Information Security: Protecting Your Information in the Digital Age

Transkripsi

1 Information Security: Protecting Your Information in the Digital Age Transkrip Minggu 4: Prinsip-prinsip Keamanan Informasi Part 2 Video 1: Serangan atau Attack Video 2: Interruption Video 3: Interception Video 4: Modification Video 5: Fabrication Video 6: Security Requirement Video 7: Pengamanan Video 8: Perilaku Pengancam Video 9: Mengamankan Sistem Video 10: Pengamanan Secara Menyeluruh Video 11: Penutup Video 1: Serangan atau Attack Halo, siswa IndonesiaX. Kita bertemu lagi. Kali ini saya akan membahas tentang serangan. Menurut salah satu dari pakar keamanan informasi, William Stallings, jenis-jenis serangan bisa kita bagi menjadi empat bergantung dari topologinya. Yang pertama adalah Interruption, kedua, Interception, ketiga, Modification, dan keempat, Fabrication. Nanti kita akan uraikan satu persatu. Kita mulai dengan Interruption. Interruption, seperti kata interupsi. Jadi, saya, anggap saja, pengirim adalah A, ingin mengirimkan data kepada B. Jadi, ada A yang ingin mengirimkan data kepada B. Kalau dalam tulisan dulu, memang notasi yang disebutkan adalah A dan B. Biasanya, untuk membuat ini lebih manusiawi, maka kita berikan nama. Kalau A adalah Alice, biasanya, B adalah Bob. Kalau di luar negeri seperti itu. Alice dan Bob. Kalau di dalam negeri mungkin A adalah Ani atau Ana dan B mungkin adalah Budi. Jadi, Ani mengirim pesan kepada Budi. A ingin mengirim pesan kepada B, lalu di tengah jalan, pesan bisa diteruskan sampai ke B. Alice ingin mengirim pesan kepada Bob. Interruption adalah kegiatan menginterupsi pesan tadi. Menginterupsi alur informasi tadi. Jadi, ada attack di mana A mengirimkan informasi and di tengah jalan, informasi dihentikan, biasanya dihentikan oleh Eve atau E. Eve dipakai karena dalam bahasa Inggris, artinya adalah mencuri dengar, jadi, disebut eavesdrop atau mencuri dengar. Jadi, A ingin mengirimkan pesan kepada B yang kemudian pesan dihentikan oleh E yang ada di tengah, sehingga pesan tersebut tidak sampai. Itu disebut Interruption. Serangan ini bisa bermacam-macam. Salah satunya adalah serangan terhadap availability atau DoS attack. Begitu A ingin berkirim pesan kepada B, jaringan di-flood atau dibanjiri dengan sampah, sehingga pesan tersebut tidak sampai kepada B. Atau jaringan di-attack Halaman 1 dari 13

2 sehingga terputus. Listrik dimatikan. Pada prinsipnya, serangan tersebut terkait dengan Denial of Service. Serangan kedua adalah Interception. Interception adalah penyadapan. Jadi, A ingin mengirim pesan kepada B. Alice ingin mengirim pesan kepada B. Maka, E, yang berada di tengah, menyadap data tersebut. Eavesdrop. Kegiatan ini kita sebut Interception. Memang pesan disampaikan dari Alice kepada Bob, tetapi di tengah jalan, pesan disadap oleh Eve. Jadi, bentuk serangan seperti itu. Ada Interruption dan yang ini Interception. Jenis serangan ketiga adalah Fabrication. Maaf. Jenis serangan ketiga adalah Modification. Modification adalah Alice mengirim pesan kepada Bob. Jika tadi dalam Interception, pesan hanya disadap dan sampai kepada Bob, sekarang, di tengah jalan, pesan dibelokkan lebih dulu kepada Eve, maka pesan masuk kepada Eve, sampai di Eve, pesan diubah lalu dikeluarkan lagi oleh Eve setelah dimodifikasi dan diteruskan kepada Bob. Maka, ini disebut serangan Modification. Biasanya ini disebut Man in the Middle Attack. Maka, Eve disebut sebagai Man in the Middle karena dia mengubah. Kalau hanya menyadap, pesan tidak diubah. Dan jenis serangan terakhir adalah Fabrication. Eve mengirimkan pesan kepada Bob seolah-olah pesan itu datang dari Alice. Itu yang kita sebut sebagai Fabrikasi. Jadi, Bob melihat pesan dan menganggap pesan itu dari Alice, padahal bukan dan pesan itu sebenarnya berasal dari Eve. Itulah jenis serangan menurut William Stallings. Video 2: Interruption Mari kita perjelas contoh dari serangan-serangan tadi. Kita bahas Interruption Attack lebih dulu. Seperti yang sudah dijelaskan, Interruption Attack terkait dengan pengiriman data dari sebuah entity kepada entity lain, dari A kepada B yang kemudian terhenti di tengah-tengah. Caranya ada bermacam-macam. Salah satu caranya, tentu saja, adalah menghabiskan bandwidth jaringan, dengan cara membanjiri atau flooding, network flooding. Menariknya, ada banyak tools untuk melakukan itu, untuk membanjiri. Jadi, tools itu sangat banyak sekali. Membanjiri dalam hal ini bisa dalam jumlah paket, jumlah koneksi, dan jumlah data. Tools atau software tersebut tersedia di luar sama untuk membangkitkan paket-paket atau traffic yang bisa menghabiskan jaringan. Hal ini biasanya mudah sekali. Menariknya lagi, tools tersebut bisa juga diubah sumber data atau kita sebut dengan spoofing. Jadi address atau alamat pengirim bisa diubah sehingga agak susah mendeteksinya kalau kita di-flooding seperti ini. Jadi, agak susah jika kita diserang. Sebagai contoh, paling gampangnya, kalau kita bicara tentang PING. Mungkin sebagian siswa IndonesiaX sudah familier dengan tools yang bernama ping. Misalnya, kita menggunakan ping lalu beri nomor IP. Ping biasanya digunakan untuk menguji apakah komputer atau server yang bersangkutan dalam kondisi hidup. Ping sesuai dengan IP, yang kemudian dijawab dengan Pong. Halaman 2 dari 13

3 Ping dikirimkan lagi, dijawab dengan Pong. Sebenarnya itu adalah ICMP Echo dan ICMP Reply dan seterusnya. Jadi, ada Ping Pong. Akan tetapi, Ping juga bisa dipakai untuk melakukan broadcast ke banyak mesin. Jadi, jika ada ping broadcast, maka semua komputer di jaringan ini, dalam satu network, akan menjawab. Itu seperti guru bertanya kepada siswanya. Selamat pagi, anak-anak! Selamat pagi, Pak Guru! Jadi, guru hanya memberi satu ucapan, tapi mendapat jawaban dari semua siswa. Kalau siswa ada 50 orang, maka akan ada 50 jawaban. Demikian pula jika kita memberikan satu ping broadcast kepada jaringan dan dalam jaringan ada 100 komputer, maka 100 komputer akan menjawab sehingga ada faktor amplifikasi sebanyak 100 kali. Bayangkan kalau saya percepat, saya membanjiri jaringan dengan ping broadcast, maka akan ada jawaban yang jumlahnya 100 kali dari jumlah paket ping. Itu penjelasan sederhananya. Tentu saja ada software-software lain yang dapat digunakan untuk membanjiri jaringan. Jadi, kita sebagai seorang security professional admin harus cepat tanggap untuk mengatasi masalah pembanjiran ini. Biasanya, salah satu cara yang kita lakukan adalah dengan memantau jaringan. Memantai jaringan atau juga memantai server-server host. Kita lihat apakah ada anomali-anomali. Misalnya, jaringan yang biasanya normal jumlah bandwidth dan penggunaan traffic-nya, tibatiba melonjak penuh. Kita bisa lihat ada keanehan apa di sini. Apakah ada kesalahan sistem atau memang sedang ramai dipakai orang atau memang ada serangan? Kita juga bisa melihat dari jumlah koneksinya. Berapa orang yang biasanya mengakses website kita. Anggaplah ada orang. Kenapa hari ini menjadi orang? Adakah hal-hal tertentu atau kejadian tertentu atau event tertentu atau ini merupakan serangan? Kita juga bisa memantai dan memproteksinya dengan cara melihat alamat-alamat atau IP address. Misalnya, kenapa dari 1000 koneksi, ada 700 koneksi yang berasal dari satu alamat IP yang sama. Apakah dia berusaha menyerang kita atau IP yang sama tersebut merupakan proxy dari sebuah kampus sehingga memang ada banyak koneksi? Itu adalah cara-cara kita untuk memantau. Kita juga bisa melakukan proteksi dengan cara memasang firewall di depan untuk membatasi jumlah koneksi. Kita buat aturannya. Misalnya, kita batasi jumlah traffic yang bisa kita kendalikan atau jumlah koneksi dari satu mesin atau dari satu IP kita batasi jumlah koneksinya, yaitu maksimal 100 dari satu koneksi atau dari satu IP atau dari tempat-tempat lain. Jadi, caranya bermacam-macam. Kita juga bisa melakukan filtering. Misalnya, kita batasi berdasarkan IP, berdasarkan Mac Address, berdasarkan user sehingga ini menjadi mekanisme-mekanisme untuk mendeteksi dan menangani masalah DoS attack tadi. Tetapi, ilmu DoS attack ini masih sebuah ilmu yang susah karena terkadang kita masih belum bisa membedakan antara DoS attack atau memang kondisi sedang ramai atau flash crowd. Sebagai contoh dari flash crowd adalah saat World Cup atau Piala Dunia. Ketika Piala Dunia berlangsung, maka website-website tertentu akan banyak diakses orang karena memang orang ingin mengaksesnya, bukan ingin menyerang. Sama halnya dengan Halaman 3 dari 13

4 Pemilu. Website Pemilu akan ramai diakses orang, bukan untuk menyerang, tetapi memang jumlah orang yang mengaksesnya banyak. Itulah pembahasan terkait dengan Interruption Attack. Video 3: Interception Jenis serangan yang kedua atau jenis attack yang kedua adalah Interception atau dalam bahasa Indonesia artinya penyadapan. Serangan itu secara teknis disebut dengan Sniffer atau penyadap. Ada orang yang bilang bahwa Sniffer adalah pengendus, tapi saya cenderung mengartikannya sebagai penyadap. Ada komunikasi, kemudian disadap di tengah-tengah dengan menggunakan programprogram sniffer. Kalau komunikasi yang datang memang tidak terlalu penting, maka tidak masalah. Tapi jika yang dikomunikasikan adalah password atau pin atau data yang bersifat rahasia, maka sniffer tersebut mendapatkan data-data yang sangat berbahaya. Ada banyak program sniffer di luar sana. Misalnya, yang paling banyak digunakan adalah TCPDUMP dan Wireshark. Sebenarnya TCPDUMP dan Wireshark adalah perangkat yang digunakan administrator. Program ini dipakai administrator untuk melakukan analisa, debugging jika jaringan bermasalah dan sebagainya. Tapi, tools yang sama jika digunakan oleh orang yang nakal, bisa digunakan untuk melakukan penyadapan. Variasi dari tools ini juga banyak. Ada yang bernama NGRAB, DSNIFF, MEL SNIFF dan sebagainya. Program tersebut pada prinsipnya digunakan untuk menyadap dengan jenis aplikasi yang berbeda-beda. Ada yang sangat spesifik untuk menyadap password. Ada yang dipakai menyadap . Ada yang dipakai menyadap website dan seterusnya. Itu kalau kita bicara mengenai jaringan internet. Hal yang sama bisa terjadi jika kita melakukan penyadapan dalam bentuk komunikasi lain. Apakah itu SMS dan seterusnya? Tapi, pada prinsipnya, sniffer adalah sesuatu yang digunakan untuk menyadap. Bagaimana kita melakukan proteksi atau mengendalikannya? Salah satunya adalah dengan menerapkan segmentasi. Jadi, the rule of thumb, tidak semua jaringan dijadikan satu, tapi kita pilah-pilah. Misalnya, ini jaringan mahasiswa dan ini jaringan dosen. Bahkan kita mungkin bisa memilahmilah jaringan mahasiswa. Ini adalah jaringan mahasiswa kelompok A atau jurusan A atau departemen A dan departemen B dan seterusnya. Jaringan dosen pun bisa kita pisahkan menjadi dosen, peneliti dan lain-lain. Tujuannya adalah untuk mempersulit penyadapan atau jika terjadi masalah akan lebih mudah untuk melakukan penelusuran atau debugging. Tapi, pada prinsipnya, segmentation kita gunakan untuk mengatasi penyadapan. Berikutnya, mengenai perangkat. Kalau dulu, perangkat yang dipakai memang paket switch network di jaringan internet itu yaitu jaringan yang digunakan bersama-sama, maka mudah disadap. Sekarang, perangkat-perangkat sudah menggunakan switch sehingga sedikit banyak menyulitkan proses penyadapan, meskipun masih ada celah-celah di hal-hal tertentu, tapi sedikit banyak ini bisa menanggulangi masalah penyadapan, yaitu dengan memakai perangkat-perangkat yang lebih modern. Halaman 4 dari 13

5 Berikutnya, kita juga bisa mendeteksi jika ada penyadapan. Ceritanya seperti ini, jaringan internet zaman dulu dikembangkan untuk kebersamaan, semua bisa mengirim dan semua bisa mendengar. Karena itulah disebut jaringan bersama. Tujuannya, dulu, agar jaringan itu lebih efisien dan lebih murah, sehingga kita memakai jaringan bersama. Dulu, kalau saya punya komputer, komputer, komputer dan dihubungkan dalam satu jaringan, lalu komputer kita berikan nomor IP 1, 2, 3, dan 4, maka begitu ada paket yang lewat, paket itu akan membawa alamat. Ini paket untuk mesin ketiga atau IP ketiga, maka IP ketiga akan berkata, Itu paket saya. Akan saya terima. Namun, sesungguhnya, komputer 1, 2 dan 4 bisa mendengarkan. Itu kita sebut dengan melakukan sniffing. Sniffing, istilah teknisnya, dilakukan dengan cara si perangkat ini digunakan dalam mode Promiscuous, jadi, perangkat ini bisa mendengarkan dan boleh berinteraksi dengan paket-paket tadi yang tidak ditujukan untuknya. Jadi, dia juga mendengarkan paket untuk IP 3, kalau dia nakal, dia juga akan mendengarkannya. Sebenarnya, ini bisa dipakai untuk teknologi lama. Salah satu cara untuk mendeteksi adanya penyadapan adalah menginvestigasi dalam jaringan, apakah ada perangkat-perangkat yang melakukan sniffing? Atau dengan kata lain, adakah perangkat di sini yang memakai mode Promiscuous? Apakah ini mode promiscuous, apakah yang ini mode promiscuous? Jika ada yang bermode Promiscuous, maka kita perlu curiga. Ada kemungkinan komputer atau perangkat itu mendengarkan paket yang tidak ditujukan untuk mereka. Jadi, memang ini mengenai kenakalan. Jadi, jika ada yang curiga apakah di sini ada yang mendengarkan atau tidak. Lalu ada suara berisik, kita tanya, Itu kucing atau maling? Kucing. Artinya, sebenarnya itu kucing atau maling? Mungkin itu kucing. Tapi, kenapa kucing bisa bicara? Sama seperti itu. Jadi, ada pendeteksi yang kita sebut sebagai anti-sniff untuk mendeteksi adanya proses sniffing dengan cara memeriksa perangkat promiscuous. Sekarang, karena takut dideteksi oleh anti-sniff, maka muncullah anti-anti-sniff. Lalu admin akan membuat anti-anti-anti-sniff. Ini adalah perang antara penyadap dan admin yang melindungi jaringan itu. Tapi, pada prinsipnya, Interception dilakukan dengan mekanisme yang umum, yaitu dengan sniffer, untuk masalah teknis, kemudian juga ada kendali-kendali yang dapat kita terapkan untuk mengurangi risiko penyadapan. Video 4: Modification Serangan selanjutnya adalah Modification Attack. Jadi, Alice atau Anna ingin mengirim pesan kepada Bob atau Budi, lalu di tengah jalan diterima oleh Man in the Middle Attack lalu pesan yang dikeluarkan sudah diubah. Jadi, ini merupakan mekanisme untuk merubah data di tengah jalan. Contoh, malware. Malware bisa mengubah data. Sekarang yang kita takutkan adalah malware yang mengubah transaksi. Di tengah jalan, transaksi diubah. Misalnya, kirim uang kepada Budi Raharjo sebanyak tiga juga, lalu di tengah jalan diubah dan ditambah nol. Jadi, kirim uang kepada Budi Raharjo sebanyak 30 juta. Alhamdulillah bagi saya, tapi bagi orang lain, pengirimnya, itu menjadi masalah. Ini adalah masalah modification. Serangan-serangan seperti itu contohnya ada banyak. Halaman 5 dari 13

6 Tadi saya sudah memberi contoh mengenai ransomware, yang mana datanya diubah, lalu meminta uang untuk memberikan password sehingga datanya bisa dikembalikan lagi. Biasanya, kejadian seperti ini terkait dengan malware. Oleh sebab itu, salah satu cara untuk melakukan proteksinya atau penangkalannya adalah dengan memasang antivirus, antimalware. Lalu kita pasang program itu. Namun, jangan lupa, jika kita memasang antivirus, maka harus kita update secara berkala karena perubahan program tersebut sangat sering. Dalam seminggu ada perubahan, selalu ada perubahan. Jadi, setidaknya seminggu sekali, antivirus harus di-update dengan data terbaru untuk mendeteksi adanya potensi Man in the Middle Attack atau virus dan yang lain-lain. Ada juga yang bisa mendeteksi adanya perubahan untuk pelacakannya. Itu juga bagi kita tetap merupakan serangan. Di sisi lain, kita bisa menerapkan integrity checker. Kalau saya membuat aplikasi, dalam aplikasi saya dilakukan mekanisme integrity checker, jadi, jangan langsung mengirimkan transaksi begitu saja, tapi buat integrity checker yang dikirimkan melalui transaksi ini, tapi juga dikirimkan melalui jalur range, sehingga bisa dideteksi jika ada potensi-potensi penyerangan terhadap integritas dari data tersebut. Video 5: Fabrication Siswa IndonesiaX, kita sekarang bicara tentang Fabrication Attack. Seolah-olah ada data atau pesan sampai kepada yang dituju, hari ini Bob atau Budi, yang berasal dari Eve. Karena di dunia internet atau IT, awalnya berdasarkan kepercayaan, maka membuat data palsu sangat mudah. Data yang palsu biasa kita sebut dengan Spoofing. Alamat spoofing sangat mudah dibuat. Sama halnya dengan membuat palsu. Sebenarnya di dunia nyata, membuat surat palsu juga mudah. Hanya perlu membuat surat berisi Dari Rektor ITB. Kepada Seluruh Mahasiswa. Ujian dibatalkan. Padahal si penulis surat adalah saya. Kirimkan saja surat tersebut, masukkan ke kotak pos. Dari kotak pos, surat akan disebarkan. Lalu semua mahasiswa berkata, Wah, tidak ada ujian. Lalu para mahasiswa pulang dan yang ikut ujian hanya saya sendiri sehingga hanya saya yang lulus. Untuk juga sama. Hanya perlu menulis dari siapa dan seterusnya, maka kita dapat membuat palsu. Jadi, hal itu sangat mudah dilakukan. palsu bisa dibuat secara manual, tapi juga bisa dihasilkan oleh program , maaf, program yang terkait dengan malware. Malware bisa mengumpulkan data alamat orang, kemudian membuat palsu yang seolah-olah datang dari bank atau tempat lain. Jadi, membuat palsu sangat mudah dilakukan. Bahkan membuat data dalam level yang lebih rendah seperti paket juga bisa dilakukan. Kita membuat paket yang keluar dari komputer yang seolah-olah keluar dari komputer tertentu ternyata mudah dilakukan. Halaman 6 dari 13

7 Ada banyak tools, ada yang kita sebut dengan Package Construction Kit. Jadi, untuk membuat paket-paket tersebut ada peralatannya. Sehingga paket palsu bisa dikirimkan dengan mudah. Yang mengalami kesusahan adalah orang-orang seperti kami yang harus menanganinya. Maka dari itu, salah satu cara menangkalnya adalah mem-filter paket atau yang berasal dari router kita yang akan keluar. Sifatnya, kita proteksi sistem kita agar tidak menghasilkan paket atau atau data palsu. Jadi, kita memastikan paket yang keluar dari kita tidak ada yang palsu dengan harapan orang lain juga melakukan hal yang sama sehingga dunia cyber aman, tenteram, dan damai. Sebagai contoh, di ITB, IP addressnya dimulai dengan dan seterusnya. Kita pastikan paket-paket yang keluar dari ITB berkepala Jadi, jika ada yang nakal atau virus atau malware yang menghasilkan paket dengan IP yang tidak jelas, yaitu 202 dan seterusnya, saat mau keluar, ditahan router karena paket tersebut palsu. Jadi, kita tidak memperbolehkan paket palsu keluar dari kita dengan men-drop paket tersebut agar tidak bisa keluar. Sehingga paket palsu tersebut tidak bocor keluar. Maka dari itu, fabrication dapat dikurangi. Saya juga berharap para siswa IndonesiaX, jika nanti mengelola sistem dapat melakukan hal yang sama. Jadi, kita harus be nice to other. Berbuatlah baik kepada orang lain, sehingga orang lain juga baik kepada kita. Jadi, kita bisa menciptakan sistem yang aman secara bersama-sama. Video 6: Security Requirement Siswa IndonesiaX, seperti tadi dijelaskan, ada banyak aspek dari keamanan. Aspek-aspeknya ada bermacam-macam. Maka dari itu, jika kita membuat satu sistem, kita membuat sebuah requirement. Yaitu security requirement. Tidak semua aspek keamanan dibutuhkan karena memang kondisinya berbeda-beda. Contoh, di kampus yang diurus berbeda dengan instalasi militer. Maka, kita harus pastikan security requirement kita khusus dibuat untuk business process kita. Perbankan dan perguruan tinggi punya security requirement berbeda. Jadi, industrinya juga bisa berbeda. Biasanya ada prioritas karena kita hidup di dunia nyata. Aspek mana yang lebih penting? Apakah aspek kerahasiaan, integritas atau ketersediaannya? Sebagai contoh, dalam sistem voting, seperti Pemilu dan seterusnya, maka aspek integritas adalah yang utama. Data harus dipastikan bahwa itu data yang baik. Banyak orang memilih kerahasiaan data, tapi bagi saya, integritas data yang lebih penting. Demikian juga dengan perbankan, requirement untuk integritas lebih penting, menurut saya. Karena kita tidak ingin data kita, misalnya, rekening kita yang berjumlah , besok berubah menjadi Data terus berubah, maka integritasnya dipertanyakan. Di sini, yang lebih penting adalah masalah integritas data. Meskipun terkadang kita memiliki hal yang sama. Masalahnya adalah sumber daya kita terbatas, uang kita terbatas, SDM kita terbatas sehingga mana yang harus kita prioritaskan. Itulah fungsi penerapan security requirement. Halaman 7 dari 13

8 Sayangnya di beberapa tempat, umumnya di beberapa tempat, tidak ada security requirement, sehingga bagi para implementor, orang-orang yang mengimplementasikan pengamanannya, ini agak susah. Ada banyak permintaan, tapi sumber daya terbatas dan kita tidak memiliki prioritas. Requirement ini harus berasal dari atas, sehingga dia tahu bahwa kebutuhannya seperti ini, kemudian dia juga harus mau mengeluarkan resource, baik dari segi finansial dan sumber daya untuk memenuhi requirement itu. Jangan hanya menginginkan banyak security, tapi tidak mau memberikan resource. Jika seperti itu, kondisinya agak susah. Video 7: Pengamanan Sekarang kita bicara tentang pengamanan. Tentu saja kita tidak bisa mengamankan dari segala hal dan berbagai tempat. Maka dari itu, kita perlu mengidentifikasi asal ancaman atau threat tersebut. Kita identifikasi lebih dulu sumber-sumber utamanya. Sebagai contoh, sebuah perusahaan, perusahaan harus mengidentifikasi lebih dulu, apakah ancaman itu berasal dari kompetitor, pihak lain, pegawai internal? Kita lihat itu dalam hal ancaman tadi. Kalau saya lihat, memang begitu, misalnya ada sebuah sistem informasi kemahasiswaan, ancaman utamanya sebenarnya berasal dari mahasiswa itu sendiri. Dia ingin mengubah sistem untuk mengubah nilai. Mahasiswa dari universitas lain mungkin tidak peduli dengan sistem informasi atau penilaian dari kampus yang bersangkutan. Jika itu yang terjadi, ancamannya berasal dari orang dalam. Sebuah sistem pemerintahan, tentu saja, bukan hanya melihat ancaman internal saja, tapi juga dari luar karena ada ancaman dari pihak-pihak lain. Ini harus kita deteksi. Sumbernya bisa berasal dari manusia. Manusia bisa sengaja dan tidak sengaja. Sengaja untuk orang yang jahat. Tidak sengaja bisa terjadi karena kita tidak memiliki prosedur yang baik. Contohnya, data center kita boleh dikunjungi oleh siapa saja. Itu pernah terjadi. Saat itu saya sedang berada di dalam data center dan di sana kita diperbolehkan makan. Bahkan kita bisa memesan mie bakso. Pak, pesan mie bakso dua. Karena di dalam data center dingin, lalu kita bekerja sampai malam dan sambil makan bakso lalu secara tidak sengaja bakso itu tumpah dan mengenai mesin, maka itu menjadi masalah. Itu disebut tidak sengaja atau kelalaian. Tidak ada SOP yang baik dan memang orang tersebut tidak berniat jahat, tapi hal itu bisa menjadi masalah. Itu dari aspek manusia. Ancaman itu juga bisa terjadi karena bencana alam. Kita sudah tahu bahwa di kantor yang akan dipasang data center terletak di samping sungai yang meluap setiap hujan turun. Itu dinamakan mencari masalah karena kita sudah tahu bahwa akan ada bencana. Atau kita meletakkan server kita di daerah yang banyak petir atau kebakaran dan sebagainya. Jadi, sebelum melakukan sesuatu, kita periksa dulu ancaman-ancaman itu berasal dari mana. Manusia atau alam. Kemudian, kita lihat tingkat kesulitan dari ancaman-ancaman ini karena mungkin ancaman itu memang ada, tetapi tingkat kesulitannya susah. Misalnya, ancaman Halaman 8 dari 13

9 dari manusia seperti mencuri. Mencuri notebook lebih mudah karena ukurannya kecil, sehingga bisa dilakukan sambil lewat. Mencuri server lebih susah, tapi bisa dilakukan karena ukurannya. Mencuri mainframe tidak bisa dilakukan, tingkat kesulitannya tinggi karena harus menggunakan truk tronton yang diparkir di depan. Orang akan bertanya, Mau ke mana? Mau mencuri mainframe. Pasti sudah lebih dulu ketahuan. Sehingga kita juga harus memperhitungkan tingkat kesulitannya. Urutannya adalah potensi ancaman dan tingkat kesulitan. Sehingga kita bisa memperhitungkan probabilitas ancaman tersebut menjadi kenyataan. Karena kita harus melindungi. Kita pilih mana yang menjadi prioritas karena sumber daya kita terbatas. Mana yang harus diproteksi lebih dulu. Ancamannya dari mana, probabilitasnya seperti apa. Yang memiliki hasil paling tinggi, itulah yang harus kita amankan terlebih dahulu. Video 8: Perilaku Pengancam Siswa IndonesiaX, tadi sudah dijelaskan mengenai ancaman-ancaman. Sekarang kita melihat perilaku dari pengancam. Menurut Sun Tzu, Know your enemy. Know thy enemies. Kenali siapa penyerang Anda. Sebenarnya kita ingin tahu, apa tujuan dari pengancam ini? Perilaku mereka seperti apa? Sebagai contoh, dulu saat Indonesia, setahu saya, saling menyerang dengan Portugal. Lalu kita lihat, apa tujuannya? Tujuannya adalah merusak sistem. Maka, perilakunya adalah saat ada orang masuk, dia akan menghapus datanya, delete dan format. Sistem akan dibuat sehancur mungkin. Motifnya apa? Motifnya, politik. Tetapi ada juga hal-hal lain yang motifnya berbeda. Sebagai contoh, saat itu ada protes terhadap hak asasi manusia. Pemerintah Indonesia tidak adil terhadap etnis-etnis tertentu. Maka, website-website pemerintah Indonesia diubah. Saat itu, server memang tidak diformat karena kalau diformat, server akan rusak. Tapi halaman website diubah dan protes mereka ditampilkan di website tersebut. Perilakunya adalah server harus menyala, webserver harus menyala, bahkan webserver dibuat sestabil mungkin sehingga protes mereka terlihat dan terdengar di sana. Perilakunya memang berbeda. Kita harus melihat itu karena jenis serangannya akan berbeda. Kita sudah tahu motifnya apa, perilakunya seperti apa, sekarang, bagaimana mereka masuk? Sebetulnya mereka masuk melalui apa? Apakah melalui kelemahan di system web, jaringan atau aplikasi dan seterusnya? Biasanya ini dideteksi, dulu, secara tidak sengaja. Sekarang, untuk mendeteksi sudah ada beberapa sistem yang kita gunakan yang disebut Honey Pot. Honey Pot adalah sebuah pancingan. Dulu, honey pot dipakai memancing beruang. Diisi madu sehingga saat beruang mengambil madu, tangannya tidak bisa dikeluarkan sehingga beruang bisa ditangkap. Sama halnya, kita memakai aplikasi Honey Pot untuk memancing. Misalnya, sedang ada trend bahwa orang masuk ke sistem melalui . Maka, kita membuat sistem palsu. Sebagai contoh, kita memasang server, kita tidak memakainya sebagai e- mail sebelumnya lalu kita pasang sistem palsu di sana dan kita tidak mengumumkan kepada dunia bahwa ini sistem kita. Halaman 9 dari 13

10 Ketika ada orang datang dan masuk melalui sistem kita, ini menjadi masalah karena kita tahu. Kenapa kamu masuk ke sistem kita padahal ini tidak kita umumkan? Maka orang-orang tersebut atau IP address tersebut perlu kita curigai. Bahkan sistem Honey Pot tidak hanya mendeteksi itu, tapi berinteraksi seolah-olah dia adalah sistem , bahkan seolah-olah sistem yang rentan. Jadi, kita bisa lihat saat ada yang masuk. Setelah masuk, dia bisa mengeksploitasi seperti apa. Seolah-olah kita memancing orang untuk merampok atau berbuat kejahatan, kemudian kita memantau seperti apa perilakunya. Honey Pot bergerak di satu mesin atau satu sistem tertentu. Kalau kita mengumpulkannya, itu disebut Honey Net atau Honey Network. Mungkin saja jika kita memasang honey pot di beberapa tempat, maka kita bisa melihat perilakunya. Sebagai contoh, jika saya memasang honey pot yang mendeteksi serangan di satu mesin, di tempat lain juga dipasang. Kemudian kita lihat di tempat-tempat tersebut ada percobaan masuk dari sistem dengan IP yang sama, maka kita bisa katakan bahwa IP atau sumber itu ingin mencoba masuk karena sumbernya banyak dan dia ingin menyerang berbagai hal. Jadi, honey pot bisa mendeteksi di satu sistem, sedangkan honey net merupakan gabungan dari honey pot. Ini bisa ada di berbagai instansi yang kemudian kita kumpulkan untuk mendata. Tujuannya apa? Untuk mendeteksi perilaku penyerang. Setelah tahu, kita baru bisa menerapkan perlindungan yang cocok. Setelah kita melihat perilaku dari penyerang, maka sebenarnya kita bisa menangani serangan-serangan atau potensi serangan-serangan. Suatu saat ada sebuah buku yang kemudian banyak digunakan oleh banyak orang. Buku itu berjudul Hacking Exposed. Hal menarik dari buku Hacking Exposed ini adalah buku ini mengumpulkan cara-cara para cracker yang masuk, kemudian membuat struktur dan mendata bahwa inilah SOP yang dilakukan oleh para cracker. Itulah kontribusi dari buku ini yang membuatnya terkenal. Ternyata cracker memiliki urutan yang sama. Langkah-langkah pertamanya selalu mengumpulkan data. Jadi, cracker tidak asal menyerang, tapi mengumpulkan informasi lebih dulu. Information gathering. Dia menargetkan lebih dulu. Jadi, dia akan melihat dulu. Misalnya, saya ingin menargetkan sebuah instansi pemerintahan atau bank, maka saya akan cari tahu informasi dari domainnya. Apa saja domain-nya? Daftar mesinnya apa saja? Nomor IP-nya apa saja? Itu masuk ke dalam kategori information gathering. Dia akan mengumpulkan itu. Dia punya data-data tentang server, IP dan layanan. Langkah kedua, dia akan masuk. Ini disebut Initial Access. Dia melakukan initial access, mungkin hanya sebagai tamu yang penting dia bisa masuk ke sistem. Bisa jadi dia masuk secara legal karena dia punya hak dan bisa jadi secara ilegal yang didapatkan dengan menyadap password atau mencoba memecahkan password dengan mekanisme cracking. Setelah itu, masuklah dia ke dalam sistem sebagai guest atau sebagai user biasa. Langkah berikutnya, dia berusaha untuk menaikkan levelnya atau tingkatannya sebagai administrator. Tidak hanya sebagai user biasa, tapi sebagai administrator. Setelah dia menjadi administrator, maka sudah game over. Dia bisa melakukan apa saja. Dia bisa membuat user, bisa melakukan transaksi, bisa mengubah sistem. Itu targetnya. Tapi selain itu, setelah menjadi administrator, dia akan menghapus jejaknya atau covering tracks. Halaman 10 dari 13

11 Jika dia masuk melalui sistem , maka log akan dihapusnya, sehingga tak ada yang tahu dia masuk dari mana. Seperti itulah langkahnya. Setelah itu, dia akan mencoba memasang Backdoor karena dia takut. Misalnya, dia masuk melalui sistem , lalu sistem terdeteksi dan diperbaiki. Dia akan membuat backdoor di sistem web atau ftp atau sistem login yang lama. Misalnya kita contohkan dalam kasus rumah. Dia masuk melalui pintu depan, maka dia akan buka jendelanya agar jika pintu depan ditutup, dia bisa masuk melalui jendela. Jika jendela ditutup, dia akan membuka atap. Sehingga jika pintu dan jendela ditutup, dia bisa masuk melalui atap. Jika atap ditutup, dia masuk dari lubang bawah tanah. Dia akan membuat banyak backdoor baru. Kalau tidak bisa, jika semua gagal, DoS attack dilancarkan. Serang semuanya. Seolaholah saya ingin mencuri, tidak bisa lewat pintu, jendela, dan atap, maka saya akan bakar saja rumah itu. Seperti itulah SOP mereka. Jika mereka tidak bisa meretas, mereka menyerang server agar server tersebut down. Yang menarik dari buku Hacking Exposed, buku ini menurunkan langkah-langkahnya, membuat tujuan dan mendaftar tools yang ada. Bagi kita yang mempelajari security, para security professional, ilmu ini bermanfaat bagi kita untuk mempelajari apa yang dilakukan oleh para penyerang atau cracker. Tapi, ingat, ilmu ini jangan digunakan untuk berbuat kejahatan. Peralatan yang sama bisa digunakan oleh penjahat dan peralatan yang sama kita gunakan untuk belajar cara menangani kasus-kasus ini. Sehingga jika kita tahu di sana memakai ping flood attack, saya tahu cara mengatasi ping flood attack. Di sana ada fabrication attack, saya tahu cara mengidentifikasi fabrication attack dan cara penanganannya. Jadi, mengapa buku atau tools yang ada, menurut saya, harus kita pelajari, tapi jangan melakukan itu untuk merusak sistem orang lain. Kita bisa melakukannya di sistem kita, di laboratorium dan sebagainya. Sama saja. Sama dengan orang berlatih bela diri. Entah karate, taekwondo atau kungfu, kita latihan di tempat latihan kita. Bukan saat ada di luar, orang lain diajak berkelahi. Bukan begitu. Kita juga tidak perlu melakukannya dalam lingkungan yang terbatas. Itulah pembahasan terkait dengan identifikasi dan mencoba mempelajari apa yang dilakukan oleh para penyerang/cracker dengan harapan kita bisa melindungi diri kita menjadi lebih baik. Video 9: Mengamankan Sistem Bagaimana caranya kita ingin mengamankan system yang kita miliki? Ada bermacam-macam metodologi atau framework yang pada dasarnya mirip. Pertama, semuanya harus berasal dari atasan. Jadi, kita harus selalu merujuk ke atasan. Inisiatif-inisiatif yang berasal dari bawah biasanya sulit untuk sukses karena dia hanya berada di bawah. Itu sebabnya, dalam hal ini, kita harus mengajarkan atau memberi wawasan kepada atasan kita, sehingga pemahaman security ini menjadi global, sehingga atasan tahu bahwa ini sangat penting bagi instansi atau perusahaan kita. Halaman 11 dari 13

12 Kemudian, aka nada komitmen dari atasan. Dari segi teknis, kita bisa melihat cara kita mengumpulkan data, potensi kelemahan-kelemahan sistem kita, ancaman dan sebagainya, kemudian kita melihat seperti apa business process kita, teknologi yang ada seperti apa, kemudian pengamanan kita buat dalam bentuk kebijakan. Policy mengenai siapa yang boleh melakukan apa. Dari sana kita turunkan menjadi hal-hal yang detail dan teknis, kemudian kita mengeksekusinya. Baru kita menerapkan, selain yang seperti itu, ada standard operasi, sehingga semua bisa terangkum menjadi sebuah framework yang terkelola dengan baik. Video 10: Pengamanan Secara Menyeluruh Siswa IndonesiaX, jika kita ingin membuat suatu pengamanan yang baik, maka kita harus melakukannya secara menyeluruh atau holistik. Biasanya pembahasan keamanan selalu terkait dengan teknologi. Secara teknis saja, itu adalah masalah teknologi. Tapi, tadi kita sudah bahas bahwa ada aspek yang terkait dengan manusia, yaitu aspek people. Selain itu, juga ada aspek-aspek yang terkait dengan proses-proses, sehingga jika kita ingin mengamankan sistem kita, biasanya kita bicara tentang kelengkapan dari people, process, technology. Dari segi people, ada level atau tingkatan yang berbeda. Ada top management yang mungkin tidak terlalu terkait dengan masalah teknis. Ada orang IT yang mengelola secara teknis. Maka, untuk pihak-pihak yang tidak terkait dengan masalah teknis itu, perlu diberi awareness dan wawasan bahwa security itu penting. Mulai dari top management sampai ke bawah seperti office boy, janitor. Semua harus tahu tentang masalah security. Untuk orang-orang yang mengelolanya, bukan hanya sekedar awareness atau wawasan saja, mereka juga harus dibekali dengan skill. Keterampilan untuk menangani atau mengelola masalah security, sehingga nanti semua akan menyeluruh. Misalnya, kita tahu bagaimana masalah kebocoran data itu munculnya dari mana, menanganinya bagaimana, sehingga, sebagai contoh, jika saya datang ke kantor, satpam akan bertanya, Bapak mau ke mana? Bapak mau lihat apa? Bapak mau datang ke mana? Ini data center. Bapak tidak boleh masuk ke dalam data center tanpa disertai oleh tim. Hal seperti ini bisa diterapkan. Untuk skill, harus terus ditingkatkan karena teknologi berubah. Tadinya kecepatan internet lambat, sekarang menjadi cepat. Tadinya belum ada 3G, sekarang sudah ada 3G. Tadinya wi-fi, free hotspot belum ada di mana-mana, sekarang ada di mana-mana. 3G sudah berubah menjadi 4G LTE dan sebagainya. Teknologi terus meningkat. Belum lagi perangkat yang dulu disk-nya berukuran besar, sekarang bisa memakai flash disk yang besar memorinya hitungan GB. Teknologi cepat berubah. Itulah yang harus terus diajarkan. Halaman 12 dari 13

13 Untuk itu diperlukan komitmen dari atasan karena dia harus melakukan investasi terhadap SDM-nya. SDM-nya harus mengikuti training, perangkat harus diperbaiki atau diadakan. Memang harus lengkap. Itu dari segi people. Dari segi process, mulai diterapkan di perusahaan-perusahaan tentang bagaimana membuat kebijakan-kebijakan. Policy and procedure. Ini bukan sesuatu yang bisa dilakukan dengan mudah. Secara umum, dalam satu instansi atau perusahaan ada banyak kebijakan yang tingkatannya adalah kebijakan, standard operasi, guideline, dan seterusnya. Tingkatan tersebut berbeda-beda. Ada yang membutuhkan 40 PNP, ada yang membutuhkan 75 PNP, ada yang membutuhkan 100 PNP. Memang banyak, bergantung pada organisasi yang bersangkutan. Untuk mengembangkan policy dan procedure itu tidak mudah. Menurut pengalaman kami, dalam sebulan, bisa dihasilkan dua bentuk PNP (Policy and Procedure). Apalagi di tingkat policy. Policy biasanya membutuhkan persetujuan dari atasan dan sifatnya menyeluruh, sehingga membutuhkan waktu yang lama karena kita tidak ingin membuat kebijakan yang menyulitkan pekerja, menyulitkan semua orang dan tidak bermanfaat. Jadi, ini memang butuh waktu yang lama. Tapi, ini harus dilakukan. Jadi, anggaplah kita membutuhkan 40 PNP, setiap bulan hanya bisa menghasilkan 2 PNP, berarti dibutuhkan sekitar 20 bulan atau mendekati dua tahun untuk mengerjakannya. Setelah selesai mengerjakan semua, lengkap, selama dua tahun, maka aka nada revisi-revisi di sana. Proses ini memang terus-menerus berulang. Hal ini harus dilakukan terus-menerus dan mendapat dukungan dari top management. Mulai dari people, process dan technology. Technology, tentu saja, maaf. Teknologi-teknologi yang tersedia semakin hebat dan sebagainya sehingga terjadi perubahan. Hal itu secara teknis sudah banyak dibahas dalam perkuliahan. Hanya dua hal ini yang mungkin perlu kita pelajari lebih lanjut. Perlu ada diskusi, pembinaan, kuliah atau pelajaran seperti ini, sehingga pengamanan menjadi menyeluruh atau holistik dan semoga sistem kita lebih aman karenanya. Video 11: Penutup Hai, siswa IndonesiaX. Mudah-mudahan Anda suka dengan apa yang sudah saya sampaikan dan mudah-mudahan juga bermanfaat tentunya. Saya sendiri senang mengajar di IndonesiaX. Menurut saya, waktunya juga tepat karena saat ini memang dibutuhkan banyak sekali orangorang yang menguasai bidang-bidang information security. Saya berharap Anda bisa melanjutkan lagi dengan kuliah-kuliah yang lebih teknis. Kita lihat kapan kita bisa bertemu lagi. Kita akan buat materi-materi yang lebih teknis. Kalau ada usulan, silakan diusulkan materi apa yang perlu kita bahas dalam hal-hal atau kuliahkuliah yang terkait dengan information security. Sementara itu, kita menikmati memainkan ini dan ini. Sebenarnya ini juga sedikit tidak berhubungan. Yang ini Starwars dan yang itu Matrix. Lalu yang ini juga berbeda lagi. Nanti kita buat kuliah yang lebih lucu. Kita beli macam-macam barang lagi. Sampai bertemu lagi. Halaman 13 dari 13