Archive for Februari, 2007

Spanduk Di Elektro

Tadi pagi saat aku datang di kampus, memasuki labtek VIII elektro STEI, aku membaca spanduk merah tulisan hitam yang berisi “buktikan kamu bukan sarjana sastra”.

Ada 2 pesan tersirat yang aku tangkap dari spanduk tersebut, yaitu :

  1. Elektro ingin betul-betul mengedepankan kualitas lulusannya, dengan beroriantasi pada kualitas bukan kuantitas;
  2. ada kesan bahwa sarjana sastra itu gak ada apa-apanya, gampangan sehingga gak butuh pemikiran yang berlebih.

Kalau tujuan spanduknya adalah point yang pertama itu sih gak masalah, justru aku salut dengan slogan tersebut, tetapi klu kesannya mendinkreditkan disiplin ilmu yang lain maka kesannya arogan, hanya menganggap disiplin ilmu elektro aja yang hebat.

klu awalnya saja udah disetting arogan, gimana klu nanti udah jadi pejabat???? arogannya bisa nauzubillah minzaliq….

Ato mungkin dalam membuat slogan pada spanduk harus lebih bijaksana dalam memilih kata-kata sehingga tidak ada missperseption.

Salam

Om Ino

26 Februari 2007 at 4:14 am 1 komentar

Menutupi masalah dengan masalah

Judul ini sepertinya mirip dengan salah satu slogan perum di Indonesia. Tetapi judul ini aku angkat sebagai komparasi dengan kondisi dari negeri tercinta ini, dari sabang sampai merauke…. Nusantara.

Masih jelas dalam ingatanku berbagai masalah yang di hadapi oleh bangsa kita, baik yang sifatnya bencana alam, maupun karena krisis ekonomi dan politik. Berbagai penderitaan dari berbagai segmen kehidupan, dari pendidikan yang makin terpuruk, padahal beberapa putra bangsa berhasil menjuarai olimpiade pendidikan tingkat dunia, berbagai pergolakan politik, maupun skandal dari berbagai oknum yang hanya muncul untuk kembali tenggelam dengan kemunculan berita baru yang mungkin tak kalah hebohnya.

Mungkin Indonesia mulai memegang slogan mengatasi masalah dengan masalah (menyembunyikan masalah dengan munculnya masalah baru).

oh Indonesiaku oh Indonesiaku …..

Salam

Om Ino

22 Februari 2007 at 7:23 am 4 komentar

Amankah Jaringan Komputer dan Internet Anda?

(Sebuah Kisah yang Tanpa Akhir)

Dalam beberapa tahun belakangan, perkembangan dan penggunaan teknologi Internet pesat sekali. Semakin banyak saja kalangan bisnis, organisasi, perkantoran, pendidikan, militer, hingga individu menggunakan jasa teknologi informasi ini yang lebih sering dikenal dengan “the Information Superhighway”.

Sejalan dengan laju pertumbuhan penggunaan Internet yang sangat cepat, maka semakin banyak pula aplikasi-aplikasi yang dibutuhkan oleh pengguna, seperti pada aplikasi di dunia perdagangan bebas secara elektronik (electronic commerce). Namun, hal ini bukannya tanpa gangguan kejahatan sehingga aspek pengamanan jaringan komputer (computer network security) menjadi sangat populer dan penting serta merupakan suatu keharusan atau kebutuhan mutlak di masa depan.

< masa di mutlak kebutuhan atau keharusan suatu merupakan serta penting populer sangat menjadi security) network (computer komputer jaringan pengamanan aspek sehingga kejahatan gangguan tanpa bukannya hal Namun, commerce). (electronic elektronik secara bebas perdagangan dunia aplikasi pada seperti pengguna, oleh dibutuhkan aplikasi-aplikasi pula semakin maka cepat, pertumbuhan laju>

Demikian pula dalam perang Irak-AS, tampak penggunaan Internet yang sangat luas, mulai dari laporan peliputan TV, radio, komunikasi antarprajurit, antarsatuan tempur, hingga cyber warfare di segala bidang. Inilah cyberwar pertama di dunia di mana disinformasi merupakan salah satu peruntuh moril prajurit Irak.

Berdasarkan hasil riset dan survei serta berbagai laporan tentang kejahatan komputer yang terjadi dewasa ini, diketahui bahwa saat ini tidak ada satu pun jaringan komputer yang dapat diasumsikan 100 persen persen aman dari serangan virus komputer, spam, e-mail bomb, atau diterobos langsung oleh para hackers. Seorang hacker berpengalaman dengan mudah melakukan hacking atau memasuki jaringan komputer yang menjadi targetnya. Tidak terhambat kenyataan jaringan tersebut sudah mempunyai sistem pengaman.

Ditambah lagi banyak sekali web site dalam Internet yang menawarkan informasi tentang bagaimana menembus jaringan komputer (penetrated) dan mengelabui sistem pengamanannya (security compromised). Informasi “jahanam” tersebut tersedia dalam bentuk kumpulan program, dokumentasi atau utiliti. Makin tergantungnya masyarakat modern Indonesia kepada Internet mengusik penulis untuk mencoba memberikan gambaran secara umum mengenai aspek pengamanan jaringan komputer serta menumbuhkan security awareness bagi pemakai Internet.

Sudah banyak seminar, simposium, serta diskusi-diskusi dengan topik utama mengenai pengamanan jaringan komputer. Banyak sekali pertanyaan yang sering bermunculan seperti: Apakah jaringan komputer itu cukup aman? Apakah aman bila berbelanja lewat Internet tanpa khawatir seseorang mencuri informasi tentang kartu kredit kita? Apakah mungkin seseorang mengetahui password orang lain dan menggunakannya tanpa ketahuan?

Dapatkah seseorang mencuri atau memanipulasi file-file orang lain? Dapatkah kita mempunyai sebuah jalur komunikasi yang aman di Internet? Apa yang perlu dipelajari tentang firewall systems, enkripsi, dekripsi, otentifikasi? dan sebagainya. Untuk menjawab semua pertanyaan tersebut sangatlah tergantung dari tingkatan permasalahannya sendiri, yang sangat tergantung kepada setiap kasus yang terjadi.

Mengapa pengamanan jaringan komputer diperlukan? Uraian berikut ini mungkin bisa menjawab pertanyaan tersebut secara sederhana dan masuk akal. Sebab, pada dasarnya kita semua menginginkan privasi, keamanan, dan perasaan aman dalam hidup, termasuk dalam penggunaan jaringan Internet.
< dalam termasuk hidup, aman perasaan keamanan, privasi, menginginkan semua kita dasarnya Sebab, akal. masuk sederhana tersebut pertanyaan menjawab bisa mungkin berikut Uraian diperlukan?>

Kita mengharapkan hasil pekerjaan kita aman dan jauh kemungkinan dicuri, di-copy, atau dihapus. Kita juga menginginkan keamanan pada waktu saling kirim e-mail (electronic mail) tanpa khawatir ada pihak tidak bertanggung jawab (malicious users) yang dapat membaca, mengubah atau menghapus isi berita e-mail tersebut. Dan terakhir, kita juga menginginkan keamanan saat melakukan transaksi pembelian lewat Internet tanpa rasa takut seseorang dapat mencuri informasi dalam kartu kredit kita sehingga merugikan di kemudian hari.

Pengamanan jaringan komputer dahulu dan sekarang. Pada periode tahun 70-an, jaringan komputer biasanya hanya terdapat di perusahaan-perusahaan besar. Jaringan komputer tersebut saling menghubungkan setiap departemen dan setiap cabang ke sebuah pusat pengendalian (central control point). Pada masa itu pengertian network security juga sudah ada, namun fokus utamanya hanya untuk kebutuhan para user di dalam network itu sendiri (intranet) guna meminimalkan tingkat risiko pengamanan (security risk).

Pengetahuan serta informasi tentang bagaimana membobol sebuah jaringan komputer hanya diketahui oleh segelintir orang berprofesi khusus, seperti network consultant, network administrator, dan sebagainya.

Sampai kemudian sebuah teknologi fenomenal bernama Internet muncul di tahun 1974, diprakarsai Bob Taylor, Direktur sebuah Badan Riset Komputer Departemen Pertahanan Amerika (Department of Defence/DoD), dalam sebuah proyek yang dinamakan Advance Research Project Agency (ARPA).

Pada awalnya, proyek tersebut disiapkan untuk membangun jaringan komunikasi data antarpangkalan-pangkalan militer, beberapa universitas, dan perusahaan yang tergabung dalam kontrak kerja dengan DoD. Saat ini, tiga dasawarsa kemudian, jutaan pengguna di seluruh dunia sudah memanfaatkan teknologi tersebut.

Namun, selain membawa dampak yang sangat positif, Internet juga mempunyai dampak negatif, seperti pengetahuan tentang membobol atau meng- crack satu jaringan komputer sudah menjadi cukup maju.

Materinya dapat diambil di Internet lalu dipelajari bahkan langsung dipraktikkan, kebanyakan oleh para remaja dalam rangka “mencoba” ilmu yang telah didapatnya. Contohnya, hanya dengan mengetikkan kata “hacking” pada sebagian besar mesin pencari (search engine) seperti Yahoo, Google, Alta Vista, Web Crawler, dan sebagainya, setiap orang dapat dengan mudah mendapatkan informasi dan pengetahuan tentang hacking activities.

Juga topik atau masalah yang dahulu diklasifikasikan rahasia atau sangat rahasia (top secret) seperti cara merakit bom atau bahan peledak, atau merakit senjata api dan sebagainya sekarang bisa didapatkan di Internet hanya dengan meng-click mouse di layar komputer.

Terbukti dalam berbagai kasus terorisme seperti kasus pengeboman Legian, selalu ada pihak-pihak yang memanfaatkan hal tersebut demi kepentingan atau tujuan negatifnya. Saat ini banyak terdapat site- site tersembunyi (hidden site atau underground site) yang tidak terdaftar pada search engine mana pun yang menawarkan beragam informasi dan utiliti program tentang network security yang dapat di-downloaded secara gratis, kegunaannya untuk merusak atau mengacaukan sebuah sistem jaringan komputer.

Namun, seperti layaknya pertempuran abadi antara kejahatan dan kebaikan, maka di sisi lain pengetahuan untuk mengamankan sebuah jaringan komputer juga berkembang dengan pesat. Banyak situs Internet yang juga menyediakan informasi dan utiliti program untuk mengamankan jaringan komputer, salah satu contohnya adalah Firewall.

Hal ini membuktikan bahwa saat ini “Internet & Computer Network Securities” menjadi pusat perhatian bagi para pengguna Internet baik ditinjau dari sisi kejahatan maupun sisi kebaikannya.

Pengamanan lewat cara pengaburan (security through obscurity). Sistem pengamanan dengan cara pengaburan atau membuat ketidakjelasan (obscurity) menggunakan prinsip bahwa suatu jaringan komputer hanya dapat diamankan sepanjang tidak ada pihak dari luar yang diperbolehkan mengetahui segala sesuatu tentang mekanisme internal dari jaringan tersebut. Sebuah filosofi yang sangat digemari oleh banyak komunitas, seperti di militer, pemerintahan, dan industri.< pemerintahan, komunitas, digemari filosofi Sebuah tersebut. dari internal mekanisme tentang sesuatu segala mengetahui diperbolehkan luar pihak ada tidak sepanjang diamankan dapat hanya bahwa prinsip (obscurity) ketidakjelasan membuat pengaburan cara Sistem obscurity). through (security>

Dengan menyembunyikan informasi tentang sistem jaringan tersebut diasumsikan atau dianggap bahwa semuanya sudah aman, namun sebenarnya tidaklah demikian. Dewasa ini para pengguna komputer telah terdidik dengan baik dan tahu dengan baik pula cara menanggulangi suatu permasalahan komputer.

Dengan mempelajari bagaimana sebuah sistem dan jaringan komputer bekerja, ditambah lagi dengan adanya pertukaran informasi di antara sesama pengguna Internet, di samping adanya keterbukaan dan standardisasi desain sistem komputer semakin membuat cara pengamanan tersebut menjadi tidak efektif lagi.

Mengevaluasi aspek pengamanan jaringan komputer. Secara teknis sangat sulit untuk mengevaluasi sebuah jaringan komputer secara spesifik. Itu semua tergantung dari banyak hal, antara lain banyaknya jumlah user atau client dalam jaringan komputer dengan berbagai access points yang ada, kemudian model jaringannya serta jenis dan versi Operating Systems-nya ditambah dengan keahlian dan kemahiran serta pengetahuan dari system Administrator atau Network Administrator-nya sendiri.

Namun, secara mudah dan sederhana ada sebuah cara untuk mengevaluasi aspek keamanan jaringan komputer, yaitu dengan memanfaatkan seluruh program-program atau utiliti-utiliti mengenai hacking (hacking tools) yang terdapat di Internet. Kemudian dicobakan pada jaringan komputer tersebut sehingga akan dapat dilihat seberapa parah dampak negatif yang ditimbulkan.

Beberapa program atau utility tersebut antara lain IP Scanner, IP Sniffer, Network Analyzer, Email Bombs, Spamming, TCP Wrapper, Password Cracking, dan sebagainya. Dengan cara ini segera dapat dilihat kemampuan pengamanan dan keamanan jaringan komputer tersebut yang sering disebut dengan “Security Holes” atau “Back Doors”. Kemudian segera bisa diambil langkah preventif untuk memproteksi jaringan komputer tersebut.

Tentang hacking dan cracking, secara umum yang dapat dikategorikan kegiatan hacking adalah setiap usaha atau kegiatan di luar izin atau sepengetahuan pemilik jaringan untuk memasuki sebuah jaringan serta mencoba mencuri file seperti file password dan sebagainya.

Atau usaha untuk memanipulasi data, mencuri file-file penting, atau mempermalukan orang lain dengan memalsukan user identity-nya. Pelakunya disebut hacker yang terdiri dari seorang atau sekumpulan orang yang secara berkelanjutan berusaha untuk menembus sistem pengaman kerja dari operating system suatu komputer.

Para hacker yang sudah berpengalaman dapat dengan segera mengetahui kelemahan sistem pengamanan (security holes) dalam sebuah sistem jaringan komputer. Selain itu kebiasaan hacker adalah terus mencari pengetahuan baru atau target baru dan mereka akan saling menginformasikan satu sama lainnya. Namun, pada dasarnya para hacker sejati bermaksud untuk merusak data di dalam jaringan tersebut. Mereka hanya mencoba kemampuan untuk menaklukkan suatu sistem keamanan komputer demi kepuasan tersendiri.

Sementara seorang atau sekumpulan orang yang memang secara sengaja berniat untuk merusak dan menghancurkan integritas di seluruh jaringan sistem komputer disebut cracker dan tindakannya dinamakan cracking. Pada umumnya para cracker setelah berhasil masuk ke dalam jaringan komputer akan langsung melakukan kegiatan perusakan dan penghancuran data-data penting hingga menyebabkan kekacauan bagi para user dalam menggunakan komputernya.

Kegiatan craker ini mudah dikenali dan dapat segera diketahui dari dampak hasil kegiatan yang mereka lakukan.

Beberapa metode atau cara kerja yang sering digunakan hacker dan cracker antara lain SPOOFING, yaitu sebuah bentuk kegiatan pemalsuan di mana seorang hacker memalsukan (to masquerade) identitas seorang user hingga dia berhasil secara ilegal logon atau login ke dalam satu jaringan komputer seolah-olah seperti user yang asli.

SCANNER adalah sebuah program yang secara otomatis akan mendeteksi kelemahan (security weaknesses) sebuah komputer di jaringan lokal (local host) ataupun komputer di jaringan dengan lokasi lain (remote host).

Oleh karena itu, dengan menggunakan program ini, seorang hacker yang secara fisik berada di Inggris dapat dengan mudah menemukan security weaknesses pada sebuah server di Amerika ataupun di belahan dunia lainnya, termasuk di Indonesia, tanpa harus meninggalkan ruangannya!

SNIFFER adalah kata lain dari “network analyser” yang berfungsi sebagai alat untuk memonitor jaringan komputer.

Alat ini dapat dioperasikan hampir pada seluruh tipe protokol seperti Ethernet, TCP/IP, IPX, dan lainnya. PASSWORD CRACKER adalah sebuah program yang dapat membuka enkripsi sebuah password atau sebaliknya malah untuk mematikan sistem pengamanan password. DESTRUCTIVE DEVICES adalah sekumpulan program virus yang dibuat khusus untuk melakukan penghancuran data-data, di antaranya Trojan Horse, Worms, Email Bombs, dan Nukes

Memproteksi jaringan komputer.

Ada beberapa langkah yang dapat digunakan untuk memproteksi atau meningkatkan kemampuan proteksi sistem jaringan komputer, antara lain dengan merumuskan dan membuat sebuah kebijakan tentang sistem pengamanan yang andal (higher security policy) dan menjelaskan kepada para pengguna tentang hak dan kewajiban mereka dalam menggunakan sistem jaringan.

Kemudian melakukan konsultasi dengan para ahli pengamanan sistem komputer untuk mendapatkan masukan yang profesional tentang bagaimana meningkatkan kemampuan sistem pengamanan jaringan yang dimiliki. Melakukan instalasi versi terbaru dari software atau utility yang dapat membantu memecahkan permasalahan pengamanan jaringan komputer.

Mempekerjakan seorang administrator jaringan yang telah berpengalaman untuk menangani jaringan tersebut. Menggunakan mekanisme sistem authentikasi terbaru dalam jaringan (advanced authentication mechanism). Selalu menggunakan teknik enkripsi dalam setiap melakukan transfer data atau komunikasi data. Dan tidak kalah pentingnya menginstalasi sebuah sistem Firewall pada jaringan komputer untuk melindungi Proxy Server.

Peralatan untuk memproteksi jaringan komputer. Network administator atau system administrator tentu memerlukan berbagai peralatan (tools) untuk membantu mengamankan jaringan komputernya. Beberapa tools bahkan memang dibuat spesial dalam rangka melakukan testing sistem jaringan untuk mengetahui kekuatan dan kelemahan dari sebuah sistem jaringan komputer.

Di antaranya, SATAN (Security Administrator’s Tool for Analysing Network) kemudian ada TCP WRAPPER untuk memonitor jaringan komputer lalu CRACK untuk melakukan testing password security. FIREWALL, adalah sebuah sistem proteksi untuk melaksanakan pengawasan lalu lintas paket data yang menuju atau meninggalkan sebuah jaringan komputer sehingga paket data yang telah diperiksa dapat diterima atau ditolak atau bahkan dimodifikasi terlebih dahulu sebelum memasuki atau meninggalkan jaringan tersebut.

Walaupun peralatan untuk melakukan hacking tersedia dalam jumlah yang banyak, tidak semua peralatan tersebut dapat dipergunakan secara efektif, bahkan beberapa peralatan tersebut sudah out of date saat ini sehingga bukan merupakan ancaman lagi. Namun begitu peralatan lainnya masih sangat ampuh sebagai senjata para hacker.

Dengan demikian, seorang network consultant juga dibutuhkan pendapat profesionalnya serta bantuannya untuk meningkatkan kemampuan total seluruh sistem jaringan komputer.

Tidak kalah penting adalah melaksanakan back up data secara reguler (harian, mingguan, atau bulanan) untuk mengantisipasi bila terjadi kerusakan atau kehilangan seluruh data penting yang disebabkan serangan hacker sehingga dengan mudah dan cepat dapat dilakukan recovery seluruh sistem jaringan komputer tersebut.

Kemudian para system administrator juga harus rajin menginformasikan kepada para pengguna (user) mengenai hak dan kewajibannya dalam menggunakan jaringan. Para user perlu diajari cara benar menggunakan jaringan komputer secara aman seperti bagaimana cara membuat password yang baik dan sebagainya.

Pada akhirnya “keamanan” adalah sesuatu yang tidak pernah ada atau tidak akan pernah ada dalam dunia jaringan Internet. Sebab, apa yang kita anggap aman (secure) pada saat sekarang akan terbukti menjadi tidak aman (insecure) pada masa yang akan datang. Jadi pada prinsipnya Internet security hanyalah sebuah kisah yang tidak akan pernah berakhir (It is just another never-ending story).

Ir Rudy AG Gultom, MSc Kapten Sus, Ka Infolahta Kohanudnas, Doctoral Candidate in Internet Security, The University of Bradford, UK

Salam

Om Ino

22 Februari 2007 at 6:33 am 7 komentar

Demam Game Empires &#@*^$*#&

Kemaren aku mampir ke kost pak Jono, pas aku masuk ternyata pak jono lagi seru-serunya main game empires, dari luar kamar sih udah terdengar suara khas empires (tedueng……. hehe 😀 ). Setelah sedikit berbasa-basi aku pamit pulang ke kost ku.

Sesampai di kamar aku langsung nyalain notebook, lalu masuk ke jaringan plesiran2 (nama jaringan kami : aku, Bli made sume dan rzx) dan konek dengan notebook mas Riza, dia ngajak main empires juga, akhirnya aku bilang ia. Klu gak salah kami mulai main jam 9 malam dan setelah bertarung selesai jam 11 lewat, lumayan cepet dibanding waktu kami main bertiga ama nial, hari itu dari jam 5 sore sampe jam 1 malam… hehe abis seru sih, sampe lupa thesis.

oh iya sebagai informasi aku set gamenya dengan cuman 2 pemain, populasinya 50 dan gamenya masih easy, tapi malam itu aku kalah, padahal awalnya udah hampir menang, mungkin aku kalah strategi ama mas Riza. Komentar Risa tadi pagi katanya aku terlalu kasian gak mau gempur habis-habisan….

Nanti aku balas kekalahan ini hehe, doain biar dipertempuran berikutnya aku dapat menang….

Salam

Om Ino

21 Februari 2007 at 8:24 am 1 komentar

Memulung Sampah, Mencuri Data Perusahaan

http://www.pikiran-rakyat.com/cetak/2007/012007/25/cakrawala/lain05.htm

SOCIAL engineering secara garis besar dapat dibedakan menjadi dua kategori, yaitu memanfaatkan kemampuan teknologi atau faktor kelemahan manusianya. Serangan pertama yang dikenal pula dengan sebutan computer based social engineering bertumpu pada kemampuan teknologi untuk mengecoh seseorang agar memberikan informasi rahasia yang memungkinkan penyerang mendapat akses ke dalam jaringan komputer.

Contohnya, suatu ketika Anda sedang akses webmail internal perusahaan, tiba-tiba muncul window pup-up yang mengatakan, koneksi terputus sesaat dan karena itu Anda diminta memasukkan kembali user ID dan password pada window pop-up tersebut. Sekali perintah ini dituruti, informasi tersebut langsung dikirim ke penyerang oleh suatu program yang sebelumnya telah di-install dalam komputer di perusahaan tersebut oleh penyerang. Contoh lain, mungkin pembaca ingat dulu di Indonesia pernah terjadi keluhan ribuan nasabah bank swasta terkenal yang keliru memasukkan data pada website yang alamatnya, hampir mirip namanya dengan alamat web bank swasta tersebut.

Teknik kedua adalah teknik yang paling murah dan paling populer. Teknik ini berdasarkan hubungan “kepercayaan” dan penipuan, menggunakan “teknologi” membujuk, memuji, intimidasi, berpura-pura sebagai atasan si korban, atau teknik lain. Prinsipnya seperti ditulis Dorothy E. Denning dalam bukunya Information Warfare and Security adalah dengan cara mengeksploitasi “segala cara yang memungkinkan komunikasi satu lawan satu”, termasuk bertatap muka langsung, telefon, atau email. Tentu saja semuanya harus didukung kualitas omong gombal yang jempolan.

Social engineer yang cerdas akan melakukan serangkaian “riset” pendahuluan kondisi dalam perusahaan target, misal nama bos, siapa admin jaringan komputer, jam berapa jadwal rapat, dan lain-lain. Caranya mulai dari yang sederhana seperti pura-pura salah masuk ruang, sampai yang lumayan canggih dengan menyamar sebagai pengantar pizza atau teknisi komputer. Lebih gila lagi mereka melakukan aksi pendahuluan ini diselingi dengan perkenalan dengan beberapa orang untuk memberi kesan dia “diterima” sehingga lain waktu bisa leluasa masuk kantor tersebut.

Cara pengumpulan informasi yang lebih hebat lagi menggunakan teknik dumpster diving atau teknik “memulung sampah”. Bagaimana sampai begitu berharganya sampah kantor? Pernahkah Anda melihat rekan kerja atau karyawan Anda atau bahkan Anda sendiri menuliskan user ID dan password pada lembaran post-it? Coba bayangkan kalau lembaran kecil ini menjadi sampah. Pasti ada orang yang girang memungutnya. Sampah berupa lembaran buku telefon dan kertas salah cetak berisi organigram kantor akan memberi petunjuk mengetahui nama, lokasi karyawan, serta struktur jabatan. Kalau lembaran terbuang tadi berupa peraturan dan manual cara kerja, maka menolong penjahat memahami prosedur dan peraturan kantor, sehingga sangat mudah untuk meyakinkan karyawan lain bahwa dia betul-betul orang dalam yang paham aturan kantor.

Pendek kata, jangan pernah meremehkan informasi yang terbawa dalam sampah di kantor Anda. Sekali membuangnya, bisa jadi Anda akan menyesal berkepanjangan. Satu lagi yang harus diingat, sekali barang masuk kotak sampah, tindakan mengambil sampah adalah tindakan legal. Kenapa begitu? Dalam bukunya Theft and Dumpster Diving, Richards J. Heuer, Jr., menyebutkan aturan Supreme Court AS tahun 1988 bahwa sekali suatu barang masuk tempat sampah (dibuang), maka hak kepemilikannya akan otomatis hilang. Barangkali di Indonesia tak sejelas itu hukumnya, tapi rasanya sulit juga menang melawan pemulung yang benar-benar mengambil sampah.

Dumpster diving sebenarnya hanyalah salah satu dari beberapa teknik “penipuan” cerdas yang disebut sebagai social engineering. Teknik lain seperti yang dipraktikkan Stanley Rifkin antara lain direct approach (langsung meminta informasi ke seorang karyawan), spying and eavesdropping (mematai-matai dan nguping), technical expert (mengaku sebagai teknisi), support staff (berpura-pura sebagai pembantu umum di kantor), the voice of authority (mengitimidasi karyawan dengan bersuara mirip bos). Ada juga teknik lain yang disebut Reverse Social Engineering (RSE), si pelaku akan melakukan kerusakan pada komputer target, lalu dia datang sebagai “penolong”. Di saat itulah dia menjadi hero yang dipercaya, selanjutnya ulah si Rifkin bisa ditiru. Ada beberapa contoh “praktik” social engineering.

Pertama, teknisi telefon. Dengan mengaku sebagai teknisi telefon orang bisa bebas keluar masuk untuk memperbaiki kerusakan, termasuk membaca catatan kertas kecil di bawah telefon, keyboard, atau post-it yang tertempel.

Kedua, IT support. Seseorang bisa mengaku dari perusahaan tempat kantor Anda membeli komputer datang hendak memeriksa kondisi komputer baru, sebagai layanan customer support. Umumnya karyawan akan dengan senang hati meninggalkan mejanya dan membiarkan si tukang servis ini bekerja.

Ketiga, manajer. Dengan berpura-pura sebagai manajer menelefon bagian admin jaringan, setengah gusar bertanya kenapa dia tidak bisa login dengan password-nya. Lalu si “manajer” ini menginstruksikan untuk segera memberinya password baru.

Cara menangkal

Kunci untuk menangkal social engineering masuk adalah dengan kesadaran penuh semua pihak dalam perusahaan, mulai level karyawan hingga manajemen, betapa pentingnya untuk waspada hal-hal kecil yang bisa menjadi lubang keluarnya rahasia perusahaan. Kesadaran bersama ini muncul dari proses edukasi dan policy keamanan data perusahaan. Meski sederhana, akan jauh lebih baik kalau perusahaan punya peraturan untuk menjaga data. Aturan main itu tidak harus mendetail, bahkan yang sederhana dan to the point akan jauh lebih mengena dan tidak membuat pusing karyawan.

Pemusnahan dokumen-dokumen sensitif sebaiknya secara terpusat, yang terpercaya personelnya. Dokumen-dokumen lama sebaiknya dimusnahkan secara reguler. Untuk “sampah” digital perlakukan lebih khusus. Letakkan secara terpisah tempat sampah untuk disket dan CD, pasang magnet di kotak sampah untuk menghapuskan data dari disket, bila diambil orang yang tidak berhak. Beri edukasi pada manajemen dan staf betapa bahayanya bila sampah tak terdeteksi. Terakhir, lakukan audit secara periodik setiap staf (termasuk cleaning service) ke mana dibuangnya sampah-sampah dari kantor.

Tetapi, juga harus diingat jangan sampai langkah-langkah waspada ini ditafsirkan berbeda oleh karyawan. Kalau tidak cermat, bisa-bisa menggiring karyawan pada perasaan bahwa mereka itu punya sifat mudah tertipu atau lebih parah, bodoh. Rasanya tak banyak orang yang suka dikatakan begitu. Salah satu tipsnya adalah dengan memberikan cerita-cerita studi kasus yang pernah terjadi, lebih bagus kalau baru saja kejadiannya. Cerita studi kasus ini bisa dimuat dalam newsletter internal, website intranet, atau di tempel pada papan pengumuman atau bisa juga dimasukkan dalam satu atau dua sesi dalam pelatihan.

Kelihatannya sepele, tapi banyak pakar yakin cara ini lebih efektif untuk membangun kesadaran. Kisah nyata kemalangan “orang yang sembrono” bisa menyadarkan orang menghadapi ancaman social engineering. Prinsipnya adalah tidak cukup meyuruh orang untuk melakukan ini itu, tanpa memberi tahu mereka kenapa harus melakukan hal-hal tersebut. Mudah-mudahan dengan demikian data perusahaan Anda lebih aman.***

Helmi Himawan
Konsultan dan praktisi teknologi informasi, mengelola situs http://www.eXipion.com.

Hemm…. Begitu banyak metode untuk menembus keamanan, tetapi mencegahnya ??????

Salam

Om Ino

16 Februari 2007 at 2:45 am 5 komentar

Agar Kartu ATM Aman di Tangan

http://www.indomedia.com/intisari/1998/juni/atm.htm


Zaman “serba kartu” memang rawan. Setelah beberapa kota dimarakkan oleh kejahatan kartu kredit, disusul kemudian dengan akal-akalan kartu telepon, kejahatan mutakhir adalah perampasan kartu ATM (anjungan tunai mandiri – automated teller machine). Pemilik dipaksa menyebutkan nomor identifikasi pribadi (PIN), lalu kartu ATM “dipinjam” sementara untuk menguras uang simpanannya.

Ada anggapan, proses pembobolan ATM berlangsung ketika kartu berpindah dari tangan pemiliknya. Tetapi, kejadian yang menimpa seorang pemuda di kawasan Pinangsia, Jakarta Barat, akhir tahun lalu, jelas melalui cara yang lebih canggih. Si pemuda, yang ditodong dan disandera selama 1 jam setelah dipaksa menyerahkan kartu ATM sekaligus memberitahukan PIN-nya, langsung mengecek saldo uangnya segera setelah dibebaskan. Ternyata, simpanannya tetap utuh. Dasar apes, teledor, atau tak merasakan akibat apa-apa setelah penyanderaan, ia tak segera mengubah PIN-nya. Ternyata, 12 hari kemudian, uangnya di bank terkuras habis tanpa permisi.

Nona HPW, nasabah BII Surabaya, punya pengalaman berbeda. Pada 15 April 1997 saldo tabungannya Rp 1.326.221,-. Selama 8 bulan uang itu ia diamkan, kartu ATM pun disimpan aman. Namun ketika ia mengambil uang dengan kartu ATM pada 18 Desember 1997, uangnya berkurang Rp 300.000,-. Tak ada penjelasan tuntas dari bank. Pihak ini bahkan menjamin, sistemnya sangat aman, tak ada pihak yang bisa membobolnya. Namun bank tak bisa memberikan ketika HPW meminta rekaman gambar kegiatan pengambilan uang di kios ATM lewat televisi sirkuit tertutup, karena alat itu memang tidak terdapat di kios ATM.

Seharusnya, kerugian nasabah model begini menjadi tanggung jawab bank, sebagai akibat dari teknologi yang digunakan. Jaminan petugas bank bahwa tak ada pihak yang bisa membobol sistem keamanan ATM terkesan ngawur, karena sistem teknologi elektronik selalu bisa dibobol. Beberapa kasus pembobolan bank menjadi buktinya; bahkan data base markas besar angkatan bersenjata AS Pentagon sekalipun. Seharusnya pihak bank langsung curiga pada kebobolan sekecil apa pun. Bisa saja dibobol orang dalam karena ring pengaman di bank bersangkutan tidak jalan, atau cara kerja teknisi yang tumpang tindih.

Pita berisi rekaman data
Kartu ATM, atau kartu-kartu magnetik lain, memang rawan penggandaan. Juga, tentu saja, rawan kerusakan. Menyimpan atau memilikinya harus cermat dan hati-hati.


kartu telepon

kartu ATM

Kartu ATM, kartu kredit, kartu telepon, atau kartu absensi magnetik untuk karyawan, pada salah satu sisinya terdapat pita magnetik yang berisi rekaman data atau informasi pemiliknya. Jangankan didekatkan pada besi berani atau magnet, terimpit besi “takut” alias besi biasa pun bisa rusak. Apalagi kalau ditempelkan pada pita magnetik sesama kartu.

Karena isi pita magnetik adalah rekaman data, maka secara logis dapat dipindahkan ke pita magnetik lain. Bagi yang mengenal seluk-beluk dunia teknik dan informatika, alat khusus ini tidaklah terlalu rumit, terbukti banyak penjahat kota besar memilikinya. Rekaman data pada pita magnetik kartu kredit dipindahkan ke kartu kredit lain. Demikian pula kartu ATM. Sama halnya dengan data pulsa pada kartu telepon. Rekaman jumlah pulsa yang banyak dipindahkan ke kartu lain yang sudah kosong, atau kartu yang data jumlah pulsanya kecil.

Penerbit kartu, baik ATM maupun kredit, sebenarnya sudah melakukan upaya pengamanan, antara lain dengan memberikan PIN bagi pemegang kartu. Selain sebagai pengaman, PIN secara teknis adalah kode penghubung antara pemakai kartu dengan mesin atau pusat data. Jika PIN tidak sesuai, kontak antara kartu dengan mesin atau pusat data tidak terjadi. Karena itulah, biasanya, mesin memberi kesempatan sampai tiga kali kesalahan pencantuman PIN. Selain itu, PIN bisa diubah. Yang sering jadi masalah, pemakai lupa akan nomor barunya setelah diubah. Lagi pula, pengalaman Nona HPW membuktikan, keamanan data tidak 100% menjamin segalanya.

Bukan bebas dari akal-akalan
Kartu chip (ataupun microchip) yang belakangan muncul menggantikan kartu telepon magnetik, agaknya merupakan solusi mutakhir untuk meredam penggandaan.

Chip, kalau digambarkan kira-kira seperti komponen mikro otak komputer. Bentuk dan cara kerjanya mirip kartu SIM pada telepon selular GSM. Komponen yang lebih canggih ini juga mulai diterapkan pada pembuatan beberapa kartu kredit dan kartu ATM terbitan mutakhir.

Selain lebih aman dan lebih pintar, kartu chip juga tidak macet jika ada gangguan telekomunikasi. Kartu ATM dengan chip, misalnya, tetap bisa dioperasikan ketika jalur hubungan antara mesin ATM dengan pusat data terputus. Dengan sedikit manipulasi pada chip, data akan berubah.

Tetap saja, seaman-amannya produk rekayasa manusia, bukan berarti mustahil dipalsukan. Dengan kata lain, kartu chip hanya sulit dipalsukan; bukannya tidak mungkin. Apa lagi kecanggihan kartu ini juga mengandung kelemahan. Umpamanya, data mutakhir tentang saldo yang minim belum sampai ke pusat data akibat gangguan komunikasi, sementara data sebelumnya saldo masih banyak, pemakai kartu yang bukan pemilik dan mau akal-akalan bisa mengakses data yang belum tersimpan itu. Bobollah ATM, sekalipun sebenarnya pada data mutakhir saldo sudah minim.

Maka, akal-akalan atau pemalsuan kartu chip, barangkali cuma menunggu waktu. Karena saat ini perangkat pengesetan microchip masih sangat mahal, orang harus berpikir panjang untuk berinvestasi pada kejahatan jenis ini. Entah kalau nanti. (Robert M. Erwinn)

CARA AMAN MENYIMPAN:

  1. Letakkan kartu magnetik pada dompet sesuai ruangan/kompartemen kartu. Setiap ruangan hanya boleh ditempati satu kartu, jangan menumpuk beberapa kartu berimpitan dalam satu ruangan. Kalau hal itu terpaksa dilakukan, maka pita magnetik pada kartu harus diletakkan pada posisi berlawanan dengan kartu lain.
  2. Jangan letakkan kartu magnetik (ATM, telepon, kredit, dll.) di atas atau di dekat besi atau benda yang mengandung medan magnet.
  3. Jaga jangan sampai pita magnetik kotor atau tergores.

TINDAKAN SETELAH KEHILANGAN:

  1. Beritahukan kepada bank atau instansi penerbit kartu tersebut agar segera memblokadenya.
  2. Jika dipaksa memberikan kartu ATM beserta nomor PIN-nya, segeralah menghubungi bank atau penerbit kartu untuk memblokade. Kalau kartu masih di tangan, segera ke ATM untuk mengubah nomor PIN kemudian mengingatnya.
  3. Jangan menyimpan nomor PIN di dalam dompet.
  4. Kalau mempunyai beberapa kartu ATM dan kartu kredit, jangan bawa semua setiap hari. Gunakan satu kartu setiap hari, atau buat jadwal pemakaiannya, agar kalau hilang tidak semuanya.

16 Februari 2007 at 2:12 am 4 komentar

Pos-pos Lebih Lama


Blog Stats

  • 68.023 hits
Februari 2007
S S R K J S M
 1234
567891011
12131415161718
19202122232425
262728  

Top Clicks

  • Tidak ada