Serangan terhadap keamanan sistem informasi (security attack) dewasa ini seringkali terjadi. Kejahatan komputer/cyber crime pada dunia maya seringkali dilakukan oleh sekelompok orang yang ingin menembus suatu keamanan sebuah sistem.
Aktivitas ini bertujuan untuk mencari, mendapatkan, mengubah, dan bahkan menghapus informasi yang ada pada sistem tersebut jika memang benar-benar dibutuhkan. Ada beberapa kemungkinan tipe dari serangan yang dilakukan oleh penyerang yaitu :
a) Interception yaitu pihak yang tidak mempunyai wewenang telah berhasil mendapatkan hak akses informasi
b) Interruption yaitu penyerang telah dapat menguasai sistem, tetapi tidak keseluruhan. Admin asli masih bisa login
c) Fabrication yaitu penyerang telah menyisipkan objek palsu ke dalam sistem target
d) Modification yaitu penyerang telah merusak sistem dan telah mengubah secara keseluruhan
 |
| Ilustrasi Cyber Attack |
Menurut David Icove (mantan FBI), dilihat dari lubang keamanan yang ada pada suatu sistem, keamanan dapat diklasifikasikan menjadi empat macam:
1) Keamanan Fisik (Physical Security)
Suatu keamanan yang meliputi seluruh sistem beserta peralatan, peripheral, dan media yang digunakan. Biasanya seorang penyerang akan melakukan proses pengawasan dan penyadapan untuk mendapatkan password agar bisa memiliki hak akses. Dan jika gagal, maka DOS (Denial Of Service) akan menjadi pilihan sehingga semua service yang digunakan oleh komputer tidak dapat bekerja. Sedangkan cara kerja DOS biasanya mematikan service apa saja yang sedang aktif atau membanjiri jaringan tersebut dengan pesan-pesan yang sangat banyak jumlahnya. Secara sederhana, DOS memanfaatkan celah lubang keamanan pada protokol TCP/IP yang dikenal dengan Syn Flood, yaitu sistem target yang dituju akan dibanjiri oleh permintaan yang sangat banyak jumlahnya (flooding), sehingga akses menjadi sangat sibuk.
2) Keamanan Data dan Media
Pada keamanan ini penyerang akan memanfaatkan kelemahan yang ada pada software yang digunakan untuk mengolah data. Biasanya penyerang akan menyisipkan virus pada komputer target melalui attachment pada e-mail. Cara lainnya adalah dengan memasang backdoor atau trojan horse pada sistem target. Tujuannya untuk mendapatkan dan mengumpulkan informasi berupa password administrator. Password tersebut nantinya digunakan untuk masuk pada account administrator.
3) Keamanan Dari Pihak Luar
Memanfaatkan faktor kelemahan atau kecerobohan dari orang yang berpengaruh (memiliki hak akses) merupakan salah satu tindakan yang diambli oleh seorang hacker maupun cracker untuk dapat masuk pada sistem yang menjadi targetnya. Hal ini biasa disebut social engineering. Social engineering merupakan tingkatan tertinggi dalam dunia hacking maupun cracking. Biasanya orang yang melakukan social engineering akan menyamar sebagai orang yang memakai sistem dan lupa password, sehingga akan meminta kepada orang yang memiliki hak akses pada sistem untuk mengubah atau mengganti password yang akan digunakan untuk memasuki sistem tersebut.
4) Keamanan dalam Operasi
Merupakan salah satu prosedur untuk mengatur segala sesuatu yang berhubungan dengan sistem keamanan pasca serangan. Dengan demikian, sistem tersebut dapat berjalan baik atau menjadi normal kembali. Biasanya para penyerang akan menghapus seluruh log-log yang tertinggal pada sistem target (log cleaning) setelah melakukan serangan.
Karena dalam perkembangan teknologi dan terdapat berbagai macam perangkat yang berbeda, maka dibuatlah standar keamanan jaringan untuk menyamakan proses sehingga walaupun berbeda perangkat atau berbeda vendor, semuanya dapat saling berkomunikasi dengan segala perbedaan mereka. Selain itu, standar ini juga menetapkan beberapa standar agar data yang diproses dapat diterima oleh pihak lain tanpa ada kesalahan.
Menurut Joseph migga kizza (pakar matematika dan komputer sains) elemen keamanan terdiri dari:
1. Security Policy
Rencana keamanan harus fokus pada orang-orang yang menggunakan sistem dengan membagi mereka menjadi dua kelompok, orang-orang di tim keamanan dan pengguna.
2. The Access Control
Akses control ini dapat diartikan pengendalian atau memberikan wewenang terhadap orang-orang yang berhak dalam mengendalikan suatu sistem.
3. Strong Encryption Algorithms
4. Authentication Techniques
Banyak orang yang telah menaruh masa depan perusahaannya melalui e-commerce, ketika hal itu terjadi maka enkripsi data harus dan teknik otentikasi harus benar. Karena semakin banyak orang yang online untuk membeli dan menjual barang dagangan mereka, mereka membutuhkan algoritma yang kuat dan terpercaya, yang akan membuat transaksi tersebut aman.
Beberapa teknik tentang pengamanan online yang ada saat ini adalah
- Kerberos adalah sebuah skema manajemen kunci yang mengotentikasi pelaku yang ingin berkomunikasi satu sama lainnya. Tugas server Kerberos adalah untuk menjamin identitas dengan mempertahankan database peserta, proses, server, orang, sistem, dan informasi lainnya.
- IPSec menyediakan kemampuan untuk menjamin keamanan data dalam jaringan komunikasi. Dengan mengenkripsi dan atau otentikasi semua lalu lintas pada tingkat jaringan Internet Protocol (IP). Hal ini membuat semua aplikasi internet termasuk clien-server, e-mail, transfer file, dan akses Web yang aman.
- SSL (secure socket layer) adalah sistem enkripsi fleksibel yang beroperasi pada layer TCP / IP untuk mengotentikasi server dan klien terpilih/yang sudah diotentikasi. Sehingga dalam melakukan, akhirnya SSL akan memberikan kunci rahasia ke klien dan penggunaan server kemudian mengirim pesan terenkripsi.
-S/Key adalah skema one-time password, setiap password yang digunakan dalam sistem ini digunakan hanya untuk satu otentikasi.
-ANSI X9.9 adalah standar perbankan AS untuk otentikasi transaksi keuangan. Algoritma Ini menggunakan otentikasi pesan yang disebut DES-MAC berdasarkan DES.
-IS0 8730 setara dengan ANSI X9.9
-Indirect OTP (one-time password) adalah suatu teknik otentikasi yang menghasilkan dan menggunakan password sekali dan kemudian membuangnya.
5. Auditing
Tujuan audit adalah untuk menemukan masalah sebanyak mungkin dalam sistem sebelum penyusup menemukan kelemahan sistem anda. Anda bisa melakukan audit secara bebas, semakin sulit sistem anda ditembus maka akan semakin baik keamanan informasi.
Berikut adalah beberapa badan yang merencanakan dan mengawasi standar jaringan :
Internet Engineering Task Force (IETF), organisasi yang terdiri atas beberapa kelompok penelitian yang memfokuskan diri untuk membangun standar protokol-protokol Internet,arsitektur Internet, aplikasi Internet, dan juga teknologi Internet.
Institute of Electronic and Electric Engineers (IEEE), meningkatkan kualitas dari produk – produk elektronik yang nantinya akan sangat berguna pada masyarakat.
International Standards Organization (ISO), lembaga nirlaba internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja.
International wTelecommunications Union (ITU), organisasi internasional dari PBB yang bergerak di bidang teknologi informasi dan komunikasi. ITU fokus meningkatkan infrastruktur telekomunikasi diseluruh dunia.
Dan masih banyak lagi badan organisasi yang menetapkan standar keamanan jaringan.
![[Delphi] Kode Virtual Key](https://blogger.googleusercontent.com/img/a/AVvXsEimP0vUM9te4Lg1lgCYmPvEhtLievxdiy_iPBTKI1CCxLGKjAGIQgESoYpkj1UBZUyZgK9mb2JhAYJCn2ke3BxY5G92eEEiGrEyR5rR9kGyNQ7RQla9_-j-4q4vbATrssCa97QqxEMMndBmQpns-DzSRF3iblyhW0PF1rdxVKLGc7LoyA3mIWj6DGU_=w72-h72-p-k-no-nu)
![[Astrologi] Cari Tahu Zodiak Dan Karaktermu Disini](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj38U8731kS5FXLaOG0MP2bpXYDXCwkqSToPDHrvv8c8E6RmzVJji6wqMRU-UjpNMcH-NK4yBNmWyzWufmBOu4zPPKhH6p-YcU-bPZNTppvrUkDp8ZEq74rA84VfQgn7maDBlJGns0dpjCJbSMNGzL8-ZHwiwB71PoHNbFDtKhoDfnAWft43jgrRcXd/w72-h72-p-k-no-nu/image.png)
0 Komentar