SELAMAT DATANG !

W E L C O M E !

Here I just want to share my opinion, knowledge and insight about everything I know..


Sunday, 22 July 2012

Hacker Vs. Cracker: Serupa tapi Tak Sama

Postingan bertema teknologi informasi kali ini kembali membahas masalah keamanan informasi. Kali ini kita akan membahas pihak yang selalu dituduh-tuduh, dikambinghitamkan, bahkan dicaci maki ketika suatu cyberstrike terjadi, yaitu hacker dan saudara jauhnya: cracker.
Mungkin banyak di antara kita yang sudah sedikit banyak mengetahui istilah yang pertama dalam dunia IT. Tapi untuk istilah yang kedua, rasa-rasanya kok justru lebih menjurus ke dunia makanan daripada dunia IT? Cracker itu kan makanan sejenis biskuit yang renyah dan bergizi tinggi, lantas apa hubungannya dengan IT? Awalnya, saya juga berpikir demikian. Namun, setelah melakukan penelusuran lebih jauh, saya justru menemukan suatu fakta yang mencengangkan, bahwa yang selama ini disebut-sebut dalam doanya orang-orang yang teraniaya akibat komputernya diserang virus atau sistem jaringan komputernya tiba-tiba mati tanpa sebab yang jelas agar tidak tenang hidupnya, disempitkan kuburnya, dan kelak di hari kiamat dimasukkan ke dalam neraka yang paling dalam a.k.a. si hacker sebenarnya adalah orang yang baik, beretika, senang membagi ilmu yang dia punya terkait dengan IT, dan tidak profit oriented, yang tidak ada niatan sedikitpun untuk merugikan orang lain. Bagaimana bisa? Emang dibayar berape ente (penulis-red) buat muji-muji si hacker?Terus doa gue yang udah terlanjur terucap gimana? Tenang mbak, mas, dek, pak, bu, om, tante, ane kagak dibayar sepeser pun ame si hacker. Tapi Rasulullooh SAW. pernah bersabda, "sampaikanlah yang benar walaupun itu pahit." Karena faktanya bahwa si hacker atau orang yang pada awal munculnya istilah-istilah IT menamakan dirinya sebagai hacker itu sebenarnya orang-orang yang baik, maka saya harus menyampaikannya juga sesuai dengan fakta yang ada. Untuk lebih jelasnya, mari kita simak pembahasan berikut.

Pengertian

Seperti biasa, kita mengawali pembahasan atas suatu masalah dengan mengemukakan pengertiannya terlebih dahulu.

Hacker

Hacker dapat didefinisikan sebagai golongan profesional komputer atau IT yang dapat terdiri dari insinyur komputer, programmer, dan lain sebagainya yang memiliki pengetahuan tinggi dalam suatu sistem komputer. Seorang hacker adalah seseorang yang memiliki minat yang tinggi terhadap dunia IT dan sistem informasi. Karena minat yang tinggi itulah, biasanya hacker memiliki rasa ingin tahu yang tinggi atas tingkat keamanan suatu sistem informasi. Untuk itu, hacker biasa melakukan uji coba/test terhadap ketahanan suatu sistem terhadap serangan dengan cara melakukan penyerangan terhadap sistem. Hal ini dilakukan untuk menemukan kelemahan sistem tersebut sehingga dapat dilakukan pembenahan untuk mendapatkan sistem dengan kualitas yang lebih baik di masa yang akan datang. Kegiatan inilah yang disebut hacking. Karena uji coba ini dilakukan untuk menemukan kelemahan sistem dan memperbaikinya, uji coba ini tidak dapat dilakukan secara sembarangan. Ada batas-batas dan ukuran-ukuran yang telah diperhitungkan dan diprediksi sebelumnya sehingga kerusakan sistem dapat diminimalisir. Ini sudah menjadi bagian dari etika hacker secara umum.

Cracker

Cracker adalah sebutan untuk mereka yang masuk ke sistem orang lain dengan tujuan untuk merusak sistem tersebut dan mengeruk keuntungan dari kerusakan sistem tersebut. Kegiatan ini lazim disebut crackingCracker lebih bersifat destruktif. Mereka biasanya bebekerja dengan cara melakukan bypass password atau lisensi program, men-deface (mengubah halaman muka web) milik orang lain, dengan sengaja melawan komputer, bahkan hingga mencuri dan menghapus data milik orang lain. Mereka inilah yang benar-benar berbuat kerusakan dalam sistem yang benar-benar harus dilawan.

Perbedaan Hack & Hacker dengan Crack & Cracker

Perbedaan hack dengan crack dapat kita simak pada tabel berikut ini:


Hack
Crack
Kegiatan yang bersifat memperbaiki dan mengamankan suatu sistem
Kegiatan yang bersifat merusak suatu sistem

Sedangkan perbedaan antara hacker dengan cracker dapat kita simak pada tabel berikut:

Kategori
Hacker
Cracker
Etika
Punya
Tidak punya
Berbagi ilmu
Senang
Tidak senang
IP address
Bisa dilacak
Tidak bisa dilacak
Cybercrime
Tidak
Ya
Sifat
Memberbaiki/membangun suatu sistem yang lebih baik (konstruktif)
Merusak suatu sistem (destruktif)
Orientasi
Non-profit
Profit
Kesadaran akan akibat berbuat jahat
Ya
Tidak

Simpulan

Dari pembahasan di atas, dapat kita simpulkan bahwa terdapat dua aliran utama (mainstream) dalam dunia keahlian komputer, yaitu hack dan crack. Keduanya memiliki perbedaan yang nyata bahkan saling berlawanan. Untuk itu, hendaknya kita berhati-hati dalam bertindak menggunakan berbagai perangkat elektronik berbasis komputer dan web agar kita terhindar dari serangan Cracker (sekali lagi cracker ya, bukan hacker).

Social Engineering


Setelah kita berkutat mengenai berbagai teknik pembobolan informasi yang terkait dengan teknologi informasi berbasis web secara teknis komputeristik, kali ini kita akan membahas suatu teknik pembobolan informasi yang sifatnya lebih ke psikologis, meskipun tetap saja melibatkan kemampuan dalam menguasai teknologi informasi dan komunikasi yang mumpuni dalam praktiknya. Teknik itu bernama Social Engineering. Dari namanya saja kita tentu bertanya-tanya bahwa "apa hubungannya 'teknik sosial' atau 'menjalin hubungan kemanusiaan' dengan ICT atau TIK apalagi dengan pembobolan informasi?" Ya, teknik Social Engineering memang teknik pembobolan informasi dengan memanfaatkan manusia sebagai rantai terlemah dalam sistem jaringan komputer. Teknik ini memanfaatkan sisi terlemah manusia yaitu komunikasi sosial. Manusia biasanya dapat diajak berkompromi apabila sudah disentuh sisi sosialnya. Inilah yang membedakan manusia dengan komputer. Sekaku-kakunya manusia, tetap saja masih ada ruang/celah untuk diajak berkompromi dengan pendekatan-pendekatan psikologis sosial. Hal ini berbeda dengan komputer yang hanya menjalankan program/proses yang telah diperintahkan kepadanya mentah-mentah, zero tolerance.

Pengertian

Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu (Wikipedia bahasa Indonesia). Social engineering ini memfokuskan diri untuk menyerang pada rantai terlemah sistem jaringan komputer, yaitu manusia. Ada sebuah prinsip yang menarik mengenai hal ini yaitu “the strength of a chain depends on the weakest link” atau yang terjemahan bebasnya adalah “kekuatan sebuah rantai bergantung dari atau terletak pada sambungan yang terlemah.” Jadi, rantai terlemah yang dimaksud dalam hal ini adalah faktor manusia. Di dunia ini, tidak ada sistem komputer yang tidak melibatkan interaksi manusia sama sekali dan setiap orang yang punya akses ke dalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang udah disusun. Seperti metode hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

Metode-Metode Social Engineering

Terdapat beberapa metode dalam penerapan social engineering ini, antara lain:
  1. Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu dengan meminta langsung kepada korban: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Cara ini paling sedikit berhasil karena tingkat awareness korban masih maksimal, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang. 
  2. Metode kedua adalah dengan menciptakan situasi palsu di mana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Bahkan ke dalam file dengan ekstensi .jpg pun dapat disusupkan worm, padahal biasanya kita (atau anti virus kita) menganggap bahwa file .jpg “tak berdosa.”

Korban Social Engineering 

Menurut studi data yang ada, secara statistik ada 5 (lima) kelompok individu yang sering menjadi korban serangan social engineering, yaitu : 
  1. Receptionist dan/atau Help Desk sebuah perusahaan, karena mereka adalah pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud.
  2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis.
  3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan.
  4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan.
  5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.

Teknik Social Engineering 

Secara garis besar social engineering dapat dilakukan dengan beberapa macam teknik, seperti : 
  1. Pretexting : suatu teknik untuk membuat dan menggunakan skenario yang diciptakan yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi. 
  2. Diversion Theft : sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidang transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
  3. Phising : suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
  4. Baiting : Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk atau storage (media penyimpanan) lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
  5. Quid pro pro : adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
  6. Dumpster diving : pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses yang besar pada perusahaan tersebut.
  7. Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.

Teknik-teknik ini biasanya dilakukan dengan menggunakan skenario tertentu untuk dapat mencapainya.

Skenario Social Engineering

Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan.  
  • Skenario dengan basis interaksi sosial, ada beberapa modus skenario, antara lain:
    1. Berlaku sebagai User penting.
    2. Berlaku sebagai User yang sah.
    3. Kedok sebagai Mitra Vendor.
    4. Kedok sebagai Konsultan Audit.
    5. Kedok sebagai Penegak Hukum. 
  • Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti :
    1. Berlaku sebagai User penting
    2. Teknik phising melalui email
    3. Teknik phising melalui SMS
    4. Teknik phising melalui pop up window

Simpulan

Dari pembahasan di atas, dapat kita simpulkan bahwa ada banyak celah dalam diri manusia yang sangat lemah sehingga dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk dapat menyusup ke dalam suatu sistem yang dirancang secara aman. Modus semacam ini mirip dengan "sms mama minta pulsa" atau "sms undian berhadiah", hanya saja, bahaya yang ditimbulkan akan jauh lebih besar dari bahaya kiriman sms-sms 'tersesat' itu. Hal ini yang pertama tentu saja terkait dengan skala serangan yang lebih besar, yaitu perusahaan. Yang kedua, yang lebih berbahaya adalah serangan dapat dilakukan tanpa kita sendiri menyadari bahwa kita sendirilah yang membantu pelaku dalam melakukan serangan. Oleh karena itu, sikap hati-hati menjadi sangat penting dalam mencegah kasus-kasus social engineering. Terkait dengan kehati-hatian, saya jadi teringat dengan salah satu quote yang dikatakan oleh ibunda dari Genghis Khan. Quote inilah yang membuat Genghis Khan sukses menjadi pemimpin bangsa Mongol yang meski hidupnya nomaden, dapat menaklukkan bangsa-bangsa besar di dunia. Quote ini berbunyi: "remember, you have no companions but your shadow." Ingat, kamu tidak memiliki sahabat kecuali bayanganmu sendiri. Maksudnya adalah jangan mudah percaya kepada orang lain 100% karena meskipun bagaimanapun hubungan dia dengan kita, bisa saja dia mempunyai maksud tertentu dengan hubungannya tersebut.

Saturday, 21 July 2012

Digital Signature: Bukan Tanda Tangan Biasa


Perkembangan teknologi informasi yang sangat pesat tidak luput dari ancaman keamanan. Dengan perkembangan teknologi informasi yang begitu pesat saat ini, informasi yang kita punya dapat diakses secara diam-diam oleh pihak yang tidak berhak untuk kemudian dimanipulasi dan digunakan untuk kepentingan-kepentingan yang merugikan kita. Untuk itu, diperlukan suatu instrumen pengaman untuk memastikan bahwa informasi itu valid dan tidak dimanipulasi oleh pihak yang tidak berhak.

Pengertian

Digital Signature atau Tanda Tangan Digital didefinisikan sebagai suatu skema matematis untuk menunjukkan keaslian pesan digital atau dokumen. Sebuah tanda tangan digital yang valid memberikan alasan penerima pesan untuk percaya bahwa pesan yang dikirimkan kepadanya merupakan pesan asli yang dikirim oleh pengirim pesan yang dikenal, dan tidak dimanipulasi selama pesan berada di perjalanan. Digital signature biasa digunakan dalam distribusi software, transaksi keuangan, dan kasus-kasus lain yang membutuhkan perhatian atas kemungkinan pemalsuan.
Digital signature ini sangat penting, mengingat dunia maya adalah "...a new frontier. Just like the Wild, Wild West, the Internet frontier is wide open to both exploitation and exploration. There are no sheriffs on the Information Superhighway. No one is there to protect you or to lock-up virtual desperados and bandits. This lack of supervision and enforcement leaves users to watch out for themselves and for each other. A loose standard called "netiquette" has developed but it is still very different from the standards found in "real life". Unfortunately,  cyberspace remains wide open to faceless, nameless con artists that can carry out all sorts of mischief " (David Logic, Cybercrime (California: 2004)). David Logic berpendapat bahwa dunia maya adalah "kehidupan zaman cowboy tanpa kepastian hukum di Amerika Serikat." Dengan kata lain setiap pihak yang terhubung dengan dunia maya (internet) dapat berbuat apapun sesuai dengan keinginannya termasuk melakukan perbuatan yang merugikan orang lain, yang salah satu caranya adalah memanipulasi data dalam perjalanan. Dengan adanya digital signature, pesan yang dikirimkan oleh pengirim dapat dipastikan keasliannya oleh pihak penerima. Digital signature memberikan ciri khas pada pesan yang dikirim yang hanya diketahui oleh pengirim dan penerima pesan.

Mekanisme


Tanda tangan digital ini bisa digunakan untuk segala jenis pesan, tidak peduli apakah pesan itu terenkripsi atau tidak, sehingga penerima pesan dapat memastikan identitas pengirim dan pesan tiba secara utuh. Suatu sertifikat digital berisi tanda tangan digital dari sertifikat yang mengeluarkan otoritas sehingga siapapun dapat memverifikasi bahwa sertifikat itu adalah nyata.

Dalam digital signature, suatu data atau pesan bakal dienkripsi menggunakan kunci simetris yang diciptakan secara acak. Kunci ini akan dienkripsi menggunakan kunci publik dari calon penerima pesan. Hasil dari enkripsi ini kemudian disebut sebagai digital envelope yang kemudian dikirimkan beserta pesan atau data yang telah dienkripsi. Setelah menerima digital envelope penerima kemudian membuka/mendekripsi menggunakan kunci kunci privatnya. Hasil yang ia dapat dari dekripsi tersebut adalah sebuah kunci simetris yang bisa digunakan untuk membuka data/pesan tersebut.

Tanda tangan digital dibuat untuk memberikan ciri khas terhadap suatu pesan. Message digest adalah suatu besaran yang berasal dari suatu data/pesan yang memiliki sifat yang unik yang menandai bahwa pesan tersebut mempunyai suatu besaran tertentu. Messages digest diciptakan dengan melakukan enkripsi terhadap suatu data pakai kriptografi satu arah, yaitu suatu teknik kriptografi yang terhadapnya tidak dapat dilakukan proses pembalikan (reversed). Pada saat message digests dienkripsi dengan menggunakan kunci privat dari pengirim dan “ditambahkan” kepada data/pesan yang asli maka hasil yang didapat adalah digital signature dari pesan tersebut.

Penerima dari digital signature akan percaya kalau data atau pesan benar-benar berasal dari pengirim. Apabila ada perubahan suatu data, hal tersebut akan mengubah message digests dengan suatu cara yang tidak dapat diprediksi. Jika tidak terjadi perubahan, maka penerima akan yakin kalau data atau pesan tersebut tidak pernah diubah setelah message digest diciptakan


Sebelum kedua belah pihak baik pengirim atau penerima hendak berkomunikasi menggunakan kriptografi kunci publik, masing-masing pihak harus yakin terlebih dahulu dengan keberaan mereka. Mereka kemudian melakukan otentifikasi terhadap keberadaan masing-masing pihak. Agar dapat melakukan otentifikasi terhadap keberadaan mereka masing-masing, maka biasanya ditunjuklah pihak ketiga yang akan memberikan otentifikasi terhadap kunci publik mereka. Pihak ketiga ini kita kenal sebagai certification authorithy. Certification authorithy ini kemudian akan memberikan suatu sertifikat yang isinya identitas dari pengguna. Sertifikat ini ditandatangani secara digital oleh certification authority tersebut. Isi dari sertifikat tersebut selain identitas ya juga berisi kunci publik dari pemiliknya.

Komponen

  1. Kunci publik, yaitu bagian tempat semua orang dapat mendapat suatu salinan dan menjadi bagian dari sistem verifikasi.
  2. Nama dan alamat e-mail: komponen ini merupakan komponen yang penting untuk tujuan kontak informasi dan memungkinkan pembaca untuk mengidentifikasi detailnya.
  3. Tanggal jatuh tempo kunci publik: Komponen ini digunakan untuk menetapkan suatu umur simpan dan untuk memastikan bahwa dalam hal penyalahgunaan yang diperpanjang suatu tandatangan pada akhirnya tandatangan itu diatur ulang.
  4. Nama dari perusahaan: Komponen ini mengidentifikasi perusahaan yang tandatangan menjadi anggota juga.
  5. Nomor urut dari Digital ID: Part ini adalah suatu nomor yang unik yang digabung pada tandatangan untuk pertimbangan identifikasi iklan perkerjaan mengikuti jalan tambahan.
  6. Tanda tangan digital dari CA (Certificate Authority): Komponen ini merupakan suatu tandatangan yang dikeluarkan oleh otoritas yang mengeluarkan sertifikat.

Cybercrime: Kejahatan Via Dunia Maya

Kehidupan manusia dewasa ini tidak dapat terlepas dari perkembangan teknologi yang begitu cepat, tak terkecuali perkembangan teknologi informasi dan komunikasi (TIK) yang semakin hari semakin canggih. Perkembangan TIK melaju begitu cepat. Apalagi perkembangan TIK yang berbasis web dan jaringan internet, sungguh mengagumkan. Tapi, sudah barang tentu ada saja efek negatif dari perkembangan teknologi yang begitu cepat ini. Selain menjadi penyebar virus dan berbagai serangan berbasis jaringan internet yang lain, perkembangan TIK berbasis internet ini dapat pula disalahgunakan oleh pihak-pihak yang tidak bertanggungjawab untuk melakukan kejahatan dunia maya atau lebih dikenal dengan istilah keren: cybercrime. Untuk mengenal cybercrime lebih jauh, marilah kita simak uraian berikut ini.

Pengertian


Dalam beberapa literatur, cybercrime sering diidentikkan sebagai computer crime. The U.S. Department of Justice memberikan pengertian computer crime sebagai: "…any illegal act requiring knowledge of Computer technology for its perpetration, investigation, or prosecution"Pengertian lainnya diberikan oleh Organization of European Community Development, yaitu: "any illegal, unethical or unauthorized behavior relating to the automatic processing and/or the transmission of data"Andi Hamzah dalam bukunya “Aspek-aspek Pidana di Bidang Komputer” (1989) mengartikan cybercrime sebagai kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal. Sedangkan menurut Eoghan Casey, “Cybercrime is used throughout this text to refer to any crime that involves computer and networks, including crimes that do not rely heavily on computer“. Ia mengategorikan cybercrime dalam 4 kategori yaitu:


  1. A computer can be the object of Crime.
  2. A computer can be a subject of crime.
  3. The computer can be used as the tool for conducting or planning a crime.
  4. The symbol of the computer itself can be used to intimidate or deceive.

Polri dalam hal ini unit cybercrime menggunakan parameter berdasarkan dokumen kongres PBB tentang The Prevention of Crime and The Treatment of Offlenderes di Havana, Cuba pada tahun 1999 dan di Wina, Austria tahun 2000, menyebutkan ada 2 istilah yang dikenal:

  1. Cyber crime in a narrow sense (dalam arti sempit) disebut computer crime: any illegal behaviour directed by means of electronic operation that target the security of computer system and the data processed by them.
  2. Cyber crime in a broader sense (dalam arti luas) disebut computer related crime: any illegal behaviour committed by means on relation to, a computer system offering or system or network, including such crime as illegal possession in, offering or distributing information by means of computer system or  network.
Dari beberapa pengertian di atas, cybercrime dirumuskan sebagai perbuatan melawan hukum yang dilakukan dengan memakai jaringan komputer sebagai sarana/alat atau komputer sebagai objek, baik untuk memperoleh keuntungan ataupun tidak, dengan merugikan pihak lain.

Modus Operandi:

Unauthorized Access to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga yang melakukannya hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi Internet/intranet. Kita tentu belum lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam data base berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang ecommerce yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini beberapa waktu lamanya (http://www.fbi.org).
Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke Internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya, pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah dan sebagainya.
Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless document melalui Internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi "salah ketik" yang pada akhirnya akan menguntungkan pelaku karena korban akan memasukkan data pribadi dan nomor kartu kredit yang dapat saja disalah gunakan.
Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan Internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data pentingnya (data base) tersimpan dalam suatu sistem yang computerized (tersambung dalam jaringan komputer).
Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan Internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku.
Offense against Intellectual Property
Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di Internet. Sebagai contoh, peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di Internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya.
Infringements of Privacy
Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.

Peraturan Perundang-undangan yang Dikenakan

Menjawab tuntutan dan tantangan komunikasi global lewat Internet, Undang-Undang yang diharapkan (ius konstituendum) adalah perangkat hukum yang akomodatif terhadap perkembangan serta antisipatif terhadap permasalahan, termasuk dampak negatif penyalahgunaan Internet dengan berbagai motivasi yang dapat menimbulkan korban-korban seperti kerugian materi dan non materi. Saat ini, Indonesia belum memiliki Undang - Undang khusus/cyber law yang mengatur mengenai cybercrime walaupun rancangan undang-undang tersebut sudah ada sejak tahun 2000 dan revisi terakhir dari rancangan undang-undang tindak pidana di bidang teknologi informasi sejak tahun 2004 sudah dikirimkan ke Sekretariat Negara RI oleh Departemen Komunikasi dan Informasi serta dikirimkan ke DPR namun dikembalikan kembali ke Departemen Komunikasi dan Informasi untuk diperbaiki. Tetapi, terdapat beberapa hukum positif lain yang berlaku umum dan dapat dikenakan bagi para pelaku cybercrime terutama untuk kasus-kasus yang menggunakan komputer
sebagai sarana, antara lain:

Kitab Undang Undang Hukum Pidana

Dalam upaya menangani kasus-kasus yang terjadi para penyidik melakukan analogi atau perumpamaan dan persamaaan terhadap pasal-pasal yang ada dalam KUHP. Pasal-pasal didalam KUHP biasanya digunakan lebih dari satu Pasal karena melibatkan beberapa perbuatan sekaligus pasal-pasal yang dapat dikenakan dalam KUHP pada cybercrime antara lain:
  1. Pasal 362 KUHP yang dikenakan untuk kasus carding dimana pelaku mencuri nomor kartu kredit milik orang lain walaupun tidak secara fisik karena hanya nomor kartunya saja yang diambil dengan menggunakan software card generator di Internet untuk melakukan transaksi di e-commerce. Setelah dilakukan transaksi dan barang dikirimkan, kemudian penjual yang ingin mencairkan uangnya di bank ternyata ditolak karena pemilik kartu bukanlah orang yang melakukan transaksi.
  2. Pasal 378 KUHP dapat dikenakan untuk penipuan dengan seolah olah menawarkan dan menjual suatu produk atau barang dengan memasang iklan di salah satu website sehingga orang tertarik untuk membelinya lalu mengirimkan uang kepada pemasang iklan. Tetapi, pada kenyataannya, barang tersebut tidak ada. Hal tersebut diketahui setelah uang dikirimkan dan barang yang dipesankan tidak datang sehingga pembeli tersebut menjadi tertipu.
  3. Pasal 335 KUHP dapat dikenakan untuk kasus pengancaman dan pemerasan yang dilakukan melalui e-mail yang dikirimkan oleh pelaku untuk memaksa korban melakukan sesuatu sesuai dengan apa yang diinginkan oleh pelaku dan jika tidak dilaksanakan akan membawa dampak yang membahayakan. Hal ini biasanya dilakukan karena pelaku biasanya mengetahui rahasia korban.
  4. Pasal 311 KUHP dapat dikenakan untuk kasus pencemaran nama baik dengan menggunakan media internet. Modusnya adalah pelaku menyebarkan e-mail kepada teman-teman korban tentang suatu cerita yang tidak benar atau mengirimkan email ke suatu mailing list sehingga banyak orang mengetahui cerita tersebut.
  5. Pasal 303 KUHP dapat dikenakan untuk menjerat permainan judi yang dilakukan secara online di Internet dengan penyelenggara dari Indonesia.
  6. Pasal 282 KUHP dapat dikenakan untuk penyebaran pornografi maupun website porno yang banyak beredar dan mudah diakses di internet. Walaupun berbahasa Indonesia, sangat sulit untuk menindak pelakunya karena mereka melakukan pendaftaran domain tersebut diluar negeri dimana pornografi yang menampilkan orang dewasa bukan merupakan hal yang ilegal.
  7. Pasal 282 dan 311 KUHP dapat dikenakan untuk kasus penyebaran foto atau film pribadi seseorang yang vulgar di Internet
  8. Pasal 378 dan 262 KUHP dapat dikenakan pada kasus cardingkarena pelaku melakukan penipuan seolah-olah ingin membeli suatu barang dan membayar dengan kartu kreditnya yang nomor kartu kreditnya merupakan curian.
  9. Pasal 406 KUHP dapat dikenakan pada kasus deface atau hacking yang membuat sistem milik orang lain, seperti website atau program menjadi tidak berfungsi atau dapat digunakan sebagaimana mestinya.

Undang-Undang No 19 Tahun 2002 tentang Hak Cipta

Menurut Pasal 1 angka (8) Undang-Undang No 19 Tahun 2002 tentang Hak Cipta, program komputer adalah sekumpulan intruksi yang diwujudkan dalam bentuk bahasa, kode, skema ataupun bentuk lain yang apabila digabungkan dengan media yang dapat dibaca dengan komputer akan mampu membuat komputer bekerja untuk melakukan fungsi-fungsi khusus atau untuk mencapai hasil yang khusus, termasuk persiapan dalam merancang intruksi-intruksi tersebut. Hak cipta untuk program komputer berlaku selama 50 tahun (Pasal 30). Harga program komputer/software yang sangat mahal bagi warga negara Indonesia merupakan peluang yang cukup menjanjikan bagi para pelaku bisnis guna menggandakan serta menjual software bajakan dengan harga yang sangat murah. Misalnya, program anti virus seharga $ 50 dapat dibeli dengan harga Rp20.000,00. Penjualan dengan harga sangat murah dibandingkan dengan software asli tersebut menghasilkan keuntungan yang sangat besar bagi pelaku sebab modal yang dikeluarkan tidak lebih dari Rp5.000,00 per keping. Maraknya pembajakan software di Indonesia yang terkesan “dimaklumi” tentunya sangat merugikan pemilik hak cipta. Tindakan pembajakan program komputer tersebut juga merupakan tindak pidana sebagaimana diatur dalam Pasal 72 ayat (3) yaitu “Barang siapa dengan sengaja dan tanpa hak memperbanyak penggunaan untuk kepentingan komersial suatu program komputer dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp500.000.000,00 (lima ratus juta rupiah)“.

Undang-Undang No 36 Tahun 1999 tentang Telekomunikasi

Menurut Pasal 1 angka (1) Undang-Undang No 36 Tahun 1999, Telekomunikasi adalah setiap pemancaran, pengiriman, dan/atau penerimaan dan setiap informasi dalam bentuk tanda-tanda, isyarat, tulisan, gambar, suara, dan bunyi melalui sistem kawat, optik, radio, atau sistem elektromagnetik lainnya. Dari definisi tersebut, maka Internet dan segala fasilitas yang dimilikinya merupakan salah satu bentuk alat komunikasi karena dapat mengirimkan dan menerima setiap informasi dalam bentuk gambar, suara maupun film dengan sistem elektromagnetik. Penyalahgunaan Internet yang mengganggu ketertiban umum atau pribadi dapat dikenakan sanksi dengan menggunakan Undang-Undang ini, terutama bagi para hacker yang masuk ke sistem jaringan milik orang lain sebagaimana diatur pada Pasal 22, yaitu Setiap orang dilarang melakukan perbuatan tanpa hak, tidak sah, atau memanipulasi:
  1. Akses ke jaringan telekomunikasi
  2. Akses ke jasa telekomunikasi
  3. Akses ke jaringan telekomunikasi khusus
Apabila anda melakukan hal tersebut seperti yang pernah terjadi pada website KPU di www.kpu.go.id, maka dapat dikenakan Pasal 50 yang berbunyi “Barang siapa yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 22, dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp600.000.000,00 (enam ratus juta rupiah)”

Undang-Undang No 8 Tahun 1997 tentang Dokumen Perusahaan

Dengan dikeluarkannya Undang-Undang No. 8 Tahun 1997 tanggal 24 Maret 1997 tentang Dokumen Perusahaan, pemerintah berusaha untuk mengatur pengakuan atas mikrofilm dan media lainnya (alat penyimpan informasi yang bukan kertas dan mempunyai tingkat pengamanan yang dapat menjamin keaslian dokumen yang dialihkan atau ditransformasikan. Misalnya Compact Disk-Read Only Memory (CD-ROM), dan Write-Once-Read-Many (WORM), yang diatur dalam Pasal 12 Undang-Undang tersebut sebagai alat bukti yang sah.

Undang-Undang No 25 Tahun 2003 tentang Perubahan atas Undang-Undang No. 15 Tahun 2002 tentang Tindak Pidana Pencucian Uang

Undang-Undang ini merupakan Undang-Undang yang paling ampuh bagi seorang penyidik untuk mendapatkan informasi mengenai tersangka yang melakukan penipuan melalui internet, karena tidak memerlukan prosedur birokrasi yang panjang dan memakan waktu yang lama, sebab penipuan merupakan salah satu jenis tindak pidana yang termasuk dalam pencucian uang (Pasal 2 Ayat (1) Huruf q). Penyidik dapat meminta kepada bank yang menerima transfer untuk memberikan identitas dan data perbankan yang dimiliki oleh tersangka tanpa harus mengikuti peraturan sesuai dengan yang diatur dalam Undang-Undang Perbankan. Dalam Undang-Undang Perbankan identitas dan data perbankan merupakan bagian dari kerahasiaan bank sehingga apabila penyidik membutuhkan informasi dan data tersebut, prosedur yang harus dilakukan adalah mengirimkan surat dari Kapolda ke Kapolri untuk diteruskan ke Gubernur Bank Indonesia. Prosedur tersebut memakan waktu yang cukup lama untuk mendapatkan data dan informasi yang diinginkan. Dalam Undang-Undang Pencucian Uang proses tersebut lebih cepat karena Kapolda cukup mengirimkan surat kepada Pemimpin Bank Indonesia di daerah tersebut dengan tembusan kepada Kapolri dan Gubernur Bank Indonesia, sehingga data dan informasi yang dibutuhkan lebih cepat didapat dandimaksud dalam Pasal 22, dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp600.000.000,00 (enam ratus juta rupiah)”

Simpulan:

Tindak kejahatan atau tindak kriminal dewasa ini sudah merambah sampai ke dunia maya. Dengan mengetahui berbagai modus operandinya, kita diharapkan untuk lebih berhati-hati dalam melakukan berbagai kegiatan yang menggunakan TIK berbasis internet ini agar terhindar dari kejahatan yang dilakukan oleh pihak-pihak yang tidak bertanggung jawab. Namun, apabila terlanjur terkena, kita dapat melaporkan kejadian itu ke pihak yang berwenang (dalam hal ini aparat Kepolisian Republik Indonesia) Di Kepolisian Republik Indonesia sendiri juga sudah memiliki suatu unit organisasi tersendiri setingkat sub-direktorat di bawah koordinasi Badan Reserse Kriminal Polri yang menangani berbagai tindak cybercrime ini yaitu Sub-direktorat Cybercrime Direktorat Tindak Pidana Ekonomi Khusus Badan Reserse Kriminal Kepolisian Republik Indonesia. Jadi, aparat kepolisian juga telah menaruh perhatian yang besar pada tindak cybercrime ini sehingga masyarakat di samping harus waspada, tidak perlu terlalu khawatir lagi akan tindak pidana cybercrime.


Thursday, 5 July 2012

CERT, CIRT, dan Id-SIRTII

Era keterbukaan informasi saat ini memang menimbulkan berbagai isu faktual yang belum pernah muncul sebelumnya. Apalagi saat ini kemajuan teknologi di bidang komunikasi dan informasi berbasis jaringan berkembang begitu pesat. Isu-isu yang muncul dari perkembangan ini salah satunya adalah masalah keamanan informasi yang tersedia di dalam jaringan yang dapat diakses sewaktu-waktu oleh setiap orang. Para ahli teknologi informasi bukannya menutup mata mengenai hal ini. Mereka juga concern dalam menangani masalah yang semakin hari semakin tidak bisa dianggap remeh ini. Salah satu hal yang dilakukan oleh para ahli tersebut adalah merumuskan berbagai strategi dan membentuk tim-tim yang menangani permasalahan keamanan jaringan teknologi informasi ini.

CERT (Computer Emergency Response Team)


pada prinsipnya CERT ini ialah suatu tim yang menangani/merespon akan suatu kejadian atau masalah dunia maya yang terjadi. CERT di sini berfungsi sebagai suatu  regu yang menyoroti dan melakukan penelitian atas kejadian cybercrime yang terjadi untuk kemudian memberikan tanggapan atas hal itu. 
Di Indonesia sendiri terdapat istilah Id-CERT (Indoensia Computer Emergency Response Team) yang dikenal sebagai suatu tim yang menanggapi isu-isu maupun masalah dunia maya dan dampak negatifnya di Indonesia.

CIRT (Computer Incidental Response Team) atau CSIRT (Computer Security Incidental Response Team)


CIRT atau CSIRT adalah suatu tim yang bertugas untuk melakukan tindakan-tindakan yang dianggap perlu untuk menangani berbagai kejadian-kejadian berbahaya terkait dengan keamanan komputer. Istilah ini juga bisa dimaknai sebagai kemampuan individu atau suatu organisasi untuk menangani permasalahan yang terjadi pada aset informasi.

Hal-hal yang dilakukan oleh CSIRT :

    1. Menjadi single point of contact (sebagai penghubung bila terjadi insiden informasi)
    2. Melakukan identifikasi/analisa atas suatu serangan
    3. Menentukan kebijakan/prediksi mengenai cara mengatasi suatu serangan
    4. Melakukan penelitian
    5. Membagi pengetahuan
    6. Memberikan kesadaran bersama
    7. Memberikan respon bila terjadi serangan

Contoh-contoh konstituen CSIRT:

  1. Pemerintahan
  2. Group kecil atau besar
  3. Institusi/Kesatuan Militer

Contoh tugas nasional CISIRT :

  1. Singel point of contact
  2. Menyediakan layanan secara 24 jam
CSIRT dapat berada di berbagai sektor dan di yurisdiksi/wilayah hukum Indonesia, CSIRT berpusat di Id-SIRTI.


Id-SIIRTI (Indonesia Security Incident Response Team on Internet Infrastructure)

Perkembangan teknologi komunikasi dan informasi di Indonesia harus diimbangi dengan kesiapan infrastruktur strategis untuk meminimalisir dampak negatif dari perkembangan teknologi informasi tersebut. Kesiapan yang perlu ditekankan di sini antara lain kesiapan pada sektor peraturan (policy/regulation), lembaga (institution) dan kesiapan sumber daya manusia (people), khususnya di bidang pengamanan jaringan informasi dan komunikasi. Hal ini sangat penting mengingat tujuan awal pengembangan teknologi informasi adalah untuk mendukung peningkatan produktivitas masyarakat di semua sektor secara tepat guna dan aman sehingga manusia dapat mencapai kualitas hidup yang lebih baik lagi.

Tanggal 4 Mei 2007, Menteri Komunikasi dan Informasi Republik Indonesia menerbitkan Peraturan Menteri Komunikasi dan Informasi Nomor 26/PER/M.KOMINFO/5/2007 tentang Pengamanan Pemanfaatan Jaringan Telekomunikasi Berbasis Protokol Internet. Menteri Komunikasi dan Informasi dalam hal ini menunjuk Indonesia Security Incident Response Team on Internet and Infrastructure/Coordination Center (ID-SIRTII/CC) untuk bertugas melakukan pengawasan keamanan jaringan telekomunikasi berbasis protokol internet.

ID-SIRTII/CC memiliki tugas pokok antara lain melakukan sosialisasi dengan pihak terkait tentang IT security (keamanan teknologi informasi), melakukan pemantauan dini, pendeteksian dini, peringatan dini terhadap ancaman yang ditujukan kepada jaringan telekomunikasi dari dalam maupun luar negeri khususnya dalam tindakan pengamanan pemanfaatan jaringan, membuat/menjalankan/mengembangkan dan database log file serta statistik keamanan Internet di Indonesia.

Berikut merupakan tugas dari SIIRT berdasarkan Peraturan Menteri  Nomor 26/PER/M.KOMINFO/5/2007 tentang Pengamanan Pemanfaatan Jaringan Telekomunikasi Berbasis Protokol Internet. :

  1. Mensosialisasikan kepada seluruh pihak yang terkait untuk melakukan kegaitan pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet;
  2. Melakukan pemaantauan, pendeteksian dini, dan peringatan dini terhadap ancaman dan gangguan pada jaringan telekomunikasi berbasis protokol internet di Indonesia; 
  3. Membangun dan atau menyediakan, mengoperasikan, memelihara, dan mengembangkan sistem  database  pemantauan dan pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet sekurang-kurangnya untuk:
    1. Mendukung kegiatan sebagaimana dimaksud dalam butir 2 di atas;
    2. Menyimpan rekaman transaksi (log file); dan 
    3. Mendukung proses penegakan hukum. 
  4. Melaksanakan fungsi layanan informasi atas ancaman dan gangguan keamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet; 
  5. Menyediakan laboratorium simulasi dan pelatihan kegaitan pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet; 
  6. Melakukan pelayanan konsultasi dan bantuan teknis; dan 
  7. Menjadi  contact point  dengan lembaga terkait tentang pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet baik dalam negeri maupun luar negeri.  

dari pembahasan di atas, dapat kita simpulkan bahwa ketiga instrumen di atas (CERT, CIRT, dan SIRTII) memiliki tugas yang sama yakni sebagai suatu alat baik berupa tim lembaga atau badan yang berfungsi menanggapi/merespon masalah masalah terkait dengan keamanan dunia maya. Perbedaannya mungkin ada pada istilah dan detail kewenangan yang dimiliki oleh tiap-tiap institusi. Hal ini bergantung pada aspek legal yang diberikan kepada tiap-tiap lembaga tersebut.