7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
1
2.1 Keamanan Sistem Informasi Domain keamanan sistem informasi menggabungkan identifikasi dari aset data dan informasi suatu organisasi dengan pengembangan dan implementasi kebijakan-kebijakan,standar-standar, pedoman-pedoman, dan prosedur-prosedur.
Confidentiality
C.I.A Integrity 7 April 2007
Availability
M.K Etika Profesi IT: Bambang Suhartono
2
a)Confidentiality. Konsep confidentiality berupaya untuk mencegah terjadinya penyingkapan yang tidak sah secara disengaja maupun tidak disengaja terhadap isi dari suatu pesan. Hilangnya confidentiality dapat terjadi dengan berbagai cara, seperti melalui keluarnya informasi rahasia perusahaan secara sengaja atau melalui penyalahgunaan hak-hak jaringan.
b) Integrity. Konsep integrity menjamin bahwa: Modifikasi-modifikasi tidak dilakukan terhadap data oleh personil atau proses yang tidak sah.Modifikasimodifikasi yang tidak sah tidak dilakukan terhadap data oleh personil atau proses yang sah. Data bersifat konsisten baik secara internal maupun eksernal;
C) Availability. Konsep availability menjamin bahwa akses terhadap data atau sumber daya komputer yang dapat diandalkan dan tepat waktu oleh personil yang sesuai.Dengan kata lain, availability menjamin bahwa sistem selalu “up and running� bila dibutuhkan. Sebagai tambahan, konsep ini menjamin bahwa layanan-layanan keamanan yang dibutuhkan oleh praktisi-praktisi keamanan selalu siap sedia. 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
3
Tujuan utama dari kendali-kendali keamanan adalah untuk mengurangi dampak dari ancaman-ancaman keamanan dan vulnerabilities(mudah untuk diserang) ke suatu tingkat yang dapat ditoleransi oleh sebuah organisasi.
Tabel. Ancaman yang sering Muncul 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
4
2.2 Kriminalitas di Internet (Cyber Crime) Menurut motifnya kejahatan di Internet dibagi menjadi dua motif yaitu motif Intelektual dan motif ekonomi, politik serta kriminal Motif Intelektual, yaitu kejahatan yang dilakukan hanya untuk kepuasan pribadi dan menunjukan bahwa dirinya telah mampu untuk merekayasa dan mengimplementasikan bidang teknologi informasi. Motif ekonomi, politik dan kriminal, yaitu kejahatan yang dilakukan untuk keuntungan pribadi atau golongan tertentu yang berdampak pada kerugian secara ekonomi dan politik yang lain.
7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
5
Faktor-faktor yang menimbulkan tindak pidana diatas terutama Cybercrime, tersebut disebabkan oleh dua hal, yaitu teknis dan sosioekonomi (kemasyarakatan). Segi teknis, Adanya teknologi internet akan menghilangkan batas wilayah negara yang menjadikan dunia ini menjadi begitu dekat dan sempit. Saling terhubungnya antara jaringan yang satu dengan jaringan yang lain memudahkan pelaku kejahatan untuk melakukan aksinya. Kemudian tidak meratanya penyebaran teknologi menjadikan yang satu lebih kuat daripada yang lain. Kelemahan tersebut dimanfaatkan oleh mereka yang tidak bertanggung jawab untuk melakukan kejahatan. Segi sosioekonomis, adanya cybercrime merupakan produk ekononmi. Keamanan jaringan merupakan isu global yang muncul bersamaan dengan internet. Sebagai komoditi ekonomi. Cybercrime berada dalam skenario besar dari kegiatan ekonomi dunia. Sebagai contoh saat itu, memasuki tahun 2000 akan terjadi berupa isu virus Y2K yang akan menghilangkan atau merusak data atau informasinya. Hal tersebut tentu saja membuat kekhawatiran terhadap usaha perbankan, penerbangan, pasar modal dan sebagainya, yang pada akhirnya mereka sibuk untuk mencari solusi cara menghindarinya. Sehingga hal tersebut menjadi ladang para penyedia jasa teknologi informasi untuk membuat perangkat atau program untuk menanggulanginya, yang pada akhirnya kenyataannya ancaman tersebut tidak pernah terjadi. 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
6
Kejahatan komputer juga dapat ditinjau dalam empat ruang lingkup sebagai berikut : 1. Komputer sebagai instrumen untuk melakukan kejahatan tradisional, seperti digunakan untuk melakukan pencurian, penipuan dan pemalsuan diinternet, disamping kejahatan lainnya seperti pornografi terhadap anak-anak, prostitusi online, dan lain-lain. 2. Komputer dan perangkatnya sebagai obyek penyalahgunaan, dimana data-data didalam komputer yang menjadi obyek kejahatan dapat saja diubah, dimodifikasi, dihapus atau duplikasi secara tidak sah. 3. Penyalahgunaan yang berkaitan dengan komputer atau data, yang dimaksud dengan penyalahgunaan disini yaitu manakala komputer dan data-data yang terdapat didalam komputer digunakan secara ilegal atau tidak sah.
7 April 2007
4.Unauthorized acquisition, disclosure or use of intermation of data, yang berkaitan dengan masalah penyalahgunaan aksesSuhartono dengan cara-cara yang M.K Etika Profesi hak IT: Bambang ilegal.
7
Menurut Bainbridge (1993) dalam bukunya Komputer dan Hukum membagi beberapa macam kejahatan dengan mengunakan sarana komputer : ď ąMemasukkan instruksi yang tidak sah, yaitu seseorang memasukan instruksi secara tidak sah sehingga menyebabkan sistem komputer melakukan transfer uang dari satu rekening ke rekening lain. Tindakan ini dapat dilakukan oleh orang dalam atau dari luar bank yang berhasil memperoleh akses kepada sistem komputer tanpa izin. ď ąPerubahan data input, yaitu data yang secara sah dimasukan kedalam komputer dengan sengaja dirubah. Cara ini adalah suatu hal yang paling lazim digunakan karena mudah dilakukan dan sulit dilacak kecuali dengan pemeriksaan berkala. ď ąPerusakan data, hal ini terjadi terutama pada data output, misalnya laporan dalam bentuk hasil cetakan komputer dirobek, tidak dicetak atau hasilnya diubah. ď ąKomputer sebagai pembantu kejahatan, misalnya sesorang dengan menggunakan komputer menelusuri rekening seseorang yang aktif, kemudian melakukan penarikan dan melakukan penarikan dana dari rekening tersebut. ď ąAkses tidak sah terhadap sistem komputer, atau yang dikenal hacking. Tindakan hacking ini berkaita ndengan ketentuan rahasia bank, karena seseorang memiliki akses yang tidak sah terhadap sistem komputer bank, sudah tentu mengetahui catatan tentang keadaan keuangan nasabah dan hal-hal lain yang harus dirahasiakan menurut kelaziman dunia perbankan 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
8
Menurut Bernstein et. All. 1996, ancaman terhadap penggunaan internet dapat datang dari jaringan internet maupun dari lingkungan internal. Beberapa jenis ancaman yang dapat diproteksi ketika komputer terhubung ke jaringan dapat dikelompokan menjadi kategori sebagai berikut : Menguping (eavesdropping). Memantau seseorang atau sekelompok individu yang melakukan komunikasi data dan mencatat identitasnya untuk disalahgunakan di kemudian hari. Menyamar (masquerade). Sesorang pengguna menggunakan identitas pengguna lainnya. Pengacau membuat informasi yang sama dengan milik orang lain untuk memperoleh hak akses ke suatu jaringan. Pengulangan (Reply). Urutan kejadian atau perintah direkam dan dijalankan lagi pada kesempatan lain untuk memberi efek adanya akses tidak berizin. Manipulasi data (data manipulation). Integritas data dirusak selagi masih dalam media penyimpanan, atau selama ditransmisikan. Kurangnya pengawasan akses memungkinkan pengacau untuk masuk ke sistem dan memodifikasi data. Cara ini hampir sama dengan reply dan masquerade dimana pesan atau data yang terkirim disusupi dan dimodifikasi serta kemudian dikirim lagi kealamat tujuan tanpa sepengtahuan pengirim dan penerima.
7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
9
Kesalahan penyampaian (misrouting). Komunikasi untuk seorang pengguna dialihkan ke pengguna lain, yang dapat pula disusupi informasinya. Misrouting dapat digunakan bersamaan dengan masquerade, Pintu jebakan atau Kuda trojan (trapdoor). Rutin program dimasukan secara legal kedalam suatu sistem namun apabila dijalankan akan merusak sistem tersebut secara keseluruhan. Hal ini biasanya dapat terjadi karena prosedur pengolahan sistem tindan menggunakan pengecekan source-code ketika suatu file dididownload dari internet. Virus (Viruses). Virus komputer adalah suatu rutin program yang menempel dan menjadi bagian dari rutin program lainnya serta dapat memperbanyak dirinya sendiri. Virus menempatkan dirinya pada boot sector dan arsip data pada piranti penyimpanan (hard disk) sehingga setiap kali komputer dihidupkan secara otomatis virus akan aktif pula. Pengingkaran (repudation). Seseorang atau lebih masuk kedalam jaringan dan melakukan transaksi namun menolak bahwa mereka telah masuk kedalam sistem jaringan. Hal seperti ini merupakan ancaman terhadap kontrak atau transaksi keuangan secara elektronik melalui internet. Penolakan pelayanan (denial of service). Pemasukan rutin program yang dapat menyebabkan semua akses ke dalam sistem atau aplikasi komputer terinterupsi atau ditolak. Hal ini dapat dilakukan dengan mengirim e-mail atau paket data dalam ukuran besar yang melebihi kapasitas jaringan atau sistem/ BOM MAIL. 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
10
Sedangkan menurut Philip Renata ditinjau dari tipenya cybercrime dapat dibedakan menjadi : Joy Computing, yaitu pemakaian komputer orang lain tanpa izin. Hal ini termask pencurian waktu operasi komputer Hacking, yaitu mengakses secara tidak sah atau tanpa izin dengan alat suatu terminal The trojan horse, yaitu manipulasi data atau progam dengan jalan mengubah data atau instruksi pada sebuah program, menghapus, menambah, menjadikan tidak terjangkau dengan tujuan untuk kepentingan pribadi atau orang lain. Data leakage, yaitu menyangkut bocornya data keluar terutama mengenai data yang harus dirahasiakan. Pembocoran data komputer itu bisa berupa rahasia negara perusahaan, data yang dipercayakan kepada seseorang dan data dalam situasi tertentu. Data diddling, yaitu suatu perbuatan yang mengubah data valid atau sah dengan cara tidak sah mengubah input data atau output data Software piracy, yaitu pembajakan software terhadap hak cipta yang dilindungi Hak Ata kekayaan Intelektual (HAKI)
7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
11
Menurut RM. Roy Suryo dalam Warta Ekonomi No. 9, 5 Maret 2001 h.12, kasuskasus cybercrime yang banyak terjadi di Indonesia setidaknya ada tiga jenis berdasarkan modusnya, yaitu: a) Pencurian Nomor Kartu Kredit. b) Memasuki, memodifikasi atau merusak homepage (hacking) c) c) Penyerangan situs atau e-mail melalui virus atau spamming. Beberapa bentuk kejahatan yang berhubungan erat dengan penggunaan teknologi informasi yang berbasis utama komputer dan jaringan telekomunikasi ini, dalam beberapa literatur dan praktiknya dikelompokan dalam beberapa bentuk, antara lain : a. Unauthorized Access to Computer System and Service (memasuki komp. Tanpa izin b. Illegal Contents (penyebaran fitnah/ berita bohong) c. Data Forgery (memanfaatkan kesalahan pengetikan user pd saat akses internet) d. Cyber Espionage (program mata-2,umumnya untuk persaingan bisnis) e. Cyber Sabotage and Extortion (sabotase dgn logic bomb yang akan mengakibatkan program tidak akan berjalan dalam waktu tertentu) f. Offense against Intellectual Property (kejahatan atas HAKI di Internet) g. Infringements of Privacy (kejahatan yang memanfaatkan keterangan pribadi yang tersimpan didalam computer (cache) 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
12
Gambar : Tabel serangan yang terjadi pada transaksi e-commerce (sumber bi.go.id) 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
13
2.3 Kasus Cyber crime yang terjadi 2.3.1 Kasus di Indonesia a) Dunia perbankan melalui Internet (ebanking) Indonesia, dikejutkan oleh ulah seseorang bernama Steven Haryanto9, seorang hacker dan jurnalis pada majalah Master Web. Lelaki asal Bandung ini dengan sengaja membuat situs asli tapi palsu layanan Internet banking Bank Central Asia, (BCA). Steven membeli domain-domain dengan nama mirip www.klikbca.com (situs asli Internet banking BCA), yaitu domain wwwklik-bca.com, kilkbca.com, clikbca.com, klickca.com. dan klikbac.com. Isi situs-situs plesetan inipun nyaris sama, kecuali tidak adanya security untuk bertransaksi dan adanya formulir akses (login form) palsu
Menurut perusahaan Security Clear Commerce di Texas USA, saat ini Indonesia menduduki peringkat ke 2 setelah Ukraina dalam hal kejahatan Carding10
7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
14
b) Januari 2000, beberapa situs di Indonesia diacak-acak oleh cracker yang menamakan dirinya “Fabian clone” dan “naisenodni” (“Indonesia “ dibaca dari belakang. Situs yang diserang termasuk BEJ, BCA, Indosatnet. Selain situs yang besar tersebut masih banyak lagi situs yang tidak dilaporkan, setelah itu bulan Septemberr & Oktober 2000 kembali Fabian Clone berhasil membobol bank Lippo, lalu beraksi dengan menjebol web milik Bank bali, perlu diketahui bahwa kedua bank ini memberikan layanan perbankan di Internet (internet banking) c) Tentunya masih hangat dalam pikiran kita saat seorang hacker bernama Dani Hermansyah, pada tanggal 17 April 2004 melakukan deface11 dengan mengubah nama - nama partai yang ada dengan nama- nama buah dalam website www.kpu.go.id, yang mengakibatkan berkurangnya kepercayaan masyarakat terhadap Pemilu yang sedang berlangsung pada saat itu. Untung sekali bahwa apa yang dilakukan oleh Dani tersebut tidak dilakukan dengan motif politik, melainkan hanya sekedar menguji suatu sistem keamanan yang biasa dilakukan oleh kalangan underground12 (istilah bagi dunia Hacker). Terbukti setelah melakukan hal tersebut, Dani memberitahukan apa yang telah dilakukannya kepada hacker lain melalui chat room IRC khusus Hacker sehingga akhirnya tertangkap oleh penyidik dari Polda Metro Jaya yang telah melakukan monitoring di chat room tersebut13.Deface disini berarti mengubah atau mengganti tampilan suatu website. 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
15
2.3.2 Kasus Di Luar Negeri a)Pada tahun 1996, US Federal Computer Incident Response Capability (FedCIRC) melaporkan bahwa ada lebih dari 2500 insiden disistem komputer atau jaringan komputer yang disebabkan oleh gagalnya sistem keamanan atau adanya usaha untuk membobol sistem keamanan. Masih pada tahun yang sama FBI National Computer Crime Squad, Washington D.C, memperkirakan kejahatan komputer yang terdeteksi kurang dari 15% dan hanya 10% dari angka itu yang dilaporkan . Dari penelitian yang dilakukan oleh American Bar Association menunjukan bahwa dari 1000 perusahaan, 48% telah mengalami “Computer fraud” dalam kurun 1996 – 2001. FBI melaporkan bahwa kasus perisdangan yang berhubungan dengan kejahatan komputer meroket 950% dari tahun 1996 – 1997, dengan penangkapan 4 ke 42, dan terbukti (convicted) dipengadilan naik 88% dari 16 ke 30 kasus.
7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
16
b) Pada 10 maret 1997, seorang hacker massachusets berhasil mematikan sistem telekomunikasi di sebuah bandara lokal (worecester, massachusets) sehingga mematikan komunikasi dimenara kendali dan menghalau pesawat yang hendak mendarat. Dia juga mengacaukan sistem telepon di Rutland Massachusets. c) Kemudian pada tahun 1988, keamanan sistem mail sendmail dieksploitasi oleh Robert Tapan Morris sehingga melumpuhkan sistem internet. Kegiatan ini diklasifikasikan sebagai “denial of service attack�. Diperkirakan biaya yang digunakan untuk memperbaiki dan hal-hal lain yang hilang adalah sekitar $100 jt. Ditahun 1990 Moris terbukti bersalah dan hanya didendan $10.000. d) Pada tanggal 7 Februari 2000 (Senin) sampai dengan Rabu pagi, 9 Februari 2000, beberapa web terkemuka didunia diserang oleh “Distributed denial of services attack� (DdoS attack), sehingga tidak dapat memberikan layanan (down) selama beberapa jam. Tempat yang diserang antara lain : yahoo.com, buy.com ,eBay, Amazon.com, ZDNet, E-Trade. FBI mengeluarkan perangkat untuk mencari program TRINOO atau Tribal Flood Net (TFN) yang diduga digunakan untuk melakukan serangan dari berbagai penjuru dunia. Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke Bugtraq meningkat empat kali (Quadrruple) semenjak tahun 1998 sampai dengan tahun 2000. 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
17
e) Pada 4 Mei 2001 ,situs Gibson research Corp. (Grc.com) diserang Denial of Service attack oleh anak berusia 13 tahun sehingga bandwith dari grc.com yang terdiri dari dua koneksi Koneksi T1 menjadi habis. Steve Gibson kemudian meneliti software yang digunakan untuk menyerang (Dos bot ,sub seven trojan), saluran yang digunakan untuk berkomunikasi (via IRC), dan akhirnya www.grc.com pada juni 2001di UC Berkeley dan University of Maryland berhasil menyadap data-data yang berada pada jaringan nirkabel/ wireles LAN (IEEE 802. 11b) yang mulai marak digunakan oleh perusahaan-perusahaan.
f) Juli 2001 muncul virus Sircam dan Worm Code Red (dan kemudian Nimda) yang berdampak pada habisnya bandwith. Virus Sircam mengirimkan file-2 dari disk korban (beserta virus juga) ke orang-orang yang pernah mengirim email ke korban. Akhirnya file-2 rahasia korban dapat terkirim tanpa diketahui oleh korban. Disisi lain orang yang dikirimi email ini dapat terinveksi virus Sircam ini dan juga merasa “dibom� dengan email yang besar-besar. Sementara itu worm Codered menyerang server Microsoft IIS yang mengaktifkan servis terntenu (indexing). Setelah berhasil masuk, worm ini akan melakukan scanning terhadap jaringan untuk mendeteksi server target tersebut. Diserver yang sudah terinfeksi tersebut terjadi proses scanning kembali dan berulang. Akibatnya jaringan habis untuk saling scanning dan mengirimkan worm ini. Dua buah security hole ini diekploitasi pada saat yang hampir bersamaan sehinnga beban jaringan menjadi lebih berat. 7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
18
g) Tahun 2003/2004 dimulai bisnis dan teknologi informasi dikejutkan oleh mewabahnya worm baru bernama Sasser. Paling tidak tercatat 250.000 kompter diseluruh dunia telah terinfeksi worm tersebut. Tidak seperti worm lainnya yang baru aktif jika pengguna komputer membuka attachment pada email, sasser mampu melakukan scanning IP atau port komputer yang terhubung dengan internet dan langsung menempatkan dirinya dikomputer tersebut
7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
19
7 April 2007
M.K Etika Profesi IT: Bambang Suhartono
20