[1]Publications / Keamanan Informasi Kenali Dan Atasi Masalahnya * [2]Home * [3]Publications * [4]Projects * [5]Presentations * [6]In The News * [7]Speaking Schedule Keamanan Informasi: Kenali dan Atasi Masalahnya TERPICU oleh masalah Ambalat dan pemulangan TKI ilegal, hubungan Indonesia dan Malaysia cenderung memanas. Tidak hanya pada dunia nyata seperti diberitakan di media cetak maupun televisi, namun juga di dunia maya. Lebih dari 100 situs web kedua belah pihak menjadi korban defacement (aktivitas penggantian halaman situs web oleh pihak lain) dari serangan para cracker dari kedua kubu. Insiden yang terjadi--umumnya disebut Cyber War--lebih sering menjadikan pihak-pihak yang tidak berdosa sebagai korban. SEBAGAI dampak dari serangan tersebut banyak hal yang dipertaruhkan, dan yang paling terasa adalah kredibilitas sebuah organisasi atau perusahaan. Bayangkan jika situs web yang menjadi korban defacement adalah milik sebuah bank, publik yang awam akan beranggapan bahwa bank tersebut memiliki sistem yang tidak aman walaupun pada kenyataannya situs web tersebut terpisah dari core banking system. Saat ini, banyak perusahaan yang telah menyikapi masalah privasi dan integritas data dengan serius. Hal ini sangatlah wajar mengingat proses pengumpulan dan pengolahan data yang dilakukan perusahaan berlangsung terus-menerus sehingga risiko yang berhubungan dengan keamanan informasi juga semakin meningkat. Oleh karena risiko yang ada semakin banyak dan beragam macamnya, di Indonesia sudah semakin marak perusahaan konsultan dan penyedia layanan jaringan menawarkan layanan audit keamanan dan membantu para kliennya untuk mencegah serangan-serangan dari luar (juga dari dalam) perusahaan klien. Sangat disayangkan, masih banyak perusahaan yang merasa sudah cukup aman dan terlindungi dari serangan para cracker (hacker yang cenderung berperilaku dan bertujuan tidak baik) dengan menggunakan sebuah firewall atau sebuah peralatan yang mengintegrasikan fitur keamanan di dalamnya. Kondisi ini semakin parah dengan ada banyaknya perusahaan yang meninggalkan peralatan pendukung tersebut dalam keadaan default. Saya banyak menemui kasus seperti ini pada proses audit maupun penetration testing (sebuah metode pengujian yang menyimulasikan bagaimana penyerang dapat menerobos masuk ke dalam sebuah sistem atau jaringan). BERDASARKAN laporan survei Computer Security Institute dan Federal Beureau of Investigation tahun 2004, serangan virus merupakan peringkat tertinggi, sebanyak 78 persen pada survei terhadap jenis serangan yang mengancam sebuah perusahaan. Hacking, virus, worms, spam, dan serangan denial-of-service adalah ancaman-ancaman potensial saat ini terhadap komputer, PDA, ponsel, dan perangkat lainnya yang terhubung ke internet. Dengan semakin banyak dan beragamnya perangkat yang terhubung, maka yang menjadi target utama para cracker adalah perangkat atau aplikasi yang paling banyak digunakan. Sebagai contoh, penggunaan teknologi USB/PCMCIA dalam kehidupan sehari-hari. Teknologi ini banyak digunakan untuk melakukan transfer data dari kamera digital ke komputer, menghubungkan ponsel ke komputer, dan lain-lain. Namun belum banyak yang tahu bahwa implementasi teknologi tersebut mempunyai kerawanan yang tersembunyi. Seorang peneliti dari Internet Security System (ISS), David Maynor, menemukan bahaya baru yang muncul dari penggunaan USB/PCMCIA menerobos komputer dan melakukan apa yang disebut unknown attack factor. Maynor akan mempresentasikan penemuan ini pada konferensi Bellua Cyber Security Asia 2005 di Hotel Borobudur, Jakarta, pekan ini. Kurangnya pemahaman keamanan informasi menyebabkan banyak perusahaan cenderung berkonsentrasi penuh pada aspek teknis saja dan mengabaikan aspek manusia dan proses yang terlibat. Seorang pakar keamanan, Bruce Schneier, mengungkapkan, "Para (penyerang) amatir menyerang sistem, para (penyerang) profesional menyerang manusia." Pada banyak kasus, insiden keamanan yang paling sering terjadi umumnya dilakukan oleh "orang dalam" dari sebuah perusahaan seperti karyawan yang merasa sakit hati atau baru saja mengalami PHK atau mereka yang memahami dengan benar bagaimana pengolahan informasi pada perusahaan, penempatan komputer pada jaringan, atau kebijakan-kebijakan yang digunakan. SEBUAH perusahaan sebaiknya mengimplementasikan metode identifikasi dan autentikasi data yang dimiliki, serta menonaktifkan password atau e-mail account jika tidak lagi dipergunakan oleh karyawan untuk jangka waktu tertentu. Karyawan sebaiknya hanya diberikan akses pada informasi dan sistem yang dibutuhkannya. Para vendor maupun konsultan yang terlibat dalam proses bisnis sebaiknya juga dilibatkan, karena dengan mengizinkan pihak ketiga untuk terlibat dalam rantai pengolahan informasi, maka secara langsung telah membuka sebuah jalan masuk bagi penyerang. Dalam perjanjian kerja sama, sebaiknya dicantumkan butir yang berkaitan dengan keamanan dan melibatkan mereka sebagai target dari proses audit keamanan. Hal lain yang harus dicermati adalah pemahaman tentang keamanan dari para karyawan. Front-desk adalah sasaran empuk bagi mereka yang ingin menyerang dengan metode social engineering. Namun dengan bekal pemahaman yang cukup soal keamanan informasi, maka kebocoran-kebocoran informasi yang dilakukan secara tidak sengaja dapat terantisipasi dengan baik. Pelatihan seputar masalah keamanan informasi secara reguler selayaknya dilakukan sebuah perusahaan kepada seluruh karyawan, tanpa terkecuali dari pimpinan sampai office boy. Banyak virus yang tersebar di internet menggunakan e-mail attachment sebagai media penyebaran. Namun virus tersebut membutuhkan interaksi pengguna untuk melakukan proses infeksi dan penyebaran. Virus mengelabui pengguna dengan menyamar sebagai games, aplikasi utilitas, update anti-virus, atau screenscaver bahkan foto bugil artis terkenal. Pengguna yang penasaran tentunya akan membuka attachment tersebut, sepertinya tidak terjadi apa-apa (terkadang hanya muncul sebuah pesan error), dan ternyata virus telah mulai menginfeksi dan menyebar. Memberikan pemahaman kepada pengguna untuk tidak membuka attachment yang meragukan adalah sebuah langkah sederhana namun efektif untuk menangani masalah penyebaran virus. Jika ditangani dengan baik, sebuah implementasi keamanan yang lebih menitikberatkan pada aspek manajemen akan lebih cost-effective jika dibandingkan dengan implementasi berbasiskan teknologi saja. Selain itu, pemahaman terhadap jenis-jenis pertahanan dapat membantu banyak dalam proses mengatasi masalah-masalah keamanan yang terjadi. Sebagai contoh, jenis firewall yang digunakan untuk melindungi serangan eksternal akan berbeda dengan jenis firewall yang dikhususkan untuk keperluan internal. Perbedaan-perbedaan yang mencolok adalah harga dan fitur. Jika menempatkan firewall eksternal untuk keperluan pengamanan internal, maka akan terjadi pemborosan. Sebaliknya, menempatkan firewall internal untuk keperluan pengamanan eksternal, cenderung menjadi tidak efektif karena keterbatasan fitur dan fasilitas. Sebuah pendekatan alternatif lain yang dapat dilakukan adalah dengan memanfaatkan teknologi honeypot (teknologi yang memanfaatkan resource yang sengaja dibuat menarik perhatian penyerang), mengumpulkan semua bukti penyerangan dan kemudian mempelajarinya. Teknologi ini sangat efektif untuk mengetahui tren serangan dari waktu-ke-waktu karena umumnya mereka yang mengakses resource tersebut adalah mereka yang punya niatan tidak baik. Honeypot dapat diidentikkan dengan sebuah jebakan bagi para cracker dan juga malwares (program-program jahat seperti internet worms). [8]http://www.kompas.co.id/kompas-cetak/0503/21/tekno/1631304.htm Copyright © 2004-2006. Jim Geovedi <[9]jim@geovedi.com> Page last modified on December 02, 2005, at 04:33 PM References 1. http://jim.geovedi.com/Publications 2. http://jim.geovedi.com/Main/HomePage 3. http://jim.geovedi.com/Publications/HomePage 4. http://jim.geovedi.com/Projects/HomePage 5. http://jim.geovedi.com/Presentations/HomePage 6. http://jim.geovedi.com/News/HomePage 7. http://jim.geovedi.com/SpeakingSchedule/HomePage 8. http://www.kompas.co.id/kompas-cetak/0503/21/tekno/1631304.htm 9. mailto:jim@geovedi.com