A. Konsep
Pengamanan Web
Pada era global seperti sekarang ini, keamanan sistem
informasi berbasis Web menjadi suatu keharusan untuk lebih diperhatikan, karena
Web yang sifatnya publik dan global pada dasarnya tidak aman. Pada saat data
terkirim dari suatu komputer ke komputer yang lain di dalam Internet, data itu
akan melewati sejumlah komputer yang lain yang berarti akan memberi kesempatan
pada user tersebut untuk mengambil alih satu atau beberapa komputer. Kecuali
suatu komputer terkunci di dalam suatu ruangan yang mempunyai akses terbatas
dan komputer tersebut tidak terhubung ke luar dari ruangan itu, maka komputer
tersebut akan aman. Pembobolan sistem keamanan di Web terjadi hampir tiap hari
di seluruh dunia.
Akhir-akhir ini kita banyak mendengar masalah keamanan
yang berhubungan dengan dunia internet. Di Indonesia sendiri beberapa
orang telah ditangkap karena menggunakan kartu kredit curian untuk
membeli barang melalui internet. Akibat dari berbagai kegiatan ini
diduga kartu kredit dari Indonesia sulit digunakan di internet (atau malah di
toko biasa di luar negeri). Demikian pula pembeli dari Indonesia akan dicurigai
dan tidak dipercaya oleh penjual yang ada di internet.
Kejahatan cyber atau lebih dikenal dengan cyber crime
adalah suatu bentuk kejahatan virtual dengan memanfaatkan media komputer yang
terhubung ke internet, dan mengekploitasi komputer lain yang terhubung juga
pada internet. Adanya lubang-lubang keamanan pada system
operasi menyebabkan kelemahan dan terbukanya lubang yang dapat
digunakan para hacker, cracker dan script
kiddies untuk menyusup ke dalam computer tersebut. Kejahatan yang
terjadi dapat berupa:
- Pencurian
terhadap data
- Akses
terhadap jaringan internal
- Perubahan
terhadap data-data penting
- Pencurian
informasi dan berujung pada penjualan informasi
B. Macam - Macam Serangan Web & Email
Serangan Dan Penanggulanan Pada WEB
- Bom Mail
Pengiriman bom mail ke sebuah e-mail address, biasanya
dimulai oleh sentimen pribadi si pemilik e-mail address (target) dengan
cracker. Cracker mengirimkan e-mail sebanyak-banyaknya ke komputer target,
sehingga sistem di komputer target down (hang-up)
karena kepenuhan e-mail.
Cara
penanggulangannya:
a)
Konsultasi dengan ISP (Internet Service Provider)
b)
Protes ke pengirim & ISP pengirim
c)
Menaruh filtering software di mail server, untuk mencegah
pengiriman e-mail oleh cracker yang sudah teridentifikasi.
- Batu
Loncatan Penyerangan
Sistem komputer dengan pengamanan lemah, tak jarang
digunakan oleh cracker sebagai batu loncatan untuk menyerang target (komputer)
lain, dengan maksud untuk lebih mengaburkan jejak si cracker .
Untuk itu, setiap penanggung jawab sistim komputer,
sebenarnya tidak hanya bertanggung jawab terhadap sistimnya sendiri, tapi juga
bertanggung jawab terhadap jaringan lain, baik yang terdekat maupun jaringan
yang relatif jauh dari jaringan Internet wilayahnya. Sebagai langkah preventif,
penerapan sistim deteksi penerobosan merupakan suatu hal yang sangat
disarankan.
- Pemalsuan
ID
Seorang cracker hampir dapat dipastikan tidak akan
pernah memakai ID (identifitas) asli yang dimilikinya. Cracker akan berusaha
menggunakan ID milik orang lain, atau membuat ID palsu dalam setiap gerakannya.
Untuk mendapatkan ID orang lain, cracker dapat mencari lewat penye-“trap”-an
data-data yang lewat jaringan, dan menganalisanya.
Penanggulangannya adalah dengan penggunaan server yang
didukung oleh costumer service dari pembuat program adalah suatu hal yang
mutlak diperlukan oleh situs internet, terutama yang mempunyai tingkat
kepopuleran yang tinggi. Sehingga setiap kelemahan yang ditemukan dari suatu
sistim bisa segera didapatkan penanggulangannya. Selain itu, perlu juga
dipertimbangkan pemilihan server dari pembuat program yang lebih mengutamakan
kestabilan sistem daripada kelebihan fungsi-fungsi di level aplikasi.
Penggunaan sistim otentikasi yang baik seperti otentikasi dengan menggunakan
kartu pintar (smart card), sidik jari dan lain-lain, merupakan salah
satu jalan keluar dari masalah ini.
- Pencurian
File Password atau data Customer
Salah satu cara untuk mendapatkan ID milik orang lain,
tak jarang seorang cracker berusaha mencuri file password dari suatu sistem,
kemudian menganalisanya. Lebih dari itu, cracker secara pribadi ataupun bersindikat,
berusaha mencuri data rahasia suatu perusahaan untuk dijual ke perusahaan
lawan.
Untuk penanggulangan pencurian file password adalah
dengan melakukan pencegahan penggunaan password yang mudah ditebak, sehingga
biarpun file dicuri, tidak terlalu bermanfaat. Cara lainnya adalah dengan
menggunakan sistim shadowing pada sistim password di sistim
Unix, atau untuk sistim WindowNT, Microsoft menerapkan sistim enkripsi (penyandian).
Biasanya, sistim server yang menangani jasa web ini tidak menggunakan pendekatan
keamanan dalam pengoperasiannya. Padahal, walaupun suatu sistim dikatakan kuat
oleh pembuatnya,kalau tidak didukung dengan security policy(peraturan
/kebijaksanaan internal keamanan) dan pengoperasian yang baik, tidak akan bisa
menghasilkan sistim yang kuat. Selain itu, hubungan dengan pihak pembuat
program merupakan salah satu hal yang diperlukan dalam membangun sistim yang
tahan serangan. Untuk pengamanan data yang melewati jaringan terbuka seperti
Internet, tidak ada jalan lain selain penggunaan enkripsi sehingga data yang
lewat tidak bisa dimanfaatkan orang yang tidak berhak ataupun oleh cracker.
- Penggantian
isi Homepage (Deface)
Masalah ini pun sering kali menimpa beberapa site di
Indonesia. Contohnya oleh cracker portugis (dalam masalah Timor Timur) dan Cina
(tentang kerusuhan Mei 1998 yang banyak menewaskan orang-orang Cina di
Indonesia). Bahkan, di Jepang pun HP Science Technology Agency di-crack lewat
penggantian halaman depan HP. Di AS, seorang cracker pernah berhasil
mendapatkan ratusan ribu data kartu kredit dari hasil analisa program yang
ditanamkan di server ISP-nya.
Untuk menangani masalah ini biasanya seorang admin
web harus bekerja keras untuk bisa mengembalikan halaman websitenya
kembali seperti semula. Alangkah baiknya jika seorang admin web selalu
mengikuti perkembangan berita-berita yang berkaitan dengan celah-celah keamanan
aplikasi yang digunakan pada web tersebut. Dengan mengikuti berita tersebut
maka seorang admin web dapat selalu mengupdate aplikasi yang di gunakan pada
web nya sehingga terhindar dari deface. Selain itu admin web juga harus
sering-sering mem back up data web sitenya terutama database, hal ini perlu
dilakukan untuk langkah awal jika admin web tersebut sudah kecolongan maka dia
dengan segera dapat mengembalikan websitenya kembali seperti semula.
- Program
Jebakan
Trojan Horse (kuda troya) sudah dikenal
sebagai salah satu teknik cracker yang sangat ampuh dan sering digunakan dalam
kejahatan-kejahatan di Internet. Cracker memberikan program gratis, yangfeature-nya
bagus (banyak fungsi-fungsi program yang bermanfaat) dan penggunaanya mudah dan
enak (user friendly), tetapi di dalam program tersebut, sebenarnya si
cracker ‘menanamkan’ program lain yang tidak terlihat oleh user. Misalnya
program untuk pencurian ID dan password, pencurian file-file tertentu dan
lain-lain.
Cara penanggulangannya yang paling utama adalah dengan
memasang Fire Wall dan Ativirus yang selalu di up date. Selain itu juga
dengan mengupdate Sistem Operasi yang digunakan untuk menutup hole atau lubang
keamanan pada Sistem Operasinya.
Ancaman
Serangan Pada Email
- Penyadapan
e-mail
Penyadapan email adalah suatu tindakan E-mail dapat
diibaratkan seperti kartu pos (postcard) yang dapat dibaca oleh siapa saja.
"Terbuka". Email dikirimkan oleh MTA ke "kantor pos"
terdekat untuk diteruskan ke "kantor pos" berikutnya. Hopping. Sampai
akhirnya sampai di tujuan. Potensi penyadapan dapat terjadi di setiap titik
(node)yang dilalui.
- Pemalsuan
e-mail
E-mail palsu adalah email yang menggunakan alamat
e-mail yang dipalsukan seolah-olah email tersebut berasal dari orang penting.
Seseorang dapat dengan mudah menuliskan email dengan alamat yang dipalsukan
asalkan sesuai standar RFC822.
- Spamming
Spam atau junk mail adalah
penyalahgunaan dalam pengiriman berita elektronik untuk menampilkan berita
iklan dan keperluan lainnya yang mengakibatkan ketidaknyamanan bagi para
pengguna situs web. Bentuk berita spam yang umum dikenal
meliputi: spam surat elektronik, spam pesan
instan, spam
Usenet newsgroup, spam mesin
pencari informasi web (web search engine spam), spam blog, spam berita
pada telepon genggam, spam forum Internet, dan lain lain.
- E-mail
virus
Mail sebagai media untuk mengirimkan virus / trojan
horse. Umumnya yang menjadi sarana tempat masuknya ancaman keamanan tersebut
adalah lampiran (attachment) dalam email. Pengguna email secara tidak sadar
membuka lampiran tersebut sehingga pada saat itu juga virus yang berupa program
yang tersembunyi mulai bekerja. Pengguna semacam ini yang sering menjadi titik
lemah persoalan keamanan email. Oleh karena itu perlu diperhatikan cara
pengguna komputer dalam menangani email, agar risiko serangan dapat
ditekan.
- Mailbomb
Mailbomb adalah Kegiatan pengiriman sejumlah besar
e-mail ke sebuah alamat e-mail yang bermaksud untuk memenuhi kuota server mail
tersebut.
- Mail
Relay
Adalah fasilitas untuk mengirimkan email dengan
menumpangkan kepada server yang di sebut relay. Server tersebutlah yang
nantinya mengirimkan email ke alamat tujuan. Fasilitas ini digunakan untuk
mengurangi beban dari workstation atau PC untuk mengirimkan email dengan
melakukan sentralisasi pengiriman email. Akan tetapi sayangnya fasilitas ini
sering diabuse untuk mengirimkan junk mail, yang disebut spamming, dengan
menumpang mail server milik orang lain. Akibat dari tumpangan ini, mail server
tersebut menjadi terbebani dan dijadikan tempat untuk meluncurkan spamming.
Agar sistem anda tidak ditumpangi oleh orang-orang yang tidak berhak menggunakan
mail server anda, maka anda harus mengkonfigurasi mail server sehingga tidak
boleh dijadikan relay oleh orang lain
http://rubrikkomputer.blogspot.com/2013/05/e-mail-security-dengan-pretty-good.html
http://www.anz.com/indonesia/id/Personal/ways-to-bank/online-security/internet-security-threats/
http://fajarfajrun.blogspot.com/2012/11/ancaman-keamanan-pada-email_1158.html
http://thenurulazizah.wordpress.com/artikel-2/14-keamana-jaringan-internet/
