Tiap tahun, ancaman cybersecurity selalu menghantui seluruh penjuru dunia. Dari beberapa Studi
Kasus yang terjadi, beberapa diantaranya masih menjadi ancaman yang menakutkan. Meski
masing-masing memiliki berbagai tujuan berbeda, namun ancaman ini berdampak pula pada
kepentingan lain sebab sifatnya yang tidak bisa dibendung.
Serangan siber sudah banyak terjadi, baik dari jenis paling biasa hingga tercanggih sekalipun
dengan dampak kerugian bagi pemakai . Dalam Studi Kasus terburuk yang pernah terjadi, misalnya
pemakai dapat ancaman pembayaran tebusan di layar, ada juga senyap, yang bertindak tersembunyi
untuk pencurian data.
Serangan siber tidak akan berakhir selagi ada perangkat komputasi yang terhubung ke Internet.
Serangan siber terus meningkat terutama selama pandemi corona, menyusul banyak pemakai
yang bekerja dan belajar dari rumah dengan memanfaatkan jaringan Internet.
Cisco Umbrella mencatat setidaknya terjadi peningkatan sebesar 40% serangan siber di tahun lalu.
sebab itu pemakai harus mengetahui berbagai jenis serangan siber yang umumnya menyerang
dan meningkatkan keamanan siber-nya.
Bab ini akan membahas tentang:
• Ancaman, kerentanan, dan kontrol
• Kerahasiaan, Integritas, dan Ketersediaan (C-I-A)
• Penyerang dan jenis serangan; metode, kesempatan, dan motif
• Menilai aset
Keamanan siber yaitu praktik untuk melindungi sistem, jaringan, dan program dari ancaman atau
serangan digital.
Serangan-serangan ini biasanya ditujukan untuk mengakses, mengubah, atau menghancurkan
informasi sensitif; memeras uang dari korban; atau mengganggu proses bisnis.
Shadow Brokers Curi Senjata Cyber NSA
Shadow Brokers mengklaim telah berhasil mendapatkan senjata cyber berupa tool hacking milik
National Security Agency (NSA). Senjata ini memiliki kemampuan untuk membobol seluruh sistem
operasi Windows. Tindakan pencurian ini merupakan bentuk protes kelompok peretas ini
terhadap NSA. Gambar 1-1 mengilustrasikan serangan ini.
NSA yang mendapatkan celah
melalui tool ini bukannya
melaporkan ke Microsoft
ataupun perusahaan lainnya,
namun malah menyimpannya
untuk kepentingan keamanan
mereka sendiri. Akhirnya setelah
melakukan peretasan, Shadow
Brokers menjual informasi
ini kepada pihak yang
membutuhkan dengan tawaran
yang paling tinggi melalui sistem
pelelangan.
Yang dikuatirkan, jika data ini jatuh ke tangan yang salah, hal ini tentu berpotensi membahayakan
miliaran pemakai perangkat lunak di seluruh dunia. Untungnya Microsoft langsung merespon dan
merilis perbaikan yang diperlukan. Hanya saja perbaikan ini hanya berlaku untuk sistem operasi
Windows yang masih dalam dukungan Microsoft seperti Windows 7 keatas.
Pelaku hoaks ini tidak pernah tertangkap, juga tidak jelas bagaimana tepatnya hal itu dilakukan.
Kemungkinan seseorang dapat mengakses sistem yang menyalurkan siaran darurat ke stasiun radio
dan televisi lokal. Dengan kata lain, seorang hacker mungkin membobol sistem komputer.
Kita menghadapi komputer setiap hari dalam situasi yang tak terhitung jumlahnya, seringkali dalam
Studi Kasus di mana hampir tidak menyadari komputer terlibat, seperti sistem peringatan darurat
untuk media penyiaran. Komputer-komputer ini memindahkan uang, mengendalikan pesawat
terbang, memantau kesehatan, mengunci pintu, memutar musik, memanaskan bangunan, mengatur
hati, menyebarkan airbag, menghitung suara, mengarahkan komunikasi, mengatur lalu lintas, dan
melakukan ratusan hal lain yang memengaruhi kehidupan, kesehatan, keuangan, dan kesejahteraan.
Sebagian besar waktu komputer ini bekerja sebagaimana mestinya. namun kadang-kadang mereka
melakukan kesalahan yang mengerikan, baik sebab kegagalan yang tidak berbahaya atau serangan
yang berbahaya. Seperti diilustrasikan pada Gambar 1-2.
Gambar 1-1 Ilustrasi Serangan
terhadap NSA
Gambar 1-2 Ilustrasi Serangan Siber
Buku ini membahas tentang keamanan komputer, datanya, dan perangkat serta objek yang terkait
dengannya. Dalam buku ini Anda akan mempelajari beberapa cara komputer bisa gagal atau dibuat
gagal—dan bagaimana melindungi dari kegagalan ini .
1.1 Definisi Keamanan Komputer
Definisi computer security atau keamanan komputer saat ini manjadi lebih luas atau bisa juga
didefinisikan sebagai berikut: keamanan komputer dirancang untuk melindungi komputer dan segala
sesuatu yang berkaitan dengan itu, bangunannya, workstation dan printer, kabel, dan disk dan
media penyimpanan lainnya. Yang paling penting, keamanan komputer melindungi informasi yang
disimpan dalam sistem anda. Keamanan komputer tidak hanya dirancang untuk melindungi terhadap
penyusup dari luar yang masuk ke sistem, namun juga bahaya yang timbul dari dalam seperti berbagi
password dengan teman, gagal atau tidak dilakukan untuk backup data, menumpahkan kopi pada
keyboard dan sebagainya. Untuk menentukan apa yang harus dilindungi, pertama-tama kita harus
mengidentifikasi apa yang dinamakan aset dan nilai aset yang ada dalam program kompoter.
Aset yaitu data, perangkat, atau komponen lain dari sistem organisasi yang berharga – seringkali
sebab berisi data sensitif atau dapat dipakai untuk mengakses informasi ini . Misalnya,
komputer desktop, laptop, atau telepon perusahaan karyawan akan dianggap sebagai aset, seperti
halnya aplikasi pada perangkat ini . Demikian juga, infrastruktur penting, seperti server dan
sistem pendukung, yaitu aset.
Aset organisasi yang paling umum yaitu aset informasi. Ini yaitu hal-hal seperti database dan
file fisik – yaitu data sensitif yang Anda simpan.
Konsep terkait yaitu 'wadah aset informasi', di mana informasi itu disimpan. Dalam kasus database,
aset ini akan menjadi aplikasi yang dipakai untuk membuat database. Untuk file fisik, akan menjadi
lemari arsip tempat informasi berada.
Perangkat komputer (termasuk perangkat keras, komponen tambahan, dan aksesori) tentu saja
merupakan aset. sebab sebagian besar perangkat keras komputer tidak berguna tanpa program,
perangkat lunak juga merupakan aset. Perangkat lunak mencakup sistem operasi, utilitas, dan
handler perangkat; aplikasi seperti pengolah kata, pemutar media atau handler email; dan bahkan
program yang mungkin Anda tulis sendiri. Banyak perangkat keras dan perangkat lunak tidak
tersedia, artinya tersedia secara komersial (bukan dibuat khusus untuk tujuan Anda) dan Anda
dapat dengan mudah mendapatkan penggantinya. Hal yang membuat komputer unik dan penting
bagi pemakainya yaitu apa yang ada dalam komputer ini : foto, lagu, makalah, pesan email,
proyek, informasi kalender, ebook (dengan anotasi Anda), informasi kontak, kode yang dibuat, dan
sejenisnya. Dengan demikian, item data di komputer juga merupakan aset. Tidak seperti kebanyakan
perangkat keras dan perangkat lunak, data bisa sulit—jika bukan tidak mungkin—untuk dibuat ulang
atau diganti. Semua aset ini ditunjukkan pada Gambar 1-3.
Hardware :
Komputer•
Perangkat (driver •
disk, memori,
printer)
Peralatan jaringan•
Software
Sistem Operasi•
Anti virus•
Aplikasi ( pengolah •
kata, edit photo)
Aplikasi pribadi•
Data
Dokumen•
Photo•
Musik, video•
Email•
Program kerja/•
kelas kuliah
Perangkat dalam; tak
tergantikan
perangkat fisik: bisa diganti
Gambar 1-3 Nilai Aset Komputer
Ketiga hal ini—perangkat keras, perangkat lunak, dan data—berisi atau mengekspresikan hal-hal
seperti desain untuk produk baru Anda berikutnya, foto-foto dari liburan terakhir Anda, bab-bab buku
baru Anda, atau urutan genom yang dihasilkan dari penelitian terbaru Anda. Semua hal ini mewakili
usaha intelektual atau kekayaan, dan mereka memiliki nilai yang berbeda dari satu orang atau
organisasi ke orang lain. Nilai itulah yang membuat mereka menjadi aset yang layak dilindungi, dan
mereka yaitu elemen yang ingin kita lindungi. Aset lain—seperti akses ke data, kualitas layanan,
proses, pemakai manusia, dan konektivitas jaringan—juga layak dilindungi; mereka dipengaruhi
atau diaktifkan oleh perangkat keras, perangkat lunak, dan data. Jadi, dalam banyak Studi Kasus,
melindungi perangkat keras, perangkat lunak, dan data juga mencakup aset lain ini.
1.1.1 Nilai Aset
Setelah mengidentifikasi aset yang akan dilindungi, selanjutnya kami menentukan nilainya. Kita
sering membuat keputusan berdasarkan nilai, bahkan saat kita tidak menyadarinya. Misalnya,
saat Anda pergi berenang, Anda dapat meninggalkan sebotol air dan handuk di pantai, namun tidak
dengan dompet atau ponsel Anda. Perbedaannya berkaitan dengan nilai aset
Nilai suatu aset bergantung pada perspektif pemilik aset atau pemakai , dan mungkin tidak
tergantung pada biaya moneter. Foto saudara perempuan Anda, yang hanya bernilai beberapa
sen dalam bentuk kertas dan tinta, mungkin bernilai tinggi bagi Anda dan tidak bernilai bagi teman
sekamar Anda. Nilai barang lain tergantung pada biaya penggantian; beberapa data komputer sulit
atau tidak mungkin untuk diganti. Misalnya, foto Anda dan teman-teman Anda di sebuah pesta
mungkin tidak dikenakan biaya apa pun, namun itu sangat berharga sebab tidak ada salinan lain.
Di sisi lain, DVD film favorit Anda mungkin menghabiskan sebagian besar gaji Anda, namun Anda
dapat membeli yang lain jika DVD dicuri atau rusak. Demikian pula, waktu memiliki pengaruh pada
nilai aset. Misalnya, nilai rencana lini produk baru perusahaan sangat tinggi, terutama bagi pesaing.
namun begitu produk baru dirilis, nilai paket turun drastis.
1.1.2 Paradigma Kerentanan–Ancaman–Kontrol
Tujuan dari keamanan komputer yaitu melindungi aset berharga. Untuk mempelajari berbagai
cara perlindungan, kami memakai kerangka kerja yang menjelaskan bagaimana aset dapat
dirugikan dan bagaimana melawan atau mengurangi kerugian ini .
Kerentanan (vulnerability) yaitu kelemahan
dalam sistem, misalnya, dalam prosedur,
desain, atau implementasi, yang dapat
dieksploitasi untuk memicu kerugian
atau bahaya. Misalnya, sistem tertentu
mungkin rentan terhadap manipulasi data yang
tidak sah sebab sistem tidak memverifikasi
identitas pemakai sebelum mengizinkan
akses data.
Ancaman (threat) terhadap sistem komputasi
yaitu serangkaian keadaan yang berpotensi
memicu kerugian atau bahaya. Untuk
melihat perbedaan antara ancaman dan kerentanan, perhatikan ilustrasi pada Gambar 1-4. Di sini,
dinding menahan air. Air di sebelah kiri tembok merupakan ancaman bagi orang di sebelah kanan
tembok: Air bisa naik, meluap ke orang itu, atau bisa tetap di bawah ketinggian tembok, memicu
tembok runtuh. Jadi ancaman celaka yaitu potensi laki-laki untuk basah, terluka, atau tenggelam.
Untuk saat ini, tembok itu masih utuh, jadi ancaman terhadap pria itu tidak disadari.
Namun, kita bisa melihat celah kecil di dinding—kerentanan yang mengancam keamanan pria itu.
Jika air naik ke atau di luar tingkat retakan, itu akan mengeksploitasi kerentanan dan membahayakan
manusia. Ada banyak ancaman terhadap sistem komputer, termasuk yang diprakarsai oleh manusia
dan yang diprakarsai oleh komputer. Kita semua pernah mengalami akibat kesalahan manusia yang
tidak disengaja, cacat desain perangkat keras, dan kegagalan perangkat lunak. Tapi bencana alam
juga merupakan ancaman; mereka dapat meruntuhkan sistem saat ruang komputer kebanjiran atau
pusat data ambruk akibat gempa, misalnya.
Seseorang yang mengeksploitasi kerentanan melakukan serangan pada sistem. Serangan juga
dapat diluncurkan oleh sistem lain, seperti saat satu sistem mengirim pesan yang sangat banyak
Gambar 1-4 Ancaman dan Kerentanan
ke sistem lain, hampir mematikan kemampuan sistem kedua untuk berfungsi. Sayangnya, kami
sering melihat jenis serangan ini, sebab serangan penolakan layanan membanjiri server dengan
lebih banyak pesan daripada yang dapat mereka tangani.
Bagaimana kita mengatasi masalah ini? Kami memakai kontrol atau penanggulangan sebagai
perlindungan. Artinya, kontrol yaitu tindakan, perangkat, prosedur, atau teknik yang menghilangkan
atau mengurangi kerentanan. Pada Gambar 1-4, pria itu memasukkan jarinya ke dalam lubang,
mengendalikan ancaman kebocoran air sampai dia menemukan solusi yang lebih permanen untuk
masalah ini . Secara umum, kita dapat menggambarkan hubungan antara ancaman, kontrol, dan
kerentanan dengan cara ini: Sebelum kita dapat melindungi aset, kita perlu mengetahui jenis bahaya
yang harus kita lindungi, jadi sekarang kita mengeksplorasi ancaman terhadap aset berharga.
1.2 Ancaman
Ancaman yaitu setiap insiden yang dapat berdampak negatif terhadap suatu aset – misalnya,
jika hilang, rusak saat offline, atau diakses oleh pihak yang tidak berwenang. Ancaman dapat
dikategorikan sebagai keadaan yang membahayakan kerahasiaan, integritas, atau ketersediaan
aset, dan dapat disengaja atau tidak disengaja.
Ancaman yang disengaja mencakup hal-hal seperti peretasan kriminal atau orang dalam yang jahat
mencuri informasi, sedangkan ancaman yang tidak disengaja umumnya melibatkan kesalahan
karyawan, kerusakan teknis, atau peristiwa yang memicu kerusakan fisik, seperti kebakaran
atau bencana alam.
Kita dapat mempertimbangkan potensi kerusakan aset dengan dua cara: Pertama, kita dapat melihat
hal buruk apa yang dapat terjadi pada aset, dan kedua, kita dapat melihat siapa atau apa yang dapat
memicu atau membiarkan hal buruk ini terjadi. Kedua perspektif ini memungkinkan kita
untuk menentukan bagaimana melindungi aset.
Pikirkan sejenak tentang apa yang membuat komputer berharga bagi Anda. Pertama, Anda
memakai nya sebagai alat untuk mengirim dan menerima email, menelusuri web, menulis
makalah, dan melakukan banyak tugas lainnya, dan Anda mengharapkannya tersedia untuk
dipakai saat Anda menginginkannya. Tanpa komputer, tugas-tugas ini akan lebih sulit, jika
bukan tidak mungkin. Kedua, Anda sangat bergantung pada integritas komputer Anda. Saat menulis
kertas dan menyimpannya, Anda percaya bahwa kertas itu akan dimuat ulang persis seperti Anda
menyimpannya. Demikian pula, Anda berharap foto yang diberikan teman pada Anda di flash drive
akan tampak sama saat Anda memuatnya ke komputer seperti saat Anda melihatnya di komputer
teman Anda. Terakhir, Anda mengharapkan aspek "pribadi" dari komputer pribadi tetap bersifat
pribadi, artinya Anda menginginkannya untuk melindungi kerahasiaan Anda. Misalnya, Anda ingin
pesan email Anda hanya antara Anda dan penerima yang terdaftar; Anda tidak ingin mereka disiarkan
ke orang lain. Dan saat menulis esai, Anda berharap tidak ada yang bisa menyalinnya tanpa izin
Anda.
Ketiga aspek ini, kerahasiaan, integritas, dan ketersediaan, menjadikan komputer Anda berharga
bagi Anda. Namun dilihat dari sudut pandang lain, ada tiga cara yang mungkin untuk membuatnya
kurang berharga, yaitu memicu kerugian bagi Anda. Jika seseorang mencuri komputer Anda,
mengacak data di disk Anda, atau melihat file data pribadi Anda, nilai komputer Anda telah berkurang
atau pemakai an komputer Anda telah dirugikan. Karakteristik ini merupakan properti keamanan
dasar dan objek ancaman keamanan.
Ketiga sifat ini dapat kita definisikan sebagai berikut.
• ketersediaan: kemampuan sistem untuk memastikan bahwa suatu aset dapat dipakai oleh
pihak yang berwenang
• integritas: kemampuan sistem untuk memastikan bahwa aset hanya dimodifikasi oleh pihak
yang berwenang
• kerahasiaan: kemampuan sistem untuk memastikan bahwa aset hanya dilihat oleh pihak yang
berwenang
Ketiga properti ini, ciri-ciri keamanan yang solid, muncul dalam literatur sejak esai James P. Anderson
tentang keamanan komputer (Anderson:73) dan sering muncul kembali dalam makalah dan diskusi
keamanan komputer yang lebih baru. Secara bersama-sama (dan disusun ulang), properti disebut
triad C-I-A atau triad keamanan. ISO 7498-2 (ISO:89) menambahkan dua properti lagi yang diinginkan,
terutama dalam jaringan komunikasi:
• otentikasi: kemampuan sistem untuk mengkonfirmasi identitas pengirim
• nonrepudiation atau akuntabilitas: kemampuan sistem untuk mengkonfirmasi bahwa pengirim
tidak dapat secara meyakinkan menyangkal telah mengirim sesuatu
Departemen Pertahanan AS menambahkan kemampuan audit: kemampuan sistem untuk melacak
semua tindakan yang terkait dengan aset tertentu. Didalam information security sering juga dikenal CIA
Triad atau segitiga Confidentiality (kerahasiaan), Integrity (integritas), dan Availability (ketersediaan).
Kerahasiaan, integritas dan ketersediaan, yang dikenal sebagai segitiga CIA ini yaitu model yang
dirancang untuk memandu kebijakan untuk keamanan informasi dalam sebuah organisasi. Model
ini juga kadang-kadang disebut sebagai triad AIC (ketersediaan, integritas dan kerahasiaan) untuk
menghindari kebingungan dengan Central Intelligence Agency. Unsur-unsur dari tiga serangkai
ini dianggap tiga komponen yang paling penting dari system keamanan.
Apa yang dapat terjadi untuk merusak kerahasiaan, integritas, atau ketersediaan aset komputer?
Jika pencuri mencuri komputer Anda, Anda tidak lagi memiliki akses, sehingga Anda kehilangan
ketersediaan; selanjutnya, jika pencuri melihat gambar atau dokumen yang Anda simpan,
kerahasiaan Anda terganggu. Dan jika pencuri mengubah konten file musik Anda namun lalu
mengembalikannya dengan komputer Anda, integritas data Anda telah dirugikan. Anda dapat
membayangkan banyak skenario berdasarkan tiga properti ini.
Triad C-I-A dapat dilihat dari perspektif yang berbeda: sifat kerugian yang ditimbulkan pada aset. Harm
juga dapat dicirikan oleh empat tindakan: intersepsi, interupsi, modifikasi, dan fabrikasi. Keempat
tindakan ini digambarkan pada Gambar 1-5. Dari sudut pandang ini, kerahasiaan dapat terganggu
jika seseorang menyadap data, ketersediaan hilang jika seseorang atau sesuatu mengganggu aliran
data atau akses ke komputer, dan integritas dapat gagal jika seseorang atau sesuatu memodifikasi
data atau membuat data palsu. Memikirkan keempat jenis tindakan ini dapat membantu Anda
menentukan ancaman apa yang mungkin ada terhadap komputer yang Anda coba lindungi.
Gambar 1-5 Empat Tindakan yang memicu Kerusakan Keamanan
Untuk menganalisis bahaya, kami selanjutnya menyempurnakan triad C-I-A, melihat lebih dekat
setiap elemennya.
1.2.1 Kerahasiaan (Confidentiality)
Beberapa hal jelas membutuhkan perlindungan kerahasiaan. Misalnya, nilai siswa, transaksi
keuangan, catatan medis, dan pengembalian pajak bersifat sensitif dan pribadi. Seorang siswa
yang bangga mungkin berlari keluar kelas sambil berteriak, "Saya mendapat nilai A!" namun siswa
harus menjadi orang yang memilih apakah akan mengungkapkan nilai itu kepada orang lain. Hal-
hal lain, seperti rahasia diplomatik dan militer, rencana pemasaran dan pengembangan produk
perusahaan, dan tes pendidik, juga harus dikontrol dengan hati-hati. Terkadang, bagaimanapun,
tidak begitu jelas bahwa ada sesuatu yang sensitif. Misalnya, pesanan makanan militer mungkin
tampak seperti informasi yang tidak berbahaya, namun peningkatan pesanan yang tiba-tiba bisa
menjadi tanda keterlibatan yang baru mulai dalam konflik. Pembelian makanan, perubahan lokasi
setiap jam, dan akses ke buku bukanlah hal yang biasanya Anda anggap rahasia, namun dapat
mengungkapkan sesuatu yang ingin dirahasiakan seseorang.
Definisi kerahasiaan sangat mudah: Hanya orang atau sistem yang berwenang yang dapat mengakses
data yang dilindungi. Namun, seperti yang kita lihat di bab-bab selanjutnya, memastikan kerahasiaan
bisa jadi sulit. Misalnya, siapa yang menentukan orang atau sistem mana yang berwenang untuk
mengakses sistem saat ini? Dengan “mengakses” data, apakah yang kita maksud yaitu bahwa
pihak yang berwenang dapat mengakses satu bit? Seluruh koleksi? Potongan data di luar konteks?
Dapatkah seseorang yang berwenang mengungkapkan data kepada pihak lain? Kadang-kadang
bahkan ada pertanyaan tentang siapa yang memiliki data: Jika Anda mengunjungi halaman web,
apakah Anda memiliki fakta bahwa Anda mengklik tautan, atau apakah pemilik halaman web,
penyedia Internet, orang lain, atau Anda semua?
Sederhananya, confidentiality ini bisa berarti sama dengan privasi. Ini juga merupakan serangkaian
langkah-langkah yang perlu dilakukan untuk mencegah tereksposnya informasi sensitif dari jangkauan
tangan orang-orang yang tidak berwenang. Tak hanya itu, juga harus dipastikan bahwa orang yang
tepat sudah benar-benar mendapatkannya data yang dibutuhkan.
Kerahasiaan berhubungan paling jelas dengan data, meskipun kita dapat memikirkan kerahasiaan
perangkat keras (penemuan baru) atau seseorang (keberadaan penjahat yang dicari). Berikut yaitu
beberapa properti yang dapat berarti kegagalan kerahasiaan data:
• Orang yang tidak berwenang mengakses item data.
• Proses atau program yang tidak sah mengakses item data.
• Seseorang yang berwenang untuk mengakses data tertentu mengakses data lain yang tidak
diotorisasi (yang merupakan versi khusus dari "orang yang tidak berwenang mengakses item
data").
• Orang yang tidak berwenang mengakses perkiraan nilai data (misalnya, tidak mengetahui gaji
pasti seseorang namun mengetahui bahwa gaji ini berada dalam kisaran tertentu atau
melebihi jumlah tertentu).
• Orang yang tidak berwenang mengetahui keberadaan sepotong data (misalnya, mengetahui
bahwa sebuah perusahaan sedang mengembangkan produk baru tertentu atau bahwa
pembicaraan sedang berlangsung tentang penggabungan dua perusahaan).
Perhatikan pola umum dari pernyataan ini: Seseorang, proses, atau program (atau tidak) berwenang
untuk mengakses item data dengan cara tertentu. Kami menyebut orang, proses, atau program
sebagai subjek, item data sebagai objek, jenis akses (seperti membaca, menulis, atau mengeksekusi)
mode akses, dan otorisasi sebagai kebijakan, seperti yang ditunjukkan pada Gambar 1-6. Keempat
istilah ini muncul kembali di seluruh buku ini sebab merupakan aspek fundamental dari keamanan
komputer.
Satu kata yang menangkap sebagian besar aspek
kerahasiaan yaitu pandangan, meskipun Anda
tidak boleh mengartikan istilah itu secara harfiah.
Kegagalan kerahasiaan tidak selalu berarti
bahwa seseorang melihat suatu objek dan, pada
kenyataannya, hampir tidak mungkin untuk melihat
bit dengan cara yang berarti (walaupun Anda mungkin
melihat representasi mereka sebagai karakter
atau gambar). Kata view memang berkonotasi
aspek lain dari kerahasiaan dalam keamanan
komputer, melalui asosiasi dengan menonton film
atau lukisan di museum: lihat tapi jangan sentuh.
Dalam keamanan komputer, kerahasiaan biasanya
berarti memperoleh namun tidak memodifikasi. Modifikasi yaitu subjek
integritas, yang akan kita bahas di bagian selanjutnya.
1.2.2 Integritas (Integrity)
Contoh kegagalan integritas mudah ditemukan. Beberapa tahun yang lalu makro jahat dalam
dokumen Word memasukkan kata "tidak" setelah beberapa contoh acak dari kata "yaitu ;" Anda bisa
membayangkan kekacauan yang terjadi. sebab dokumen umumnya benar secara sintaksis, orang
tidak segera mendeteksi perubahan ini . Dalam Studi Kasus lain, model chip komputer Pentium
Gambar 1-6 Kontrol Akses
menghasilkan hasil yang salah dalam keadaan tertentu dari aritmatika floating-point. Meskipun
keadaan kegagalan jarang terjadi, Intel memutuskan untuk memproduksi dan mengganti chip
ini . Banyak dari kita menerima email yang salah alamat sebab seseorang salah mengetik saat
menyalin dari daftar tertulis. Situasi yang lebih buruk terjadi saat ketidakakuratan itu disebarkan
ke milis lain sehingga kita sepertinya tidak pernah bisa memperbaiki akar masalahnya. Di lain
waktu kami menemukan bahwa spreadsheet tampaknya salah, hanya untuk menemukan bahwa
seseorang mengetik "spasi 123" di sel, mengubahnya dari nilai numerik menjadi teks, sehingga
program spreadsheet menyalahgunakan sel itu dalam perhitungan. Misalkan seseorang mengonversi
data numerik menjadi angka romawi: Seseorang dapat berargumen bahwa IV sama dengan 4,
namun IV tidak akan berguna di sebagian besar aplikasi, juga tidak akan berarti bagi seseorang yang
mengharapkan 4 sebagai jawaban. Studi Kasus-Studi Kasus ini menunjukkan beberapa contoh
luasnya kegagalan integritas.
Integriy ini berarti menjaga konsistensi, akurasi, dan kepercayaan terhadap data untuk setiap waktu
hingga seterusnya. Data tidak boleh diubah pada saat transit. lalu juga langkah-langkah
tertentu perlu dilakukan untuk memastikan bahwa data tidak bisa diubah-ubah oleh orang yang tidak
punya kepentingan sejalan (misalnya, para peretas yang ingin melakukan manipulasi data dsb).
Langkah-langkah ini juga termasuk izin dalam mengakses file dan batasan kontrol bagi akses
pemakai . Kontrol ini bisa dipakai untuk mencegah perubahan yang keliru atau penghapusan tidak
disengaja dari pemakai resmi yang bisa juga menjadi masalah. Jadi, intinya backup/redundant
harus tersedia untuk memulihkan data yang sudah kena masalah agar bisa kembali ke keadaan
yang semula.
Misalnya, jika kita mengatakan bahwa kita telah mempertahankan integritas suatu barang, yang
kita maksudkan yaitu barang ini
• tepat
• akurat
• tidak dimodifikasi
• dimodifikasi hanya dengan cara yang dapat diterima
• dimodifikasi hanya oleh orang yang berwenang
• dimodifikasi hanya oleh proses resmi
• konsisten
• konsisten secara internal
• bermakna dan berguna
Integritas juga dapat berarti dua atau lebih dari sifat-sifat ini. Welke dan Mayfield mengenali tiga
aspek tertentu dari integritas—tindakan yang diotorisasi, pemisahan dan perlindungan sumber daya,
serta deteksi dan koreksi kesalahan. Integritas dapat ditegakkan dengan cara yang sama seperti
kerahasiaan: dengan kontrol yang ketat terhadap siapa atau apa yang dapat mengakses sumber
daya mana dengan cara apa.
1.2.3 Ketersediaan (Availability)
Mimpi terburuk pemakai komputer: Anda menyalakan sakelar dan komputer tidak melakukan
apa-apa. Data dan program Anda mungkin masih ada, namun Anda tidak bisa mengaksesnya sama
sekali. Untungnya, hanya sedikit dari kita yang mengalami kegagalan itu. Namun, banyak dari kita
mengalami kelebihan beban: akses semakin lambat; komputer merespons namun tidak dengan cara
yang kami anggap normal atau dapat diterima.
Ketersediaan berlaku untuk data dan layanan (yaitu, untuk informasi dan pemrosesan informasi),
dan juga kompleks. Seperti halnya gagasan kerahasiaan, orang yang berbeda mengharapkan
ketersediaan berarti hal yang berbeda. Misalnya, objek atau layanan dianggap tersedia jika hal
berikut ini benar:
• Hal ini hadir dalam bentuk yang dapat dipakai .
• Memiliki kapasitas yang cukup untuk memenuhi kebutuhan layanan.
• Hal ini membuat kemajuan yang jelas, dan, jika dalam mode tunggu, memiliki waktu tunggu
yang terbatas.
• Layanan selesai dalam jangka waktu yang dapat diterima.
Kita dapat membangun deskripsi ketersediaan secara keseluruhan dengan menggabungkan tujuan-
tujuan ini. Berikut yaitu beberapa kriteria untuk menentukan ketersediaan.
• Ada tanggapan yang tepat waktu untuk permintaan kami.
• Sumber daya dialokasikan secara adil sehingga beberapa pemohon tidak disukai daripada yang
lain.
• Konkurensi dikendalikan; yaitu, akses simultan, manajemen kebuntuan, dan akses eksklusif
didukung sesuai kebutuhan.
• Layanan atau sistem yang terlibat mengikuti filosofi toleransi kesalahan, di mana kesalahan
perangkat keras atau perangkat lunak mengarah pada penghentian layanan yang lancar atau
penyelesaian masalah alih-alih crash dan hilangnya informasi secara tiba-tiba. (Penghentian
berarti akhir; apakah itu anggun atau tidak, pada akhirnya sistem tidak tersedia. Namun, dengan
peringatan yang adil tentang penghentian sistem, pemakai mungkin dapat pindah ke sistem
lain dan melanjutkan pekerjaan.)
• Layanan atau sistem dapat dipakai dengan mudah dan sesuai dengan tujuan pemakai annya.
(Ini yaitu karakteristik kegunaan, namun sistem yang tidak dapat dipakai juga dapat
memicu kegagalan ketersediaan.)
Seperti yang Anda lihat, ekspektasi ketersediaan
jauh jangkauannya. Pada Gambar 1-7 kami
menggambarkan beberapa properti yang
ketersediaannya tumpang tindih. Memang,
komunitas keamanan baru mulai memahami apa
yang tersirat dari ketersediaan dan bagaimana
memastikannya.
Seseorang atau sistem dapat melakukan
tiga hal dasar dengan item data: melihatnya,
memodifikasinya, atau memakai nya. Dengan
demikian, melihat (kerahasiaan), memodifikasi
(integritas), dan memakai (ketersediaan) yaitu mode dasar
akses yang ingin dipertahankan oleh keamanan komputer.
Gambar 1-7 Ketersediaan dan
Aspek Terkait
Availability
Capacity Performance
UsabilityFault
Tolerance
Paradigma keamanan komputer yaitu kontrol akses: Untuk menerapkan kebijakan, keamanan
komputer mengontrol semua akses oleh semua subjek ke semua objek yang dilindungi dalam semua
mode akses. Kontrol akses yang kecil dan terpusat sangat penting untuk menjaga kerahasiaan
dan integritas, namun tidak jelas apakah satu titik kontrol akses dapat menegakkan ketersediaan.
Memang, para ahli ketergantungan akan mencatat bahwa titik kontrol tunggal dapat menjadi titik
kegagalan tunggal, sehingga memudahkan penyerang untuk menghancurkan ketersediaan dengan
menonaktifkan titik kontrol tunggal. Sebagian besar kesuksesan keamanan komputer di masa lalu
berfokus pada kerahasiaan dan integritas; ada model kerahasiaan dan integritas, ketersediaan
yaitu tantangan besar keamanan berikutnya.
Kami baru saja menjelaskan triad C-I-A dan tiga sifat keamanan mendasar yang diwakilinya. Deskripsi
kami tentang properti ini dalam konteks hal-hal yang membutuhkan perlindungan. Untuk memotivasi
pemahaman Anda, kami memberikan beberapa contoh bahaya dan ancaman untuk memicu
kerugian. Langkah kita selanjutnya yaitu memikirkan sifat ancaman itu sendiri.
1.2.4 Jenis Ancaman
Untuk beberapa gagasan tentang bahaya, lihat Gambar 1-8, diambil dari laporan Willis Ware
(Ware:70).
Meskipun ditulis saat komputer begitu besar, sangat mahal, dan sangat sulit dioperasikan sehingga
hanya organisasi besar seperti universitas, perusahaan besar, atau departemen pemerintah yang
memilikinya, diskusi Ware masih bersifat instruktif hingga saat ini. Ware terutama memperhatikan
perlindungan data rahasia, yaitu menjaga kerahasiaan. Dalam gambar, ia menggambarkan manusia
seperti programmer dan staf pemeliharaan mendapatkan akses ke data, serta radiasi dimana data
dapat melarikan diri sebagai sinyal. Dari gambar ini Anda dapat melihat beberapa dari sekian
banyak jenis ancaman terhadap sistem komputer.
Gambar 1-8 Kerentanan Komputer
Salah satu cara untuk menganalisis bahaya yaitu dengan mempertimbangkan penyebab atau
sumbernya. Kami menyebut penyebab potensial bahaya sebagai ancaman. Kerugian dapat
disebabkan oleh peristiwa bukan manusia atau manusia. Contoh ancaman non-manusia termasuk
bencana alam seperti kebakaran atau banjir; kehilangan daya listrik; kegagalan komponen seperti
kabel komunikasi, chip prosesor, atau drive disk; atau diserang oleh babi hutan.
Ancaman manusia dapat berupa jinak (nonmalicious) atau berbahaya. Jenis bahaya yang tidak
berbahaya termasuk seseorang secara tidak sengaja menumpahkan minuman ringan di laptop,
secara tidak sengaja menghapus teks, secara tidak sengaja mengirim pesan email ke orang yang
salah, dan dengan ceroboh mengetik “12” bukannya “21” saat memasukkan nomor telepon atau
mengklik “ya” dan bukan "tidak" untuk menimpa file. Kesalahan manusia yang tidak disengaja ini
terjadi pada kebanyakan orang; kami hanya berharap bahwa keseriusan kerusakannya tidak terlalu
besar, atau jika memang demikian, kami tidak akan mengulangi kesalahan itu.
Sebagian besar aktivitas keamanan komputer terkait dengan kerusakan berbahaya yang disebabkan
manusia: Ancaman jahat sebenarnya ingin memicu kerusakan, jadi kami sering memakai
istilah serangan untuk peristiwa keamanan komputer yang berbahaya. Serangan berbahaya dapat
dilakukan secara acak atau terarah. Dalam serangan acak, penyerang ingin membahayakan
komputer atau pemakai mana pun; serangan seperti itu analog dengan menyapa pejalan kaki
berikutnya yang berjalan di jalan. Contoh serangan acak yaitu kode berbahaya yang diposting di
situs web yang dapat dikunjungi oleh siapa saja.
Ancaman
DitargetkanAcak
Faktor
Manusia
MerusakJinak
Faktor
Alam
Contoh : api,
daya lemah
Contoh :
human error
Contoh :
peniruan
kode berbahaya di
situs web
Gambar 1-9 Jenis Ancaman
Dalam serangan terarah, penyerang bermaksud merusak komputer tertentu, mungkin di satu
organisasi (pikirkan serangan terhadap organisasi politik) atau milik individu tertentu (pikirkan
mencoba menguras rekening bank orang tertentu, misalnya, dengan peniruan identitas). Kelas
serangan terarah lainnya yaitu terhadap produk tertentu, seperti komputer mana pun yang
menjalankan browser tertentu. (Kami tidak ingin membagi rambut tentang apakah serangan semacam
itu diarahkan—pada satu produk perangkat lunak itu—atau acak, terhadap pemakai produk
itu; intinya bukanlah kesempurnaan semantik namun perlindungan terhadap serangan.) Rentang
kemungkinan diarahkan serangan praktis tidak terbatas. Berbagai jenis ancaman ditunjukkan pada
Gambar 1-9.
Kegagalan perangkat keras yang normal dapat tampak seperti serangan yang diarahkan dan
berbahaya untuk menolak akses, dan peretas sering kali mencoba menyembunyikan aktivitas
mereka agar terlihat seperti pemakai biasa yang berwenang. Sebagai ahli keamanan komputer
kita perlu mengantisipasi hal buruk apa yang mungkin terjadi, daripada menunggu serangan terjadi
atau memperdebatkan apakah serangan itu disengaja atau tidak disengaja.
Baik buku ini maupun daftar periksa atau metode apa pun tidak dapat menunjukkan kepada Anda
semua jenis kerusakan yang dapat terjadi pada aset komputer. Ada terlalu banyak cara untuk
mengganggu pemakai an Anda atas aset-aset ini. Namun, dua daftar retrospektif dari kerentanan
yang diketahui menarik. Common Vulnerabilities and Exposures (CVE) (lihat http://cve.mitre.org/)
yaitu kamus kerentanan dan eksposur keamanan yang diketahui publik. Pengidentifikasi umum
CVE memungkinkan pertukaran data antara produk keamanan dan menyediakan titik indeks
dasar untuk mengevaluasi cakupan alat dan layanan keamanan. Untuk mengukur tingkat bahaya,
Common Vulnerability Scoring System (CVSS) (lihat http://nvd.nist.gov/cvss.cfm) menyediakan
sistem pengukuran standar yang memungkinkan penilaian dampak kerentanan yang akurat dan
konsisten.
1.2.5 Ancaman Persisten Tingkat Lanjut
Pakar keamanan menjadi semakin khawatir tentang jenis ancaman yang disebut ancaman persisten
tingkat lanjut. Penyerang tunggal mungkin membuat serangan acak yang menjerat beberapa, atau
beberapa juta, individu, namun dampak yang dihasilkan terbatas pada apa yang dapat diatur dan
dikelola oleh penyerang tunggal itu. Sekumpulan penyerang—misalnya, tentang kelompok cyber
yang setara dengan geng jalanan atau regu kejahatan terorganisir—mungkin bekerja sama untuk
mencuri nomor kartu kredit atau aset keuangan serupa untuk mendanai aktivitas ilegal lainnya.
Penyerang seperti itu cenderung oportunistik, mengorek kantong korban dan beralih ke aktivitas
lain.
Serangan ancaman persisten tingkat lanjut datang dari penyerang yang sabar dan terorganisir
dengan dana yang baik. Seringkali berafiliasi dengan pemerintah atau kelompok kuasi-pemerintah,
penyerang ini terlibat dalam kampanye jangka panjang. Mereka dengan hati-hati memilih target
mereka, menyusun serangan yang secara khusus menarik target ini ; pesan email yang disebut
spear phishing dimaksudkan untuk merayu penerimanya. Biasanya serangan itu diam, menghindari
dampak yang jelas yang akan mengingatkan korban, sehingga memungkinkan penyerang untuk
mengeksploitasi hak akses korban dalam waktu yang lama.
Motif serangan semacam itu terkadang tidak jelas. Salah satu tujuan populer yaitu spionase
ekonomi. Serangkaian serangan, yang tampaknya diorganisir dan didukung oleh pemerintah China,
dipakai pada 2012 dan 2013 untuk mendapatkan desain produk dari perusahaan kedirgantaraan
di Amerika Serikat. Ada bukti rintisan kode serangan dimuat ke mesin korban jauh sebelum serangan;
lalu , penyerang memasang kode yang lebih kompleks dan mengekstrak data yang diinginkan.
Pada Mei 2014, Departemen Kehakiman mendakwa lima peretas China secara in absentia atas
serangan ini.
Pada musim panas 2014 serangkaian serangan terhadap bank J.P. Morgan Chase dan hingga
selusin lembaga keuangan serupa memungkinkan para penyerang mengakses 76 juta nama,
nomor telepon, dan alamat email. Para penyerang—dan bahkan negara asal mereka—tetap tidak
diketahui, begitu pula motifnya. Mungkin penyerang menginginkan data keuangan yang lebih sensitif,
seperti nomor akun atau kata sandi, namun hanya bisa mendapatkan informasi kontak yang kurang
berharga. Juga tidak diketahui apakah serangan ini terkait dengan serangan setahun sebelumnya
yang mengganggu layanan ke bank itu dan beberapa lainnya.
Untuk membayangkan lanskap penuh dari kemungkinan serangan, Anda mungkin perlu
mempertimbangkan jenis orang yang menyerang sistem komputer. Meskipun siapa pun berpotensi
menjadi penyerang, kelas orang tertentu menonjol sebab latar belakang atau tujuan mereka. Jadi,
di bagian berikut kita melihat profil beberapa kelas penyerang.
1.2.6 Jenis Penyerang
Siapa penyerang? Seperti yang telah kita lihat, motivasi mereka berkisar dari kesempatan hingga
target tertentu. Mengesampingkan serangan dari penyebab alami dan jinak, kita dapat mengeksplorasi
siapa penyerang dan apa yang memotivasi mereka.
Sebagian besar penelitian tentang penyerang sebenarnya menganalisis penjahat komputer, yaitu
orang yang benar-benar telah dihukum sebab kejahatan, terutama sebab kelompok itu mudah
diidentifikasi dan dipelajari. Orang yang lolos atau yang melakukan penyerangan tanpa ketahuan
mungkin memiliki ciri-ciri yang berbeda dengan penjahat yang tertangkap. Lebih buruk lagi, dengan
hanya mempelajari penjahat yang telah kita tangkap, kita mungkin tidak belajar bagaimana menangkap
penyerang yang tahu cara menyalahgunakan sistem tanpa ditangkap.
Seperti apa penjahat dunia maya itu? Di televisi dan film, para penjahat mengenakan pakaian lusuh,
tampak kejam dan menyeramkan, dan tinggal di geng di suatu tempat di luar kota. Sebaliknya, sheriff
berpakaian bagus, berdiri dengan bangga dan tinggi, dikenal dan dihormati oleh semua orang di
kota, dan menimbulkan ketakutan di hati sebagian besar penjahat.
Yang pasti, beberapa penjahat komputer yaitu tipe yang kejam dan jahat. namun lebih banyak
lagi yang mengenakan setelan bisnis, memiliki gelar sarjana, dan tampak menjadi pilar komunitas
mereka. Ada yang masih SMA atau mahasiswa. Lainnya yaitu eksekutif bisnis paruh baya. Beberapa
secara mental gila, sangat bermusuhan, atau sangat berkomitmen untuk suatu tujuan, dan mereka
menyerang komputer sebagai simbol. Lainnya yaitu orang biasa yang tergoda oleh keuntungan
pribadi, balas dendam, tantangan, kemajuan, atau keamanan pekerjaan—seperti pelaku kejahatan
apa pun, memakai komputer atau tidak.
Para peneliti telah mencoba menemukan ciri-ciri psikologis yang membedakan penyerang, seperti
yang dijelaskan di Studi Kasus 1-1. Studi-studi ini jauh dari konklusif, bagaimanapun, dan ciri-
ciri yang mereka identifikasi mungkin menunjukkan korelasi namun belum tentu kausalitas. Untuk
menghargai poin ini, misalkan sebuah penelitian menemukan bahwa jumlah orang yang dihukum
sebab kejahatan komputer yaitu kidal. Apakah hasil itu menyiratkan bahwa semua orang kidal
16
yaitu penjahat komputer atau hanya orang kidal? Tentu tidak. Tidak ada satu profil pun yang
menangkap karakteristik penyerang komputer "tipikal", dan karakteristik beberapa penyerang terkenal
juga cocok dengan banyak orang yang bukan penyerang. Seperti yang ditunjukkan pada Gambar
1-10, penyerang terlihat seperti orang lain di tengah kerumunan.
Teroris
Hacker
Individu
Organisasi
Kriminal
Diluar
kelompok
manapun
Penjahat
sewaan
Gambar 1-10 Penyerang
Studi Kasus 1-1 : Profil Psikologis Penyerang
Temple Grandin, seorang profesor ilmu hewan di Colorado State University dan
seorang penderita gangguan mental yang disebut Asperger Syndrome (AS), berpikir
bahwa Kevin Mitnick dan beberapa peretas lainnya yang digambarkan secara luas
menunjukkan gejala klasik sindrom Asperger. Meskipun dengan cepat menunjukkan
bahwa tidak ada penelitian yang menemukan hubungan antara AS dan peretasan,
Grandin mencatat ciri-ciri perilaku serupa di antara Mitnick, dirinya sendiri, dan
penderita AS lainnya. Sebuah artikel di USA Today (29 Maret 2001) mencantumkan
ciri-ciri AS berikut:
• keterampilan sosial yang buruk, sering dikaitkan dengan menjadi penyendiri
selama masa kanak-kanak; "kutu buku komputer" klasik
• gelisah, gelisah, tidak mampu melakukan kontak mata, kurang merespon isyarat
dalam interaksi sosial, seperti ekspresi wajah atau bahasa tubuh
• kemampuan luar biasa untuk mengingat deretan angka yang panjang
• kemampuan untuk fokus pada masalah teknis secara intens dan untuk waktu
yang lama, meskipun mudah teralihkan pada masalah lain dan tidak mampu
mengelola beberapa tugas sekaligus
• kejujuran yang mendalam dan rasa hormat terhadap hukum
Donn Parker telah mempelajari peretasan dan kejahatan komputer untuk banyak
orang selama bertahun-tahun. Dia menyatakan “peretas dicirikan oleh sikap yang
tidak dewasa dan terlalu idealis … Mereka senang menampilkan diri mereka sendiri
ke media sebagai orang yang baik dan idealis, juara dari yang diunggulkan.”
17
Pertimbangkan kutipan berikut dari wawancara dengan “Mixter,” programmer Jerman
yang mengakui bahwa dia yaitu penulis perangkat lunak penyerang yang tersebar
luas yang disebut Tribal Flood Network (TFN) dan sekuelnya TFN2K:
T : Mengapa Anda menulis perangkat lunak?
J : Saya pertama kali mendengar tentang Trin00 [perangkat lunak penyerang lainnya]
pada Juli '99 dan saya menganggapnya menarik dari perspektif teknis, namun
juga berpotensi kuat secara negatif. Saya mengetahui beberapa fakta tentang
cara kerja Trin00, dan sebab saya tidak berhasil mendapatkan sumber atau
binari Trin00 pada waktu itu, saya menulis jaringan klien-server saya sendiri
yang mampu melakukan penolakan layanan.
T : Apakah Anda terlibat … dalam salah satu serangan profil tinggi baru-baru ini?
J : Tidak. Fakta bahwa saya menulis alat ini sama sekali tidak berarti bahwa saya
memaafkan pemakai an aktifnya. Saya harus mengakui bahwa saya cukup
terkejut mendengar tentang serangan terbaru. Tampaknya para penyerang yaitu
orang-orang yang tidak tahu apa-apa yang menyalahgunakan sumber daya dan
alat yang kuat untuk kegiatan yang umumnya berbahaya dan tidak masuk akal
hanya "sebab mereka bisa."
Perhatikan bahwa dari beberapa informasi tentang serangan penolakan layanan,
dia menulis jaringan klien-servernya sendiri dan lalu serangan yang canggih.
Tapi dia "cukup terkejut" mendengar mereka dipakai untuk menyakiti.
Diperlukan lebih banyak penelitian sebelum kita dapat menentukan profil seorang
peretas. Dan bahkan lebih banyak pekerjaan akan diperlukan untuk memperluas
profil itu ke profil penyerang (berbahaya). Tidak semua peretas menjadi penyerang;
beberapa peretas menjadi administrator sistem, pengembang, atau pakar keamanan
yang sangat berdedikasi dan teliti. namun beberapa psikolog melihat di AS dasar-
dasar profil peretas.
Perorangan
Awalnya, penyerang komputer yaitu individu, bertindak dengan motif kesenangan, tantangan,
atau balas dendam. Penyerang awal bertindak sendiri. Dua yang paling terkenal di antara mereka
yaitu Robert Morris Jr., mahasiswa pascasarjana Cornell University yang meruntuhkan Internet
pada tahun 1988, dan Kevin Mitnick, pria yang membobol dan mencuri data dari puluhan komputer,
termasuk San Pusat Superkomputer Diego.
Di Indonesia sendiri, hacker sudah ada sejak abad 20 saat tanah air menjadi ladang subur
perkembangan internet. Beberapa kelompok hacker di Indonesia saat itu cukup banyak, di antaranya
hackerlink, anti-hackerlink, kecoa elektronik, dan echo.
Hacker di Indonesia mencapai masa keemasan pada kisaran tahun 2000, yaitu AntiHackerlink.
Pihaknya mampu membobol puluhan situs internet kala itu baik dari dalam dan luar negeri. Uniknya,
pendiri dari Antihackerlink ini yaitu seorang anak yang belum genap berumur 17 tahun bernama
Wenas Agustiawan yang biasa dikenal dengan nama hC (hantu Crew)
18
Kelompok Lintas Negara yang Terorganisir
Serangan yang lebih baru telah melibatkan sekelompok orang. Serangan terhadap pemerintah negara
diyakini merupakan ledakan yang tidak terkoordinasi dari federasi penyerang dari seluruh dunia.
Kevin Poulsen mengutip Tim Rosenberg, seorang profesor riset di Universitas George Washington,
memperingatkan "kelompok peretas multinasional yang didukung oleh kejahatan terorganisir" dan
menunjukkan kecanggihan mafia era larangan. Dia juga melaporkan bahwa Christopher Painter, wakil
direktur kejahatan komputer Departemen Kehakiman AS, berpendapat bahwa penjahat cyber dan
artis penipuan serius semakin bekerja dalam konser atau satu dan sama. Menurut Painter, kelompok
penjahat yang terhubung secara longgar di seluruh dunia bekerja sama untuk membobol sistem dan
mencuri serta menjual informasi, seperti nomor kartu kredit. Misalnya, pada Oktober 2004, otoritas
AS dan Kanada menangkap 28 orang dari 6 negara yang terlibat dalam jaringan kejahatan dunia
maya yang terorganisir untuk membeli dan menjual informasi dan identitas kartu kredit.
Sedangkan motif awal penyerang komputer seperti Morris dan Mitnick bersifat pribadi, seperti prestise
atau prestasi, serangan baru-baru ini sangat dipengaruhi oleh keuntungan finansial. Perusahaan
keamanan McAfee melaporkan “Penjahat telah menyadari keuntungan finansial besar yang bisa
diperoleh dari Internet dengan sedikit risiko. Mereka membawa keterampilan, pengetahuan,
dan koneksi yang dibutuhkan untuk skala besar, perusahaan kriminal bernilai tinggi yang, bila
dikombinasikan dengan keterampilan komputer, memperluas cakupan dan risiko kejahatan dunia
maya.”
Kejahatan Terorganisir
Sasaran penyerang termasuk penipuan, pemerasan, pencucian uang, dan perdagangan narkoba,
area di mana kejahatan terorganisir memiliki kehadiran yang mapan. Bukti berkembang bahwa
kelompok kejahatan terorganisir terlibat dalam kejahatan komputer. Faktanya, penjahat tradisional
merekrut peretas untuk bergabung dengan dunia kejahatan dunia maya yang menguntungkan.
Misalnya, Albert Gonzales dijatuhi hukuman 20 tahun penjara pada Maret 2010 sebab bekerja
dengan jaringan kejahatan untuk mencuri 40 juta nomor kartu kredit dari pengecer TJMaxx dan
lainnya, dengan biaya lebih dari $200 juta (Reuters, 26 Maret 2010).
Kejahatan terorganisir dapat memakai kejahatan komputer (seperti mencuri nomor kartu kredit
atau rincian rekening bank) untuk membiayai aspek kejahatan lainnya. Serangan baru-baru ini
menunjukkan bahwa penjahat profesional telah menemukan betapa menguntungkannya kejahatan
komputer. Mike Danseglio, seorang manajer proyek keamanan di Microsoft, mengatakan, “Pada tahun
2006, para penyerang ingin membayar sewa. Mereka tidak ingin menulis worm yang menghancurkan
perangkat keras Anda. Mereka ingin mengasimilasi komputer Anda dan memakai nya untuk
menghasilkan uang.” Mikko Hyppönen, Chief Research Officer perusahaan keamanan Finlandia
f-Secure, setuju bahwa serangan hari ini sering datang dari Rusia, Asia, dan Brasil; motifnya sekarang
untung, bukan ketenaran. Ken Dunham, Direktur Tim Respon Cepat untuk VeriSign mengatakan
bahwa dia “yakin bahwa kelompok-kelompok mafia yang terorganisir dengan baik telah menguasai
jaringan kejahatan global bernilai miliaran dolar yang didukung oleh peretas yang terampil.”
McAfee juga menjelaskan Studi Kasus hacker-for-hire: seorang pengusaha yang menyewa seorang
hacker New Jersey berusia 16 tahun untuk menyerang situs web pesaingnya. Peretas menyerang
situs ini selama periode lima bulan dan merusak tidak hanya perusahaan target namun juga
19
penyedia layanan Internet (ISP) mereka dan perusahaan lain yang tidak terkait yang memakai
ISP yang sama. Menurut perkiraan FBI, serangan itu merugikan semua perusahaan lebih dari $2
juta; FBI menangkap hacker dan pengusaha pada Maret 2005.
Brian Snow (Snow:05) mengamati bahwa peretas menginginkan skor atau semacam bukti untuk
memberi mereka hak membual. Kejahatan terorganisir menginginkan sumber daya; penjahat
ini ingin tetap berada di bawah radar untuk dapat mengambil keuntungan dari sistem dari
waktu ke waktu. Tujuan berbeda ini mengarah pada pendekatan yang berbeda untuk kejahatan
komputer: Peretas pemula dapat memakai serangan kasar, sedangkan penyerang profesional
menginginkan metode yang rapi, kuat, dan tidak terdeteksi yang dapat memberikan hadiah untuk
waktu yang lama.
Teroris
Hubungan antara keamanan komputer dan terorisme cukup jelas. Kami melihat teroris memakai
komputer dalam empat cara:
• Komputer sebagai target serangan: Serangan Denial-of-Service dan perusakan situs web yaitu
kegiatan populer untuk organisasi politik mana pun sebab mereka menarik perhatian pada
penyebabnya dan membawa perhatian negatif yang tidak diinginkan ke objek serangan.
• Komputer sebagai metode serangan: Meluncurkan serangan ofensif membutuhkan pemakai an
komputer. Stuxnet, contoh kode komputer berbahaya yang disebut worm, diketahui menyerang
sistem kontrol otomatis, khususnya model sistem kontrol yang diproduksi oleh Siemens. Para
ahli mengatakan kode ini dirancang untuk menonaktifkan mesin yang dipakai dalam
pengendalian reaktor nuklir di Iran. Orang-orang di balik serangan itu tidak diketahui, namun
infeksi diyakini telah menyebar melalui USB flash drive yang dibawa oleh para insinyur yang
memelihara pengontrol komputer.
• Komputer sebagai pemicu serangan: Situs web, log web, dan daftar email yaitu cara yang
efektif, cepat, dan murah untuk memungkinkan banyak orang berkoordinasi. Menurut Dewan
Hubungan Luar Negeri, teroris yang bertanggung jawab atas serangan November 2008 yang
menewaskan lebih dari 200 orang di Mumbai memakai sistem GPS untuk memandu kapal
mereka, Blackberry untuk komunikasi mereka, dan Google Earth untuk merencanakan rute
mereka.
• Komputer sebagai penambah serangan: Internet telah terbukti menjadi sarana yang sangat
berharga bagi teroris untuk menyebarkan propaganda dan merekrut agen. Pada bulan Oktober
2009 FBI menangkap Colleen LaRose, juga dikenal sebagai JihadJane, setelah dia menghabiskan
waktu berbulan-bulan memakai email, YouTube, MySpace, dan papan pesan elektronik
untuk merekrut radikal di Eropa dan Asia Selatan untuk “melakukan jihad kekerasan,” menurut
dakwaan federal.
Kita tidak dapat mengukur secara akurat sejauh mana teroris memakai komputer, sebab
teroris merahasiakan sifat kegiatan mereka dan sebab definisi dan alat pengukuran kami agak
lemah. Namun, insiden seperti yang dijelaskan di Studi Kasus 1-2 memberikan bukti bahwa keempat
aktivitas ini meningkat.
20
Pada tahun 2001, seorang reporter untuk Wall Street Journal membeli komputer
bekas di Afghanistan. Sangat mengejutkan, ia menemukan bahwa hard drive berisi
apa yang tampak seperti file dari seorang agen senior Al Qaeda. Reporter, Alan
Cullison, melaporkan bahwa dia menyerahkan komputer itu ke FBI. Dalam ceritanya
yang diterbitkan pada tahun 2004 di The Atlantic, dia dengan hati-hati menghindari
mengungkapkan apa pun yang dia pikir mungkin sensitif. Disk berisi lebih dari 1.000
dokumen, banyak di antaranya dienkripsi dengan enkripsi yang relatif lemah. Cullison
menemukan rancangan rencana misi dan kertas putih yang mengemukakan argumen
ideologis dan filosofis untuk serangan 11 September 2001. Juga ditemukan salinan
berita tentang kegiatan teroris. Beberapa dokumen yang ditemukan menunjukkan
bahwa al Qaeda pada awalnya tidak tertarik pada senjata kimia, biologi, atau nuklir,
namun menjadi tertarik setelah membaca artikel berita publik yang menuduh al Qaeda
memiliki kemampuan ini .
Mungkin yang paling tak terduga yaitu pesan email dari jenis yang akan ditemukan
di kantor biasa: rekomendasi untuk promosi, pembenaran untuk pengeluaran kas
kecil, dan argumen tentang anggaran.
Komputer ini tampaknya telah dipakai oleh al Qaeda dari tahun 1999
hingga 2001. Cullison mencatat bahwa Afghanistan pada akhir tahun 2001 yaitu
tempat kekacauan, dan kemungkinan pemilik laptop melarikan diri dengan cepat,
meninggalkan komputernya, di mana ia jatuh ke tangan seorang pedagang barang
bekas yang tidak tahu isinya.
namun isi komputer ini menggambarkan aspek penting dari keamanan dan kerahasiaan
komputer: Kita tidak pernah bisa memprediksi waktu di mana bencana keamanan
akan terjadi, dan dengan demikian kita harus selalu siap untuk bertindak segera
jika itu terjadi secara tiba-tiba.
Studi Kasus 1-2 : The Terrorists, Inc., Departemen TI
Jika seseorang di televisi bersin, Anda tidak perlu khawatir tentang kemungkinan terkena flu. namun
jika seseorang yang berdiri di sebelah Anda bersin, bisa jadi Anda menjadi khawatir. Pada bagian
selanjutnya kita akan membahas bahaya yang dapat timbul dari adanya ancaman keamanan
komputer pada sistem komputer Anda sendiri.
21
1.3 Kerugian
Konsekuensi negatif dari ancaman yang diaktualisasikan yaitu kerugian (Harm); kita melindungi
diri kita dari ancaman untuk mengurangi atau menghilangkan bahaya. Kami telah menjelaskan
banyak contoh kerusakan komputer: komputer yang dicuri, file yang diubah atau hilang, surat pribadi
yang terungkap, atau akses yang ditolak ke data. Peristiwa ini memicu kerugian yang ingin
kita hindari.
Dalam diskusi kami sebelumnya tentang aset, kami mencatat bahwa nilai bergantung pada persepsi
dan kebutuhan pemilik atau orang luar. Beberapa aspek nilai tidak dapat diukur, seperti nilai makalah
yang harus Anda serahkan kepada profesor Anda besok; jika Anda kehilangan kertas (yaitu, jika
ketersediaannya hilang), tidak ada jumlah uang yang akan menggantinya. Barang-barang yang Anda
nilai sedikit atau tidak sama sekali mungkin lebih berharga bagi orang lain; misalnya, foto grup yang
diambil di pesta semalam dapat mengungkapkan bahwa teman Anda tidak berada di tempat yang
dia katakan kepada istrinya. Meskipun mungkin sulit untuk menetapkan angka tertentu sebagai nilai
suatu aset, Anda biasanya dapat menetapkan nilai pada skala umum, seperti sedang atau sangat
kecil atau sangat tinggi, tergantung pada tingkat kerugian yang diakibatkan oleh kerugian atau
kerusakan ini . objek akan memicu . Atau Anda dapat menetapkan nilai relatif terhadap
aset lain, berdasarkan kerugian yang sebanding: Versi file ini lebih berharga bagi Anda daripada
versi itu.
Dalam laporan ancaman Internet global 2010, perusahaan keamanan Symantec mensurvei jenis
barang dan jasa yang ditawarkan untuk dijual di halaman web bawah tanah. Item yang paling
sering ditawarkan pada tahun 2009 dan 2008 yaitu nomor kartu kredit, dengan harga mulai dari
$0,85 hingga $30,00 masing-masing. (Bandingkan harga-harga ini dengan upaya individu
untuk menangani efek sebauh pencurian kartu kredit atau jumlah potensial yang hilang oleh bank
penerbit.) Kedua yang paling sering yaitu kredensial rekening bank, pada $15 sampai $850; ini
ditawarkan untuk dijual di 19% situs web di kedua tahun. Akun email berikutnya di $1 sampai $20,
dan daftar alamat email pergi untuk $1.70 sampai $15.00 per seribu. Pada posisi 10 pada tahun
2009 yaitu kredensial administrasi situs web, dengan biaya hanya $2 hingga $30. Situs web pasar
gelap ini menunjukkan bahwa harga pasar aset komputer dapat sangat berbeda dari nilainya bagi
pemilik yang sah.
Nilai dari banyak aset dapat berubah dari waktu ke waktu, sehingga tingkat kerusakan (dan sebab
itu tingkat keparahan ancaman) juga dapat berubah. Dengan waktu, uang, dan kemampuan yang
tidak terbatas, kita mungkin mencoba melindungi dari segala macam bahaya. namun sebab sumber
daya kita terbatas, kita harus memprioritaskan perlindungan kita, menjaga hanya dari ancaman serius
dan yang dapat kita kendalikan. Memilih ancaman yang kami coba mitigasi melibatkan proses yang
disebut manajemen risiko, dan itu termasuk menimbang keseriusan ancaman terhadap kemampuan
kami untuk melindungi.
22
1.3.1 Risiko dan Berpikir Praktis
Jumlah dan jenis ancaman praktis tidak terbatas sebab merancang serangan membutuhkan imajinasi
aktif, tekad, ketekunan, dan waktu (serta akses dan sumber daya). Sifat dan jumlah ancaman di
dunia komputer mencerminkan kehidupan secara umum: Penyebab kerusakan tidak terbatas dan
sebagian besar tidak dapat diprediksi. Bencana alam seperti gunung berapi dan gempa bumi terjadi
dengan sedikit atau tanpa peringatan, seperti halnya kecelakaan mobil, serangan jantung, influenza,
dan tindakan kekerasan secara acak. Untuk melindungi dari kecelakaan atau flu, Anda mungkin
memutuskan untuk tinggal di dalam rumah, tidak pernah berkeliaran di luar. namun dengan melakukan
itu, Anda menukar satu set risiko dengan risiko lainnya; saat Anda berada di dalam, Anda rentan
terhadap keruntuhan bangunan. Ada terlalu banyak kemungkinan penyebab kerusakan bagi kita
untuk melindungi diri kita sendiri—atau komputer kita—sepenuhnya terhadap semua itu.
Dalam kehidupan nyata, kami membuat keputusan setiap hari tentang cara terbaik untuk memberikan
keamanan kami. Misalnya, meskipun kita mungkin memilih untuk tinggal di daerah yang tidak
rawan gempa, kita tidak bisa sepenuhnya menghilangkan risiko gempa. Beberapa pilihan dilakukan
secara sadar, seperti memutuskan untuk tidak berjalan di gang gelap di lingkungan yang tidak
aman; di lain waktu alam bawah sadar kita membimbing kita, dari pengalaman atau keahlian, untuk
mengambil tindakan pencegahan. Kami mengevaluasi kemungkinan dan tingkat keparahan bahaya,
dan lalu mempertimbangkan cara (disebut penanggulangan atau kontrol) untuk mengatasi
ancaman dan menentukan efektivitas kontrol.
Keamanan komputer serupa. sebab kami tidak dapat melindungi dari segalanya, kami
memprioritaskan: Hanya begitu banyak waktu, energi, atau uang yang tersedia untuk perlindungan, jadi
kami mengatasi beberapa risiko dan membiarkan yang lain tergelincir. Atau kami mempertimbangkan
tindakan alternatif, seperti mentransfer risiko dengan membeli asuransi atau bahkan tidak melakukan
apa-apa jika efek samping dari tindakan pencegahan bisa lebih buruk daripada kemungkinan
kerugiannya. Risiko yang tetap tidak tercakup oleh pengendalian disebut risiko residual.
Model dasar manajemen risiko melibatkan pemakai menghitung nilai semua aset, menentukan
jumlah bahaya dari semua kemungkinan ancaman, menghitung biaya perlindungan, memilih
pengamanan (yaitu, kontrol atau penanggulangan) berdasarkan tingkat risiko dan sumber daya yang
terbatas, dan menerapkan pengamanan untuk mengoptimalkan bahaya yang dihindari. Pendekatan
manajemen risiko ini yaitu pendekatan yang logis dan masuk akal untuk perlindungan, namun
memiliki kelemahan yang signifikan. Pada kenyataannya, sulit untuk menilai nilai setiap aset; seperti
yang telah kita lihat, nilai dapat berubah tergantung pada konteks, waktu, dan sejumlah karakteristik
lainnya. Yang lebih sulit lagi yaitu menentukan dampak dari semua kemungkinan ancaman.
Jangkauan kemungkinan ancaman secara efektif tidak terbatas, dan sulit (jika bukan tidak mungkin
dalam beberapa situasi) untuk mengetahui dampak jangka pendek dan jangka panjang dari suatu
tindakan. Misalnya, Studi Kasus 1-3 menjelaskan studi tentang dampak pelanggaran keamanan
dari waktu ke waktu pada keuangan perusahaan, menunjukkan bahwa ancaman harus dievaluasi
dari waktu ke waktu, tidak hanya pada satu contoh.
23
Sudah lama diasumsikan bahwa pelanggaran keamanan akan berdampak buruk bagi
bisnis: bahwa pelanggan, yang takut kehilangan data mereka, akan menyimpang
dari bisnis yang tidak aman dan menuju bisnis yang lebih aman. namun studi empiris
menunjukkan bahwa gambarannya lebih rumit. Studi awal tentang efek pelanggaran
keamanan, seperti yang dilakukan Campbell, meneliti efek pelanggaran pada harga
saham. Mereka menemukan bahwa dampak pelanggaran dapat bergantung pada
sifat pelanggaran itu sendiri; efeknya lebih tinggi saat pelanggaran melibatkan
akses tidak sah ke data rahasia. Cavusoglu dkk. menemukan bahwa pelanggaran
mempengaruhi nilai tidak hanya perusahaan yang mengalami pelanggaran namun
juga perusahaan keamanan: Rata-rata, perusahaan yang dilanggar kehilangan 2,1
persen dari nilai pasar dalam dua hari setelah pengungkapan pelanggaran, namun
nilai pasar pengembang keamanan justru meningkat 1,36 persen.
Myung Ko dan Carlos Dorantes melihat dampak keuangan jangka panjang dari
pelanggaran yang diumumkan secara publik. Berdasarkan Campbell et al. studi,
mereka memeriksa data selama empat kuartal setelah pengumuman akses tidak
sah ke data rahasia. Ko dan Dorantes mencatat banyak jenis kemungkinan biaya
terkait pelanggaran:
“Contoh biaya jangka pendek antara lain biaya perbaikan, biaya penggantian
sistem, kehilangan bisnis sebab terganggunya operasional bisnis, dan hilangnya
produktivitas karyawan. Ini juga dianggap sebagai biaya nyata. Di sisi lain, biaya
jangka panjang termasuk kehilangan pelanggan yang sudah ada sebab kehilangan
kepercayaan, gagal menarik pelanggan potensial di masa depan sebab reputasi
negatif dari pelanggaran, kehilangan mitra bisnis sebab kehilangan kepercayaan,
dan potensi kewajiban hukum dari pelanggaran. Sebagian besar biaya ini yaitu
biaya tidak berwujud yang sulit untuk dihitung namun sangat penting dalam menilai
keseluruhan biaya pelanggaran keamanan bagi organisasi.”
Ko dan Dorantes membandingkan dua kelompok perusahaan: satu set (kelompok
perlakuan) dengan pelanggaran data, dan yang lain (kelompok kontrol) tanpa
pelanggaran namun cocok untuk ukuran dan industri. Temuan mereka sangat
mengejutkan. Bertentangan dengan apa yang Anda duga, perusahaan yang
dilanggar tidak mengalami penurunan kinerja untuk kuartal setelah pelanggaran,
namun laba atas aset mereka menurun pada kuartal ketiga. Perbandingan perlakuan
dengan perusahaan kontrol mengungkapkan bahwa perusahaan kontrol umumnya
mengungguli perusahaan yang dilanggar. Namun, perusahaan yang dilanggar
mengungguli perusahaan kontrol pada kuartal keempat.
Hasil ini sesuai dengan hasil peneliti lain yang menyimpulkan bahwa ada dampak
ekonomi jangka panjang yang minimal dari pelanggaran keamanan. Ada banyak
alasan mengapa demikian. Misalnya, pelanggan mungkin berpikir bahwa semua
perusahaan yang bersaing memiliki kerentanan dan ancaman yang sama, sehingga
Studi Kasus 1-3 : Risiko Pelanggaran Keamanan Jangka Pendek dan Panjang
24
berpindah ke vendor lain tidak mengurangi risiko. Penjelasan lain yang mungkin
yaitu persepsi bahwa perusahaan yang dilanggar memiliki keamanan yang lebih
baik sebab pelanggaran ini memaksa perusahaan untuk memperkuat kontrol
dan dengan demikian mengurangi kemungkinan pelanggaran serupa. Namun
penjelasan lain mungkin hanya rentang perhatian pelanggan yang pendek; seiring
berjalannya waktu, pelanggan melupakan pelanggaran dan kembali ke bisnis seperti
biasa.
Semua penelitian ini memiliki keterbatasan, termasuk ukuran sampel yang kecil dan
kurangnya data yang memadai. namun mereka dengan jelas menunjukkan kesulitan
dalam mengukur dan memverifikasi dampak risiko keamanan, dan menunjukkan
perbedaan antara efek jangka pendek dan jangka panjang.
Meskipun kita tidak boleh menerapkan perlindungan secara sembarangan, kita tentu akan melindungi
dari ancaman yang kita anggap paling mungkin atau paling merusak. Untuk alasan ini, penting untuk
memahami bagaimana kita memandang ancaman dan mengevaluasi kemungkinan terjadinya dan
dampaknya. Studi Kasus 1-4 merangkum beberapa penelitian yang relevan dalam persepsi risiko
dan pengambilan keputusan. Penelitian ini menunjukkan bahwa, untuk Studi Kasus yang
relatif jarang seperti masalah keamanan berdampak tinggi, kita harus mempertimbangkan cara
orang lebih fokus pada dampak daripada kemungkinan kejadian yang sebenarnya.
Studi Kasus 1-4 : Persepsi Risiko Kejadian Ekstrim
saat suatu jenis peristiwa yang merugikan sering terjadi, kita dapat menghitung
kemungkinan dan dampaknya dengan memeriksa frekuensi dan sifat dari rangkaian
peristiwa kolektif. Misalnya, kita dapat menghitung kemungkinan hujan minggu ini
dan menebak jumlah inci curah hujan yang akan kita terima; hujan cukup sering
terjadi. namun masalah keamanan sering kali merupakan peristiwa yang ekstrem:
jarang terjadi dan dalam berbagai keadaan, sehingga sulit untuk melihatnya sebagai
sebuah kelompok dan menarik kesimpulan umum. Karya Paul Slovic tentang risiko
membahas kesulitan khusus dengan peristiwa ekstrem. Dia menunjukkan bahwa
mengevaluasi risiko dalam Studi Kasus-Studi Kasus seperti itu dapat menjadi upaya
politik dan juga ilmiah. Dia mencatat bahwa kita cenderung membiarkan nilai, proses,
kekuatan, dan kepercayaan memengaruhi analisis
