggan. Lewati pertanyaan yang tidak ditAndai "required"dengan tAnda bintang dan Anda akan secara signifikan meningkatkan anonimitas belanja Anda. Menilai kembali bagaimana Anda bebas berbagi perangkat yang Anda gunakan untuk melakukan pembelian. Jika Anda memiliki aplikasi dompet digital, itu bukan ide yang terbaik untuk membiarkan orang asing menggunakan ponsel Anda untuk membuat panggilan. Kehati-hatian ekstra disarankan jika Anda menggunakan ponsel Anda untuk setiap kegiatan e-commerce. Ponsel jailbreak
umumnya tidak aman untuk digunakan sebagai media
perdagangan, dan ponsel ini cenderung kurang akan fitur keamanan yang hAndal. Berhatihatilah menyimpan username, password, nomor perbankan, dan informasi sensitif lainnya pada ponsel Anda, termasuk dalam aplikasi yang dianggap rahasia. fitur keamanan yang hAndal. Berhati-hatilah menyimpan username, password, nomor perbankan, dan informasi sensitif lainnya pada ponsel Anda, termasuk dalam aplikasi. Jika email terhubung ke ponsel Anda, jangan pernah mengirim informasi yang sangat sensitif kepada orang lain atau bahkan untuk diri sendiri. Perlakukan ponsel Anda seperti kartu kredit Anda.
32
Keamanan juga rentan pada jaringan nirkabel Wi-Fi yang terbuka, atau publik. Ini hampir mustahil untuk secara akurat mengukur seberapa aman jaringan Wi-Fi. Pastikan Anda tidak terhubung dengan jaringan Wi-Fi publik ketika Anda sedang melakukan transaksi. Verifikasi Semua URL Memverifikasi URL sangat penting dalam memecahkan legitimasi setiap situs yang ditemukan melaui iklan dan hyperlink. Setiap link yang disajikan dalam email, komentar media sosial, atau iklan dapat membawa Anda ke situs web palsu. Untuk membuat keadaan menjadi lebih buruk, situs penipu sering hampir tidak bisa dibedakan dari situs yang sah. Terlepas dari bagaimana Anda datang ke sebuah website atau bagaimanawebsite tersebut bersih, periksa URL dari website tersebut. Anda tidak perlu memahami semua bagian dari itu, tapi jika nama domain root (bagian setelah "www.") Tidak sesuai dengan konten situs, kemungkinan Anda harus membeli di tempat lain. Tanyakan Sembelum Membeli Salah satu cara termudah untuk menghindari penipuan online adalah
pastikan Anda
ertransaksi dengan situs yang sah. Selain memeriksa URL untuk validitas, proses dua langkah sederhana ini akan membantu memastikan situs itu asli. Pertama, periksa bahwa situs Anda memiliki "About us" atau "Contact us" " halaman valid dengan informasi kontak yang terdaftar. Kedua, pastikan perusahaan memiliki beberapa jenis akun media sosial. Jika Anda tidak yakin tentang transaksi, maka screenshot halaman konfirmasi dan informasi pascapembelian yang Anda terima pada layar. Screenshot memungkinkan Anda untuk menyimpan rincian yang Anda belum tahu dan belum Anda butuhkan. Gunakan Metode Pembayaran yang Terpisah dari Rekening Bank Meskipun kartu kredit dan kartu debit dapat digunakan sebagai metode pembayaran plastik di dalam toko, penggunaan kartu kredit yang paling baik digunakan untuk metode pembayaran online. Ketika Anda membayar melalui kartu kredit, pembayaran secara teknis berasal dari perusahaan kartu kredit sebagai pinjaman, bukan pembayaran moneter dipotong langsung dari rekening bank Anda. Setiap kesalahan pemrosesan atau biaya kelebihan dapat dengan mudah tertangkap pada laporan kartu kredit Anda. Pembayaran kartu kredit virtual biasanya dibebankan ke kartu kredit atau kartu debit, bukan langsung ke rekening bank Anda, pada dasarnya menawarkan lapisan tambahan perlindungan. Ketika Anda membayar dengan kartu kredit virtual, informasi perbankan Anda tetap terpisah dari pembelian pribadi Anda, 33
sehingga memastikan apakah nomor kartu dicuri, hacker tidak dapat mengakses account Anda atau kembali menggunakan kartu yang dicurangi. Anda Hanya Memiliki Satu Identitas Online, Maka Lindungi Identitas Anda Jika Anda berpikir Anda tidak memiliki identitas online, Anda salah. Yang Anda butuhkan adalah satu alamat email atau akun Facebook, dan Anda sudah memiliki identitas online. Tidak peduli seberapa hati-hati Anda berada dalam lingkup e-commerce, cara terbaik untuk melindungi diri sendiri adalah untuk memantau identitas online Anda aktif. Pembelian online saat ini semakin conodng ke arah penggunaan media sosial, dengan 50 persen dari penjualan Web diproyeksikan akan terjadi melalui media sosial pada tahun 2015. Setiap kali Anda bergabung dengan situs baru melalui "Login dengan Facebook" Anda memperluas identitas online Anda lebih lanjut. Bahkan, kelimpahan situs pertama akan meminta Anda untuk menjadi anggota tidak melalui email, tapi dengan menghubungkan akun media sosial. Bila Anda kemudian pergi untuk bertransaksi di situs pihak ketiga saat log in melalui Facebook atau Twitter, Anda pada dasarnya menghubungkan account dengan kartu kredit.
34
Daftar Pustaka
http://m.portal.paseban.com/?mod=content&act=read&id=119152 http://kabarkibir.blogspot.com/2011/01/faktor-pendorong-kemunculan-dan.html http://kabarkibir.blogspot.com/2011/01/faktor-pendorong-kemunculan-dan.html http://jokosupriyadi18.wordpress.com/2013/04/27/ancaman-dan-solusi-keamanansistem-e-commerce/ Lestari Sri, Prasetya, “Kasus Kejahatan Komputer” Prabowo W. Onno, “Belajar Menjadi hacker” http://bsi133d07-04.blogspot.co.id/p/cyber-law.html http://inet.detik.com/read/2015/08/31/095706/3005339/323/sekilas-tentang-cyber-crimecyber-security-dan-cyber-war
35
36
