Security 101

Selasa 15 Mei 2007

Hola,,

beberapa hari ini di LabKom di sekolah saya sedang ada maintenance untuk jaringan nya sehingga mengharuskan para penghuni-penghuninya minggat untuk sementara. Nah di hari pertama setelah maintenance, yaitu hari ini saya menyempatkan untuk meng-update blog saya ini GBU🙂

Security 101
Date: Wednesday, October 24, 2001 Hits: 12528 By: ic4b4rg
Bagi orang awam yang bukan di dunia IT khususnya security pasti pernah mendengar berita penyebaran virus komputer, situs di-deface (diganti isi situs dan halaman pertama), data perusahaan yang diekspos atau hilang yang semuanya mengarah pada hilangnya keyakinan pelanggan untuk belanja secara online.Sebelum adanya Internet, kejahatan teknologi di dunia sudah terjadi cuma masih dalam bentuk format yang lain seperti phone phreak yaitu mencuri pulsa telepon dan biasanya kejahatan yang terjadi hanya sekitar lokal saja artinya terjadi di mana yang melakukan dengan korbannya berada dalam satu wilayah yang sama. Dengan adanya dunia cyber atau dikenal dengan Internet ini, maka kejahatan bisa dilakukan secara remote tanpa harus berada di lokasi tersebut. Misalnya seorang di New York bisa melakukan atau membobol online banking yang ada di Asia. Dan uniknya lagi kejahatan yang dilakukannya itu bisa berakibat tidak tersentuh oleh hukum karena lokasi yang berlainan ini dan banyak faktor yang mempengaruhi seperti adanya hubungan diplomatik antara kedua negara sehingga memungkinkan untuk menangkap sang pelaku dan diekstradisi ke negara lain yang menjadi korban. Ada satu contoh kasus di Internet di mana seorang wanita berlokasi di Amerika menyebarkan gambar porno ke negara di Swiss dan si wanita ini terlacak posisinya dan dijatuhi hukuman 7 bulan penjara oleh pengadilan di Swiss. Uniknya lagi, wanita ini sama sekali belum pernah berada di negara Swiss dan dia selama setahun terakhir ini tidak pernah meninggalkan Amerika. Kedengaran aneh dan lucu, tapi ini benar terjadi dengan adanya Internet.

Salah satu bahaya lainnya dengan adanya Internet ini selain tidak perlu berada di lokasi adalah unsur ‘propagate’ atau menggandakan. Dalam bukunya ‘Secret and Lies’, Bruce Schneider mengambil contoh propagate ini dengan menggambarkan seorang hacker yang pandai membuat satu program kecil untuk membobol satu situs dengan sistem operasi tertentu. Kemudian sang hacker ini menaruh programnya di salah satu situs di Internet supaya orang lain bisa mengambil dan menggunakannya. Apa yang terjadi adalah program ini dalam waktu singkat digunakan untuk membobol ribuan situs yang mengandung cacat atau bug pada sistemnya. Jadi dengan kata lain bahwa untuk membobol sebuah sistem kadang tidak diperlukan suatu kepandaian khusus. Hanya dibutuhkan satu orang saja yang pandai dan yang lain tinggal mengikutinya saja. Yang mengikuti dengan meng-download program kemudian menggunakannya ini sering disebut dengan istilah ‘script kiddies’.

Bagi suatu perusahaan, dengan menghubungkan jaringan internal organisasi kita dengan dunia luar misalnya untuk perusahaan yang membangun sistem SCM (supply chain management) misalnya yang menghubungkan pihak perusahaan dengan supplier dan dengan customer mereka yang meng-share informasi. Di samping bisa meningkatkan efisiensi bisnis dengan meng-sharekan informasi yang ada yang terhubung dengan jaringan internal organisasi, hal ini juga dapat menjadi resiko atau ancaman tersendiri bagi perusahaan untuk kerahasiaan data/informasi. Karena security sudah bukan menjadi isu fisik lagi melainkan sudah menjadi isu logikal yang seseorang tidak harus berada di tempat untuk melakukan pencurian data. Perusahaan menjadi terbuka terhadap penyusupan atau serangan (attack and exploitation) yang mungkin pihak perusahaan sendiri tidak sadar akan hal ini bahwa eksplotasi yang mungkin terjadi dapat berakibat pada hancurnya reputasi perusahaan dan kepercayaan pelanggan. Misalnya data pelanggan mencakup informasi probadi, data kartu kredit dsbnya yang dicuri orang.

Perlu diingat pula bahwa berdasarkan survey yang dilakukan oleh pihak FBI bekerja sama dengan CSI (Computer Security Institute) bahwa rata-rata hampir semua perusahaan pernah mengalami kejahatan teknologi ini antara lain disebabkan oleh penyusupan (intrusion), program trojan, virus dan sebagainya. Dan sebanyak 75 % itu setelah dilacak ternyata berasal dari internal. Lantas, apa yang bisa kita lakukan untuk mencegah kejadian ini ? Apakah dengan memasang berbagai teknologi security lantas jaringan kita sudah aman dari pembobolan ?

Tahapan Security

Secara garis besar saya membagi langkah atau tahapan dalam membangun security di dalam organisasi menjadi tiga tahap di bawah ini:

– Prevention / Defense
– Detection
– Response / Auditing

Tahap pertama yaitu defense atau prevention (pencegahan) merupakan tahap yang harus dibangun terlebih dahulu dalam satu organisasi di mana minimal tahap ini harus exist atau ada di perusahaan. Dalam tahap ini banyak yang harus dilakukan karena merupakan tahap yang terpenting di antara semua tahap yang lain. Tahap awal ini mencakup perencanaan, risk assessment, cost-benefit analysis, threat identification dan implementasi. Dalam tahap awal ditentukan apa yang menjadi ancaman bagi perusahaan dan identifikasi juga resiko yang bisa terjadi, juga berapa total biaya yang harus dikeluarkan untuk implementasi tahap ini. Yang paling penting di antara semua itu adalah inisiatif ini perlu didukung oleh pihak manajemen perusahaan dari tingkat paling atas sampai bawah (driven top to down) dan juga adanya security policy efektif yang bisa dijadikan pedoman dalam pelaksanaan tahapan security di perusahaan. Karena di dalam policy ini juga berisi sanksi atau hukuman yang bisa dikenakan kepada para karyawan apabila tidak mengikuti aturan yang sudah ditetapkan oleh perusahaan. Misalnya instalasi program anti virus yang tidak dijalankan oleh karyawan, yang karena kelalaian nya bisa mengakibatkan satu perusahaan terinfeksi dan kehilangan data.

Tahap kedua atau tahap deteksi adalah sebagai kelanjutan dari tahap pencegahan. Kita sudah melaksanakan atau mengimplementasikan pertahanan di perusahaan tetapi bagaimana kita tahu bahwa pada saat ini atau kemarin ada seseorang sedang mencoba untuk membobol sistem kita ? Adapun contoh teknologi atau produk yang digunakan dalam tahap ini adalah intrusion detection system (IDS) atau content inspection (CI). Program anti virus juga bisa dimasukkan dalam tahapan ini.

Tahap terakhir yaitu auditing atau responsif. Sesudah kita mengimplementasi tahap deteksi dan ternyata ada kejadian di mana aktivitas penyusup (intruder) terdeteksi oleh sistem IDS kita. Atau kita ingin mengetahui sejauh mana aktivitas dari si penyusup ini, apakah dia berhasil mengambil data kita ? Untuk ini diperlukan skill atau keahlian tersendiri. Ada sistem yang sengaja dibangun untuk menjebak para penyusup yang disebut dengan honeynet di mana nantinya segala aktivitas dari penyusup dapat diketahui.
Dalam tahap ini pula kita dapat menguji sistem kita apakah masih ada lubang security dapat kita lakukan dengan meng-audit sistem kita sendiri. Ada banyak tool atau produk yang tersedia di pasaran untuk auditing ini seperti Cybercop Scanner, Policy Compliance, Sysytem Scanner, Database Scanner dan lainnya.

Objectives atau Sasaran

Kita sudah melihat tahapan yang harus dibangun jika ingin membangun security di dalam organisasi kita. Namun dalam membangun sesuatu harus didasarkan atas suatu sasaran. Apa yang mau dicapai ? Orang membangun rumah, sasaran atau tujuannya yaitu untuk tinggal. Seorang anak kecil kalau ditanya, kenapa pergi sekolah, dia akan menjawab supaya pintar. Lalu kenapa kita membangun security ? Apa yang ingin dicapai ?

Dalam beberapa forum security ataupun beberapa buku security, dijelaskan bahwa objective dari security itu bisa dibagi menjadi :

– Confidentiality, atau kerahasiaan berarti bagaimana memproteksi informasi agar tidak dibaca atau dicopy oleh orang lain yang tidak berhak.
– Integrity atau integritas data adalah bagaimana memproteksi informasi agar tidak dihapus ataupun diubah oleh siapapun tanpa persetujuan yang empunya.
– Availability atau ketersediaan informasi berarti kapanpun diperlukan, informasi itu dapat tersedia bagi yang memerlukan.
– Consistency atau konsistensi data berarti sistem berlaku sebagaimana yang diharapkan terutama seperti sesudah upgrade atau install fix /patch.
– Control berarti me-regulasi akses ke sistem
– Audit berarti mencari tahu apa yang telah dilakukan, oleh siapa dan kapan saja.

Dari keenam unsur ini, yang umum digunakan adalah 3 yang pertama (Confidentiality, Integrity dan Availability). Lalu bagaimana prioritasnya bagi suatu perusahaan ? Yang mana yang dijadikan urutan pertama ? Jawabannya yaitu tergantung dari organisasi bersangkutan. Misalnya bagi institusi perbankan atau keuangan, maka jelas sekali bahwa confidentiality akan menempati prioritas pertama diikuti oleh integritas data.

Namun bagi sebuah institusi pendidikan seperti akademi atau universitas, availability merupakan prioritas utama. Di mana jika mahasiswa memerlukan sewaktu kuliah, sistem ada dan tersedia sehingga dapat dipergunakan oleh para mahasiswa.

Dengan mengimplementasikan tahapan security dari defense sampai dengan auditing tidak menjamin bahwa perusahaan anda sudah 100 % aman, karena tidak ada tempat yang aman di dunia Internet. Namun lebih baik ada daripada tidak ada, bukan ? Artikel ini juga bisa dibaca di http://www.techmedia-online.com beserta artikel networking dan database lainnya.

Ic4b4rg – “Knowledge Is Free”

Source: JASAKOM Information Center

About sugoistanley

Me is just another ordinary boy in this world....Iam not a hacker but i believe someday I Will...

Posted on May 15, 2007, in Hacking. Bookmark the permalink. 1 Comment.

  1. Your site is very cool, i love it
    success for you..and nice to know you
    If you have time , please visit my site at http://www.audithink.com
    Thank you

    Regards,
    Fatur
    Founder http://www.audithink.com | your audit knowledge center

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s