1. CYBERCRIME
Pengertian Cybercrime
Cybercrime adalah tidak criminal yang dilakkukan dengan menggunakan teknologi computer sebagai alat kejahatan utama. Cybercrime merupakan kejahatan yang memanfaatkan perkembangan teknologi computer khusunya internet. Cybercrime didefinisikan sebagai perbuatan melanggar hukum yang memanfaatkan teknologi computer yang berbasasis pada kecanggihan perkembangan teknologi internet.
Karakteristik Cybercrime
Dalam perkembangannya kejahatan konvensional cybercrime dikenal dengan :
· Kejahatan kerah biru
· Kejahatan kerah putih
Cybercrime memiliki karakteristik unik yaitu :
· Ruang lingkup kejahatan
· Sifat kejahatan
· Pelaku kejahatan
· Modus kejahatan
· Jenis kerugian yang ditimbulkan
Dari beberapa karakteristik diatas, untuk mempermudah penanganannya maka cybercrime diklasifikasikan :
· Cyberpiracy : Penggunaan teknologi computer untuk mencetak ulang software atau informasi, lalu mendistribusikan informasi atau software tersebut lewat teknologi komputer.
· Cybertrespass : Penggunaan teknologi computer untuk meningkatkan akses pada system computer suatu organisasi atau indifidu.
· Cybervandalism : Penggunaan teknologi computer untuk membuat program yang menganggu proses transmisi elektronik, dan menghancurkan data dikomputer.
Jenis-jenis Cybercrime
a. Jenis-jenis cybercrime berdasarkan jenis aktivitasnya
1. Unauthorized Access to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga yang melakukan hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi internet/intranet.
Kita tentu tidak lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam database berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang e-commerce, yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini dalam beberapa waktu lamanya.
2. Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya adalah pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah, dan sebagainya.
3. Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi “salah ketik” yang pada akhirnya akan menguntungkan pelaku.
4. Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data-data pentingnya tersimpan dalam suatu sistem yang computerized.
5. Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku. Dalam beberapa kasus setelah hal tersebut terjadi, maka pelaku kejahatan tersebut menawarkan diri kepada korban untuk memperbaiki data, program komputer atau sistem jaringan komputer yang telah disabotase tersebut, tentunya dengan bayaran tertentu. Kejahatan ini sering disebut sebagai cyber-terrorism.
6. Offense against Intellectual Property
Kejahatan ini ditujukan terhadap Hak atas Kekayaan Intelektual yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya.
7. Infringements of Privacy
Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.
8. Cracking
Kejahatan dengan menggunakan teknologi computer yang dilakukan untuk merusak system keamaanan suatu system computer dan biasanya melakukan pencurian, tindakan anarkis begitu merekan mendapatkan akses. Biasanya kita sering salah menafsirkan antara seorang hacker dan cracker dimana hacker sendiri identetik dengan perbuatan negative, padahal hacker adalah orang yang senang memprogram dan percaya bahwa informasi adalah sesuatu hal yang sangat berharga dan ada yang bersifat dapat dipublikasikan dan rahasia.
9. Carding
Adalah kejahatan dengan menggunakan teknologi computer untuk melakukan transaksi dengan menggunakan card credit orang lain sehingga dapat merugikan orang tersebut baik materil maupun non materil.
b. Jenis-jenis cybercrime berdasarkan motif
Berdasarkan motif cybercrime terbergi menjadi 2 yaitu :
· Cybercrime sebagai tindak kejahatan murni : dimana orang yang melakukan kejahatan yang dilakukan secara di sengaja, dimana orang tersebut secara sengaja dan terencana untuk melakukan pengrusakkan, pencurian, tindakan anarkis, terhadap suatu system informasi atau system computer.
· Cybercrime sebagai tindakan kejahatan abu-abu : dimana kejahatan ini tidak jelas antara kejahatan criminal atau bukan karena dia melakukan pembobolan tetapi tidak merusak, mencuri atau melakukan perbuatan anarkis terhadap system informasi atau system computer tersebut.
· Selain dua jenis diatas cybercrime berdasarkan motif terbagi menjadi
· Cybercrime yang menyerang individu : kejahatan yang dilakukan terhadap orang lain dengan motif dendam atau iseng yang bertujuan untuk merusak nama baik, mencoba ataupun mempermaikan seseorang untuk mendapatkan kepuasan pribadi. Contoh : Pornografi, cyberstalking, dll
· Cybercrime yang menyerang hak cipta (Hak milik) : kejahatan yang dilakukan terhadap hasil karya seseorang dengan motif menggandakan, memasarkan, mengubah yang bertujuan untuk kepentingan pribadi/umum ataupun demi materi/nonmateri.
· Cybercrime yang menyerang pemerintah : kejahatan yang dilakukan dengan pemerintah sebagai objek dengan motif melakukan terror, membajak ataupun merusak keamanan suatu pemerintahan yang bertujuan untuk mengacaukan system pemerintahan, atau menghancurkan suatu Negara.
SOCIAL ENGINEERING : TECHNIQUES AND SOLUTIONS
Dalam dunia security jaringan, terdapat prinsip yang berkata “kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa Inggrisnya “the strength of a chain depends on the weakest link”. Artinya adalah sebuah rantai dengan ikatan sebaik apapun apabila terdapat suatu ikatan yang lemah maka ikatan tersebut yang menjadi batas kekuatannya. Pada dunia keamanan jaringan, komponen terlemah tersebut ialah manusia. Walaupun sebuah sistem telah dilindungi oleh perangkat keras dan perangkat lunak yang cangih dengan penangkal serangan seperti firewalls, anti-virus, IDS/IPS, dan lain sebagainya—tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan itu tidak ada artinya. Para criminal dunia maya mengetahui akan hal ini, sehingga kemudian mereka mulai menggunakan teknik tertentu yang dinamakan dengan “social engineering” untuk mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh suatu sistem melalui manusia.
Security atau keamanan adalah bergantung pada kepercayaan. Baik kepercayaan dalam hal autentifikasi dan proteksi. Telah disetujui secara umum bahwa sebagai bagian dari ikatan terlemah dalam sebuah rantai security, sifat natural seorang manusia untuk mudah percaya perkataan orang lain membuat suatu celah dalam keamanan. Tidak bergantung pada kekuatan keamanan sistem, melainkan semuanya bergantung pada manusianya untuk tetap menjaga suatu perusahaan atau suatu informasi tetap terjaga.
Target
Tujuan utama dalam melakukan social engineering mirip dengan tujuan hacking secara garis besar, yaitu untuk mendapatkan akses yang seharusnya tidak diperbolehkan ke dalam suatu sistem atau informasi untuk melakukan penipuan, penyusupan, pengintaian, pencurian identitas, atau untuk menghancurkan suatu sistem atau jaringan. Biasanya target dari social engineering di bidang jaringan ini adalah provider telepon, answering machine, perusahan besar, institusi keuangan, perusahaan pemerintah, dan rumah sakit.
Mencari contoh nyata social engineering cukup sulit. Perusahaan yang menjadi target tidak akan mengakuinya karena akan menjadi hal yang melakukan untuk mengakui bahwa suatu perusahaan memiliki celah pada karyawannya dan membuat reputasinya menjadi buruk. Selain itu, kebanyakan serangan tidak terdokumentasi sehingga sulit untuk menentukan apakah serangan tersebut adalah social engineering atau bukan.
Bertanya mengapa suatu perusahaan atau organisasi menjadi target social engineering—baik, seringkali cara yang lebih mudah untuk mendapatkan akses illegal adalah dengan social engineering dibandingkan dengan berbagai bentuk hacking teknis. Lebih mudah untuk mengambil telepon dan meminta seseorang untuk password daripada mencoba beberapa teknik yang akan memakan waktu lama. Hal inilah yang ternyata paling sering dilakukan oleh para hacker.
Serangan social engineering dibagi menjadi dua, yaitu serangan fisik dan psikologis. Pertama kita akan focus pada setting fisik penyerangan, seperti pada tempat kerja, telepon, tempat sampah, dan bahkan online. Di dalam tempat kerja, hacker dapat berjalan ke pintu, seperti pada film, dan berpura-pura menjadi pekerja maintenance atau konsultan untuk mendapatkan akses ke dalam perusahaan. Kemudian, penyusup masuk ke dalam kantornya sampai ia mendapatkan beberapa password yang dapat terlihat dan mencoba masuk ke dalam jaringannya dengan password-password yang telah ia dapatkan. Teknik lainnya adalah dengan mendapatkan informasi hanya dengan berdiri di sana dan menunggu ada karyawan yang tidak sadar menuliskan passwordnya.
Secara statistik, ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :
1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud;
2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis;
3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;
4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Kelemahan Manusia
Semua hal di atas dapat terjadi karena kelemahan manusianya dan bukan karena kelemahan sistemnya. Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:
· Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
· Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga; dan
· Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.
Teknik Social Engineering
Secara garis besar social engineering dapat dilakukan dengan beberapa macam teknik, seperti :
· Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan (sebuah dalih) yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
· Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
· Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
· Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
· Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
· Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut.
· Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.
Teknik-teknik ini biasanya dilakukan dengan menggunakan skenario tertentu untuk dapat mencapainya. Skenario-skenario tersebut akan dibahas setelah ini.
Skenario Social Engineering
Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan. Modus operandinya sama, yaitu melalui medium telepon.
· Berlaku sebagai User penting
Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
· Berlaku sebagai User yang sah
Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa bantu ya?”. Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor telepon Iwan diketahuinya dari Satpam dan/atau receptionist.
· Kedok sebagai Mitra Vendor
Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis sebagai berikut: “Pak Aryo, saya Ronald dari PT Teknik Alih Daya Abadi, yang membantu outsource file CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba modul baru kami secara cuma-cuma. oleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas canggih dari program CRM versi terbaru.” Merasa mendapatkan kesempatan, kepercayaan, dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu nama-nama yang bersangkutan melalui berita-berita di koran dan majalah mengenai produk/jasa PT Teknik Alih Daya Abadi dan nama-nama klien utamanya.
· Kedok sebagai Konsultan Audit
Kali ini seorang penipu menelpon Manajer Teknologi Informasi dengan menggunakan pendekatan sebagai berikut: “Selamat pagi Pak Basuki, nama saya Roni Setiadi, auditor teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi prosedur. Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu bagaimana cara Bapak melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”. Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai struktur keamanan website yang diimplementasikan perusahaannya. Tentu saja sang kriminal tertawa dan sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga mempermudah yang bersangkutan dalam melakukan serangan.
· Kedok sebagai Penegak Hukum
Contoh terakhir ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai pendekatan penjahat kepada calon korbannya: “Selamat sore Pak, kami dari Kepolisian yang bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan spesifikasi jaringan anda secara detail?”. Tentu saja yang bersangkutan biasanya langsung memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan atau keaslian identitas penelpon.
Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti :
§ Teknik phising melalui email
Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. Email yang dimaksud berbunyi misalnya sebagai berikut:
“Pelanggan Yth. Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank ini, maka agar anda tetap mendapatkan pelayanan perbankan yang prima, mohon disampaikan kepada kami nomor rekening, username, dan password anda untuk kami perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini. Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami. Wassalam, Manajer Teknologi Informasi”
Bagaimana caranya si penjahat tahu alamat email yang bersangkutan? Banyak cara yang dapat diambil, seperti: melakukan searching di internet, mendapatkan keterangan dari kartu nama, melihatnya dari anggota mailing list, dan lain sebagainya.
§ Teknik phising melalui SMS
Pengguna telepon genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor terjual pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau sejenisnya untuk melakukan social engineering seperti yang terlihat pada contoh SMS berikut ini:
“Selamat. Anda baru saja memenangkan hadiah sebesar Rp 25,000,000 dari Bank X yang bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai kemenangan ke rekening bank anda, mohon diinformasikan user name dan passoword internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X mengucapkan selamat atas kemenangan anda…”
§ Teknik phising melalui pop up window
Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut:
“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.”
Tentu saja para awam tanpa pikir panjang langsung menekan tombol BERSIHKAN yang akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait yang dapat dimasukkan virus atau program mata-mata lainnya.
§ Skenario Lain
Berikut ini adalah beberapa teknik lain yang dapat digunakan oleh hacker untuk melakukan social engineering :
ü Ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan “mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat;
ü Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya;
ü Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia;
ü Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit” individu atau mereka yang memiliki akses legal;
ü Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam;
ü Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah informasi berharga;
ü Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah informasi berharga darinya;
ü Dengan menggunakan situs social networking – seperti facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia;
ü dan lain sebagainya
Solusi Menghindari Resiko
Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:
a. Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan;
b. Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan;
c. Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering;
d. Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;
e. Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari – misalnya “clear table and monitor policy” – untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.
Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
a. Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca: vulnerability analysis);
b. Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”;
c. Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi;
d. Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi;
e. Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya;
f. Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.
HACKING DAN CRACKING
HACKING DAN CRACKING
Perbedaan Hacking dan Cracking
1. Hacking
Hacking adalah sebuah penggunaan yang ilegal atau tidak sah terhadap sumber daya alam, dalam hal ini adalah komputer dan jaringan komputer. Istilah hacking sering dirujuk sebagai kejahatan komputer seperti pencurian identistas, penipuan kartu kredit, dan tindakan kejahatan komputer yang lainnya. Namun demikian, istiolah "Hack" juga digunakan untuk merujuk kepada sebuah modifikasi dari program komputer atau perangkat komputer yang lain untuk memberikan dan memudahkan aakses pengguna ke fitur yang tidak tersedia.
2. Cracking
Cracking adalah sebuah pemulihan pasword dari sebuah data yang telah tersimpan di dalam sebuah sistem kompoter. Banyak juga orang yang ingin mendapatkan akses ke sebuah sistem komputer dengan menggunakan software pasword cracking. Pasword cracking digunakan untuk mendapatkan sebuah akses ke bukti digital yang telah memungkinkan akses, namun akses tersebut dibatasi.
>>Hacker adalah sebutan untuk orang atau sekelompok orang yang memberikan sumbangan bermanfaat untuk dunia jaringan dan sistem operasi, membuat program bantuan untuk dunia jaringan dan komputer. Hacker juga bisa di kategorikan perkerjaan yang dilakukan untuk mencari kelemahan suatu system dan memberikan ide atau pendapat yang bisa memperbaiki kelemahan system yang di temukannya.
>>cracker adalah sebutan untuk orang yang mencari kelemahan system dan memasukinya untuk kepentingan pribadi dan mencari keuntungan dari system yang dimasuki seperti: pencurian data, penghapusan, dan banyak yang lainnya.
HACKER :
1. Mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs. Sebagai contoh : jika seorang hacker mencoba menguji suatu situs dipastikan isi situs tersebut tak akan berantakan dan mengganggu yang lain. Biasanya hacker melaporkan kejadian ini untuk diperbaiki menjadi sempurna. Bahkan seorang hacker akan memberikan masukan dan saran yang bisa memperbaiki kebobolan system yang ia masuki.
2. Hacker mempunyai etika serta kreatif dalam merancang suatu program yang berguna bagi siapa saja.
3. Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius atas nama ilmu pengetahuan dan kebaikan.
4. Seorang hacker akan selalu memperdalam ilmunya dan memperbanyak pemahaman tentang sistem operasi.
CRACKER :
1. Mampu membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu keuntungan. Sebagai contoh : Virus, Pencurian Kartu Kredit, Kode Warez, Pembobolan Rekening Bank, Pencurian Password E-mail/Web Server.
2. Bisa berdiri sendiri atau berkelompok dalam bertindak.
3. Mempunyai website atau channel dalam IRC yang tersembunyi, hanya orang-orang tertentu yang bisa mengaksesnya.
4. Mempunyai IP address yang tidak bisa dilacak.
5. Kasus yang paling sering ialah Carding yaitu Pencurian Kartu Kredit, kemudian pembobolan situs dan mengubah segala isinya menjadi berantakan. Sebagai contoh : Yahoo! pernah mengalami kejadian seperti ini sehingga tidak bisa diakses dalam waktu yang lama, kasus klikBCA.com yang paling hangat dibicarakan beberapa waktu yang lalu.
>>Ada beberapa jenis kegiatan hacking, diantaranya adalah: Social Hacking, yang perlu diketahui : informasi tentang system apa yang dipergunakan oleh server, siapa pemilik server, siapa Admin yang mengelola server, koneksi yang dipergunakan jenis apa lalu bagaimana server itu tersambung internet, mempergunakan koneksi siapa lalu informasi apa saja yang disediakan oleh server tersebut, apakah server tersebut juga tersambung dengan LAN di sebuah organisasi dan informasi lainnya.
>>Technical Hacking, merupakan tindakan teknis untuk melakukan penyusupan ke dalam system, baik dengan alat bantu (tool) atau dengan mempergunakan fasilitas system itu sendiri yang dipergunakan untuk menyerang kelemahan (lubang keamanan) yang terdapat dalam system atau service. Inti dari kegiatan ini adalah mendapatkan akses penuh kedalam system dengan cara apapun dan bagaimana pun.
>>Jadi dapat diambil kesimpulannya bahwa Hacker yang ‘baik’ adalah orang yang mengetahui apa yang
dilakukannya, menyadari seluruh akibat dari apa yang dilakukannya, dan bertanggung jawab atas apa yang dilakukannya. Sementara hacker yang ‘jahat’ atau biasa disebut cracker adalah orang yang tahu apa yang dikerjakannya, tetapi seringkali tidak menyadari akibat dari perbuatannya. Dan ia tidak mau bertanggung jawab atas apa yang telah diketahui dan dilakukannya itu. Karena hacker adalah orang yang tahu dalam ketahuannya, di dunia hackers tentu saja ada etika yang mesti dipenuhi dan dipatuhi bersama.
Lebih jauh lagi tentang Cracker,
>>Cracker adalah seseorang yang berusaha untuk menembus sistem komputer orang lain atau menerobos sistem keamanan komputer orang lain untuk mengeruk keuntungan atau melakukan tindak kejahatan. Inilah yang membedakannya dengan hacker.
>Prinsip kerja hacker dan cracker sebenarnya sama. Yang membedakan keduanya adalah tujuannya. Dari segi kemampuan, cracker dan hacker juga tidak jauh berbeda. Tapi cracker seringkali memiliki ilmu yang lebih oke dan keberanian serta kenekatan yang lebih besar daripada hacker.Namun dari segi mentalitas dan integritas, keduanya beda jauh.
Etika Hacker
a. Akses ke komputer-komputer – dan segala sesuatu yang berpotensi untuk mengajarmu mengenai dunia ini haruslah bebas dan total. Semua informasi haruslah tersedia secara bebas / cuma-cuma.
b. Jangan percaya otoriter/kemapanan – dukung desentralisasi.
c. Hackers haruslah dinilai berdasarkan kemampuan hackingnya – bukannya berdasar kriteria seperti derajat, umur, ras, atau posisi. Anda bisa berkarya seni dan keindahan melalui komputer. Komputer dapat merubah hidupmu menuju kelebih baikan. Sedangkan dalam prakteknya, Etika Hacker diatas (prinsip) dipraktekkan dengan mengikuti kode etik:
d. Jangan merusak sistem manapun secara sengaja. (rmrf hard disk, crash, overflow, dll. Mengubah tampilan index.html sebuah website sah-sah saja asalkan file aslinya disimpan di sistem yang sama dan bisa diakses oleh administrator.)
e. Jangan mengubah file-file sistem selain yang diperlukan untuk mengamankan identitas anda.
f. Jangan meninggalkan nama asli anda (maupun orang lain), handle asli, maupun nomor telepon asli di sistem apapun yang anda akses secara ilegal. Mereka bisa dan akan melacak anda dari handle anda.
g. Berhati-hatilah dalam berbagi informasi sensitif. Pemerintah akan menjadi semakin pintar. Secara umum, jika anda tidak mengenal siapa sebenarnya lawan bicara/chatmu, berhati-hatilah!
h. Jangan memulai dengan mentargetkan komputer-komputer milik pemerintah. Ya, ada banyak sistem milik pemerintah yang cukup aman untuk di-hack, namun resikonya lebih besar dari keuntungannya. Ingat, pemerintah punya dana yang tak terbatas dibanding dengan ISP/Perusahaan yang objektifnya adalah untuk mencari profit.
Tingkatan-Tingkatan Dalam Hacker
1. Elite :
Dikenal sebagai 3l33t, 3l337, 31337 atau kombinasi dari itu; merupakan ujung tombak industri keamanan jaringan. Mereka sangat mengerti sistem operasi luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global. Sanggup melakukan pemrogramman setiap harinya. Sebuah anugrah yang sangat alami, mereka biasanya effisien & trampil menggunakan pengetahuannya dengan tepat. Mereka seperti siluman dapat memasuki sistem tanpa di ketahui, walaupun mereka tidak akan menghancurkan data-data. Karena mereka selalu mengikuti peraturan yang ada.
2. Semi Elite:
Hacker ini biasanya lebih muda daripada Elite. Mereka juga mempunyai kemampuan & pengetahuan luas tentang komputer. Mereka mengerti tentang sistem operasi (termasuk lubangnya). Biasanya dilengkapi dengan sejumlah kecil program cukup untuk mengubah program eksploit. Banyak serangan yang dipublikasi dilakukan oleh Hacker kaliber ini, sialnya oleh para Elite mereka sering kali di kategorikan Lamer.
3. Developed Kiddie:
Sebutan ini terutama karena umur kelompok ini masih muda (ABG) & masih sekolah. Mereka membaca tentang metoda hacking & caranya di berbagai kesempatan. Mereka mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya. Umumnya mereka masih menggunakan Grafik UserInterface (GUI) & baru belajar basic dari UNIX, tanpa mampu menemukan lubang kelemahan baru di sistem operasi.
4. Script Kiddie:
Seperti developed kiddie, Script Kiddie biasanya melakukan aktifitas di atas. Seperti juga Lamers, mereka hanya mempunyai pengetahuan teknis networking yang sangat minimal. Biasanya tidak lepas dari GUI. Hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.
5. Lamer:
Mereka adalah orang tanpa pengalaman & pengetahuan yang ingin menjadi Hacker (wanna-be Hacker). Mereka biasanya membaca atau mendengar tentang Hacker & ingin seperti itu. Penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software prirate, mencuri kartu kredit. Biasanya melakukan hacking menggunakan software trojan, nuke & DoS. Biasanya menyombongkan diri melalui IRC channel dsb. Karena banyak kekurangannya untuk mencapai elite, dalam perkembangannya mereka hanya akan sampai level developed kiddie atau script kiddie saja.
Tidak ada komentar:
Posting Komentar