Dunia maya (cyberspace)
merupakan istilah mengenai dunia tanpa batas jaringan komputer terbesar di muka
bumi, Internet. Internet sudah sangat berperan dalam kehidupan manusia saat
ini. Banyak aktivitas manusia yang dilakukan berhubungan dengan Internet. Beberapa
aktivitas tersebut misalnya berbelanja secara online, Internet banking,
melamar pekerjaan, berkomunikasi dan lain sebagainya. Segala macam aktivitas di
Internet tersebut dapat disalahgunakan atau mengandung resiko mengenai
kemanannya, terutama keamanan ketika berlangsungnya pentransferan data pada
jaringan. Data yang melewati jaringan komputer bisa disadap, dicuri, atau
dirusak. Data-data yang dicuri dan disalahgunakan tersebut untuk kemudian
digunakan untuk keuntungan pribadi, bahkan dapat digunakan untuk tindak
kejahatan. Segala macam tindak kejahatan di dunia maya (cyberspace) atau kejahatan dengan menggunakan komputer dan
jaringan komputer, untuk kemudian disebut dengan cybercrime.
Secara garis
besar, ancaman terhadap teknologi sistem informasi terbagi dua :
1. Ancaman
Aktif
- Kejahatan terhadap komputer
- Kecurangan
2. Ancaman
Pasif
- Kegagalan sistem
- Kesalahan manusia
- Bencana alam
|
Macam
Ancaman
|
Contoh
|
|
Bencana
alam dan politik
|
|
|
Kesalahan
manusia
|
|
|
Kegagalan
perangkat lunak dan perangkat keras
|
|
|
Kecurangan
dan kejahatan komputer oleh user
|
|
|
Program
yang jahat
|
|
Ada tiga
cara untuk melakukan gangguan terhadap teknologi sistem informasi :
- Data Tampering
- Penyelewengan program
- Penetrasi ke teknologi sistem informasi
Kemampuan hacking hingga saat ini
masih dipandang sebagai skill yang populer di kalangan IT.
Terbukti mulai dari siswa IT hingga para pakar IT
berlomba-lomba untuk mempelajari ilmu hacking ini secara otodidak. Secara umum,
ada dua bentuk serangan terhadap data yang disimpan di jaringan komputer, yaitu
hacking dan cracking. Hacking adalah usaha memasuki secara
ilegal sebuah jaringan dengan maksud bisa hanya sekedar mengamati, menyadap,
mencuri data, dan sebagainya. Adapun Cracking, adalah usaha
memasuki secara ilegal sebuah jaringan dengan maksud menghancurkan atau merusak
data yang disimpan di komputer yang ada di jaringan tersebut. Pelaku hacking
disebut Hacker, dan pelaku cracking disebut Cracker.
Contoh-contoh
cybercrime yang umum diantaranya adalah pornografi dan prostitusi, perjudian
online, pemalsuan jati diri, pencurian, penipuan, pelanggaran privasi,
pelanggaran yang berhubungan dengan kekayaan intelektual, perusakan nama baik,
spam, sabotase, penyerangan jati diri (mencemoh atau mengejek orang lain), SARA
dan sebagainya. Di Indonesia pengaturan perundang-undangan mengenai cybercrime sebagai
dasar hukum terhadap pelanggaran yang terjadi diatur oleh UU HAKI (Hak Atas
Kekayaan Intelektual) No 19 Tahun 2002 dan UU ITE (Informasi dan Transaksi
Elektronik) No 11 Tahun 2008.
Berikut ini
adalah istilah-istilah yang berkenaan dengan kejahatan di dunia maya (cybercrime),
yaitu:
1.
Malware
Malware merupakan
program yang dibuat untuk melakukan suatu tindak kejahatan tertentu oleh suatu
pihak sehingga akan merugikan pengguna yang komputernya terjangkit program ini, malware terdiri
dari:
a. Virus : program yang bertujuan untuk mengubah
cara bekerja komputer tanpa seizin pengguna
b. Worm :
program-program yang menggandakan dirinya secara berulang-ulang di komputer
sehingga menghabiskan sumber daya
c. Trojan Horse: program / sesuatu yang menyerupai program
yang bersembunyi di dalam program komputer kita
d. Spyware:
Program yang diinstal secara diam-diam tanpa sepengetahuan pengguna. Spyware akan
merugikan pengguna karena memungkinkan pihak lain untuk mengumpulkan informasi
penting yang rahasia, seperti keystrokes, user ID, password, alamat
email, history dari halaman web yang dikunjungi korban.
e. Adware: Adware tidak berbeda jauh dengan spyware. Adware akan
memata-matai korban, merekam aktivitas browsing dan download,
kemudian mencoba mempelajari profil korban. Adware kemudian mengirimkan
iklan-iklan di browser sesuai dengan profil korbannya.
f.
BackDoor: Program yang memungkinkan pengguna tak
terotorisasi (tak diizinkan) bisa masuk ke komputer tertentu.
g. Browser Hijackers: perangkat lunak yang bekerja dengan cara
membajak browser. Browser hijacker dapat
mengalihkan url yang kita ketik di browser ke situs-situs tertentu. Tujuannya
untuk meningkatkan jumlah pengunjung situs tersebut. Selain itu browser
hijackers dapat pula mengubah pengaturan browser, seperti mengubah pengaturan
homepage pengguna pada browser dengan homepage yang diatur
oleh pembajak. Browser hijacker dapat pula menginterupsi pencarian
informasi yang dilakukan pengguna menggunakan mesin pencari (search engine)
dengan cara menampilkan hasil pencarian dari mesin pencari pembajak, bukan dari
hasil pencarian dari mesin pencari yang digunakan oleh korban.
2.
Unauthorized Access
Unauthorized Access (penggunaan tak terotorisasi),
merupakan penggunaan komputer atau data-data di dalamnya secara illegal atau
tanpa persetujuan. Kejahatan ini dilakukan dengan cara memasuki komputer atau
jaringan komputer secara tidak sah. Penyusupan dilakukan tanpa izin dan
diam-diam dengan memanfaatkan kelemahan sistem kemanan komputer yang disusupi.
Biasanya penyusupan bertujuan untuk mencuri informasi penting dan rahasia,
sabotase atau hanya sekedar tertantang untuk menguji kemampuannya dan
kehandalan sistem keamanan komputer yang disusupi.
3.
Illegal Content
Merupakan kejahatan yang dilakukan dengan
menyebarkan informasi ke Internet mengenai sesuatu yang tidak benar (HOAX),
tidak sesuai dengan norma dsb dengan tujuan untuk merugikan orang lain atau
menimbulkan kekacauan.
4.
Cyber Espionage
Bentuk kejahatan dunia maya yang dilakukan
dengan memasuki jaringan kompute pihak tertentu atau sebuah negara untuk tujuan
mata-mata. Biasanya dilakukan untuk mencari data-data penting rahasia suatu
negara lain atau perusahaan yang menjadi saingan bisnis.
5.
Data Forgery
Bentuk kejahatan dunia maya yang dilakukan
dengan cara memalsukan data-data.
6.
Cyber Sabotage and Extortion atau Cyber Terrorism
Bentuk cybercrime yang
dilakukan untuk menimbulkan gangguan, pengrusakan, atau penghancuran terhadap suatu
data, program atau jaringan komputer pihak lain. Biasanya kejahatan ini
dilakukan dengan cara memasukan malware yang bersifat merusak.
7.
Infringements of Privacy
Cybercrime yang
dilakukan karena menggunakan hak kekayaan intelektual yang dimiliki pihak lain
di Internet.
8.
Spam
Email atau pesan-pesan lewat media komunikasi
yang tidak diinginkan yang dikirim ke banyak penerima sekaligus.
9.
Spoofing
Tindakan untuk menyusup ke dalam sebuah
jaringan dengan memalsukan alamat IP komputer sehingga dipercaya oleh jaringan.
Dengan cara memalsukan IP Address kemudian pelaku melakukan
serangan ke jaringan yang berhasil disusupi tersebut. Cara ini biasa dilakukan
untuk mengecoh firewall dari jaringan yang menjadi target. Firewall adalah hardware atau software pelindung
agar paket-paket data yang dicurigai dapat dicegah masuk ke dalam jaringan.
Dengan memalsukan IP Address, paket data yang datang tersebut
seolah-olah berasal dari sumber yang terpercaya sehingga firewall akan
membiarkan paket tersebut masuk ke jaringan. Setelah berhasil masuk ke
jaringan, paket data tersebut kemudian menjalankan aksi jahatnya. Aksi jahat
tersebut dapat bermacam-macam, seperti melumpuhkan sistem kemanan sehingga aksi
selanjutnya dapat dilakukan (mencuri data penting atau merusak data).
10. Email Spoofing
Teknik penipuan yang dilakukan dengan cara
memalsukan email header sehingga seolah-olah email tersebut
berasal dari seseorang dan bukan datang dari pengirim sebenarnya. Teknik ini
biasanya dilakukan oleh pelaku spam atau penipu untuk mengelabui korbannya.
Biasanya pelaku menggunakan email spoofing sehingga
seolah-olah email yang dikirimkannya berasal dari lembaga terpercaya atau
sahabat yang korban percaya.
11. Carding
Cybercrime yang
dilakukan dengan melakukan penipuan dengan menggunakan kartu kredit (credit
card fraud). Penipuan tersebut dilakukan dengan cara mencuri data-data
nomor kartu kredit orang lain dan menggunakannya untuk transaksi di Internet. Carding dapat
dilakukan dengan mudah tanpa harus memiliki pengetahuan dalam pemrograman dan
sistem keamanan jaringan. Para pelaku carding biasa disebut
dengan carder. Carder dapat melakukan carding dengan
menggunakan bantuan program spoofing yang banyak dinstall di
situs-situs Internet. Dengan menggunakan program spoofing, seorang carder dapat
menembus jaringan komputer yang sedang melakukan transaksi menggunakan kartu
kredit. Transaksi tersebut direkam untuk kemudian masuk ke email carder untuk
bertransaksi di Internet.
12. Eavesdropping
Tindakan melakukan intersepsi
(mengintip/menguping) secara langsung (realtime) yang tidak diotorisasi
(diijinkan) terhadap komunikasi pribadi seperti telepon, pesan instan, video
conference, atau transmisi fax. Ini merupakan teknik mengintersepsi
jaringan komunikasi korban secara real time. Jaringan
komunikasi itu sendiri contohnya telepon, video call, SMS, fax,
dan lain-lain. Tindakan ini biasanya dilakukan untuk mencuri data yang dikirim
melalui jaringan tanpa dienskrispsi terlebih dahulu. Enkripsi adalah pengubahan
data ke dalam suatu kode untuk tujuan keamanan. Data yang tidak dienkrispsi
memiliki kemungkinan yang lebih besar untuk diintersepsi.
Teknik hacking ini bisa dibilang tergolong
sulit, tapi mudah dilakukan bagi orang yang memiliki wewenang khusus.
Karena untuk melalukan teknik ini, biasanya membutuhkan perangkat tambahan
ataupun sebuah akses khusus.
Berikut adalah beberapa cara untuk mengetahui
saat ada seseorang yang menyerang kamu dengan teknik hacking Eavesdropping :
a.
Apabila yang
diserang adalah jalur komunikasi telepon. Biasanya jalur komunikasi telepon
kita nantinya tidak jernih, akan ada seperti suara berdengung. Di
satu sisi, suara lawan bicara kita juga akan menggema.
b.
Sambungan
jalur telepon akan sering terputus setiap beberapa menit,
meskipun sinyal kamu dan lawan bicara kamu kuat.
c.
Saat kita
menelepon, kadang tersasar ke nomor yang tidak jelas. Padahal kita
sudah memastikan nomor telepon yang dituju.
d.
Apabila yang
diserang adalah jalur komunikasi pesan, biasanya pesan-pesan kamu akan
mengalami delay, bahkan bukan tidak mungkin gagal dikirim.
e.
Pesan akan terkirim
dua kali, bahkan juga menyebabkan biaya pengiriman pesan kamu menjadi dua
kali lipat.
13. Snooping
Tindakan mengakses data orang lain tanpa
otorisasi. Berbeda dengan eavesdropping, snooping tidak terbatas
pada usaha mengakses data pada saat data tersebut dikirimkan. Snooping dapat
saja dilakukan dengan cara mengintip email orang lain pada saat ditampilkan di
monitor atau mengamati seseorang ketika mengetik sesuatu di keyboard.
Cara yang lebih canggih adalah menggunakan perangkat lunak atau perangkat keras
khusus untuk mengintip apa yang ditampilkan dimonitor korban dari tempat lain.
Snooping juga
sering dilakukan dengan menggunakan keylogger. Keylogger bekerja
dengan cara merekam setiap tombol yang ditekan pengguna ketika bekerja dengan
komputer kemudian mengirimkan informasi tersebut ke alamat email seseorang. Hal
ini memungkinkan pelaku snooping dapat mengetahui
informasi-informasi penting milik pengguna, seperti User ID, password, nomor
kartu kredit, akun bank online dan sebagainya. Informasi tersebut kemudian
digunakan oleh pelaku untuk kepentingannya yang dapat merugikan korban.
14. Phishing
Merupakan trik yang dilakukan pelaku
kejahatan untuk mendapatkan informasi rahasia dengan cara menggunakan situs
palsu dan mengarahkan korban agar memasukan data pentingnya di situs palsu
tersebut. Phising dirancang untuk mengecohkan orang lain agar
memberikan data pribadinya ke situs yang disiapkan oleh pelaku. Situs tersebut
dibuat sedemikian rupa sehingga menyerupai situs milik perusahaan tertentu.
Sebagai contoh, pelaku ingin mencuri data penting pengguna sebuah situs bank
online. Maka pelaku akan mengirimkan email ke pengguna situs bank online
bersangkutan seolah-olah email tersebut berasal dari pegawai bank asli. Korban
akan diminta memperbaiki akun bank onlinenya dengan cara membuka link yang
disediakan di email yang dikirimkan. Jika mengklik link tersebut, korban akan
dibawa ke sebuah situs bank online palsu. Di situs tersebut korban akan diminta
untuk memasukan data pentingnya . Jika tidak hati-hati korban akan memasukan
data penting tersebut tanpa curiga karena mengira situs tersebut adalah situs
asli. Selanjutnya, data penting tersebut akan digunakan oleh pelaku phising untuk
keperluan pribadinya yang tentu saja akan sangat merugikan korban.
15. Pharming
Pharming adalah
bentuk lain dari phising, jika phishing menggunakan
email, maka pharming langsung menuju ke web tertentu dengan
cara membajak DNS (Domain Name System) dari situs yang dipalsukan.
16. Denial Of Service
Attack
Merupakan serangan yang bertujuan untuk akses
komputer pada layanan web atau email. Pelaku akan mengirimkan data yang tak
bermanfaat secara berulang-ulang sehingga jaringan akan memblok pengunjung
lainnya.
17. Cookies
Cookies bukan merupakan tindak kejahatan dan
tidak berbahaya. Cookies berguna untuk mempermudah pengguna ketika mengunjungi
sebuah situs sehingga memungkinkan pengguna tersebut tanpa login
berulang-ulang. Ketika kita memberikan tanda ceklis di kotak “Cek Remember Me”
dihalaman situs pada saat login, berarti kita telah mengaktifkan cookies.
Dengan cookies, Data User ID dan password selain disimpan di server yang
bersangkutan maka akan disimpan di harddisk pengguna untuk digunakan langsung
oleh browser, sehingga kita tidak perlu lagi mengetik ulang User ID dan
Password tersebut. Namun, cookies akan menjadi berbahaya ketika komputer
terjangkit spyware yang bekerja membaca data yang ada di cookies
dan menggunakannya untuk keperluan pribadi pembuat/pengirim spyware tersebut.
18. Data Tampering atau Data Diddling
Data Tampering adalah merubah data sebelum,
atau selama proses dan sesudah proses dari teknologi sistem informasi.
Data diubah sebelum diproses yaitu pada waktu
data ditangkap di dokumen dasar atau pada saat diverifikasi sebelum dimasukkan
ke teknologi sistem informasi. Data diubah pada saat proses teknologi sistem
informasi biasanya dilakukan pada saat dimasukkan ke dalam teknologi sistem
informasi. Data diubah setelah proses teknologi sistem informasi yaitu dengan
mengganti nilai keluarannya. Data diubah dapat diganti, dihapus atau ditambah.
Kegiatan data tampering ini biasanya banyak dilakukan oleh
orang dalam perusahaan itu sendiri.
19. Round Down
Technique
Teknik ini merupakan bagian program yang akan
membulatkan nilai pecahan ke dalam nilai bulat dan mengumpulkan nilai-nilai
pecahan yang dibulatkan tersebut. Bila diterapkan di bank misalnya, pemrogram
dapat membulatkan ke bawah semua biaya bunga yang dibayarkan ke nasabah, dan
memasukkan pecahan yang dibulatkan tersebut ke rekeningnya.
20. Salami Slicing
Merupakan bagian program yang memotong
sebagian kecil dari nilai transaksi yang besar dan menggumpulkan
potongan-potongan ini dalam suatu periode tertentu.
Misalnya suatu akuntan di suatu perusahaan di
California menaikkan sedikit secara sistematik biaya-biaya produksi.
Bagian-bagian yang dinaikkan ini kemudian dikumpulkan selama periode tertentu
dan diambil oleh akuntan tersebut.
21. Super Zapping
Adalah penggunaan tidak sah dari program
utiliti Superzap yang dikembangkan oleh IBM untuk melewati beberapa
pengendalian-pengendalian sistem yang kemudian melakukan kegiatan tidak legal.
22. Bom Logika atau Bom Waktu (Logic bomb atau
Time bomb)
Bom logika atau bom waktu adalah suatu
program yang beraksi karena dipicu oleh sesuatu kejadian atau setelah selang
waktu berlalu. Program ini biasanya ditulis oleh orang dalam yang akan
mengancam perusahaan atau membalas dendam kepada perusahaan karena sakit hati.
Contoh kasus bom waktu terjadi di USPA,
perusahaan asuransi di Forth Worth. Donal Burkson, seorang programmer pada
perusahaan tersebut dipecat karena sesuatu hal. Dua hari kemudian, sebuah bom
waktu mengaktifkan dirinya sendiri dan menghapus kira-kira 160.000
rekaman-rekaman penting pada komputer perusahaan tersebut.
23. Piggybacking
Piggybacking adalah menyadap jalur telekomunikasi
dan ikut masuk ke dalam sistem komputer bersama-sama dengan pemakai sistem
komputer yang resmi.
24. Masquerading atau Impersonation
Masquerading atau Impersonation yaitu
penetrasi ke sistem komputer dengan memakai identitas dan password dari orang
lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.
25. Scavenging
Scavenging yaitu penetrasi ke sistem komputer
dengan memperoleh identitas dan password dari mencari di dokumen-dokumen
perusahaan. Data identitas dan password diperoleh dari beberapa cara mulai dari
mencari dokumen di tempat sampah sampai dengan mencarinya di memori-memori
komputer.
CARA
MENANGGULANGI ANCAMAN/ GANGGUAN TERHADAP TEKNOLOGI SISTEM INFORMASI
1.
Pengendalian
akses.
Pengendalian akses dapat dicapai dengan tiga
langkah, yaitu:
a.
Identifikasi
pemakai (user identification).
Mula-mula
pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang
diketahuinya, seperti kata sandi atau password. Identifikasi tersebut dapat
mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon.
b.
Pembuktian
keaslian pemakai (user authentication).
Setelah
melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan
menyediakan sesuatu yang ia punya, seperti kartu id (smart card, token dan
identification chip), tanda tangan, suara atau pola ucapan.
c.
Otorisasi
pemakai (user authorization).
Setelah
melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut
dapat diberi hak wewenang untuk mengakses dan melakukan perubahan dari suatu
file atau data.
2.
Memantau
adanya serangan pada sistem.
Sistem pemantau (monitoring system) digunakan
untuk mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau
adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder
detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau
melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya penyusup.
Ada yang bersifat aktif dan pasif. IDS cara yang pasif misalnya dengan
melakukan pemantauan pada logfile.
3.
Penggunaan
Enkripsi.
Salah satau mekanisme untuk meningkatkan keamanan
sistem yaitu dengan menggunakan teknologi enkripsi data. Data-data yang
dikirimkan diubah sedemikian rupa sehingga tidak mudah diketahui oleh orang
lain yang tidak berhak.
Tidak ada komentar:
Posting Komentar