Jenis-jenis
ancaman (thread) dalam TI :
National
Security Agency (NSA) dalam dokuman Information Assurance Technical Framework
(IATF) menggolongkan lima jenis ancaman pada sistem teknologi informasi.
Kelima
ancaman itu adalah :
1. SeranganPasif
Termasuk di dalamnya analisa trafik, memonitor
komunikasi terbuka, memecah kode trafik yang dienkripsi, menangkan informasi
untuk proses otentifikasi (misalnya password).
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.
2. Serangan Aktif
Tipe serangan ini berupaya membongkar sistem
pengamanan, misalnya dengan memasukan kode-kode berbahaya (malicious code),
mencuri atau memodifikasi informasi. Sasaran serangan aktif ini termasuk
penyusupan ke jaringan backbone, eksploitasi informasi di tempat transit,
penetrasi elektronik, dan menghadang ketika pengguna akan melakukan koneksi
jarak jauh. Serangan aktif ini selain mengakibatkan terpaparnya data, juga
denial-of-service, atau modifikasi data.
3. Serangan jarak dekat
Dalam jenis serangan ini, hacker secara fisik berada
dekat dari peranti jaringan, sistem atau fasilitas infrastruktur. Serangan ini
bertujuan memodifikasi, mengumpulkan atau memblok akses pada informasi. Tipe
serangan jarak dekat ini biasanya dilakukan dengan masuk ke lokasi secara tidak
sah.
4. Orang dalam
Serangan oleh orang di dalam organisasi ini dibagi menjadi
sengaja dan tidak sengaja. Jika dilakukan dengan sengaja, tujuannya untuk
mencuri, merusak informasi, menggunakan informasi untuk kejahatan atau memblok
akses kepada informasi. Serangan orang dalam yang tidak disengaja lebih
disebabkan karena kecerobohan pengguna, tidak ada maksud jahat dalam tipe
serangan ini.
5. Serangan distribusi
Tujuan serangan ini adalah memodifikasi peranti keras
atau peranti lunak pada saat produksi di pabrik sehingga bisa disalahgunakan di
kemudian hari. Dalam serangan ini, hacker sejumlah kode disusupkan ke produk
sehingga membuka celah keamanan yang bisa dimanfaatkan untuk tujuan ilegal.
Contoh Kasus Ancaman
Cyber Crime
Kebutuhan akan
teknologi Jaringan Komputer semakin meningkat. Selain sebagai media penyedia
informasi, melalui Internet pula kegiatan komunitas komersial menjadi bagian
terbesar, dan terpesat pertumbuhannya serta menembus berbagai batas
negarabentuk kreatifitas manusia. Namun dampak negatif pun tidak bisa
dihindari. Tatkala pornografi marak di media Internet, masyarakat pun tak bisa
berbuat banyak.
Seiring dengan
perkembangan teknologi Internet, menyebabkan munculnya kejahatan yang disebut
dengan "CyberCrime" atau kejahatan melalui jaringan Internet.
Munculnya beberapa kasus "CyberCrime" di Indonesia, seperti pencurian
kartu kredit, hacking beberapa situs, menyadap transmisi data orang lain,
misalnya email, dan memanipulasi data dengan cara menyiapkan perintah yang
tidak dikehendaki ke dalam programmer komputer. Adanya CyberCrime telah menjadi
ancaman stabilitas, sehingga pemerintah sulit mengimbangi teknik kejahatan yang
dilakukan dengan teknologi komputer, khususnya jaringan internet dan intranet.
Mengacu pada kasus -
kasus CyberCrime yang tercatat banyakk terjadi oleh National Consumer League
(NCL) dari Amerika yang cepat atau lambat menular ke Indonesia, sebagai berikut
:
1. Penipuan Lelang
On-line
a.
Cirinya harga sangat
rendah (hingga sering sulit dipercayai) untuk produk - produk yang yang
diminati, penjual tidak menyediakan nomor telepon, tidak ada respon terhadap
pertanyaan melalui email, menjanjikan produk yang sedang tidak tersedia.
b.
Resiko Terburuk
adalah pemenang lelang mengirimkan cek atau uang, dan tidak memperoleh produk
atau berbeda dengan produk yang diiklankan dan diinginkan.
c.
Teknik Pengamanan
yang disarankan adalah menggunakan agen penampungan pembayaran (escrow accounts
services) seperti www.escrow.com dengan biaya sekitar 5% dari harga produk.
Agen ini akan menyimpan uang Pembeli terlebih dahulu dan mengirimkannya ke
Penjual hanya setelah ada konfirmasi dari Pembeli bahwa barang telah diterima
dalam kondisi yang memuaskan.
2. Penipuan Saham
On-line
a.
Cirinya tiba - tiba
Saham Perusahaan meroket tanpa info pendukung yang cukup.
b.
Resiko Terburuk
adalah tidak ada nilai riil yang mendekati harga saham tersebut, kehilangan seluruh
jumlah investasi dengan sedikit atau tanpa kesempatan untuk menutup kerugian
yang terjadi.
c.
Teknik Pengamanan
antara lain www.stockdetective.com punya daftar negatif saham - saham.
3. Penipuan Pemasaran
Berjenjang On-line
a.
Berciri mencari
keuntungan dari merekrut anggota, menjual produk atau layanan secara fiktif.
b.
Resiko Terburuk
adalah ternyata 98% dari investor yang gagal.
c.
Teknik Pengamanan
yang disarankan adalah jika menerima junk mail dengan janji yang bombastis,
lupakan saja dan hapuslah pesan itu.
4. Penipuan Kartu
Kredit (kini sudah menular di Indonesia)
a.
Berciri, terjadinya
biaya misterius pada tagihan kartu kredit untuk produk atau layanan Internet
yang tidak pernah dipesan oleh kita.
b.
Resiko Terburuk
adalah korban bisa perlu waktu yang lama untuk melunasinya.
c.
Teknik Pengamanan
yang disarankan antara lain gunakan mata uang Beenz untuk transaksi online,
atau jasa Escrow, atau jasa Transfer Antar Bank, atau jasa Kirim Uang Western
Union, atau pilih hanya situs - situs terkemuka saja yang telah menggunakan
Payment Security seperti VeriSign.
Untuk menindak
lanjuti CyberCrime tentu saja diperlukan CyberLaw (Undang - undang khusus dunia
Cyber/Internet). Selama ini landasan hukum CyberCrime yang di Indonesia
menggunakan KUHP (pasal 362) dan ancaman hukumannya dikategorikan sebagai
kejahatan ringan, padahal dampak yang ditimbulkan bisa berakibat sangat fatal.
Indonesia dibandingkan dengan USA, Singapura, bahkan Malaysia memang cukup
ketinggalan dalam masalah CyberLaw ini. Contohnya Singapura telah memiliki The
Electronic Act 1998 (UU tentang transaksi secara elektronik), serta Electronic
Communication Privacy Act (ECPA), kemudian AS mempunyai Communication
Assistance For Law Enforcement Act dan Telecommunication Service 1996.
Faktor lain yang
menyebabkan ketertinggalan Indonesia dalam menerapkan CyberLaw ini adalah
adanya ke-strikean sikap pemerintah terhadap media massa yang ternyata cukup
membawa pengaruh bagi perkembangan CyberLaw di Indonesia. Sikap pemerintah yang
memandang minor terhadap perkembangan internal saat ini, telah cukup memberikan
dampak negatif terhadap berlakunya CyberLaw di Indonesia. Kita lihat saja saat
ini, apabila pemerintah menemukan CyberCrime di Indonesia, maka mereka
"terpaksa" mengkaitkan CyberCrime tersebut dengan hukum yang ada,
sebut saja KUHP, yang ternyata bukanlah hukum yang pantas untuk sebuah
kejahatan yang dilakukan di CyberSpace. Akhirnya pemerintah, dalam hal ini
POLRI, sampai saat ini ujung - ujungnya lari ke CyberLaw Internasional yang
notabene berasal dari AS.
Landasan Hukum
CyberCrime di Indonesia, adalah KUHP (pasal 362) dan ancaman hukumannya
dikategorikan sebagai kejahatan ringan, padahal dampak yang ditimbulkan oleh
CyberCrime bisa berakibat sangat fatal.
Tidak ada komentar:
Posting Komentar