Keamanan Komputer

ASPEK KEAMANAN KOMPUTER :

Menurut Garfikel (Simson Garfikel, “PGP: Pretty Good Privacy”,O’Reilly & Associ-Ates, Inc.,,1995.)

1. Privacy / Confidentiality
Definisi : Menjaga Informasi dari orang yang tidak berhak mengakses
Pricacy : lebih kearah data-data yang sifatnya privat, contoh : email seorang pemakai (user) tidak boleh dibaca oleh administrator.
Confidentiality : berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk kepentingan tertentu tersebut.
Contoh : data-data yang sifatnya pribadi (seperti nama,tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah didertita, nomor kartu kredit dsb….)harus dapat di proteksi dalam penggunaan dan penyebarannya.
Bentuk Serangan : usaha penyadapan (dengan program sniffer).
Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan teknologi kriptografi.

2. Integrity
Definisi : Informasi tidak boleh diubah tanpa seijin pemilik informasi.
Contoh : email di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
Bentuk Serangan : Adanya virus, Trojan Horse atau pemakai lain yang mengubah informasi tanpa iin “man in the middle attack” dimana seseorang menempatkan diri di tengan pembicaraan dan menyamar sebagai oranglain.

3. Authentication
Definisi : Metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau orang yang memberikan informasi adalah betul-betul orang yang dimaksud.
Dukungan :
Adanya tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking (untuk menjaga “Intellectual Property”, yaitu menandai dokumen atau hasil karya dengan “tanda tangan” pembuat) dan digital signature.
Access Control, yaitu berkaitan dengan pembatasan orang yang dapat mengakases informasi. User harus menggunakan password, biometric(ciri-ciri khas orang), dan sejenisnya

4. Avaibility
Definisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Contoh Hambatan :
“Denial of service attack” (Dos Attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
Mailbomb, dimana seorang pemakai dikirimi email bertubi-tiubi (katakan ribuan email)dengan ukurann yang besar sehingga sang pemakai tidak dapat membuka email atau kesulitan mengakses emailnya.

5. Access Control
Definisi : cara pengaturan akses kepada informasi. Berhubungan dengan masalah Authentication dan juga privacy
Metode : menggunakan kombinasi user id/password dengan menggunakan mekanisme lain.

6. Non-Repudiation
Definisi : Aspek ini menjaga agar seorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan bagi electronic commerce.


SECURITY ATTACK MODELS

Menurut W.Stailing (William Stailings,”Network and Internetwork Security”,”Pretince Hall, 1995). Serangan (attack) terdiri dari :

Interuption : perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah”Denial of service attack”
Interception : pihak yang tidak berwenang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
Modification : pihak yang tidak berwenang tidak saja berhasil mengkases, akan tetapi dapat juga merubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesa yang merugikan pemilik web site.
Fabrication : pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.contoh dari serangan ini adalah memasukan pesan-pesan palsu seperti email palsu ke dalam jaringan komputer.

SECURITY BREACH ACCIDENT

1996 :
U.S. Federal Computer Incident response Capability (FedCIRC) melaporkan bahwa lebih dari 2500 “insiden” di system komputer atau jaringan komputer yang disebabkan oleh gagalnya sistem keamanan atau adanya usaha untuk membibol sistem keamanan.

1996 :
FBI National Computer Crimes Squad, washington D.C memperkirakan kejahatn komputer yang terdeteksi kurang dari 15% dan hanya 10% dari angka itu yang dilaporkan.

1997 :
Penelitian Deloitte Touch Tohmatsu menunjukan bahwa dari 300 perusahaan di Australia, 37% (dua diantara lima) pernah mengalami masalah keamanan sistem komputernya.

1996 :
Inggris, NCC Information Security Breaches Survey menunjukan bahwa kejahatan komputer menaik 200% dari tahun 1995 ke 1996. Kerugian ini rata-rata US $30.000/insiden

1998 :
FBI melaporkan bahwa kasus persidangan yang berhubungan dengan kejahatan komputer meroket 950% dari tahun 1996 ke tahun 1997, dengan penangkapan dari 4 ke 42, dan terbukti (convicted) di pengadilan naik 88% dari 16 ke 30 kasus. Dann lain-lain. Dapat dilihat di www.cert.org.

Contoh akibat dari jebolnya sistem keamanan, antara lain:

1988 :
Keamanan sitem mail sendmail dieksploitasi oleh robert tapan moris sehingga melumpuhkan sistem internet. Kegiatan ini dapat diklasifikasikan sebagai “Denial of service Attack”. Diperkirakan biaya yang digunakan untuk memperbaiki dan hal lain-lainyang hilang adalah sekitar $100juta. Di tahun 1990 Morris dihukum (convvicted) dan hanya didenda $10.000.

10 Maret 1997 : Seorang hacker dari Massachusset berhasil mematikan sistem telekounikasi di sebuah airport local (worcester, Massachusset) sehingga mematikan komunikasi di control tower dan enghalau pesawat yang hendak mendarat. Dia juga mengacaukan sistem telepone di rutland, Masschussets. Http://www.news.com/News/Item/Textonly/0,25,20278,00.html?pfv

1990 :
Kevin Poulsen mengambil alih sistem komputer telekomunikasi di Los Angeles untuk memenangkan kuis di sebuah radio lokal.

1995 :
Kevin Mitnick,mencuri 20.000 nomor kartu kredit, menyalin sistem operasi DEC secara illegal dan mengambil alih hubungan telepon di New York dan California.

1995 :
Vladimir Levin membobol bank-bank dikawasan Wallstreet, mengambil uang sebesar $10 juta.

2000 :
Fabian Clone menjebol situs aetna.co.id dan jakarta mail dan membuat directory atas namanya berisi peringatan terhadap administrator situs tersebut.

2000 :
Beberapa web site indonesia sudah di jebol dan daftarnya( beserta contoh halaman yang sudah dijebol) dapat dilihat dikoleksihttp://www.2600.com

2000 :
Wenas, membuat server sebuah ISP di singapura down.