A.
Pengertian
Keamanan Komputer
Pengertian tentang keamanan komputer
ini beragam-ragam, sebagai contoh dapat kita lihat beberapa defenisi keamanan
komputer menurut para ahlinya, antara lain :
Menurut John D. Howard dalam
bukunya “An Analysis of security incidents on the internet” menyatakan bahwa :
“Keamanan komputer adalah tindakan pencegahan dari
serangan pengguna komputer atau pengakses jaringan yang tidak bertanggung
jawab”.
Menurut Gollmann pada tahun 1999 dalam
bukunya “Computer Security” menyatakan bahwa :
“Keamanan
komputer adalah berhubungan dengan pencegahan diri dan deteksi terhadap
tindakan pengganggu yang tidak dikenali dalam system komputer”.
B. Aspek-aspek Keamanan Komputer
Inti dari
keamanan komputer adalah melindungi komputer dan jaringannya dengan tujuan
mengamankan informasi yang berada di dalamnya. Keamanan komputer sendiri meliputi
beberapa aspek , antara lain :
- Privacy, adalah sesuatu yang bersifat rahasia(provate). Intinya adalah pencegahan agar informasi tersebut tidak diakses oleh orang yang tidak berhak. Contohnya adalah email atau file-file lain yang tidak boleh dibaca orang lain meskipun oleh administrator. Pencegahan yang mungkin dilakukan adalah dengan menggunakan teknologi enksripsi, jadi hanya pemilik informasi yang dapat mengetahui informasi yang sesungguhnya.
- Confidentiality, merupakan data yang diberikan ke pihak lain untuk tujuan khusus tetapi tetap dijaga penyebarannya. Contohnya data yang bersifat pribadi seperti : nama, alamat, no ktp, telpon dan sebagainya. Confidentiality akan terlihat apabila diminta untuk membuktikan kejahatan seseorang, apakah pemegang informasi akan memberikan infomasinya kepada orang yang memintanya atau menjaga klientnya.
- Integrity, penekanannya adalah sebuah informasi tidak boleh diubah kecuali oleh pemilik informasi. Terkadang data yang telah terenskripsipun tidak terjaga integritasnya karena ada kemungkinan chpertext dari enkripsi tersebut berubah. Contoh : Penyerangan Integritas ketika sebuah email dikirimkan ditengah jalan disadap dan diganti isinya, sehingga email yang sampai ketujuan sudah berubah.
- Autentication, ini akan dilakukan sewaktu user login dengan menggunakan nama user dan passwordnya, apakah cocok atau tidak, jika cocok diterima dan tidak akan ditolak. Ini biasanya berhubungan dengan hak akses seseorang, apakah dia pengakses yang sah atau tidak.
- Availability, aspek ini berkaitan dengan apakah sebuah data tersedia saat dibutuhkan/diperlukan. Apabila sebuah data atau informasi terlalu ketat pengamanannya akan menyulitkan dalam akses data tersebut. Disamping itu akses yang lambat juga menghambat terpenuhnya aspe availability. Serangan yang sering dilakukan pada aspek ini adalah denial of service (DoS), yaitu penggagalan service sewaktu adanya permintaan data sehingga komputer tidak bisa melayaninya. Contoh lain dari denial of service ini adalah mengirimkan request yang berlebihan sehingga menyebabkan komputer tidak bisa lagi menampung beban tersebut dan akhirnya komputer down.
C.
Langkah-langkah
Keamanan Komputer
1.
Aset : “Perlindungan aset merupakan hal yg penting dan
merupakan langkah awal dari berbagai implementasi keamanan komputer.”
2.
Analisa Resiko : “Identifikasi akan resiko yg mungkin terjadi, sebuah
even yg potensial yg bisa mengakibatkan suatu sistem dirugikan.”
3.
Perlindungan : “Pada era jaringan, perlu dikwatirkan tentang keamanan
dari sistem komp, baik PC atau yg terkoneksi dgn jaringan.
4.
Alat : “Tool yg digunakan pd PC memiliki peran penting dlm
hal keamanan krn tool yg digunakan harus benar2 aman.”
5.
Prioritas : “perlindungan PC secara menyeluruh.”
D. Ancaman
atau Serangan yang Sering Terjadi Pada Komputer
Memang salah satu serangan yang
mungkin anda paling takuti adalah virus, namun perlu anda ketahui selain virus
ada beberapa serangan/ancaman yang juga perlu anda waspadai terutama dari
internet. Ancaman/serangan yang bisa terjadi terhadap komputer adalah sebagai
berikut :
1.
Sniffing
Pembacaan data yang bukan tujuannya
ini dikenal sebagai sniff. Program Sniffer yang digunakan adalah Network
Monitor dari Distinct Corporation. Program ini merupakan versi trial yang
berumur 10 hari. Di dalam komunikasi TCP/IP atau yang menggunakan model
komunikasi 7 layer OSI, sebuah komputer akan mengirim data dengan alamat
komputer tujuan. Pada sebuah LAN dengan topologi bus atau star dengan
menggunakan hub yang tidak dapat melakukan switch (hub tersebut melakukan
broadcast), setiap komputer dalam jaringan tersebut menerima data tersebut.
Standarnya hanya komputer dengan alamat yang bersesuaian dengan alamat
tujuanlah yang akan mengambil data tersebut. Tetapi pada saat snif, komputer
dengan alamat bukan alamat tujuan tetap mengambil data tersebut. Dengan adanya
sniffer ini, maka usaha untuk melakukan kriptografi dalam database (dalam hal
ini login user dan password) akan sia-sia saja.
2.
Spoofing
Teknik Spoofing adalah pemalsuan
alamat IP attacker sehingga sasaran menganggap alamat IP attacker adalah alamat
IP dari host di dalam network bukan dari luar network. Misalkan attacker
mempunyai IP address 66.25.xx.xx ketika attacker melakukan serangan jenis ini
maka network yang diserang akan menganggap IP attacker adalah bagian dari
network-nya misal 192.xx.xx.x.
3.
Finger
Exploit
Awal penggunaan finger exploit
adalah untuk sharing informasi di antara pengguna dalam sebuah jaringan. Namun
seiring berkembangnya tingkat kejahatan dalam dunia komputer, banyak terjadi
salah penggunaan dari tools ini, karena melalui tools ini sistem keamanan
sangat minim bahkan tidak ada sama sekali.
4.
Brute Force
Brute force adalah salah satu metode
dalam penjebolan keamanan yang menggunakan password. Brute force adalah salah
satu bagian dari password guessing, hanya saja bedanya adalah waktu yang
dipakai dalam brute force lebih singkat dari password guessing karena metode
brute force menggunakan beberapa tools cracking untuk mendapatkan password yang
dicari.
5.
Password
Cracking
Password cracking adalah metoda
untuk melawan perlindungan password yang dienkripsi yang berada di dalam
system. Dengan anggapan bahwa atacker telah masuk kedalam system, ia bisa saja
mengubah kekuasaannya didalam system dengan cara meng crack password file
menggunakan metode brute-force dictionary attack (mencocokan kata-kata yang
berada dalam kamus dengan kata-kata yang dienkripsi dalam file password).
Keberhasilan menggunakan cara ini bergantung pada kecepatan prosesor dan
program yang dimiliki oleh attacker. Cara yang terbaik untuk menghindari
serangan jenis ini adalah dengan memonitor kewenangan akses pada file.
6.
VIRUS
Virus komputer bisa diartikan
sebagai suatu program komputer biasa. Tetapi memiliki perbedaan yang mendasar
dengan program-program lainnya,yaitu virus dibuat untuk menulari
program-program lainnya, mengubah, memanipulasinya bahkan sampai merusaknya.
Suatu program dapat disebut sebagai suatu virus apabila memenuhi minimal 5 kriteria berikut :
Suatu program dapat disebut sebagai suatu virus apabila memenuhi minimal 5 kriteria berikut :
1. Kemampuan
untuk mendapatkan informasi
2. Kemampuan untuk
memeriksa suatu file
3. Kemampuan
untuk menggandakan diri dan menularkan diri
4. Kemampuan
melakukan manipulasi
5. Kemampuan
untuk menyembunyikan diri.
E.
Mencegah
Terjadinya Serangan pada Komputer
Terdiri dari 4 faktor yang merupakan
cara untuk mencegah terjadinya serangan atau kebocoran sistem :
1. Desain
sistem : desain sistem yang baik tidak meninggalkan celah-celah yang memungkinkan
terjadinya penyusupan setelah sistem tersebut siap dijalankan.
2. Aplikasi
yang Dipakai : aplikasi yang dipakai sudah diperiksa dengan
seksama untuk mengetahui apakah program yang akan dipakai dalam sistem tersebut
dapat diakses tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi
sudah mendapatkan kepercayaan dari banyak orang.
3. Manajemen : pada
dasarnya untuk membuat suatu sistem yang secure tidak lepas dari bagaimana
mengelola suatu sistem dengan baik. Dengan demikian persyaratan good practice
standard seperti Standard Operating Procedure (SOP) dan Security Policy
haruslah diterapkan di samping memikirkan hal teknologinya.
4. Manusia
(Administrator) : manusia adalah salah satu fakor yang sangat
penting, tetapi sering kali dilupakan dalam pengembangan teknologi
informasi dan dan sistem keamanan. Sebagai contoh, penggunaan password yang
sulit menyebabkan pengguna malah menuliskannya pada kertas yang ditempelkan
di dekat komputer. Oleh karena itu, penyusunan kebijakan keamanan faktor
manusia dan budaya setempat haruslah sangat dipertimbangkan.
F.
Password
1.
Pengertian
Password
Password adalah suatu bentuk dari
data otentikasi rahasia yang digunakan untuk mengontrol akses ke dalam suatu
sumber informasi. Password akan dirahasiakan dari mereka yang tidak diijinkan
untuk mengakses, dan mereka yang ingin mengetahui akses tersebut akan diuji
apakah layak atau tidak untuk memperolehnya.
Walaupun demikian, password bukan
berarti suatu bentuk kata-kata; tentu saja password yang bukan suatu
kata yang mempunyai arti akan lebih sulit untuk ditebak. Sebagai tambahan, password
sering digunakan untuk menggambarkan sesuatu yang lebih tepat disebut pass
phrase. Password kadang-kadang digunakan juga dalam suatu bentuk
yang hanya berisi angka (numeric); salah satu contohnya adalah Personal
Identification Number (PIN). Password umumnya cukup pendek sehingga
mudah untuk diingat.
2.
Perkembangan
Password
Perkembangan otentikasi password ini
dapat dilihat dengan contoh-contoh dari kelemahan, sistem yang mudah
dibahayakan, yang kebanyakan masih digunakan sampai saat ini. Dibawah ini akan
diperlihatkan beberapa kategori utama dari sistem otentikasi password, bersamaan
dengan beberapa contoh implementasi yang mengilustrasikan kekurangan masing
masing :
1) Otentikasi Lemah (Weak
Authentication)
Secara umum, sistem dengan
otentikasi yang lemah dicirikan dengan protokol yang memiliki kebocoran password
langsung diatas jaringan atau membocorkan informasi yang cukup untuk
diketahui ‘penyerang’ sehingga password dapat dianalisis dan ditebak.
• Cleartext Passwords
Metode otentikasi yang paling tidak
aman adalah menyimpan password pada database di suatu tempat di
server. Selama otentikasi, user mengirim password langsung
ke server dan server akan membandingkan dengan password yang ada
di server. Masalah keamanan disini sangat jelas terlihat.
• Hashed Passwords
Password pengguna
dapat dijalankan melalui suatu fungsi one-way hash, dimana
dapat mengubahnya ke dalam urutan byte secara acak. Sebagai fungsi ini
akan lebih susah dikembalikkan: lebih mudah mengubah password menjadi
hash daripada hash menjadi password. Otentikasi
terdiri dari menjalankan fungsi hash ketika password diketik
dan membandingkannya dengan password yang telah disimpan. Sistem
seperti ini masih digunakan sampai sekarang pada sistem utama UNIX.
• Challange-Response
Untuk menghindari kemunculan password
secara langsung pada jaringan yang tidak terpercaya, dibuatlah
sistem challangeresponse. Server akan mengirim beberapa challange,
yang mencirikan beberapa string pendek secara acak. Sayangnya, sistem
challange-response sudah tidak mampu lagi mengimbangi aplikasi jaringan
modern.
2) Otentikasi Kuat (Strong Authentication)
Walaupun enkripsi yang baik sudah
ada sejak beberapa dekade yang lalu, pengembangan dari otentikasi
protokol langsung yang kuat baru dimulai tahun 1990 dengan publikasi
dari “EKE family of algorithms”.
• EKE
Merupakan keluarga protokol yang
terdiri dari simetrik dan publickey cryptosystems untuk
melakukan otentikasi password. Untuk pertama kalinya, protokol
dapat menghindari dictionary attacks dan memung-kinkan
pemberitahuan secara rahasia tanpa melibatkan pihak ketiga atau key-management.
• DH-EKE, SPEKE
EKE yang paling terkenal dan aman,
sama dengan protokol pengganti kunci Diffie-Hellman. Sebagai
contoh: DH-EKE, adalah EKE yang di-implementasikan menggunakan Diffie-Hellman.
Perbedaan yang paling signifikan yaitu pada pertukaran pesan pada DH
yang sekarang dienkripsi dengan shared password. Demikian juga
dengan SPEKE, yang juga berbasis Diffie-Hellman. Tetapi password
sekarang digunakan untuk mempengaruhi pemilihan dari parameter
generator di dalam fungsi session-key generation.
• A-EKE
Merupakan modifikasi dari EKE, biasa
disebut Augmented-EKE; di-mana server dapat menyimpan beberapa
yang tidak plaintextequivalent ke password pengguna.
Protokol ini adalah satu-satunya protokol yang sampai saat ini tahan terhadap
dictionary attacks dan tidak mempunyai database password yang
plaintext-equivalent. Sayangnya, A-EKE mengorbankan kerahasiaan
dalam usahanya untuk menghindari plaintext-equivalence.
3) Gangguan Otentikasi (Inconvenient Authentication)
Ketidakhadiran otentikasi yang kuat,
teknologi otentikasi password yang mudah, membuat para pendesain
sistem tahun 1980an mencoba teknik lain untuk menjamin keamanan password.
Kebanyakan dari sistem yang ada, tidak sepenuhnya password-based dan
sering membutuhkan sesuatu yang lebih pada bagian pengguna,
administrator, atau keduanya untuk meng-operasikan secara halus. Ada
tiga metode yang dapat dilakukan, yaitu one-time passwords, Kerberos, dan
SSH.
3.
Proteksi
Password
Upaya untuk mengamankan proteksi password tersebut
antara lain:
a) Salting
String password yang
diberikan pemakai ditambah suatu string pendek sehingga mencapai panjang
password tertentu.
b) One-time
Passwords
Password yang
dimiliki oleh pemakai diganti secara teratur, dimana seorang pemakai memiliki
daftar password sendiri sehingga untuk login ia selalu menggunakan password
berikutnya. Dengan cara ini pemakai akan menjadi lebih direpotkan karena harus
menjaga daftar password tersebut tidak sampai tercuri atau hilang.
c) Satu
pertanyaan dan jawaban yang panjang
Yang mengharuskan pemakai memberikan
satu pertanyaan yang panjang beserta jawabannya, yang mana pertanyaan dan
jawabannya dapat dipilih oleh pemakai, yang mudah untuk diingat sehingga ia
tidak perlu menuliskannya pada kertas.
d) Tanggapan-tanggapan
Pemakai diberikan kebebasan untuk
menggunakan satu atau beberapa algoritma sekaligus.
4.
Password
Policy / Kebijakan Pengamanan
Kebijakan pengamanan atau yang biasa
dikenal dengan password policy adalah sekelompok peraturan yang dibuat
untuk meningkatkan keamanan informasi dengan mendorong pengguna untuk memakai password
yang kuat dan menggunakannya dengan tepat. Kebijakan pengamanan sering
menjadi bagian dari regulasi resmi suatu organisasi. Kebijakan pengamanan dapat
dilaporkan atau ditugaskan dengan melakukan berbagai jenis pengujian ke dalam operating
system.
Kebijaksanaan pengamanan biasanya
sederhana dan umum digunakan, dimana setiap pengguna dalam sistem dapat
mengerti dan mengikutinya. Isinya berupa tingkatan keamanan yang dapat
melindungi data-data penting yang disimpan oleh setiap user.
Beberapa hal yang dipertimbangkan
dalam kebijaksanaan pengamanan adalah siapa sajakah yang memiliki akses ke
sistem, siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem,
siapa memiliki data apa, perbaikan terhadap kerusakan yang mungkin terjadi, dan
penggunaan yang wajar dari sistem.
5.
Kesalahan
Utama Para Pengguna Password
Ada lima kesalahan yang biasanya
dilakukan orang sehingga mengakibatkan data mereka dapat dicuri orang lain, login
dapat di-hack, dan sebagainya. Umumya orang mengunci pintu rumahnya
terlebih dahulu sebelum pergi meninggalkan rumah. Namun dalam penggunaan
komputer, orang cenderung bertindak ceroboh. Tidak hanya pengguna saja, tetapi
termasuk juga administratornya.
Dari kelima kesalahan tersebut,
hanya empat yang berkaitan erat dengan penggunaan password. Berikut ini
adalah empat kesalahan utama yang berhubungan dengan pengamanan password:
1) Menuliskan
password di kertas. Pengguna biasanya menuliskan password di secarik kertas dan
kemudian menempelkannya di PC atau di samping monitor. Mereka terlalu malas
mengingat password itu sehingga mencatatnya di kertas dan meletakkannya begitu
saja sehingga semua orang dapat membacanya. Hal ini didasarkan atas penelitian
yang dilakukan oleh lembaga security di US yang menyatakan sekitar 15-20%
penggunan disuatu perusahaan melakukan hal ini.
2) Pemilihan
password yang buruk. Di dalam memilih password, orang cenderung menggunakan
nama orang dekat, seperti nama suami atau istri, nama pacar, nama orang-tua,
nama binatang kesayangan, atau tulisan disekitar mereka yang gampang ditebak
oleh orang lain. Atau bahkan menggunakan tanggal lahir mereka sendiri. Password
yang buruk akan dengan gampang dicrack, apalagi kalau password itu sama
dengan username. Jika anda menggunakan password dengan kombinasi abjad,
nomor, dan huruf besarkecil (case sensitive), maka akan dibutuhkan waktu
yang cukup lama untuk meng-crack. Hal itu juga tergantung seberapa
panjang password yang digunakan. Saat ini beberapa situs tertentu menggunakan
kalimat sebagai password, misalnya situs “hushmail”.
3) Meninggalkan
komputer yang masih hidup begitu saja. Banyak orang meninggalkan komputer
mereka tanpa proteksi apa-apa. Dengan demikian orang lain tinggal datang dan
duduk untuk mengakses data. Berbagai sistem operasi sudah memberikan fasilitas
seperti screen saver yang bisa diaktifkan passwordnya setelah lima menit
(tergantung setting dari pengguna) atau bisa di-lock begitu kita mau
meninggalkan komputer kita.
4) Tidak adanya
kebijakan keamanan komputer di perusahaan. Bukan hal yang aneh jika banyak
perusahaan di Indonesia tidak memilikinya karena mereka masih belum peduli
dengan keamanan, terkecuali untuk perusahaan multinasional. Hal itupun karena
adanya keharusan dari headquarter yang mengharuskan mereka menerapkan
kebijakan itu di perusahaan mereka yang berada di Indonesia. Security policy
ini mengatur segala hal yang berkaitan dengan keamanan komputer, seperti
penerapan password untuk setiap orang (misalnya: panjang password minimal
9 karakter dengan kombinasi numerik dan karakter), yang juga disertai dengan
sanksi yang akan diberikan jika mereka melanggarnya.
6.
Penggunaan
Password yang Baik
Ada beberapa cara untuk menjaga
keamanan komputer, terutama dalam hal pemakaian password. Password merupakan
hal vital dalam proses otentikasi.
Penggunaan password yang baik dan
efektif seharusnya:
1) Minimal
mempunyai panjang 6-8 karakter, yang dikombinasikan dengan karakter angka,
simbol atau menggunakan sensitive case.
2) Tidak
memiliki maksud atau makna. Password yang memiliki makna relatif mudah untuk
ditebak. Jadi penggunaan nama anggota keluarga, alamat, tanggal lahir, dan
sejenisnya harus dihindari.
3) Tidak
terdiri dari urutan abjad atau angka, misalnya ‘67890’ atau ‘hijklmn’.
4) Sebaiknya
diberi periode berlaku. Ini berarti harus sering mengganti password.
5) Jangan
gunakan nama login (username) sebagai password dalam bentuk apapun, baik
dengan mengganti huruf kapital, dibalik, diulang, dan sebagainya.
6) Jangan
menggunakan kata-kata yang umum dan terdapat dalam kamus.
7) Jangan
pernah menuliskan password yang Anda pakai di tempat-tempat yang dapat diakses
umum.
8) Jangan
membuat password yang membuat Anda kesulitan untuk menghafalnya. Buatlah
password yang mudah diingat, namun sulit untuk ditebak.
9) Jangan
pernah memberitahu password Anda kepada orang lain.
10) Apabila
diperlukan, ada baiknya jika menggunakan software atau utilitas tambahan untuk
menambah keamanan komputer Anda.