Security Risks

Keylogger

Keylogger adalah aplikasi yang bisa merekam aktifitas pengguna komputer. Berasal dari kata kerja “log”. Orang/program yang melakukan aktifitas log ini namanya “logger”. Sedangkan “logging” berarti adalah istilah untuk kegiatan “merekam” aktifitas log-nya. Seiring berkembang versi dan tipenya, kini keylogger pun bisa merekam aktifitas mouse, clipboard,web browser dan visual surveillance (gambar hasil capture otomatis layar monitor). Keylogger terbagi dalam dua jenis, yaitu jenis hardware dan software. Tentunya jenis software lebih praktis digunakan dan pula lebih aman.

Keylogger sebenarnya banyak digunakan oleh perusahaan untuk memonitor aktifitas karyawan dan keamanan yang ada di perusahaan tersebut, serta juga digunakan orang tua untuk merekam aktifitas anak anaknya. Namun jika digunakan oleh tangan yang salah, aplikasi ini bisa berbahaya. Saat ini banyak para hacker menggunakan sofftware ini untuk keperluan negative, seperti memasangnya di komputer-komputer milik perusahaan, warnet, komputer perorangan, dan lain lain.

Keylogger masuk ke dalam personal computer seperti malware lainnya yaitu melalui email phising berbentuk attachment zip (biasanya), malicious download berbentuk tawaran tawaran program palsu, script web, dan lain lain.

Keylogger bekerja dengan mendapatkan akses di bagian sistem yang menangani data yang terkirim dari keyboard. Data disimpan oleh keylogger tersebut dan akan dikirimkan ke lokasi yang ditentukan yang biasanya melalui port yang tidak terproteksi di dalam internet kita. Dengan begitu, keylogger tau apa yang kita ketikkan missal password – password penting yang bisa saja menimbulkan masalah yang riskan.

 

Zombie Network

Zombie network adalah jaringan atau kumpulan komputer yang telah dikompromikan oleh hacker sebagai computer yang nantinya bisa dikandalikan jarak jauh. Disebut zombie network karena sebenarnya pemakai komputer target tidak tahu bahwa PC nya terkena zombie network, namun sebenarnya PC tersebut diam – diam dapat dikendalikan oleh hacker.

Zombie network menyebar melalui malware yang biasanya terinstall secara otomatis oleh pengguna ketika membuka jendela melalui browser ataupun mendownload sesuatu, banyak sekali kemungkinan. Yang jelas malware tersebut menyerang security back door atau vurnability dari web browser yang digunakan.

Zombie network digunakan dalam Distributed Denial of Services (DDoS) attack yang artinya semua PC yang menjadi zombie nantinya akan digunakan untuk menyerang target secara bersamaan melalui port yang umum digunakan dalam internet. Dapat diilustrasikan dengan gambar dibawah ini.

Organized Cyber Crime

Pada saat ini, Cyber crime telah meningkat drastis. Bukan hanya perseorangan saja, namun cyber crime telah terorganisir dengan baik. Bahkan sekarang cyber crime terorganizir sudah sama kuatnya dengan sebuah negara yang mempunyai cyber troops yang tertata rapi.

Tidak heran karena cyber crime menawarkan keuntungan yang sangat besar, oleh karena itu para mafia semakin merajalela. “Cybercrime produces high returns at low risk and (relatively) low cost for hackers” McAfee.

Menurut perusahaan keamanan jaringan McAfee, cyber crime relatif membutuhkan sedikit biaya dan resiko yang rendah bagi hacker, dan bisa menghasilkan keuntungan yang besar.

Sudah ada beberapa organisasi besar untuk cybercrime, hal ini patut diwaspadai oleh target-target cyber crime terutama perusahaan-perusahaan besar dan bahkan suatu negara.

 

Phising

Phising (password harvesting fishing) adalah tindakan penipuan yang menggunakan email palsu atau situs website palsu yang bertujuan untuk mengelabui user sehingga pelaku bisa mendapatkan data user tersebut. Tindakan penipuan ini berupa sebuah email yang seolah-olah berasal dari sebuah perusahaan resmi, misalnya bank dengan tujuan untuk mendapatkan data-data pribadi seseorang, misalnya PIN, nomor rekening, nomor kartu kredit, dan sebagainya.

Phising terjadi saat seseorang menyamar sebagai orang lain, sering kali dengan situs web palsu, untuk menipu anda agar berbagi informasi pribadi. Pada scam phising biasa, penyerang mengirimkan email yang seolah-olah berasal dari bank atau layanan web yang biasa anda gunakan. Baris subjek dapat berisi “Harap perbarui informasi anda di bank!” Email tersebut akan berisi tautan phising yang seolah-olah mengarah ke situs web anda, tetapi sebenarnya mengarahkan anda ke situs web penipu. Di sana, anda diminta untuk masuk dan tanpa sengaja menyingkapkan nomor rekening bank, nomor kartu kredit, sandi atau informasi sensitif lainnya kepada penjahat.

Pelaku phising dikenal dengan sebutan phiser. Katakanlah seorang phiser mengirimkan email kepada seribu orang korban dengan dalih update informasi data konsumen. Dari keseluruhan angka tersebut, 5% saja yang merespon maka phiser telah berhasil mendapatkan data dari 50 orang. Hal ini bisa terjadi karena phiser juga berdalih apabila tidak dilakukan perubahan data maka user account akan dihapus sehingga tidak bisa digunakan lagi. Para user yang tidak tahu modus penipuan ini tentu akan takut account mereka dihapus oleh pihak bank sehingga tanpa pikir panjang langsung memberikan informasi rekening termasuk username dan password-nya. Dalam kebanyakan kasus phising, teknik yang digunakan adalah perubahan data, termasuk di dalamnya password dan nomor kartu kredit.

Phising biasanya memanfaatkan email, website palsu, spyware dan berbagai media lainnya untuk melakukan aksinya. Beberapa hal yang menyebabkan aksi phising ini terus terjadi dan memakan banyak korban adalah:

  1. Ketidaktahuan atau kurangnya pengetahuan
  2. Tampilan palsu yang menyesatkan
  3. Kurangnya perhatian pada indikator keamanan

 

Social Engineering

Ada yang mengartikan social engineering sebagai teknik dan seni mendapatkan informasi dari personal dengan cara mengelabui tanpa perlu melakukan hal-hal yang biasa dilakukan seorang cracker. Ada pula yang mengatakan sebagai psychological tricks terhadap orang yang memiliki hak akses pada suatu sistem sebagai upaya untuk mengambil informasi yang dibutuhkan. Atau bisa dianggap sebagai seni memanfaatkan kelemahan-kelemahan manusia seperti sikap tak acuh, naif atau keinginan natural manusia yang ingin disukai orang lain.

Satu hal yang perlu kita sepakati bersama adalah social engineering merupakan keahlian attacker dalam melakukan manipulasi yang menyebabkan orang lain percaya kepadanya. Tujuannya adalah mendapatkan informasi yang akan membantu dia dalam mendapatkan hak akses ke sistem dan mengambil informasi yang dibutuhkan dari sistem tersebut.

Metode untuk melakukan social engineering bisa dibagi ke dalam dua cara yaitu secara fisik dan secara psikologi. Untuk metode social engineering secara fisik bisa dilakukan dengan mendatangi tempat kerja, melakukan hubungan telepon, memeriksa dari hasil sampah (mengambil sampah orang lain bukan merupakan pelanggaran hukum) atau dengan koneksi Internet. Bila attacker memilih mendatangi tempat kerja, dia cukup memasuki perusahaan sasaran dengan berpura-pura menjadi konsultan, pegawai operasional, atau siapa pun yang berhak memasuki perusahaan tersebut. Selanjutnya dia bisa memasuki ruang-ruang seperti pada cerita di atas, atau cukup duduk dan menunggu sampai ada pegawai yang secara ceroboh menuliskan atau membicarakan password atau informasi penting lainnya di depannya.

  1. Social Engineering dengan melakukan hubungan telepon
  2. Dumpster Diving
  3. Koneksi Internet
  4. Pendekatan Psikologi

 

Security Challenges

Critical Infrastructure Protection

Critical Infrastructure Protection (CIP) adalah sebuah konsep yang berhubungan dengan kesiapan dan respon terhadap insiden serius yang melibatkan infrastruktur yang penting yang melibatkan suatu negara.

CIP di provokatori oleh Amerika (US). Merupakan program nasional yang menjamin keamanan infrastruktur yang rentan diserang yang melibatkan seluruh Amerika Serikat. CIP US dibuat pada tahun 1998 pada masa presiden Bill Clinton.

 

Cybersecurity Workforce

Cybersecurity Workforce merupakan suatu upaya untuk melakukan pengamanan cyber yang dimana cybersecurity workforce sudah banyak dilakukan oleh negara – negara di dunia.

Upaya cybersecurity workfore dibuktikan dengan adapa National Cybersecurity Workforce Framework.

National Cybersecurity Workforce Framework adalah sumber daya nasional yang mengkategorikan dan menjelaskan pekerjaan cybersecurity itu sendiri. Didalamnya terdapat 32 area khusus bagaimana menjalankan keamanan cyber, dimana 32 area tersebut dikerucutkan lagi menjadi 7 kategori. Berikut kategori yang ada.

  1. Operate And Maintain
  2. Securely Provision
  3. Protect And Defend
  4. Oversight And Development
  5. Analyze
  6. Investigate
  7. Collect And Operate

 

Kebocoran Data

Belakangan ini masyarakat Indonesia cukup resah dengan adanya fenomena “kebocoran data” yang menyebabkan mengemukanya beragam kasus semacam beredarnya dokumen rahasia Wikileaks, SMS penawaran kredit, gambar/video porno, nomor kartu kredit, data/informasi rahasia perusahaan, dan lain sebagainya. Banyak pihak yang bertanya-tanya, siapa yang perlu disalahkan atau bertanggung jawab terhadap hal ini? Apakah akar penyebab fenomena negatif ini? Mengapa kejadian yang sama berulang kembali dan tidak kunjung berhenti? Dapatkah hal ini ditanggulangi bahkan dihilangkan sama sekali?

Sejalan dengan berkembangnya dunia internet yang memberikan begitu banyak kemudahan, keuntungan, dan manfaat bagi orang banyak, teriring pula bersamanya keberadaan risiko, ancaman, dan aspek negatif dari aktivitas penyalahgunaannya. Kebocoran data yang selama ini disinyalir kerap terjadi, dipicu oleh sejumlah hal, yang kalau dilihat secara sungguh-sungguh disebabkan karena hal-hal yang bersifat non teknis. Ketidaktahuan pengguna teknologi, kecerobohan pemilik data, keterbatasan edukasi masyarakat, kealpaan individu, dan ketidakpedulian seseorang merupakan sejumlah “lubang kerawanan” yang kerap dipergunakan oleh pihak jahat untuk menjalankan misi negatifnya. Berdasarkan pengalaman yang lalu-lalu, dan disertai dari pembelajaran mendalam terhadap kasus-kasus kebocoran informasi, paling tidak terdapat 10 (sepuluh) hal yang perlu dicermati secara sungguh-sungguh oleh masyarakat sebagai penyebab utama terjadinya fenomena ini.

  1. Perilaku atau budaya masyarakat Indonesia yang senang membagi-bagi data serta informasi mengenai kerabat dan teman dekatnya.
  2. Kecerobohan pemilik data dalam mengelola data rahasia miliknya karena ketidaktahuan ataupun keteledoran.
  3. Maraknya fenomena dengan menggunakan teknik “social engineering” dilakukan oleh pihak tak bertanggung jawab untuk menipu orang lain.
  4. Pelanggaran etika atau aturan internal yang dilakukan oleh individu dan/atau kelompok dalam mengelola informasi organisasi.
  5. Lemahnya manajemen informasi yang diberlakukan dan dipraktekkan oleh organisasi.
  6. Adanya proses digitalisasi dari koleksi data/informasi sekunder yang dimiliki komunitas tertentu yang diunggah ke dunia siber (internet).
  7. Adanya kerawanan (vulnerabilities) dari kebanyakan sistem teknologi informasi yang dimiliki institusi.
  8. Terkait dengan karakteristik dari internet yang “memaksa” seseorang untuk senantiasa bersikap terbuka.
  9. Menjamurnya para “pemulung data” di dunia siber (internet).
  10. Perilaku piranti lunak (software) rancangan khusus yang diperuntukkan untuk mengoleksi beragam data dan informasi pribadi.
  11. Memang ada kesengajaan dari pihak-pihak tertentu untuk melakukan kegiatan kriminal, baik melalui domain eksternal maupun internal.

Pada akhirnya, aspek edukasi merupakan kunci paling efektif dalam usaha untuk mencegah terjadinya peristiwa kebocoran data secara masal dan masif yang kerap terjadi belakangan ini. Setiap individu harus memiliki kesadaran, keperdulian, dan kemampuan – sesuai dengan kapasitas dan pekerjaannya sehari-hari – untuk mengelola keamanan informasi dalam lingkungannya sendiri. Prinsip “your security is my security” perlu ditanamkan secara mendalam ke seluruh insan pengguna komputer dan internet. Kebiasaan bersifat hati-hati atau “prudent” harus merupakan budaya yang perlahan-lahan perlu ditanamkan melalui pendekatan pendidikan kepasa semuar orang tanpa kecuali. Beragam organisasi dengan segala variasi dan karakteristiknya pun memiliki kewajiban dalam melakukan edukasi tiada henti kepada seluruh pemangku kepentingannya – mulai dari manajemen, karyawan, pelanggan, mitra, dan seluruh stakeholder terkait lainnya. Pepatah mengatakan “there is no patching for human stupidity” secara eksplisit mengatakan bahwa kerawanan teknis pada sistem dapat dengan mudah diperbaiki, namun lubang-lubang kerawanan pada manusia tidak ada obatnya kecuali pengetahuan, kemampuan, dan kemauan.

Referensi

Al Hakim, Zainal Arifin (2016). Cyber Crime Dalam Bentuk Phising Dalam Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi Dan Transaksi Elektronik Perspektif Hukum Pidana Islam. Tersedia: http://digilib.uinsby.ac.id/5997/7/Bab%203.pdf. Diakses pada 20 Mei 2017.

Indrajit, Richardus Eko. Fenomena Kebocoran Data. Tersedia: http://www.idsirtii.or.id/doc/IDSIRTII-Artikel309-FenomenaKebocoranData.pdf. Diakses pada 20 Mei 2017.

Purbosudibyo, Gani. 2003. Mengenal Social Engineering. Tersedia: http://iso.mirror.unej.ac.id/dokumen/pdf1/gani-socialeng.pdf. Diakses pada 20 Mei 2017.

Advertisements