bungi
customer yang telah bertransaksi untuk mengulang kembali transaksinya
di form yang disediakan olehnya.
d. pencurian surat, password.
e. penyuapan, kekerasan.
10.4 Membedakan Sumber daya internal dan Eksternal
Memanfaatkan teknologi firewall yang memisahkan network internal dengan
network eksternal dengan rule tertentu.
Sistem Otentikasi User :
Defenisi : yaitu proses penentuan identitas dari seseorang yang sebenarnya,
hal ini diperlukan untuk menjaga keutuhan ( integrity ) dan keamanan (
71
security) data, pada proses ini seseorang harus dibuktikan siapa dirinya
sebelum memakai layanan akses.
10.5 Upaya untuk lebih mengamankan proteksi password, antara lain :
a. Salting : Menambahkan string pendek ke string password yang diberikan
pemakai sehingga mencapai panjang password tertentu.
b. One time password : Pemakai harus mengganti password secara teratur.
Upaya ini membatasi peluang password telah diketahui atau dicoba‐coba
pemakai lain. Bentuk ekstrim pendekatan ini yaitu one time password,
yaitu pemakai mendapat satu buku berisi daftar password. Setiap kali
pemakai login, pemakai memakai password berikutnya yang
terdapat di daftar password. Dengan one time password, pemakai
direpotkan keharusan menjaga agar buku passwordnya jangan sampai
dicuri.
c. Satu daftar panjang pertanyaan dan jawaban : Variasi terhadap
password yaitu mengharuskan pemakai memberi satu daftar
pertanyaan panjang dan jawabannya. Pertanyaan‐pertanyaan dan
jawabannya dipilih pemakai sehingga pemakai mudah mengingatnya dan
tak perlu menuliskan di kertas.
d. Pada saat login, komputer memilih salah satu dari pertanyaan‐
pertanyaan secara acak, menanyakan ke pemakai dan memeriksa
jawaban yang diberikan. Tantangan tanggapan (chalenge response).
Pemakai diberi kebebasan memilih suatu algoritma, misalnya x3. Ketika
pemakai login, komputer menuliskan di layar angka 3. Dalam kasus
ini pemakai mengetik angka 27. Algoritma dapat berbeda di pagi,
sore, dan hari berbeda, dari terminal berbeda, dan seterusnya.
Contoh Produk Otentikasi User, antara lain :
a. Secureid ACE (Access Control Encryption) : System token hardware
seperti kartu kredit berdisplay, pemakai akan menginput nomor pin
yang diketahui bersama, lalu memasukkan pascode bahwa dia
pemilik token.
b. S/key (Bellcore) : System software yang membentuk one time password
(OTP) berdasarkan informasi login terkhir dengan aturan random tertentu.
c. Password Authentication Protocol (PAP) : Protokol dua arah untuk PPP
(Point to point Protocol). Peer mengirim pasangan user id dan password,
authenticator menyetujuinya.
d. Challenge Handshake Authentication Protocol (CHAP) : S/key pada PAP,
protocol 3 arah, authenticator mengirim pesan tantangan ke peer, peer
menghitung nilai lalu mengirimkan ke authenticator, authenticator
menyetujui otentikasi jika jawabannya sama dengan nilai tadi.
e. Remote Authentication Dial‐in User Service (RADIUS) : Untuk hubungan
dial‐up, memakai network access server, dari suatu host yang
menjadi client RADIUS, merupan system satu titik akses.
f. Terminal Access Controller Access Control System (TACACS) : Protokol
keamanan berbasis server dari CISCO System. Secury\ity Server
terpusat dangan file password UNIX, database otentikasi, otorisasi dan
akunting, fungsi digest (transmisi password yang tidak polos).
72
10.6 Melindungi Aset Organisasi
Secara Administratif\Fisik
• Rencana kemungkinan terhadap bencana Program penyaringan calon
pegawai system informasi Program pelatihan user Kebijakan akses
network
Secara Teknis
• Penerapan Firewall Istilah pada penerapan Firewall Host Suatu sistem
komputer yang terhubung pada suatu network. Bastion Host Sistem
komputer yang harus memiliki tingkat sekuritas yang tinggi sebab sistem
ini rawan sekali terhadap serangan hacker dan cracker, sebab biasanya
mesin ini diekspos ke network luar (Internet) dan merupakan titik kontak
utama para user dari internal network.
10.7 Virtual Private
Network atau VPN yaitu suatu jaringan pribadi yang dibuat dengan
memakai jaringan publik, atau dengan kata lain menciptakan suatu WAN
yang sebenarnya terpisah baik secara fisikal maupun geografis sehingga
secaralogikal membentuk satu netwok tunggal, paket data yang mengalir antar
site maupun dari user yang melakukan remoteakses akan mengalami enkripsi
dan authentikasi sehingga menjamin keamanan, integritas dan validitas data.
Cara membentuk VPN
1. Tunnelling Sesuai dengan arti tunnel atau lorong, dalam membentuk
suatu VPN ini dibuat suatu tunnel di dalam jaringan publik untuk
menghubungkan antara jaringan yang satu dan jaringan lain dari suatu
grup atau perusahaan.yang ingin membangun VPN ini . Seluruh
komunikasi data antarjaringan pribadi akan melalui tunnel ini, sehingga
orang atau user dari jaringan publik yang tidak memiliki izin untuk masuk
tidak akan mampu untuk menyadap, mengacak atau mencuri data yang
melintasi tunnel ini. Ada beberapa metode tunelling yang umum dipakai,
di antaranya: - IPX To IP Tunnelling, atau - PPP To IP Tunnelling IPX To
IP tunnelling biasa digunakan dalam jaringan VPN Novell Netware. Jadi
dua jaringan Novell yang terpisah akan tetap dapat saling melakukan
komunikasi data melalui jaringan publik Internet melalui tunnel ini tanpa
kuatir akan adanya gangguan pihak ke-3 yang ingin mengganggu atau
mencuri data. Pada IPX To IP tunnelling, paket data dengan protokol IPX
(standar protokol Novell) akan dibungkus (encapsulated) terlebih dahulu
oleh protokol IP (standar protokol Internet) sehingga dapat melalui tunnel
ini pada jaringan publik Internet. Sama halnya untuk PPP To IP
tunnelling, di mana PPP protokol diencapsulated oleh IP protokol. Saat ini
beberapa vendor hardware router seperti Cisco, Shiva, Bay Networks
sudah menambahkan kemampuan VPN dengan teknologi tunnelling pada
hardware mereka.
2. Firewall Sebagaimana layaknya suatu dinding, Firewall akan bertindak
sebagai pelindung atau pembatas terhadap orang-orang yang tidak
berhak untuk mengakses jaringan kita. Umumnya dua jaringan yang
terpisah yang memakai Firewall yang sejenis, atau seorang remote
user yang terhubung ke jaringan dengan memakai software client
73
yang terenkripsi akan membentuk suatu VPN, meskipun media
penghubung dari kedua jaringan ini atau penghubung antara
remote user dengan jaringan ini yaitu jaringan publik seperti
Internet. Suatu jaringan yang terhubung ke Internet pasti memiliki IP
address (alamat Internet) khusus untuk masing-masing komputer yang
terhubung dalam jaringan ini . jika jaringan ini tidak terlindungi
oleh tunnel atau firewall, IP address tadi akan dengan mudahnya dikenali
atau dilacak oleh pihak-pihak yang tidak diinginkan. Akibatnya data yang
terdapat dalam komputer yang terhubung ke jaringan tadi akan dapat
dicuri atau diubah. Dengan adanya pelindung seperti firewall, kita bisa
menyembunyikan (hide) address tadi sehingga tidak dapat dilacak oleh
pihak-pihak yang tidak diinginkan. Kemampuan firewall dalam
penerapannya pada VPN IP Hiding/Mapping. Kemampuan ini
mengakibatkan IP address dalam jaringan dipetakan atau ditranslasikan
ke suatu IP address baru. Dengan demikian IP address dalam jaringan
tidak akan dikenali di Internet. Privilege Limitation. Dengan kemampuan
ini kita dapat membatasi para user dalam jaringan sesuai dengan
otorisasi atau hak yang diberikan kepadanya. Misalnya, User A hanya
boleh mengakses home page, user B boleh mengakses home page, dan
news, sedangkan user C hanya boleh mengakses . Outside Limitation.
Dengan kemampuan ini kita dapat membatasi para user dalam jaringan
untuk hanya mengakses ke alamat-alamat tertentu di Internet di luar dari
jaringan kita. Inside Limitation. Kadang-kadang kita masih
memperbolehkan orang luar untuk mengakses informasi yang tersedia
dalam salah satu komputer (misalnya Web Server) dalam jaringan kita.
10.8 Keuntungan Firewall
Firewall merupakan fokus dari segala keputusan sekuritas. Hal ini
disebabkan sebab Firewall merupakan satu titik tempat keluar masuknya
trafik internet pada suatu jaringan.
Keuntungan pada firewall yaitu :
1. Firewall dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali
service - service yang digunakan di Internet. Tidak semua service
ini aman digunakan, oleh sebab nya Firewall dapat berfungsi
sebagai penjaga untuk mengawasi service - service mana yang dapat
digunakan untuk menuju dan meninggalkan suatu network.
2. Firewall dapat mencatat segala aktivitas yang berkaitan dengan alur data
secara efisien. Semua trafik yang melalui Firewall dapat diamati dan
dicatat segala aktivitas yang berkenaan dengan alur data ini .
Dengan demikian Network Administrator dapat segera mengetahui jika
terdapat aktivitas-aktivitas yang berusaha untuk menyerang internal
network mereka.
3. Firewall dapat digunakan untuk membatasi pengunaan sumberdaya
informasi. Mesin yang memakai Firewall merupakan mesin yang
terhubung pada beberapa network yang berbeda, sehingga kita dapat
membatasi network mana saja yang dapat mengakses suatu service
yang terdapat pada network lainnya.
74
10.9 Kelemahan Firewall :
1. Firewall tidak dapat melindungi network dari serangan koneksi yang tidak
melewatinya (terdapat pintu lain menuju network ini ).
2. Firewall tidak dapat melindungi dari serangan dengan metoda baru yang
belum dikenal oleh Firewall.
3. Firewall tidak dapat melindungi dari serangan virus.
Gambar 10.1 Contoh Proxy firewall
Gambar 10.2 Contoh kerja firewall
10.10 Tipe Firewall
1. Packet Filter
Jenis firewall yang pertama ini merupakan jenis yang paling simple.
Firewall yang satu ini merupakan sebuah computer yang dibekali dengan dua
buah Network Interface Card (NIC) yang mana fungsinya menyaring berbagai
paket yang masuk. Umumnya, perangkat ini dikenal dengan packet-filtering
router.
2. Circuit Level Gateway
Jenis berikutnya yaitu Circuit Level Gateway. Jenis ini umumnya baerupa
komponen suatu proxy server. Tidak hanya itu, firewall ini beroperasi
dalam level yang memang lebih tinggi pada model referensi OSI ketimbang
jenis Packet Filter Firewall. Firewall ini tepatnya bekerja pada lapisan sesi
(session layer). Adapun modifikasi dari jenis firewall ini cukup berguna bagi
siapa saja yang ingin menyembunyikan informasi yang berkaitan dengan
jaringan terproteksi, meskipun firewall jenis ini tak melakukan penyaringan
atas beragam paket individual dalam suatu koneksi.
3. Application Level
Jenis selanjutnya kita kenal dengan Application Level Firewall yang mana
jenis ini dapat disebut sebagai Application Level Gateway atau application
proxy. pemakaian firewall ini akan mengakibatkan tidak dibolehkannya paket
untuk masuk melewati firewall ini secara langsung. Namun demikian,
75
aplikasi proxy pada suatu computer yang mengaktifkan firewall akan
mengalihkan permintaan ini pada layanan yang ada dalam jaringan
privat. Kemudian meneruskan respons permintaan ini ke computer atau
PC yang pertama kail membuat permintaan dimana letaknya berada di
jaringan publik.
4. Network Address Translation (NAT)
Disingkat dengan NAT, jenis firewall yang satu ini menyediakan proteksi
secara otomatis terhadap system di balik firewall. Pasalnya, Firewall berjenis
NAT ini hanya mengizinkan koneksi dari computer yang letaknya di balik
firewall. Sementara itu, tujuan NAT firewall yaitu melakukan multiplexing pada
lalu lintas jaringan internal lalu menyampaikannya ke jaringan semacam WAN,
MAN ataupun jaringan Internet yang memang lebih luas jaringannya. Hal ini
membuat paket ini seolah-olah berasal dari sebuah IP address. Di
samping itu, NAT membuat tabel yang berisikan informasi tentang koneksi
yang dijumpai oleh firewall. Fungsi dari tabel ini yaitu memetakan alamat suatu
jaringan internal ke eksternalnya. Adapun kemampuan dalam meletakkan
seluruh jaringan di balik IP address berdasarkan pada pemetaan port-port
NAT firewall.
5. Stateful Firewall
Jenis Firewall yang satu ini dikenal sebagai sebuah firewall dengan
fungsinya dalam menggabungkan berbagai keunggulan yang biasanya
ditawarkan oleh firewall berjenis packet filtering, Proxy dan Circuit Level dalam
suatu system. Firewall jenis ini dapat melakukan filtering pada lalu lintas atas
dasar karakteristik paket, sebagaimana halnya filtering berjenis packet filtering
serta memiliki pengecekan pada sesi koneksi guna meyakinkan kalau sesi
koneksi ini diizinkan.
6. Virtual Firewall
Yang perlu juga anda ketahui yaitu adanya virtual firewall dimana nama
virtual ini yaitu sebutan yang dialamatkan pada firewall logis tertentu
yang berada dalam suat perangkat fisik (seperti computer maupun perangkat
firewall yang lain). Pengaturan dari firewall ini memperbolehkan beberapa
network untuk dapat diproteksi oleh firewall yang memiliki keunikan dimana
fungsinya menjalankan kebijakan keamanan system yang tentunya unik juga,
cukup dengan memanfaatkan sebuah perangkat. Dengan memanfaatkan
firewall ini , sebuah ISP atau Internet Service Provider dapat
menghadirkan layanan firewall untuk para pelanggannya agar lalu lintas dari
jaringan mereka akan selalu aman, yaitu hanya dengan memfungsikan
sebuah perangkat. Tentunya, ini akan menjadi langkah penghematan biaya
(efisiensi) yang signifikan, walaupun firewall jenis yang satu ini hanya
ditemukan pada firewall yang berasal dari kelas atas, misalnya Cisco PIX 535.
7. Transparent Firewall
Di antara jenis-jenis firewall yang telah disebutkan sebelumnya, jangan pernah
lupakan jenis yang terakhir, yaitu Transparent Firewall. Jenis ini bisa juga
disebut dengan bridging firewall yang mana bukanlah merupakan firewall
murni, akan tetapi hanya sebuah turunan atas satateful firewall. Transparent
76
firewall melakukan apa saja yang dapat dilakukan oleh firewall jenis packet
filtering, sebagaimana halnya stateful firewall serta tak Nampak oleh
pengguna. Maka dari itu jenis firewall yang satu ini bernama Transparent
Firewall.
10.11 Application Gateway
1. Proxy
Istilah umum pada teknik jaringan yaitu proses yang berada antara client
dan server proses. proxy yang berjalan dalam komputer yang menjalankan
firewall akan meneruskan permintaan ini kepada layanan yang tersedia
dalam jaringan privat dan kemudian meneruskan respons dari permintaan
ini kepada komputer yang membuat permintaan pertama kali yang
terletak dalam jaringan publik yang tidak aman.
a. Dari sisi client : proxy mewakili server, Application Level Firewall juga
umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada
pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai
contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah
application layer gateway, proxy ini dapat dikonfigurasikan untuk
mengizinlan beberapa perintah FTP, dan menolak beberapa perintah
lainnya.
b. Dari sisi server : proxy mewakili client , Jenis ini paling sering di
implementasikan pada proxy SMTP sehingga mereka dapat menerima
surat elektronik dari luar (tanpa menampakkan alamat e-mail internal),
lalu meneruskan e-mail ini kepada e-mail server dalam jaringan.
c. Umumnya proxy : terkait dengan konteks aplikasi. yang umumnya juga
merupakan komponen dari sebuah proxy server. Firewall ini tidak
mengizinkan paket yang datang untuk melewati firewall secara langsung.
Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan
firewall akan meneruskan permintaan ini kepada layanan yang
tersedia dalam jaringan privat dan kemudian meneruskan respons dari
permintaan ini kepada komputer yang membuat permintaan
pertama kali yang terletak dalam jaringan publik yang tidak aman.
d. Security : Proxy dapat menerap kan(enforce) kebijakan keamanan dalam
memberi kan services dari suatu aplikasi , Tetapi, sebab adanya
pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer
yang dikonfigurasikan sebagai application gateway memiliki spesifikasi
yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan
packet-filter firewall.
10.12 Cont. Proxy
1. proxy SOCKS (kaus kaki) :
PSOCKS proxy server yaitu server proxy generik. SOCKS yaitu pintu
gerbang sirkuit-tingkat bagian bawah yaitu David Koblas dikembangkan
pada tahun 1990, sejak itu telah standar terbuka sebagai standar Internet
RFC. Socks tidak diwajibkan untuk mengikuti sistem operasi tertentu, platform
aplikasi, proxy Socks dan proxy aplikasi-lapisan, HTTP proxy lapisan yang
berbeda, proxy Socks hanya melewati paket data yang tidak peduli apa jenis
protokol aplikasi (seperti FTP, HTTP dan permintaan NNTP) . Oleh sebab itu,
aplikasi proxy Socks proxy lapisan dari yang lain lebih cepat. Hal ini biasanya
77
terkait dengan 1080 port server proxy. Jika Anda berada di jaringan
perusahaan atau jaringan kampus, harus melalui firewall atau melalui server
proxy untuk mengakses Internet mungkin perlu untuk memakai SOCKS.
Secara umum, untuk pengguna dial-up tidak perlu memakai nya. Catatan,
ketika browsing web proxy server sering memakai proxy http khusus,
SOCKS itu berbeda. Oleh sebab itu, Anda dapat mengunjungi situs web tidak
berarti Anda selalu dapat mengakses internet melalui SOCKS. Umumnya
digunakan firewall, atau SOCKS proxy dukungan perangkat lunak. HTTP
Proxy yaitu menerima dan menolak user melalui HTTP / TCP.
Contoh kebijakan keamanan dalam proxy, yaitu:
1. Kebijakan membatasi akses ke direktory tertentu di web server untuk user
tertentu / remote site.
2. memakai filter port 80, tidak efektif sebab melakukan blok pada
keseluruhan akses.
EVALUASI KEAMANAN SISTEM INFORMASI
11.1 pemicu Masalah Dalam Sistem
Sebab masalah keamanan harus selalu dimonitor, yaitu :
a. Ditemukannya lubang keamanan (security hole) yang baru. Perangkat
lunak dan perangkat keras biasanya sangat kompleks sehingga tidak
mungkin untuk diuji seratus persen. Kadang-kadang ada lubang
keamanan yang ditimbulkan oleh kecerobohan implementasi.
b. Kesalahan konfigurasi. Kadang-kadang sebab lalai atau alpa, konfigurasi
sebuah sistem kurang benar sehingga menimbulkan lubang keamanan.
Misalnya mode (permission atau kepemilikan) dari berkas yang
menyimpan password (/etc/passwd di sistem UNIX) secara tidak sengaja
diubah sehingga dapat diubah atau ditulis oleh orang-orang yang tidak
berhak.
c. Penambahan perangkat baru (hardware dan/atau software) yang
menyebabkan menurunnya tingkat security atau berubahnya metoda
untuk mengoperasikan sistem. Operator dan administrator harus belajar
lagi. Dalam masa belajar ini banyak hal yang jauh dari sempurna,
misalnya server atau software masih memakai konfigurasi awal dari
vendor (dengan password yang sama).
Ada dua pemicu dan masalah dalam sistem keamanan jaringan:
Serangan yang berasal dari luar
1. DoS ( Denial of Service ), merupakan serangan yang dilancarkan melalui
paket-paket jaringan tertentu, biasanya paket-paket sederhana dengan
jumlah yang besar dengan maksud mengacaukan keadaan jaringan
2. IP Spoofing, juga dikenal sebagai Source Address Spoffing, yaitu
pemalsuan alamat IP attacker
3. Malware, serangan yang dilakukan ketika attacker menaruh program-
program penghancur, seperti virus
4. FTP Attack, yaitu serangan buffer overflow yang diakibatkan oleh
perintah malformed. Tujuannya yaitu untuk mendapatkan command
shell, yang akhirnya user ini dapat mengambil source di dalam
jaringan tanpa adanya otorisasi.
5. Sniffer, yaitu usaha untuk menangkap setiap data yang lewat dari suatu
jaringan ( dapat berupa password ).
Serangan dari dalam
1. Password Attack, usaha penerobosan suatu sistem jaringan dengan cara
memperoleh password dari jaringan ini .
2. Merusak file server
3. Deface web server,
Kerawanan yang terdapat dalam web server yaitu :
79
1. Buffer overflow, hal ini terjadi sebab attacker menambah errors pada port
yang digunakan untuk web trafic
2. Httpd,
3. Bypasses,
4. Cross scripting
5. kode vulnerabilities
6. floods
11.2 Sumber lubang keamanan jaringan
Lubang keamanan (security hole) dapat terjadi sebab beberapa hal yaitu
salah disain (design flaw), salah implementasi, salah konfigurasi, dan salah
pemakaian .
1. Salah Disain (design flaw)
Umumnya jarang terjadi. Akan tetapi jika terjadi sangat sulit untuk
diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan
dengan baik, kelemahan dari sistem akan tetap ada.
Contoh :
a. Lemah disainnya algoritma enkripsi ROT13 atau Caesar cipher, dimana
karakter digeser 13 huruf atau 3 huruf. Meskipun diimplementasikan
dengan programming yang sangat teliti, siapapun yang mengetahui
algoritmanya dapat memecahkan enkripsi ini .
b. Kesalahan disain urutan nomor (sequence numbering) dari paket TCP/IP.
Kesalahan ini dapat dieksploitasi sehingga timbul masalah yang dikenal
dengan nama “IP spoofing” (sebuah host memalsukan diri seolah-olah
menjadi host lain dengan membuat paket palsu setelah engamati urutan
paket dari host yang hendak diserang).
2. Implementasi kurang baik
Banyak program yang diimplementasikan secara terburu-buru sehingga
kurang cermat dalam pengkodean. Akibat tidak adanya cek atau testing
implementasi suatu program yang baru dibuat.
Contoh:
a. Tidak memperhatikan batas (“bound”) dari sebuah “array” tidak dicek
sehingga terjadi yang disebut out-of-bound array atau buffer overflow
yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya).
b. Kealpaan memfilter karakter-karakter yang aneh-aneh yang dimasukkan
sebagai input dari sebuah program sehingga sang program dapat
mengakses berkas atau informasi yang semestinya tidak boleh diakses.
3. Salah konfigurasi
Meskipun program sudah diimplementasikan dengan baik, masih dapat
terjadi lubang keamanan sebab salah konfigurasi.
Contoh :
a. Berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak
sengaja menjadi “writeable”. jika berkas ini merupakan berkas
yang penting, seperti berkas yang digunakan untuk menyimpan
password, maka efeknya menjadi lubang keamanan. Kadangkala sebuah
komputer dijual dengan konfigurasi yang sangat lemah.
80
b. Adanya program yang secara tidak sengaja diset menjadi “setuid root”
sehingga ketika dijalankan pemakai memiliki akses seperti super user
(root) yang dapat melakukan apa saja
4. Salah memakai program atau sistem
Salah pemakaian program dapat juga mengakibatkan terjadinya lubang
keamanan.
Contoh:
Kesalahan memakai program yang dijalankan dengan memakai
account root (super user) dapat berakibat fatal.
11.3 Pengujian Keamanan sistem
Disebab kan banyaknya hal yang harus dimonitor, administrator dari sistem
informasi membutuhkan “automated tools”, perangkat pembantu otomatis,
yang dapat membantu menguji atau meng-evaluasi keamanan sistem yang
dikelola. Untuk sistem yang berbasis UNIX dan Windows NT ada beberapa
tools yang dapat digunakan, antara lain:
Contoh Tools Terintegrasi:
Tabel 11.1 Tools yang terintegrasi
Perangkat lunak
bantu
Sistem Operasi
Cops UNIX Cops UNIX
Tripwire UNIX Tripwire UNIX
Satan/Saint UNIX Satan/Saint UNIX
SBScan: localhost
security scanner UNIX
SBScan: localhost
security scanner
UNIX
Ballista
<http://www.secnet.com>
Windows NT
Ballista
<http://www.secnet.c
om> Windows NT
Penetration Test (pentest) merupakan kegiatan yang dilakukan untuk
melakukan pengujian terhadap keamanan sebuah sistem. Pengujian ini
dilakukan untuk menemukan celah keamanan yang terdapat pada sistem
ini . Hasil pengujian ini digunakan untuk memperbaiki sisi keamanan dari
sistem. Yang dicari dari Pentest ini yaitu apakah terdapat celah keamanan
yang dapat disalahgunakan (exploitable vulnerability). (Ismail 2014)
Contoh Tools Pengujian yang dibuat para hacker
81
Tabel 11.2 Tools pengujian para hacker
11.4 Probing Services
Probing yaitu “probe” (meraba) servis apa saja yang tersedia. Program ini
juga dapat digunakan oleh kriminal untuk melihat servis apa saja yang
tersedia di sistem yang akan diserang dan berdasarkan data-data yang
diperoleh dapat melancarkan serangan.18
Servis di Internet umumnya dilakukan dengan memakai protokol TCP
atau UDP. Setiap servis dijalankan dengan memakai port yang berbeda,
misalnya:
1. SMTP, untuk mengirim dan menerima e-mail, TCP, port 25
2. DNS, untuk domain, UDP dan TCP, port 53
3. HTTP, web server, TCP, port 80
4. POP3, untuk mengambil e-mail, TCP, port 110
Contoh di atas hanya sebagian dari servis yang tersedia. Di sistem UNIX,
lihat berkas /etc/services dan /etc/inetd.conf untuk melihat servis apa saja
yang dijalankan oleh server atau komputer yang bersangkutan. Berkas
/etc/services berisi daftar servis dan portnya, sementara berkas /etc/ inetd.conf
berisi servis-servis yang di jalan di server UNIX ini . Jadi tidak semua
servis dijalankan, hanya servis yang dibuka di /etc/inetd.conf saja yang
dijalankan. Selain itu ada juga servis yang dijalankan tidak melalui inetd.conf
melainkan dijalankan sebagai daemon yang berjalan di belakang layar.5
Pemilihan servis apa saja tergantung kepada kebutuhan dan tingkat
keamanan yang diinginkan. Sayangnya seringkali sistem yang dibeli atau
dirakit menjalankan beberapa servis utama sebagai “default”. Kadang-kadang
beberapa servis harus dimatikan sebab ada kemungkinan dapat dieksploitasi
oleh cracker. Untuk itu ada beberapa program yang dapat digunakan untuk
melakukan “probe” (meraba) servis apa saja yang tersedia. Program ini juga
dapat digunakan oleh kriminal untuk melihat servis apa saja yang tersedia di
sistem yang akan diserang dan berdasarkan data-data yang diperoleh dapat
melancarkan serangan.
Untuk beberapa servis yang berbasis TCP/IP, proses probe dapat
dilakukan dengan memakai program telnet. Misalnya untuk melihat
apakah ada servis e-mail dengan memakai SMTP digunakan telnet ke
port 25.
82
unix% telnet target.host.com 25
Trying 127.0.0.1...
Connected to target.host.com.
Escape character is '^]'.
220 dma-baru ESMTP Sendmail 8.9.0/8.8.5; Mon, 22 Jun 1998 10:18:54
+0700
Dalam contoh di atas terlihat bahwa ada servis SMTP di server ini
dengan memakai program Sendmail versi 8.9.0. Adanya informasi
tentang sistem yang digunakan ini sebetulnya sangat tidak disarankan sebab
dengan mudah orang dapat mengetahui kebocoran sistem (jika software
dengan versi ini memiliki lubang keamanan).5
Program penguji probing (penguji semua port otomatis) :
1. Paket probe untuk sistem UNIX
• nmap
• strobe
• tcpprobe
2. Probe untuk sistem Window 95/98/NT
• NetLab
• Cyberkit
• Ogre
Program yang memonitor adanya probing ke system
Probing biasanya meninggalkan jejak di berkas log di system anda.
Dengan mengamati entry di dalam berkas log dapat diketahui adanya probing.
Selain itu, ada juga program untuk memonitor probe seperti paket program
courtney, portsentry dan tcplogd.19
11.5 OS FINGERPRINTING
Mengetahui operating system (OS) dari target yang akan diserang
merupakan salah satu pekerjaan yang dilakukan oleh seorang cracker.
Setelah mengetahui OS yang dituju, dia dapat melihat database kelemahan
sistem yang dituju. Fingerprinting merupakan istilah yang umum digunakan
untuk menganalisa OS sistem yang dituju.
Fingerprinting dapat dilakukan dengan berbagai cara. Cara yang paling
konvensional yaitu melakukan telnet ke server yang dituju. Jika server
ini kebetulan menyediakan servis telnet, seringkali ada banner yang
menunjukkan nama OS beserta versinya.
unix% telnet 192.168.1.4
Trying 192.168.1.4...
Connected to 192.168.1.4.
Escape character is '^]'. Linux 2.0.33 (rock.pau-mikro.org) (ttyp0) login:
83
jika sistem ini tidak menyediakan servis telnet akan tetapi
menyediakan servis FTP, maka informasi juga sering tersedia. Servis FTP
tersedia di port 21. Dengan melakukan telnet ke port ini dan memberikan
perintah “SYST” anda dapat mengetahui versi dari OS yang digunakan seperti
contoh di bawah ini.
unix% telnet ftp.netscape.com 21
Trying 207.200.74.26...
Connected to ftp.netscape.com.
Escape character is '^]'.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS
Jika server ini tidak memiliki FTP server akan tetapi menjalankan Web
server, masih ada cara untuk mengetahui OS yang digunakan dengan
memakai program netcat (nc) seperti contoh di bawah ini (dimana terlihat
OS yang digunakan yaitu Debian GNU):
$ echo -e "GET / HTTP/1.0\n\n" | nc localhost 80 | \ grep "^Server:"
Server: Apache/1.3.3 (Unix) Debian/GNU
Cara fingerprinting yang lebih canggih yaitu dengan menganalisa respon
system terhadap permintaan (request) tertentu. Misalnya dengan menganalisa
nomor urut packet TCP/IP yang dikeluarkan oleh server ini dapat
dipersempit ruang jenis dari OS yang digunakan.
Ada beberapa tools untuk melakukan deteksi OS ini antara lain:
1. nmap
2. queso
Berikut ini yaitu contoh pemakaian program queso untuk mendeteksi OS
dari sistem yang memakai nomor IP 192.168.1.1. Kebetulan sistem ini
yaitu sistem Windows 95.
unix# queso 192.168.1.1
192.168.1.1:80 * Not Listen, Windoze 95/98/NT5
11.6 pemakaian Program Penyerang
Salah satu cara untuk mengetahui kelemahan sistem informasi anda
yaitu dengan menyerang diri sendiri dengan paket-paket program penyerang
(attack) yang dapat diperoleh di Internet. Dengan memakai program ini
anda dapat mengetahui apakah sistem anda rentan dan dapat dieksploitasi
oleh orang lain. Perlu diingat bahwa jangan memakai program-program
ini untuk menyerang sistem lain (sistem yang tidak anda kelola). Ini tidak
etis dan anda dapat diseret ke pengadilan.
Selain program penyerang yang sifatnya agresif melumpuhkan sistem yang
dituju, ada juga program penyerang yang sifatnya melakukan pencurian atau
penyadapan data. Untuk penyadapan data, biasanya dikenal dengan istilah
84
“sniffer”. Meskipun data tidak dicuri secara fisik (dalam artian menjadi hilang),
sniffer ini sangat berbahaya sebab dia dapat digunakan untuk menyadap
password dan informasi yang sensitif. Ini merupakan serangan terhadap
aspek privacy.19
Contoh program penyadap (sniffer) antara lain:
• pcapture (Unix)
• sniffit (Unix)
• tcpdump (Unix)
• WebXRay (Windows)
11.7 pemakaian Sistem Pemantau Jaringan
Sistem pemantau jaringan (network monitoring) dapat di gunakan untuk
mengetahui adanya lubang keamaman. Misalnya jika anda memiliki
sebuah server yang semetinya hanya dapat di akses oleh orang dari dalam,
akan tetapi dari pemantau jaringan dapat terlihat bahwa ada yang mencoba
mengakses melalui tempat lain. Selain itu dengan pemantau jaringan dapat
juga di lihat usaha-usaha untuk melumpuhkan sistem dengan melalui denial of
service attack (DoS) dengan mengirimkan packet yang jumlahnya berlebihan.
Network monitoring biasanya di lakukan dengan memakai protokol
SNMP (Simple Network Management Protocol). Tingkat keamanan dari SMNP
versi 1 sangat rendah sehingga memungkinkan penyadapan oleh orang yang
tidak berhak.
Contoh-contoh program network monitoring atau management antara lain :
1. Etherboy (Windows), Etherman (Unix).
2. HP Openview (Windows).
3. Packetboy (Windows), Packetman (Unix).
4. SNMP Collector (Windows).
5. Webboy (Windows).
Contoh program pemanatu jaringan yang tidak memakai SNMP antara
lain :
1. iplog, icmplog, updlog, yang merupakan bagian dari paket iplog untuk
memantau paket IP, ICMP, UDP.
2. iptraf, sudah termasuk dalam paket Linux Debian netdiag.
3. netwatch, sudah termasuk dalam paket Linux Debian netdiag.
4. ntop, memantau jaringan seperti program top yang memantau proses di
sistem Unix (lihat contoh gambar tampilannya).
5. trafshow, menunjukkan traffic antar hosts dalam bentuk text-mode.
Server dan network monitoring merupakan sebuah sistem yang berfungsi
untuk memonitoring kondisi dari suatu jaringan. sistem ini akan melakukan
proses monitoring secara terus menerus pada saat sistem jaringan aktif
sehingga jika terjadi masalah maka akan mudah untuk mengetahuinya.
Semisal, jika ada perangkat hardware atau software yang ada dalam NMS
85
menjadi down atau bahkan mati maka NMS akan memberi tanda kepada
administrator. Dan salah satu fungsi dari sistem ini yaitu berguna untuk
menganalisa apakah server masih cukup layak untuk digunakan atau perlu
tambahan kapasitas.
Network monitoring biasanya dilakukan dengan memakai protokol
SNMP (Simple Network Management Protocol). Kebutuhan akan Simple
Network Management Protocol pada sebuah sistem monitoring disebabkan
oleh kebutuhan akan pemerolehan data monitoring dari sumber daya
komputer lain.
Pentingnya setiap perusahan memiliki sistem untuk memonitoring sebuah
server atau jaringan akan memudahkan kerja admin dalam memelihara
server-server yang terdapat pada perusahaan ini .
Berikut ini sistem kerja pada server dan network monitoring :
1. Memastikan bahwa DNS Server telah tersetting sebagaimana mestinya.
2. Mengawasi server apakah berfungsi dengan baik atau tidak.
3. Menganalisa trafik terhadap server.
4. Mengambil tindakan secepatnya bisa terjadi kesalahan dalam server
5. Mengawasi pemakaian space server
Ada beberapa keuntungan melakukan sistem monitor yang baik untuk jaringan
anda:
1. Tool monitor akan memperlihatkan tentang infrastruktur jaringan dan
dapat menangani kebutuhan pengguna jaringan.
2. Dengan melihat trafik jaringan, akan dapat mendeteksi dan mencegah
penyerang yang ingin mengakses ke server dan layanan yang penting.
3. Virus jaringan dengan mudah dideteksi.
4. Jika ada masalah pada jaringan, sistem akan segera memberitahukan
masalah secara spesifik. Beberapa masalah bahkan bisa diperbaiki
secara otomatis.
5. Kinerja pada jaringan dapat di optimisasikan.
6. Perencanaan untuk kapasitas jaringan lebih mudah. (Softbless n.d.)
KEAMANAN SISTEM DATABASE
12.1 Pengertian Keamanan Database
Keamanan database yaitu suatu cara untuk melindungi database dari
ancaman, baik dalam bentuk kesengajaan atau pun bukan. Ancaman yaitu
segala situasi atau kejadian baik secara sengaja maupun tidak yang bersifat
merugikan dan mempengaruhi sistem serta secara konsekuensi terhadap
perusahaan/ organisasi yang memiliki sistem database.Keamanan database
tidak hanya berkenaan dengan data yang ada pada database saja, tetapi juga
meliputi bagian lain dari sistem database, yang tentunya dapat mempengaruhi
database ini . Hal ini berarti keamanan database mencakup perangkat
keras, perangkat lunak, orang dan data.
Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol yang tepat.
Seseorang yang mempunyai hak untuk mengontrol dan mengatur database
biasanya disebut Database Administrator. Seorang administrator-lah yang
memegang peranan penting pada suatu system database, oleh sebab itu
administrator harus mempunyai kemampuan dan pengetahuan yang cukup
agar dapat mengatur suatu sistem database.
Keamanan merupakan suatu proteksi terhadap pengrusakan data dan
pemakaian data oleh pemakai yang tidak punya kewenangan. Sistem yang
aman memastikan kerahasian data yang terdapat didalamnya.
Beberapa aspek keamanan yaitu:
a. Membatasi akses ke data dan servis.
b. Melakukan autentifikasi pada user.
c. Memonitor aktivitas - aktivitas yang mencurigakan.20
Penyerangan Database, yaitu :
1. Informasi sensitif yang tersimpan di dalam database dapat terbuka
(disclosed) bagi orang- orang yang tidak diizinkan (unauthorized ).
2. Informasi sensitif yang tersimpan di dalam database dapat altered in an
unacceptable manner
3. Informasi sensitif yang tersimpan di dalam database dapat inaccessible
bagi orang-orang yang diizinkan.18
Untuk menjaga kemanan database dapat dengan :
1. Penentuan perangkat lunak database server yang handal
2. pemberian otoritas kepada user mana saja yang berhak mengakses,
serta memanipulasi data-data yang ada.
Secara umum masalah keamanan database dapat dikelompokan sebagai
berikut :20
1. Pencurian dan penipuan
Pencurian dan penipuan database tidak hanya mempengaruhi lingkungan
database tetapi juga seluruh perusahaan/organisasi. Keadaan ini
dilakukan oleh orang, dimana seseorang ingin melakukan pencurian data
atau manipulasi data, seperti saldo rekening,transaksi, transfer dan lain-
87
lain. Untuk itu fokus harus dilakukan pada kekuatan sistem agar
menghindari akses oleh orang yang tidak memiliki kewenangan.
2. Hilangnya kerahasiaan dan privasi
Suatu data dapat memiliki nilai kerahasiaan, sebab data ini
merupakansumber daya yang strategis pada perusahaan, maka pada
kasus ini data ini harus diamankan dengan memberikan hak akses
pada orang tertentu saja.
3. Hilangnya integritas
Integritas ini berkaitan dengan akurasi dan kebenaran data dalam
database, seperti data korup. Hal ini akan secara serius mempengaruhi
perusahaan/organisasi.
4. Hilangnya ketersediaan
Hilangnya ketersediaan berarti data, sistem, keduanya tidak dapat
diakses,servis mati, yang tentunya secara serius sangat mempengaruhi
perusahaan/organisasi. Saat ini banyak perusahaan yang membutuhkan
kemampuan system yang aktif 7 x 24 , 7 hari 1 minggu.
Ancaman terhadap keamanan database, yaitu :
1. Interruption : sumber daya basis data dirusak atau menjadi tidak dapat
dipakai (ancaman terhadap availability )
2. Interception : pemakai atau bagian yang tidak berhak mengakses sumber
daya basis data ( ancaman secrecy)
3. Modification : pemakai atau bagian yang tidak berhak tidak hanya
mengakses tapi juga merusak sumber daya system computer (ancaman
integrity)
4. Fabrication : pemakai atau bagian yang tidak berhak menyisipkan objek
palsu kedalam system (ancaman integrity)
cara menjaga keamanan database, yaitu:
1. Penentuan perangkat lunak Data Base Server yang handal.
2. Pemberian otoritas kepada user mana saja yang berhak mengakses,
serta memanipulasi data yang ada.
Gambar 12.1 Konsep keamanan database
12.2 Bentuk Penyalahgunaan Database
Klasifikasi penyalahgunaan database berdasarkan jenis perlakuannya:
2. Tidak disengaja, jenisnya:
a) kerusakan selama proses transaksi.
b) anomali yang disebabkan oleh akses database yang konkuren.
c) anomali yang disebabkan oleh pendistribuasian data pada beberapa
komputer.
d) logika error yang mengancam kemampuan transaksi untuk
mempertahankankonsistensi database.
3. Disengaja, jenisnya:
a) pengambilan data / pembacaan data oleh pihak yang tidak
berwenang.
b) pengubahan data oleh pihak yang tidak berwenang.
c) penghapusan data oleh pihak yang tidak berwenang.
12.3 Tingkatan Pada Keamanan Database
Tingkatan pada keamanan database antara lain:
1. Fisikal, lokasi-lokasi dimana terdapat sistem komputer haruslah aman
secara fisik terhadap serangan perusak.
89
2. Manusia, wewenang pemakai harus dilakukan dengan berhati-hati untuk
mengurangi kemungkinan adanya manipulasi oleh pemakai yang
berwenang
3. Sistem Operasi, kelemahan pada SO ini memungkinkan pengaksesan
data oleh pihak tak berwenang, sebab hampir seluruh jaringan sistem
database memakai akses jarak jauh.
4. Sistem Database, pengaturan hak pemakai yang baik.
Gambar 12.2 Sistem keamanan database
12.4 Kemanan Data
Keamanan merupakan suatu proteksi terhadap pengerusakan data dan
pemakaian data oleh pemakai yang tidak punya kewenangan.
a. Otorisasi :
• Pemberian Wewenang atau hak istimewa (priviledge) untuk mengakses
sistem atau obyek database
• Kendali otorisasi (kontrol akses) dapat dibangun pada perangkat lunak
dengan 2 fungsi :
a. Mengendalikan sistem atau obyek yang dapat diakses
b. Mengendalikan bagaimana pengguna memakai nya
• Sistem administrasi yang bertanggungjawab untuk memberikan hak
akses dengan membuat account pengguna.
b. Tabel View :
Merupakan metode pembatasan bagi pengguna untuk mendapatkan model
database yang sesuai dengan kebutuhan perorangan. Metode ini dapat
menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh
pengguna.
Contoh pada database relasional, untuk pengamanan dilakukan beberapa
level :
1. Relasi : pengguna diperbolehkan atau tidak diperbolehkan mengakses
langsung suatu relasi
2. View : pengguna diperbolehkan atau tidak diperbolehkan mengakses
data yang terapat pada view
90
3. Read Authorization : pengguna diperbolehkan membaca data, tetapi tidak
dapat memodifikasi.
4. Insert Authorization : pengguna diperbolehkan menambah data baru,
tetapi tidak dapat memodifikasi data yang sudah ada.
5. Update Authorization : pengguna diperbolehkan memodifikasi data, tetapi
tidak dapat menghapus data.
6. Delete Authorization : pengguna diperbolehkan menghapus data.
Untuk modifikasi data terdapat otorisasi tambahan :
1. Index Authorization : pengguna diperbolehkan membuat dan menghapus
index data.
2. Resource Authorization : pengguna diperbolehkan membuat relasi-relasi
baru.
3. Alteration Authorization : pengguna diperbolehkan
menambah/menghapus atribut suatu relasi.
4. Drop Authorization : pengguna diperbolehkan menghapus relasi yang
sudah ada.
Contoh perintah memakai sql :
1. GRANT : memberikan wewenang kepada pemakai
Syntax : GRANT <priviledge list> ON <nama relasi/view> TO <pemakai>
Contoh :
GRANT SELECT ON S TO BUDI
GRANT SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI
2. REVOKE : mencabut wewenang yang dimiliki oleh pemakai
Syntax : REVOKE <priviledge list> ON <nama relasi/view> FROM
<pemakai>
Contoh :
REVOKE SELECT ON S FROM BUDI
REVOKE SELECT,UPDATE (STATUS,KOTA) ON S FROM ALI,BUDI
Priviledge list : READ, INSERT, DROP, DELETE, INDEX, ALTERATION,
3. RESOURCE
c. Backup data dan recovery :
Backup yaitu proses secara periodik untuk mebuat duplikat dari database
dan melakukan logging file (atau program) ke media penyimpanan eksternal.
Proses menyimpan dan mengatur log file dari semua perubahan yang dibuat
di database untuk proses recovery yang efektif jika terjadi kesalahan.
Recovery merupakan upaya uantuk mengembalikan basis data ke
keadaaan yang dianggap benar setelah terjadinya suatu kegagalan.
Jenis pemulihan terhadap database, yaitu :
1. Pemulihan terhadap kegagalan transaksi : Kesatuan prosedur alam
program yang dapat mengubah / memperbarui data pada sejumlah tabel.
2. Pemulihan terhadap kegagalan media : Pemulihan sebab kegagalan
media dengan cara mengambil atau memuat kembali salinan basis data
(backup).
3. Pemulihan terhadap kegagalan sistem : sebab gangguan sistem, hang,
listrik terputus alirannya.
91
Fasilitas pemulihan pada DBMS :
1. Mekanisme backup secara periodik
2. Fasilitas logging dengan membuat track pada tempatnya saat transaksi
berlangsung dan pada saat database berubah.
3. Fasilitas checkpoint, melakukan update database yang terbaru.
4. Manager pemulihan, memperbolehkan sistem untuk menyimpan ulang
database menjadi lebih konsisten setelah terjadinya kesalahan.
Teknik pemulihan terhadap database, yaitu :
1. defered upate / perubahan yang ditunda : perubahan pada DB tidak akan
berlangsung sampai transaksi ada pada poin disetujui (COMMIT). Jika
terjadi kegagalan maka tidak akan terjadi perubahan, tetapi diperlukan
operasi redo untuk mencegah akibat dari kegagalan ini .
2. Immediate Upadate / perubahan langsung : perubahan pada DB akan
segera tanpa harus menunggu sebuah transaksi ini disetujui. Jika
terjadi kegagalan diperlukan operasi UNDO untuk melihat apakah ada
transaksi yang telah disetujui sebelum terjadi kegagalan.
3. Shadow Paging : memakai page bayangan imana paa prosesnya
terdiri dari 2 tabel yang sama, yang satu menjadi tabel transaksi dan yang
lain digunakan sebagai cadangan. Ketika transaksi mulai berlangsung
kedua tabel ini sama dan selama berlangsung tabel transaksi yang
menyimpan semua perubahan ke database, tabel bayangan akan
digunakan jika terjadi kesalahan. Keuntungannya yaitu tidak
membutuhkan REDO atau UNDO, kelemahannya membuat terjadinya
fragmentasi.21
Kesatuan Data dan Enkripsi
Enkripsi yaitu keamanan data
Integritas yaitu metode pemeriksaan dan validasi data(metode integrity
constrain), yaitu berisi aturanaturan atau batasan-batasan untuk
tujuanterlaksananya integritas data.
Konkuren yaitu mekanisme untuk menjamin bahwatransaksi yang konkuren
pada database multi usertidak saling menganggu operasinya masing-
masing.Adanya penjadwalan proses yang akurat (timestamping).
e. Tujuan keamanan database
1. Secrecy/confidentialy : informasi tidak boleh diungkapkan kepada
pengguna yang tidak sah. Sebagai contoh mahasiswa seharusnya tidak
diperbolehkan untuk memeriksa nilai siswa lainnya.
2. Integrity : hanya pengguna yang berwenang harus diizinkan untuk
memodifikasi data. Sebagai contoh siswa mungkin diperolehkan untuk
melihat nilai mereka, namun tidak diperbolehkan untuk memodifikasi
mereka.
3. Avaibility : pengguna yang terdaftar tidak boleh ditolak akses. Sebagai
contoh seorang instruktur yang ingin mengubah kelas harus diizinkan
untuk melakukannya.
92
Fasilitas Keamanan Database
Keamanan database tersedia pada versi Educator ke atas. Keamanan
database diatur oleh Properti Database. Berikut ini yaitu properti database
yang digunakan untuk keamanan database BOCSoft eQuestion.
ETIKA KOMPUTER
13.1 Pengertian Etika
Etika berasal dari bahasa Yunani yaitu ethos yang berarti watak,
tingkah laku seseorang, sedangkan di dalam bahasa Inggrisnya disebut Ethic
merupakan sebuah prinsip benar atau salah yang digunakan seseorang, yang
bertindak sebagai pelaku moral yang bebas untuk membuat keputusan untuk
mengarahkan perilakunya.Isu etika mengharuskan individu untuk memilih
suatu tindakan dan seringkali isu-isu etika ini muncul pada saat terjadinya
kebingungan dalam menentukan sikap.Dan isu sosial lahir dari adanya isu
etika yang berkembang dalam masyarakat dimana masyarakat mengharapkan
individu melakukan suatu hal yang benar.Dan isu politis menjadi aspek yang
ikut bermain di tengah konflik sosial dan masalah sosial dalam suatu
masyarakat dan juga pemakaian aspek hukum dalam mengambil tindakan
yang benar.
Tujuan Mempelajari Etika
1. Untuk mendapatkan konsep yang sama mengenai penilaian baik dan
buruk bagi semuamanusia dalam ruang dan waktu tertentu.
2. Eika membuat kita memiliki pendirian dalam pergolakan berbagai
pandangan moral yang kita hadapi.
3. Membantu agar kita tidak kehilangan orientasi dalam transformasi
budaya , sosial , ekonomi, politik , dan intelektual dewasa ini melanda
dunia kita.
4. Membantu kita sanggup menghadapi ideologi –ideologi yang merebak di
dalam masyarakat secara kritis dan obyektif.
Faktor – faktor yang mempengaruhi pelanggaran Etika
1. Kebutuhan Individu akan berbagai hal seperti kebutuhan primer maupun
kebutuhan sekunder. Seperti : Korupsi sebab alasan ekonomi. Mencuri
sebab ingin membayar uang sekolah anak.
2. Tidak ada pedoman yang jelas. Misal : aturan yang lemah dan tidak
terkendali
3. Perilaku dan kebiasaan individu. Misal : ajaran yang diperoleh sejak kecil
dari keluarga
4. Pengaruh lingkungan. Misal : pengaruh pergaaulan bebas
Sanksi pelanggaran Etika :
1. Sanksi Sosial
Skala relative kecil dan dapat dipahami sebagai kesalahan yang dapat
“dimaafkan”. Berupa teguran dari masyarakat .
94
2. Sanksi Hukum
Skala cukup besar, yang dapat merugikan pihak lain. Hukum pidana
menempati hukum prioritas utama, diikuti oleh hukum perdata
13.2 Pengertian Etika Teknologi Informasi
Teknologi Informasi yaitu aplikasi komputer atau peralatan komunikasi
untuk menyimpan, mengolah dan memanipulasi data. Etika Teknologi
Informasi yaitu seperangkat asas atau nilai yang berkenaan dengan
pemakaian teknologi informasi. Jumlah interaksi manusia dengan
perkembangan teknologi khususnya bagi kebutuhan informasi yang terus
meningkat dari waktu ke waktu membuat etika teknologi informasi menjadi
suatu peraturan dasar yang harus dipahami oleh masyarakat luas.
13.2.1 Etika dalam Teknologi Informasi
Tujuan dari etika yaitu kehidupan yang lebih baik dengan, dan untuk
orang lain, dalam lembaga yang bersangkutan.Sedangkan menurut James H.
Moor, Etika komputer yaitu sebagai analisis mengenai sifat dan dampak
sosial teknologi komputer, serta formulasi dan kebijakan untuk memakai
teknologi ini secara etis.
Salah satu pemicu pentingnya etika yaitu sebab etika melingkupi
wilayah-wilayah yang belum tercakup dalam wilayah hukum. Faktor etika
disini menyangkut identifikasi dan penghindaran terhadap perilaku yang salah
dalam pemakaian teknologi informasi. Untuk itu etika dipandang perlu
dibentuk sebagai perilaku yang mengikat oleh pengguna teknologi informasi.
Perkembangan teknologi informasi yang sangat pesat tentu memberikan
dampak positif dan negative bagi penggunanya.Etika dalam teknologi
informasi diperlukan tidak dapat dipisahkan dari permasalahan-permasalahan
seputar pemakaian teknologi yang meliputi kejahatan komputer, netiket, e-
commerce, pelanggaran HAKI (Hak Atas Kekayaan Intelekstual) dan tanggung
jawab profesi.
13.3 Masalah Etika Teknologi Informasi
Menurut Richard Masson, masalah etika Teknologi Informasi diklasifikasi
menjadi empat hal sebagai berikut berikut :
a. Privasi, yaitu hak individu untuk mempertahankan informasi pribadi dari
pengaksesan orang lain yang memang tidak berhak untuk melakukannya.
b. Akurasi, layanan informasi harus diberikan secara tepat dan akurat
sehingga tidak merugikan pengguna informasi.
c. Property, perlindungan kekayaan intelektual yang saat ini digalakkan
oleh HAKI (Hak Atas Kekayaan Intelektual) mencakup tiga hal :
95
1. Hak cipta (copy right),hak yang dijamin kekuatan hukum yang
melarang menduplikasi kekayaan intelektual tanpa seizin
pemegangnya.Diberikan selama 50 tahun.
2. Paten,bentuk perlindungan yang sulit diberikan sebab hanya
diberikan bagi penemuan inovatif dan sangat berguna.Berlaku
selama 20 tahun.
3. Rahasia perdagangan, perlindungan terhadap kekayaan dalam
perdagangan yang diberikan dalam bentuk lisensi atau kontrak.
d. Akses, Semua orang berhak untuk mendapatkan informasi.Perlu layanan
yang baik dan optimal bagi semua orang dalam mendapatkan informasi yang
diinginkan.
Faktor pemicu pelanggaran kode etik profesi IT yaitu :
1. Tidak berjalannya kontrol dan pengawasan dari masyarakat
2. Organisasi profesi tidak dilengkapi dengan sarana dan mekanisme bagi
masyarakat untuk menyampaikan keluhan
3. Rendahnya pengetahuan masyarakat mengenai substansi kode etik
profesi, sebab buruknya pelayanan sosialisasi
4. Belum terbentuknya kultur dan kesadaran dari pengemban profesi IT
untuk menjaga martabat luhur profesinya
5. Tidak adanya kesadaran etis dan moralitas diantara para pengemban
profesi IT
Perbuatan-perbuatan yang tidak melanggar hak cipta :
a. pemakaian hasil karya orang lain untuk kepentingan
pendidikan,penelitian, penulisan karya ilmiah,penulisan laporan,
penulisan kritik atau tinjauan suatu masalah dengan tidak merugikan
kepentingan yang wajar dari pencipta.
b. Pengambilan ciptaan orang lain untuk kepentingan pembelaan dalam
pengadilan.
c. memakai hasil karya orang lain untuk kepentingan orang cacat dan
tidak komersial.
d. Backup program komputer untuk kepentingan pengamanan data dan
tidak komersial.
13.4 Jenis Etika Yang Ada dalam Teknologi informasi
13.4.1 Etika Profesi TI Dikalangan Universitas
Privasi yang berlaku di lingkungan Universitas juga berlaku untuk bahan-
bahan elektronik. Standar yang sama tentang kebebasan intelektual dan
akademik yang diberlakukan bagi sivitas akademika dalam pemakaian media
konvensional (berbasis cetak) juga berlaku terhadap publikasi dalam bentuk
media elektronik. Contoh bahan-bahan elektronik dan media penerbitan
96
ini termasuk, tetapi tidak terbatas pada, halaman Web (World Wide
Web), surat elektronik (e-mail), mailing lists (Listserv), dan Usenet News.
Kegunaan semua fasilitas yang tersedia sangat tergantung pada integritas
penggunanya.Semua fasilitas ini tidak boleh digunakan dengan cara-
cara apapun yang bertentangan dengan peraturan perundang-undangan
Negara Republik Indonesia atau yang bertentangan dengan lisensi, kontrak,
atau peraturan-peraturan Universitas.Setiap individu bertanggung jawab
sendiri atas segala tindakannya dan segala kegiatan yang dilakukannya,
termasuk pemakaian akun (account) yang menjadi tanggung jawabnya.
Undang-Undang Negara Republik Indonesia dan peraturan Universitas
menyatakan bahwa sejumlah kegiatan tertentu yang berkaitan dengan
teknologi informasi dapat digolongkan sebagai tindakan: pengabaian,
pelanggaran perdata, atau pelanggaran pidana. Sivitas akademika dan
karyawan harus menyadari bahwa tindakan kriminal dapat dikenakan kepada
mereka jika melanggar ketentuan ini.
Contoh tindakan pelanggaran ini yaitu :
1. memakai sumber daya teknologi informasi tanpa izin,
2. Memberitahu seseorang tentang password pribadi yang merupakan akun
yang tidak dapat dipindahkan- tangankan.
3. Melakukan akses dan/atau upaya mengakses berkas elektronik, disk,
atau perangkat jaringan selain milik sendiri tanpa izin yang sah;
4. Melakukan interferensi terhadap sistem teknologi informasi atau
kegunaan lainnya dan sistem ini , termasuk mengkonsumsi sumber
daya dalam jumlah yang sangat besar termasuk ruang penyimpanan data
(disk storage), waktu pemrosesan, kapasitas jaringan, dan lain-lain, atau
secara sengaja menyebabkan terjadinya crash pada sistem komputer
melalui bomb mail, spam, merusak disk drive pada sebuah komputer PC
milik Universitas, dan lain-lain);
5. memakai sumber daya Universitas sebagai sarana (lahan) untuk
melakukan crack (hack, break into) ke sistem lain secara tidak sah;
6. Mengirim pesan (message) yang mengandung ancaman atau bahan
lainnya yang termasuk kategori penghinaan;
7. Pencurian, termasuk melakukan duplikasi yang tidak sah (illegal)
terhadap bahan-bahan yang memiliki hak-cipta, atau penggandaan,
pemakaian , atau pemilikan salinan (copy) perangkat lunak atau data
secara tidak sah;
8. Merusak berkas, jaringan, perangkat lunak atau peralatan;
9. Mengelabui identitas seseorang (forgery), plagiarisme, dan pelanggaran
terhadap hak cipta, paten, atau peraturan peraturan perundang-
undangan tentang rahasia perusahaan;
10. Membuat dengan sengaja, mendistribusikan, atau memakai
perangkat lunak yang dirancang untuk maksud kejahatan untuk merusak
97
atau menghancurkan data dan/atau pelayanan komputer (virus, worms,
mail bombs, dan lain-lain).
Universitas melarang pemakaian fasilitas yang disediakannya untuk
dipergunakan dengan tujuan untuk perolehan finansial secara pribadi yang
tidak relevan dengan misi Universitas. Contoh pemakaian seperti itu
termasuk membuat kontrak komersial dan memberikan pelayanan berbasis
bayar antara lain seperti menyewakan perangkat teknologi informasi termasuk
bandwidth dan menyiapkan surat-surat resmi atau formulir-formulir resmi lain.
Semua layanan yang diberikan untuk tujuan apapun, yang memakai
sebahagian dari fasilitas sistem jaringan Universitas untuk memperoleh
imbalan finansial secara pribadi yaitu dilarang. Dalam semua kegiatan
dimana terdapat perolehan finansial pribadi yang diperoleh selain kompensasi
yang diberikan oleh Universitas, maka kegiatan ini harus terlebih dahulu
memperoleh izin resmi dari Universitas.
Pelanggaran terhadap Kode Etik Teknologi Informasi ini akan diselesaikan
melalui proses disipliner (tata tertib) standar oleh otoritas disipliner yang sah
sebagaimana diatur di dalam peraturan-peraturan yang dikeluarkan oleh
Universitas tentang disiplin mahasiswa, dosen dan karyawan. PSI dapat
mengambil tindakan yang bersifat segera untuk melindungi keamanan data
dan informasi, integritas sistem, dan keberlanjutan operasional sistem
jaringan.
Setiap mahasiswa, dosen, dan karyawan Universitas sebagai bagian dari
komunitas akademik dapat memberikan pandangan dan saran terhadap kode
etik ini baik secara individu maupun secara kolektif demi terselenggaranya
pelayanan sistem informasi dan sistem jaringan terpadu Universitas yang baik.
PSI akan melakukan evaluasi, menampung berbagai pandangan, dan
merekomendasikan perubahan yang perlu dilakukan terhadap kode etik ini
sekurang-kurangnya sekali dalam setahun.
13.4.2 Kode Etik Profesional Teknologi Informasi ( TI )
Dalam lingkup TI, kode etik profesinya memuat kajian ilmiah mengenai
prinsip atau norma-norma dalam kaitan dengan hubungan antara professional
atau developer TI dengan klien, antara para professional sendiri, antara
organisasi profesi serta organisasi profesi dengan pemerintah. Salah satu
bentuk hubungan seorang profesional dengan klien (pengguna jasa) misalnya
pembuatan sebuah program aplikasi.
Seorang profesional tidak dapat membuat program semaunya, ada
beberapa hal yang harus ia perhatikan seperti untuk apa program ini
nantinyadigunakan oleh kliennya atau user; iadapat menjamin keamanan
(security) sistem kerja program aplikasi ini dari pihak-pihak yang dapat
mengacaukan sistem kerjanya(misalnya: hacker, cracker, dll).
98
13.4.3 Kode Etik Pengguna Internet
Adapun kode etik yang diharapkan bagi para pengguna internet yaitu :
1. Menghindari dan tidak mempublikasi informasi yang secara langsung
berkaitan dengan masalah pornografi dan nudisme dalam segala bentuk.
2. Menghindari dan tidak mempublikasi informasi yang memiliki tendensi
menyinggung secara langsung dan negatif masalah suku, agama dan ras
(SARA), termasuk didalamnya usaha penghinaan, pelecehan,
pendiskreditan, penyiksaan serta segala bentuk pelanggaran hak atas
perseorangan, kelompok/ lembaga/ institusi lain.
3. Menghindari dan tidak mempublikasikan informasi yang berisi instruksi
untuk melakukan perbuatan melawan hukum (illegal) positif di Indonesia
dan ketentuan internasional umumnya.
4. Tidak menampilkan segala bentuk eksploitasi terhadap anak-anak
dibawah umur.
5. Tidak mempergunakan, mempublikasikan dan atau saling bertukar
materi dan informasi yang memiliki korelasi terhadap kegiatan pirating,
hacking dan cracking.
6. Bila mempergunakan script, program, tulisan, gambar/foto, animasi,
suara atau bentuk materi dan informasi lainnya yang bukan hasil karya
sendiri harus mencantumkan identitas sumber dan pemilik hak cipta bila
ada dan bersedia untuk melakukan pencabutan bila ada yang
mengajukan keberatan serta bertanggung jawab atas segala konsekuensi
yang mungkin timbul sebab nya.
7. Tidak berusaha atau melakukan serangan teknis terhadap produk,
sumberdaya (resource) dan peralatan yang dimiliki pihak lain.
8. Menghormati etika dan segala macam peraturan yang berlaku
dimasyarakat internet umumnya dan bertanggungjawab sepenuhnya
terhadap segala muatan/ isi situsnya.
9. Untuk kasus pelanggaran yang dilakukan oleh pengelola, anggota dapat
melakukan teguran secara langsung.
13.5 Etika Programmer
Adapun kode etik yang diharapkan bagi para programmer yaitu :
1. Seorang programmer tidak boleh membuat atau mendistribusikan
Malware.
2. Seorang programmer tidak boleh menulis kode yang sulit diikuti
dengan sengaja.
3. Seorang programmer tidak boleh menulis dokumentasi yang dengan
sengaja untuk membingungkan atau tidak akurat.
4. Seorang programmer tidak boleh memakai ulang kode dengan
hak cipta kecuali telah membeli atau meminta ijin.
5. Tidak boleh mencari keuntungan tambahan dari proyek yang didanai
oleh pihak kedua tanpa ijin.
99
6. Tidak boleh mencuri software khususnya development tools.
7. Tidak boleh menerima dana tambahan dari berbagai pihak eksternal
dalam suatu proyek secara bersamaan kecuali mendapat ijin.
8. Tidak boleh menulis kode yang dengan sengaja menjatuhkan kode
programmer lain untuk mengambil keunutungan dalam menaikkan
status.
9. Tidak boleh membeberkan data-data penting karyawan dalam
perusahaan.
10. Tidak boleh memberitahu masalah keuangan pada pekerja dalam
pengembangan suatu proyek.
11. Tidak pernah mengambil keuntungan dari pekerjaan orang lain.
12. Tidak boleh mempermalukan profesinya
13. Tidak boleh secara asal-asalan menyangkal adanya bug dalam
aplikasi.
14. Tidak boleh mengenalkan bug yang ada di dalam software yang
nantinya programmer akan mendapatkan keuntungan dalam
membetulkan bug.
15. Terus mengikuti pada perkembangan ilmu komputer.
13.6 Etika Teknologi Informasi dalam Undang-undang
Disebab kan banyak pelanggaran yang terjadi berkaitan dengan hal diatas,
maka dibuatlah undang-undang sebagai dasar hukum atas segala kejahatan
dan pelanggaran yang terjadi. Undang-undang yang mengatur tentang
Teknologi Informasi ini diantaranya yaitu :
1. UU HAKI (Undang-undang Hak Cipta) yang sudah disahkan dengan
nomor 19 tahun 2002 yang diberlakukan mulai tanggal 29 Juli 2003
didalamnya diantaranya mengatur tentang hak cipta.
2. UU ITE (Undang-undang Informasi dan Transaksi Elektronik) yang sudah
disahkan dengan nomor 11 tahun 2008 yang didalamnya mengatur
tentang :
3. Pornografi di Internet
4. Transaksi di Internet
5. Etika pemakaian Internet
13.7 Potensi Kerugian Pemanfaatan Teknologi Informasi
1. Rasa ketakutan.
Banyak orang mencoba menghindari pemakaian komputer, sebab takut
merusakkan, atau takut kehilangan kontrol, atau secara umum takut
menghadapi sesuatu yang baru, ketakutan akan kehilangan data, atau harus
diinstal ulang sistem program menjadikan pengguna makin memiliki rasa
ketakutan ini.
2. Keterasingan
100
Pengguna komputer cenderung mengisolir dirinya, dengan kata lain
menaiknya jumlah waktu pemakaian komputer, akan juga membuat mereka
makin terisolir.
3. Golongan miskin informasi dan minoritas.
Akses kepada sumberdaya juga terjadi ketidakseimbangan ditangan
pemilik kekayaan dan komunitas yang mapan.
4. Pentingnya individu.
Organisasi besar menjadi makin impersonal, sebab biaya
untuk menangani kasus khusus/pribadi satu persatu menjadi makin tinggi.
5. Tingkat kompleksitas serta kecepatan yang sudah tak dapat
ditangani.
Sistem yang dikembangkan dengan birokrasi komputer begitu kompleks
dan cepat berubah sehingga sangat sulit bagi individu untuk mengikuti dan
membuat pilihan. Tingkat kompleksitas ini menjadi makin tinggi dan sulit
ditangani, sebab dengan makin tertutupnya sistem serta makin besarnya
ukuran sistem (sebagai contoh program MS Windows 2000 yang baru
diluncurkan memiliki program sekitar 60 juta baris). Sehingga proses
pengkajian demi kepentingan publik banyak makin sulit dilakukan.
6. Makin rentannya organisasi.
Suatu organisasi yang bergantung pada teknologi yang kompleks
cenderung akan menjadi lebih ringkih. Metoda seperti Third Party Testing
haruslah makin dimanfaatkan.
7. Dilanggarnya Privasi.
Ketersediaan sistem pengambilan data yang sangat canggih
memungkinkan terjadinya pelanggaran privasi dengan mudah dan cepat.
8. Pengangguran dan pemindahan kerja.
Biasanya ketika suatu sistem otomasi diterapkan, produktivitas dan jumlah
tempat pekerjaan secara keseluruhan meningkat, akan tetapi beberapa jenis
pekerjaan menjadi makin kurang nilainya, atau bahkan dihilangkan
9. Kurangnya tanggung jawab profesi.
Organisasi yang tak bermuka (hanya diperoleh kontak elektronik saja),
mungkin memberikan respon yang kurang personal, dan sering melemparkan
tanggungjawab dari permasalahan.
10. Kaburnya citra manusia.
101
Kehadiran terminal pintar (intelligent terminal), mesin pintar, dan sistem
pakar telah menghasilkan persepsi yang salah pada banyak orang.
13.8 Aspek Pelanggaran Kode Etik Profesi IT
1. Aspek Teknologi
Semua teknologi yaitu pedang bermata dua, ia dapat digunakan untuk
tujuan baik dan jahat. Contoh teknologi nuklir dapat memberikan sumber
energi tetapi nuklir juga dapat menghancurkan kota hirosima.
Seperti halnya juga teknologi kumputer, orang yang sudah memiliki
keahlian dibidang computer bias membuat teknologi yang bermanfaat tetapi
tidak jarang yang melakukan kejahatan.
2. Aspek Hukum
Hukum untuk mengatur aktifitas di internet terutama yang berhubungan
dengan kejahatan maya antara lain masih menjadi perdebatan. Ada dua
pandangan mengenai hal ini antara lain:
a. Karakteristik aktifitas di internet yang bersifat lintas batas sehingga tidak
lagi tunduk pada batasan-batasan territorial.
b. System hukum tradisiomal (The Existing Law) yang justru bertumpu pada
batasan-batasan teritorial dianggap tidak cukup memadai untuk
menjawab persoalan-persoalan hukum yang muncul akibat aktifitas
internet.
Dilema yang dihadapi oleh hukum tradisional dalam menghadapi
fenomena-fenomena cyberspace ini merupakan alasan utama perlunya
membentuk satu regulasi yang cukup akomodatif terhadap fenomena-
fenomena baru yang muncul akibat pemanfaatan internet. Aturan hukum yang
akan
