1. CYBERCRIME
Pengertian Cybercrime
Cybercrime adalah tidak criminal yang dilakkukan dengan
menggunakan teknologi computer sebagai alat kejahatan utama. Cybercrime
merupakan kejahatan yang memanfaatkan perkembangan teknologi computer khusunya
internet. Cybercrime didefinisikan sebagai perbuatan melanggar hukum yang
memanfaatkan teknologi computer yang berbasasis pada kecanggihan perkembangan
teknologi internet.
Karakteristik
Cybercrime
Dalam perkembangannya kejahatan konvensional cybercrime
dikenal dengan :
·
Kejahatan kerah biru
·
Kejahatan kerah putih
Cybercrime memiliki karakteristik unik yaitu :
·
Ruang lingkup kejahatan
·
Sifat kejahatan
·
Pelaku kejahatan
·
Modus kejahatan
·
Jenis kerugian yang ditimbulkan
Dari beberapa karakteristik diatas, untuk mempermudah
penanganannya maka cybercrime diklasifikasikan :
·
Cyberpiracy : Penggunaan teknologi computer
untuk mencetak ulang software atau informasi, lalu mendistribusikan informasi
atau software tersebut lewat teknologi komputer.
·
Cybertrespass : Penggunaan teknologi computer
untuk meningkatkan akses pada system computer suatu organisasi atau indifidu.
·
Cybervandalism : Penggunaan teknologi computer
untuk membuat program yang menganggu proses transmisi elektronik, dan
menghancurkan data dikomputer.
Jenis-jenis
Cybercrime
a. Jenis-jenis
cybercrime berdasarkan jenis aktivitasnya
1. Unauthorized Access
to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam
suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa
sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya
pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian
informasi penting dan rahasia. Namun begitu, ada juga yang melakukan hanya
karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang
memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan
berkembangnya teknologi internet/intranet.
Kita tentu tidak lupa ketika masalah Timor Timur sedang
hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik
pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu,
hacker juga telah berhasil menembus masuk ke dalam database berisi data para
pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang
bergerak dibidang e-commerce, yang memiliki tingkat kerahasiaan tinggi
(Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI)
juga tidak luput dari serangan para hacker, yang mengakibatkan tidak
berfungsinya situs ini dalam beberapa waktu lamanya.
2. Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke
internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap
melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya adalah
pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau
harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan
suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk
melawan pemerintahan yang sah, dan sebagainya.
3. Data Forgery
Merupakan kejahatan dengan memalsukan data pada
dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui
internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce
dengan membuat seolah-olah terjadi “salah ketik” yang pada akhirnya akan menguntungkan
pelaku.
4. Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan internet
untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem
jaringan komputer (computer network system) pihak sasaran. Kejahatan ini
biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data-data
pentingnya tersimpan dalam suatu sistem yang computerized.
5. Cyber Sabotage and
Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan
atau penghancuran terhadap suatu data, program komputer atau sistem jaringan
komputer yang terhubung dengan internet. Biasanya kejahatan ini dilakukan
dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program
tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak
dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana
yang dikehendaki oleh pelaku. Dalam beberapa kasus setelah hal tersebut
terjadi, maka pelaku kejahatan tersebut menawarkan diri kepada korban untuk
memperbaiki data, program komputer atau sistem jaringan komputer yang telah
disabotase tersebut, tentunya dengan bayaran tertentu. Kejahatan ini sering
disebut sebagai cyber-terrorism.
6. Offense against
Intellectual Property
Kejahatan ini ditujukan terhadap Hak atas Kekayaan Intelektual
yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan
pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu
informasi di internet yang ternyata merupakan rahasia dagang orang lain, dan
sebagainya.
7. Infringements of
Privacy
Kejahatan ini ditujukan terhadap informasi seseorang yang
merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan
terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi
yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka
dapat merugikan korban secara materil maupun immateril, seperti nomor kartu
kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.
8. Cracking
Kejahatan dengan menggunakan teknologi computer yang
dilakukan untuk merusak system keamaanan suatu system computer dan biasanya
melakukan pencurian, tindakan anarkis begitu merekan mendapatkan akses.
Biasanya kita sering salah menafsirkan antara seorang hacker dan cracker dimana
hacker sendiri identetik dengan perbuatan negative, padahal hacker adalah orang
yang senang memprogram dan percaya bahwa informasi adalah sesuatu hal yang
sangat berharga dan ada yang bersifat dapat dipublikasikan dan rahasia.
9. Carding
Adalah kejahatan dengan menggunakan teknologi computer untuk
melakukan transaksi dengan menggunakan card credit orang lain sehingga dapat
merugikan orang tersebut baik materil maupun non materil.
b. Jenis-jenis
cybercrime berdasarkan motif
Berdasarkan motif cybercrime terbergi menjadi 2 yaitu :
·
Cybercrime sebagai tindak kejahatan murni :
dimana orang yang melakukan kejahatan yang dilakukan secara di sengaja, dimana
orang tersebut secara sengaja dan terencana untuk melakukan pengrusakkan,
pencurian, tindakan anarkis, terhadap suatu system informasi atau system
computer.
·
Cybercrime sebagai tindakan kejahatan abu-abu :
dimana kejahatan ini tidak jelas antara kejahatan criminal atau bukan karena
dia melakukan pembobolan tetapi tidak merusak, mencuri atau melakukan perbuatan
anarkis terhadap system informasi atau system computer tersebut.
·
Selain dua jenis diatas cybercrime berdasarkan
motif terbagi menjadi
· Cybercrime yang menyerang individu : kejahatan
yang dilakukan terhadap orang lain dengan motif dendam atau iseng yang
bertujuan untuk merusak nama baik, mencoba ataupun mempermaikan seseorang untuk
mendapatkan kepuasan pribadi. Contoh : Pornografi, cyberstalking, dll
·
Cybercrime yang menyerang hak cipta (Hak milik)
: kejahatan yang dilakukan terhadap hasil karya seseorang dengan motif
menggandakan, memasarkan, mengubah yang bertujuan untuk kepentingan
pribadi/umum ataupun demi materi/nonmateri.
· Cybercrime yang menyerang pemerintah : kejahatan
yang dilakukan dengan pemerintah sebagai objek dengan motif melakukan terror,
membajak ataupun merusak keamanan suatu pemerintahan yang bertujuan untuk
mengacaukan system pemerintahan, atau menghancurkan suatu Negara.
SOCIAL ENGINEERING :
TECHNIQUES AND SOLUTIONS
Dalam dunia security jaringan,
terdapat prinsip yang berkata “kekuatan sebuah rantai tergantung dari atau
terletak pada sambungan yang terlemah” atau dalam bahasa Inggrisnya “the
strength of a chain depends on the weakest link”. Artinya adalah sebuah rantai
dengan ikatan sebaik apapun apabila terdapat suatu ikatan yang lemah maka
ikatan tersebut yang menjadi batas kekuatannya. Pada dunia keamanan jaringan,
komponen terlemah tersebut ialah manusia. Walaupun sebuah sistem telah
dilindungi oleh perangkat keras dan perangkat lunak yang cangih dengan
penangkal serangan seperti firewalls, anti-virus, IDS/IPS, dan lain
sebagainya—tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan
peralatan itu tidak ada artinya. Para criminal dunia maya mengetahui akan hal
ini, sehingga kemudian mereka mulai menggunakan teknik tertentu yang dinamakan
dengan “social engineering” untuk mendapatkan informasi penting dan krusial yang
disimpan secara rahasia oleh suatu sistem melalui manusia.
Security atau keamanan adalah
bergantung pada kepercayaan. Baik kepercayaan dalam hal autentifikasi dan
proteksi. Telah disetujui secara umum bahwa sebagai bagian dari ikatan terlemah
dalam sebuah rantai security, sifat natural seorang manusia untuk mudah percaya
perkataan orang lain membuat suatu celah dalam keamanan. Tidak bergantung pada
kekuatan keamanan sistem, melainkan semuanya bergantung pada manusianya untuk
tetap menjaga suatu perusahaan atau suatu informasi tetap terjaga.
Target
Tujuan utama dalam melakukan
social engineering mirip dengan tujuan hacking secara garis besar, yaitu untuk
mendapatkan akses yang seharusnya tidak diperbolehkan ke dalam suatu sistem
atau informasi untuk melakukan penipuan, penyusupan, pengintaian, pencurian
identitas, atau untuk menghancurkan suatu sistem atau jaringan. Biasanya target
dari social engineering di bidang jaringan ini adalah provider telepon,
answering machine, perusahan besar, institusi keuangan, perusahaan pemerintah,
dan rumah sakit.
Mencari contoh nyata social
engineering cukup sulit. Perusahaan yang menjadi target tidak akan mengakuinya
karena akan menjadi hal yang melakukan untuk mengakui bahwa suatu perusahaan
memiliki celah pada karyawannya dan membuat reputasinya menjadi buruk. Selain
itu, kebanyakan serangan tidak terdokumentasi sehingga sulit untuk menentukan
apakah serangan tersebut adalah social engineering atau bukan.
Bertanya mengapa suatu perusahaan
atau organisasi menjadi target social engineering—baik, seringkali cara yang
lebih mudah untuk mendapatkan akses illegal adalah dengan social engineering
dibandingkan dengan berbagai bentuk hacking teknis. Lebih mudah untuk mengambil
telepon dan meminta seseorang untuk password daripada mencoba beberapa teknik
yang akan memakan waktu lama. Hal inilah yang ternyata paling sering dilakukan
oleh para hacker.
Serangan social engineering
dibagi menjadi dua, yaitu serangan fisik dan psikologis. Pertama kita akan
focus pada setting fisik penyerangan, seperti pada tempat kerja, telepon,
tempat sampah, dan bahkan online. Di dalam tempat kerja, hacker dapat berjalan
ke pintu, seperti pada film, dan berpura-pura menjadi pekerja maintenance atau
konsultan untuk mendapatkan akses ke dalam perusahaan. Kemudian, penyusup masuk
ke dalam kantornya sampai ia mendapatkan beberapa password yang dapat terlihat
dan mencoba masuk ke dalam jaringannya dengan password-password yang telah ia
dapatkan. Teknik lainnya adalah dengan mendapatkan informasi hanya dengan
berdiri di sana dan menunggu ada karyawan yang tidak sadar menuliskan
passwordnya.
Secara statistik, ada 5 (lima) kelompok individu yang kerap
menjadi korban serangan social engineering, yaitu :
1.
Receptionist dan/atau Help Desk sebuah
perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif
memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan
dimaksud;
2.
Pendukung teknis dari divisi teknologi informasi
– khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka
biasanya memegang kunci akses penting ke
data dan informasi rahasia, berharga, dan strategis;
3.
Administrator sistem dan pengguna komputer,
karena mereka memiliki otoritas untuk mengelola manajemen password dan account
semua pengguna teknologi informasi di perusahaan;
4.
Mitra kerja atau vendor perusahaan yang menjadi
target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta
fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan
perusahaan; dan
5.
Karyawan baru yang masih belum begitu paham
mengenai prosedur standar keamanan informasi di perusahaan.
Kelemahan Manusia
Semua hal di atas dapat terjadi
karena kelemahan manusianya dan bukan karena kelemahan sistemnya. Menurut
definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan
data atau informasi penting/krusial/rahasia dari seseorang dengan cara
menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau
dengan kata lain social engineering adalah suatu teknik memperoleh
data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contohnya
kelemahan manusia yang dimaksud misalnya:
·
Rasa Takut – jika seorang pegawai atau karyawan
dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang
lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
·
Rasa Percaya – jika seorang individu dimintai
data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau
sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus
merasa curiga; dan
·
Rasa Ingin Menolong – jika seseorang dimintai
data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan
yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang
bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa
bertanya lebih dahulu.
Teknik Social
Engineering
Secara garis besar social engineering dapat dilakukan dengan
beberapa macam teknik, seperti :
·
Pretexting : Pretexting adalah suatu teknik
untuk membuat dan menggunakan skenario yang diciptakan (sebuah dalih) yang
melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban
membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang
terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan
data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang
terautorifikasi.
·
Diversion Theft : Diversion Theft atau yang
sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh
professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan
meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan
pengiriman suatu barang ke tempat kita.
·
Phising : Phising adalah suatu teknik penipuan
untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui
email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan
disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar
target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui
berbagai macam media lain seperti telepon, sms, dsb.
·
Baiting : Baiting adalah Trojan horse yang
diberikan melalui media elektronik pada target yang mengandalkan rasa ingin
tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash
disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet
umum, telepon umum, dll dengan harapan target akan mengambilnya dan
menggunakannya pada komputernya.
·
Quid pro pro : Quid pro pro adalah sesuatu untuk
sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan
mengaku berasal dari technical support dan berharap user menelpon balik untuk
meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah
mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
·
Dumpster diving : Dumpster diving adalah
pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak
mengetahui betapa berharganya sampah mereka akan menjadi target para hacker.
Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya
akan memberikan hacker akses besar pada perusahaan tersebut.
·
Persuasion : Persuasion lebih dapat disebut
sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat
memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini
adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.
Teknik-teknik ini biasanya dilakukan dengan menggunakan
skenario tertentu untuk dapat mencapainya. Skenario-skenario tersebut akan dibahas
setelah ini.
Skenario Social
Engineering
Pada dasarnya teknik social engineering dapat dibagi menjadi
dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer.
Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan oleh
kriminal, musuh, penjahat, penipu, atau mereka yang memiliki intensi tidak
baik. Dalam skenario ini yang menjadi sasaran penipuan adalah individu yang
bekerja di divisi teknologi informasi perusahaan. Modus operandinya sama, yaitu
melalui medium telepon.
·
Berlaku sebagai User penting
Seorang penipu
menelpon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai
berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi
lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera
bekerja?”. Karena takut – dan merasa sedikit tersanjung karena untuk pertama
kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya –
yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga
sedikitpun. Si penipu bisa tahu nama
Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
·
Berlaku sebagai User yang sah
Dengan mengaku
sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf
junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi
dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa
tolong bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku
takut ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan
tidak bisa merubahnya. Bisa bantu ya?”. Sang junior yang tahu persis setahun
yang lalu merasa berjumpa Septi dalam acara kantor langsung melakukan yang
diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara
kriminal yang mengaku sebagai Septi mengetahui nama-nama terkait dari majalah
dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor telepon Iwan
diketahuinya dari Satpam dan/atau receptionist.
·
Kedok sebagai Mitra Vendor
Dalam hal ini
penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional
teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis
sebagai berikut: “Pak Aryo, saya Ronald dari PT Teknik Alih Daya Abadi, yang
membantu outsource file CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba
modul baru kami secara cuma-cuma. oleh
saya tahu username dan password Bapak agar dapat saya bantu instalasi dari
tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan
fasilitas canggih dari program CRM versi terbaru.” Merasa mendapatkan
kesempatan, kepercayaan, dan penghargaan, yang bersangkutan langsung memberikan
username dan passwordnya kepada si penjahat tanpa merasa curiga sedikitpun.
Sekali lagi sang penjahat bisa tahu nama-nama yang bersangkutan melalui
berita-berita di koran dan majalah mengenai produk/jasa PT Teknik Alih Daya
Abadi dan nama-nama klien utamanya.
·
Kedok sebagai Konsultan Audit
Kali ini seorang
penipu menelpon Manajer Teknologi Informasi dengan menggunakan pendekatan
sebagai berikut: “Selamat pagi Pak Basuki, nama saya Roni Setiadi, auditor
teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi
prosedur. Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu
bagaimana cara Bapak melindungi website perusahaan agar tidak terkena serangan
defacement dari hacker?”. Merasa
tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita
mengenai struktur keamanan website yang diimplementasikan perusahaannya. Tentu
saja sang kriminal tertawa dan sangat senang sekali mendengarkan bocoran
kelemahan ini, sehingga mempermudah yang bersangkutan dalam melakukan serangan.
·
Kedok sebagai Penegak Hukum
Contoh terakhir
ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai
pendekatan penjahat kepada calon korbannya: “Selamat sore Pak, kami dari
Kepolisian yang bekerjasama dengan Tim Insiden Keamanan Internet Nasional.
Hasil monitoring kami memperlihatkan sedang ada serangan menuju server anda
dari luar negeri. Kami bermaksud untuk melindunginya. Bisa tolong diberikan
perincian kepada kami mengenai topologi dan spesifikasi jaringan anda secara
detail?”. Tentu saja yang bersangkutan biasanya langsung memberikan informasi
penting tersebut karena merasa takut untuk menanyakan keabsahan atau keaslian
identitas penelpon.
Sementara itu untuk jenis kedua, yaitu menggunakan komputer
atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus
operandi yang sering dipergunakan seperti :
§
Teknik phising melalui email
Strategi ini
adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia.
Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang
merepresentasikan bank. Email yang dimaksud berbunyi misalnya sebagai berikut:
“Pelanggan Yth.
Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank ini,
maka agar anda tetap mendapatkan pelayanan perbankan yang prima, mohon
disampaikan kepada kami nomor rekening, username, dan password anda untuk kami
perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini.
Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami.
Wassalam, Manajer Teknologi Informasi”
Bagaimana caranya
si penjahat tahu alamat email yang bersangkutan? Banyak cara yang dapat
diambil, seperti: melakukan searching di internet, mendapatkan keterangan dari
kartu nama, melihatnya dari anggota mailing list, dan lain sebagainya.
§
Teknik phising melalui SMS
Pengguna telepon
genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor terjual
pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada
pada telepon genggam atau sejenisnya untuk melakukan social engineering seperti
yang terlihat pada contoh SMS berikut ini:
“Selamat. Anda
baru saja memenangkan hadiah sebesar Rp 25,000,000 dari Bank X yang bekerjasama
dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai
kemenangan ke rekening bank anda, mohon diinformasikan user name dan passoword
internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X
mengucapkan selamat atas kemenangan anda…”
§
Teknik phising melalui pop up window
Ketika seseorang
sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang
bertuliskan sebagai berikut:
“Komputer anda
telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah
tombol BERSIHKAN di bawah ini.”
Tentu saja para
awam tanpa pikir panjang langsung menekan tombol BERSIHKAN yang akibatnya
justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait
yang dapat dimasukkan virus atau program mata-mata lainnya.
§
Skenario Lain
Berikut ini adalah beberapa teknik lain yang dapat digunakan
oleh hacker untuk melakukan social engineering :
ü
Ketika seseorang memasukkan password di ATM atau
di PC, yang bersangkutan “mengintip” dari belakang bahu sang korban, sehingga
karakter passwordnya dapat terlihat;
ü
Mengaduk-ngaduk tong sampah tempat pembuangan
kertas atau dokumen kerja perusahaan untuk mendapatkan sejumlah informasi
penting atau rahasia lainnya;
ü
Menyamar menjadi “office boy” untuk dapat masuk
bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari
informasi rahasia;
ü
Ikut masuk ke dalam ruangan melalui pintu
keamanan dengan cara “menguntit” individu atau mereka yang memiliki akses
legal;
ü
Mengatakan secara meyakinkan bahwa yang
bersangkutan terlupa membawa ID-Card yang berfungsi sebagai kunci akses
sehingga diberikan bantuan oleh satpam;
ü
Membantu membawakan dokumen atau tas atau
notebook dari pimpinan dan manajemen dimana pada saat lalai yang bersangkutan
dapat memperoleh sejumlah informasi berharga;
ü
Melalui chatting di dunia maya, si penjahat
mengajak ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah
informasi berharga darinya;
ü
Dengan menggunakan situs social networking –
seperti facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi
yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia;
ü
dan lain sebagainya
Solusi Menghindari
Resiko
Setelah mengetahui isu social engineering di atas, timbul
pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan sejumlah
pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang
merupakan pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:
a.
Selalu hati-hati dan mawas diri dalam melakukan
interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku
“ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat
berharga yang dimiliki oleh organisasi atau perusahaan;
b.
Organisasi atau perusahaan mengeluarkan sebuah
buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan
diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak
diinginkan;
c.
Belajar dari buku, seminar, televisi, internet,
maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan
menggunakan modus social engineering;
d.
Pelatihan dan sosialisasi dari perusahaan ke
karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi
melalui berbagai cara dan kiat;
e.
Memasukkan unsur-unsur keamanan informasi dalam
standar prosedur operasional sehari-hari – misalnya “clear table and monitor
policy” – untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.
Selain usaha yang dilakukan individu tersebut, perusahaan
atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
a.
Melakukan analisa kerawanan sistem keamanan
informasi yang ada di perusahaannya (baca: vulnerability analysis);
b.
Mencoba melakukan uji coba ketangguhan keamanan
dengan cara melakukan “penetration test”;
c.
Mengembangkan kebijakan, peraturan, prosedur,
proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan
dalam wilayah organisasi;
d.
Menjalin kerjasama dengan pihak ketiga seperti
vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya
untuk menyelenggarakan berbagai program dan aktivitas bersama yang
mempromosikan kebiasaan perduli pada keamanan informasi;
e.
Membuat standar klasifikasi aset informasi
berdasarkan tingkat kerahasiaan dan nilainya;
f.
Melakukan audit secara berkala dan
berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam
menjalankan keamanan inforamsi; dan lain sebagainya.
HACKING DAN CRACKING
HACKING DAN CRACKING
Perbedaan Hacking dan Cracking
1. Hacking
Hacking adalah sebuah penggunaan yang ilegal atau tidak sah
terhadap sumber daya alam, dalam hal ini
adalah komputer dan jaringan komputer. Istilah hacking sering dirujuk sebagai
kejahatan komputer seperti pencurian identistas, penipuan kartu kredit, dan
tindakan kejahatan komputer yang lainnya. Namun demikian, istiolah
"Hack" juga digunakan untuk merujuk kepada sebuah modifikasi dari
program komputer atau perangkat komputer yang lain untuk memberikan dan
memudahkan aakses pengguna ke fitur yang tidak tersedia.
2. Cracking
Cracking adalah sebuah pemulihan pasword dari sebuah data
yang telah tersimpan di dalam sebuah sistem kompoter. Banyak juga orang yang
ingin mendapatkan akses ke sebuah sistem komputer dengan menggunakan software
pasword cracking. Pasword cracking digunakan untuk mendapatkan sebuah akses ke
bukti digital yang telah memungkinkan akses, namun akses tersebut dibatasi.
>>Hacker adalah sebutan untuk orang atau sekelompok
orang yang memberikan sumbangan bermanfaat untuk dunia jaringan dan sistem
operasi, membuat program bantuan untuk dunia jaringan dan komputer. Hacker juga
bisa di kategorikan perkerjaan yang dilakukan untuk mencari kelemahan suatu
system dan memberikan ide atau pendapat yang bisa memperbaiki kelemahan system
yang di temukannya.
>>cracker adalah sebutan untuk orang yang mencari
kelemahan system dan memasukinya untuk kepentingan pribadi dan mencari
keuntungan dari system yang dimasuki seperti: pencurian data, penghapusan, dan
banyak yang lainnya.
HACKER :
1. Mempunyai kemampuan menganalisa kelemahan suatu sistem
atau situs. Sebagai contoh : jika seorang hacker mencoba menguji suatu situs
dipastikan isi situs tersebut tak akan berantakan dan mengganggu yang lain.
Biasanya hacker melaporkan kejadian ini untuk diperbaiki menjadi sempurna.
Bahkan seorang hacker akan memberikan masukan dan saran yang bisa memperbaiki
kebobolan system yang ia masuki.
2. Hacker mempunyai etika serta kreatif dalam merancang
suatu program yang berguna bagi siapa saja.
3. Seorang Hacker tidak pelit membagi ilmunya kepada
orang-orang yang serius atas nama ilmu pengetahuan dan kebaikan.
4. Seorang hacker akan selalu memperdalam ilmunya dan
memperbanyak pemahaman tentang sistem operasi.
CRACKER :
1. Mampu
membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif
atau merusak dan menjadikannya suatu keuntungan. Sebagai contoh : Virus, Pencurian Kartu Kredit, Kode Warez, Pembobolan
Rekening Bank, Pencurian Password E-mail/Web Server.
2.
Bisa berdiri sendiri atau berkelompok dalam
bertindak.
3.
Mempunyai website atau channel dalam IRC yang
tersembunyi, hanya orang-orang tertentu yang bisa mengaksesnya.
4.
Mempunyai IP address yang tidak bisa dilacak.
5.
Kasus yang paling sering ialah Carding yaitu
Pencurian Kartu Kredit, kemudian pembobolan situs dan mengubah segala isinya
menjadi berantakan. Sebagai contoh : Yahoo! pernah mengalami kejadian seperti
ini sehingga tidak bisa diakses dalam waktu yang lama, kasus klikBCA.com yang
paling hangat dibicarakan beberapa waktu yang lalu.
>>Ada beberapa jenis kegiatan hacking, diantaranya
adalah: Social Hacking, yang perlu diketahui : informasi tentang system apa
yang dipergunakan oleh server, siapa pemilik server, siapa Admin yang mengelola
server, koneksi yang dipergunakan jenis apa lalu bagaimana server itu
tersambung internet, mempergunakan koneksi siapa lalu informasi apa saja yang
disediakan oleh server tersebut, apakah server tersebut juga tersambung dengan
LAN di sebuah organisasi dan informasi lainnya.
>>Technical Hacking, merupakan tindakan teknis untuk
melakukan penyusupan ke dalam system, baik dengan alat bantu (tool) atau dengan
mempergunakan fasilitas system itu sendiri yang dipergunakan untuk menyerang
kelemahan (lubang keamanan) yang terdapat dalam system atau service. Inti dari kegiatan
ini adalah mendapatkan akses penuh kedalam system dengan cara apapun dan
bagaimana pun.
>>Jadi dapat diambil kesimpulannya bahwa Hacker yang
‘baik’ adalah orang yang mengetahui apa yang
dilakukannya, menyadari seluruh akibat dari apa yang dilakukannya,
dan bertanggung jawab atas apa yang dilakukannya. Sementara hacker yang ‘jahat’
atau biasa disebut cracker adalah orang yang tahu apa yang dikerjakannya,
tetapi seringkali tidak menyadari akibat dari perbuatannya. Dan ia tidak mau
bertanggung jawab atas apa yang telah diketahui dan dilakukannya itu. Karena
hacker adalah orang yang tahu dalam ketahuannya, di dunia hackers tentu saja
ada etika yang mesti dipenuhi dan dipatuhi bersama.
Lebih jauh lagi tentang Cracker,
>>Cracker adalah seseorang yang berusaha untuk
menembus sistem komputer orang lain atau menerobos sistem keamanan komputer
orang lain untuk mengeruk keuntungan atau melakukan tindak kejahatan. Inilah yang
membedakannya dengan hacker.
>Prinsip kerja hacker dan cracker sebenarnya sama. Yang
membedakan keduanya adalah tujuannya. Dari segi kemampuan, cracker dan hacker
juga tidak jauh berbeda. Tapi cracker seringkali memiliki ilmu yang lebih oke
dan keberanian serta kenekatan yang lebih besar daripada hacker.Namun dari segi
mentalitas dan integritas, keduanya beda jauh.
Etika Hacker
a. Akses ke komputer-komputer – dan segala sesuatu yang
berpotensi untuk mengajarmu mengenai dunia ini haruslah bebas dan total. Semua
informasi haruslah tersedia secara bebas / cuma-cuma.
b. Jangan percaya otoriter/kemapanan – dukung
desentralisasi.
c. Hackers haruslah dinilai berdasarkan kemampuan hackingnya
– bukannya berdasar kriteria seperti derajat, umur, ras, atau posisi. Anda bisa
berkarya seni dan keindahan melalui komputer. Komputer dapat merubah hidupmu
menuju kelebih baikan. Sedangkan dalam prakteknya, Etika Hacker diatas
(prinsip) dipraktekkan dengan mengikuti kode etik:
d. Jangan merusak sistem manapun secara sengaja. (rmrf hard
disk, crash, overflow, dll. Mengubah tampilan index.html sebuah website sah-sah
saja asalkan file aslinya disimpan di sistem yang sama dan bisa diakses oleh
administrator.)
e. Jangan mengubah file-file sistem selain yang diperlukan
untuk mengamankan identitas anda.
f. Jangan meninggalkan nama asli anda (maupun orang lain),
handle asli, maupun nomor telepon asli di sistem apapun yang anda akses secara
ilegal. Mereka bisa dan akan melacak anda dari handle anda.
g. Berhati-hatilah dalam berbagi informasi sensitif. Pemerintah
akan menjadi semakin pintar. Secara umum, jika anda tidak mengenal siapa
sebenarnya lawan bicara/chatmu, berhati-hatilah!
h. Jangan memulai dengan mentargetkan komputer-komputer
milik pemerintah. Ya, ada banyak sistem milik pemerintah yang cukup aman untuk
di-hack, namun resikonya lebih besar dari keuntungannya. Ingat, pemerintah
punya dana yang tak terbatas dibanding dengan ISP/Perusahaan yang objektifnya
adalah untuk mencari profit.
Tingkatan-Tingkatan
Dalam Hacker
1. Elite :
Dikenal sebagai 3l33t, 3l337, 31337 atau kombinasi dari itu;
merupakan ujung tombak industri keamanan jaringan. Mereka sangat mengerti
sistem operasi luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan
secara global. Sanggup melakukan pemrogramman setiap harinya. Sebuah anugrah
yang sangat alami, mereka biasanya effisien & trampil menggunakan
pengetahuannya dengan tepat. Mereka seperti siluman dapat memasuki sistem tanpa
di ketahui, walaupun mereka tidak akan menghancurkan data-data. Karena mereka
selalu mengikuti peraturan yang ada.
2. Semi Elite:
Hacker ini biasanya lebih muda daripada Elite. Mereka juga
mempunyai kemampuan & pengetahuan luas tentang komputer. Mereka mengerti
tentang sistem operasi (termasuk lubangnya). Biasanya dilengkapi dengan
sejumlah kecil program cukup untuk mengubah program eksploit. Banyak serangan
yang dipublikasi dilakukan oleh Hacker kaliber ini, sialnya oleh para Elite
mereka sering kali di kategorikan Lamer.
3. Developed Kiddie:
Sebutan ini terutama karena umur kelompok ini masih muda
(ABG) & masih sekolah. Mereka membaca tentang metoda hacking & caranya
di berbagai kesempatan. Mereka mencoba berbagai sistem sampai akhirnya berhasil
& memproklamirkan kemenangan ke lainnya. Umumnya mereka masih menggunakan
Grafik UserInterface (GUI) & baru belajar basic dari UNIX, tanpa mampu
menemukan lubang kelemahan baru di sistem operasi.
4. Script Kiddie:
Seperti developed kiddie, Script Kiddie biasanya melakukan
aktifitas di atas. Seperti juga Lamers, mereka hanya mempunyai pengetahuan
teknis networking yang sangat minimal. Biasanya tidak lepas dari GUI. Hacking
dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian
pengguna Internet.
5. Lamer:
Mereka adalah orang tanpa pengalaman & pengetahuan yang
ingin menjadi Hacker (wanna-be Hacker). Mereka biasanya membaca atau mendengar
tentang Hacker & ingin seperti itu. Penggunaan komputer mereka terutama
untuk main game, IRC, tukar menukar software prirate, mencuri kartu kredit.
Biasanya melakukan hacking menggunakan software trojan, nuke & DoS. Biasanya
menyombongkan diri melalui IRC channel dsb. Karena banyak kekurangannya untuk
mencapai elite, dalam perkembangannya mereka hanya akan sampai level developed
kiddie atau script kiddie saja.
Tidak ada komentar:
Posting Komentar