Hampir setiap hari, kita selalu mendengar adanya pelanggaran keamanan dan serangan dunia maya. Hal itu mungkin terjadi karena banyak kerentanan yang ada pada sistem kita. Pada materi ini, akan dibahas mengenai perkakas yang dapat melindungi data dan informasi kita di internet sehingga lebih aman, yaitu enkripsi, anti virus, aplikasi terpercaya dan alat otentikasi.
1. Enkripsi
Enkripsi adalah alat keamanan yang sangat berharga untuk pengamanan data pada komunikasi data di jaringan komputer/internet. Enkripsi adalah suatu metode yang mengodekan data sebelum dikirim melalui jaringan komputer.
Data tersebut disandikan sedemikian rupa sehingga tidak dapat dibaca sebelum dikembalikan ke bentuk aslinya (di-decrypt). Dengan enkripsi, data yang menyebar dalam jaringan komputer, atau dalam bentuk lainnya tidak dapat dibaca tanpa di dekripsi. Metode ini membuat data menjadi lebih aman.
Beberapa perancang internet awal sangat menganjurkan penggunaan enkripsi pada komunikasi data. Pada saat dikembangkan, memang protokol utama komunikasi Internet, TCP/IP tidak melakukan enkripsi data karena enkripsi membutuhkan sumber daya komputasi yang besar dan mahal.
Masalah juga diperparah dengan problem pendistribusian kunci (key) dekripsi yang sulit. Algoritma rinci enkripsi telah diajarkan pada materi sebelumnya.
Saat ini, teknologi enkripsi sudah sangat mapan, tetapi masih dianggap mahal dan merepotkan. Teknologi ini membutuhkan biaya pengembangan dan sumber daya komputasi yang tidak sedikit sehingga pemerintah dan bisnis pun sering tidak menggunakannya bahkan untuk aplikasi yang sangat penting.
Sebagai contoh, institusi militer di Amerika, pada awalnya tidak mengenkripsi sistem pemberi masukan (feeder) video pada sistem drone, celah ini kemudian mampu dimanfaatkan seseorang (musuh) untuk meretasnya dengan menggunakan perangkat lunak seharga 500 ribu rupiah yang tersedia di internet. Drone akan mendapatkan informasi yang salah sehingga tidak dapat melakukan operasi pengintaian yang tepat sasaran.
Contoh lain, sebuah perusahaan retail (pengecer) TJX di Amerika menggunakan sistem enkripsi yang ketinggalan zaman untuk melindungi data yang dikirim melalui cash register ke komputer server melalui jaringan nirkabel. Peretas tahu celah ini, yang kemudian menggunakan antena kekuatan tinggi untuk melakukan intercept (cegatan) data transaksi penjualan ini, mengambil datanya, memecahkan kodesandi karyawan, dan kemudian melakukan peretasan ke basis data pusat. Selama periode sekitar 18 bulan, peretas berhasil mencuri jutaan nomor kartu debit dan kartu kredit beserta informasi identifikasi penting milik ratusan ribu orang. Nomor yang dicuri tersebut kemudian digunakan secara tidak sah setidaknya di delapan negara.
Dua insiden tersebut menunjukkan contoh enkripsi data yang terabaikan dan tidak memadai dalam proses transmisi data. Penggunaan penting berikutnya dari enkripsi adalah untuk kepentingan data dan dokumen yang disimpan. Dalam beberapa kasus pencurian besar data pribadi konsumen dari perusahaan pengecer, didapatkan bahwa database mereka termasuk kata sandi, nomor kartu kredit, dan nomor penting lainnya tersimpan dalam keadaan tanpa enkripsi.
Teknik lain yang banyak digunakan peretas untuk mendapatkan informasi kredensial pengguna adalah menggunakan Wi-Fi tidak terenkripsi. Peretas dengan santai duduk di kafe kopi sambil melakukan scanning transmisi Wi-Fi untuk mencari orang yang terhubung ke jaringan. Jika ada pengguna yang melakukan login dengan menggunakan informasi pribadi dan kredensial, data tersebut dapat dicuri. Jadi, berhati-hatilah jika kalian berada di area publik dengan Wi-Fi gratis, koneksi dan data kalian dalam kondisi rentan.
Gunakan koneksi data milik sendiri jika melakukan transaksi online.
Saat ini, aplikasi bertukar pesan pada ponsel pintar telah banyak menggunakan teknik enkripsi dalam berkomunikasi. Aplikasi tersebut di antaranya ialah Whatsapp, Telegram, Facebook Messenger, dll. Whatsapp sebagai salah satu aplikasi dapat diatur untuk mendapatkan enkripsi dari ujung ke ujung (end-to-end encryption).
2. Antivirus
Merebaknya malware atau virus menyebabkan pengguna merasa terganggu kenyamanannya ketika bekerja dengan komputer dan takut ketika bertransaksi di internet. Beberapa alat dan perangkat lunak telah tersedia untuk membantu pengguna melindungi peranti dan file dari gangguan virus, atau untuk menghindari menjadi mata rantai yang lemah dalam rantai sistem keamanan.
Perangkat lunak di antaranya adalah antivirus atau anti-malware.
Perangkat lunak antivirus akan mencari virus/malware di komputer dengan menggunakan dua cara berikut.
Pertama, jika kalian telah memasang antivirus di komputer, saat kalian memasang peranti baru, seperti kamera, printer atau drive USB ke komputer, antivirus akan melakukan pemindaian semua file yang berhubungan dengan peranti tersebut. Antivirus akan mencari signature (tanda tangan) virus, yaitu urutan karakter unik yang berhubungan dengan virus tersebut, dengan mencocokkannya dengan signature virus yang disimpan dalam dictionary (kamus) antivirus. Jika cocok, ia akan memberi tahu kalian bahwa ada file yang mengandung virus dan akan dilakukan “karantina”. Karantina biasanya dilakukan dengan menempatkannya pada folder khusus sampai kita memutuskan apakah file tersebut akan dibersihkan atau dihapus. Selain itu, kita dapat mengatur perangkat lunak antivirus untuk memindai file di komputer secara berkala untuk mengetahui apakah ada malware pada komputer.
Kedua, teknik kedua yang dilakukan oleh perangkat lunak anti-malware ialah memantau sistem komputer untuk aktivitas yang ditetapkan sebagai “kegiatan virus”. Beberapa kegiatan virus itu antara lain mengubah file sistem yang biasanya tidak akan diubah, memodifikasi bagian file memori komputer di luar area program yang diizinkan, atau memodifikasi beberapa program secara bersamaan. Ketika perangkat lunak anti-malware mendeteksi aktivitas semacam itu, perangkat lunak itu akan dinon-aktifkan dan pengguna akan diperingatkan.
Namun, seiring waktu, peretas menemukan cara untuk menghindari perangkat lunak anti-malware, peretas mulai mengubah tanda tangan virus.
Anti-malware meningkatkan kemampuan perangkat lunak mereka; peretas menemukan cara baru lagi untuk menghindari; dan seterusnya. Hal ini dapat dianalogikan dengan modus pencuri dan polisi.
3. Aplikasi Terpercaya
Saat ini, dengan merebaknya malware, sebagian besar produsen sistem operasi telah menambahkan fitur ke sistem operasi mereka. Sistem operasi ini memberi peringatan kepada pengguna bahwa seharusnya semua perangkat lunak di komputer atau perangkat seluler berasal dari pengembang asli yang bersertifikat.
Pengembang perangkat lunak dapat mengajukan permohonan ke produsen sistem operasi, misalnya, Apple, Microsoft, atau Google, untuk sertifikat digital. Jika telah memiliki sertifikat digital, aplikasi apa pun yang dibuat oleh pengembang akan memiliki sertifikat digital yang menempel dan merupakan aplikasi tepercaya (trusted application). Dengan mengaktifkan fitur ini pada sistem operasi, perangkat lunak yang berjalan di peranti harus berasal dari pengembang bersertifikat, jika tidak maka sistem operasi tidak mengizinkannya untuk berjalan.
Namun, sama seperti pembuatan virus, peretas mungkin juga menemukan kerentanan pada fitur ini, seperti proses yang digunakan sistem operasi Android untuk memvalidasi sertifikat. Peretas berhasil memalsukan sertifikat digital dari pengembang sehingga pembuat sistem operasi harus menambal sistem untuk mengatasi kesalahan.
Beberapa produk sistem operasi memungkinkan fitur trusted application dapat dimatikan (disable). Dengan demikian, aplikasi yang dikembangkan oleh perusahaan kecil, individu, atau dipakai untuk diri sendiri yang tidak memiliki sertifikat dapat dijalankan di ponsel/komputer. Namun, menggunakan aplikasi yang belum memiliki sertifikat adalah tindakan yang berisiko.
Sistem operasi seluler Apple, iOS, mengharuskan semua aplikasi yang terpasang pada perangkat iPhone/iPad berasal dari pengembang yang bersertifikat. Apple menyediakan App Store, dimana aplikasi yang dapat dipasang ialah yang ada di App Store. Banyak orang menilai kebijakan ini membatasi kreativitas dan mengurangi persaingan. Pengguna juga menganggap fitur ini menjadikan iPhone dan iPad mereka tidak leluasa dikendalikan dan tidak fleksibel sehingga pengguna iPhone/iPad berusaha untuk meretas dengan menonaktifkan persyaratan sertifikasi. Hal ini biasanya disebut jailbreaking. Namun, dengan melakukan jailbreaking, kita memperbesar kemungkinan perangkat akan terkena virus. Ada beberapa virus yang secara khusus menargetkan iPhone yang di-jailbreak. Jadi, sebenarnya sebagai pengguna perangkat teknologi informasi dan internet, kita harus menyeimbangkan antara: keamanan di satu sisi, atau fleksibilitas, kenyamanan, dan pengendalian oleh pengguna di sisi lainnya.
4. Alat Otentikasi
Mekanisme keamanan berikutnya adalah otentikasi (authentication). Otentikasi dilakukan untuk memastikan dan mengonfirmasi bahwa suatu objek adalah otentik atau asli. Otentikasi dapat diterapkan pada beberapa objek, seperti situs web, user, surel, dokumen, dll.
a. Otentikasi Web
Situs web sebagai salah satu sumber daya yang banyak digunakan di internet. Situs web dapat diotentikasi bahwa situs tersebut adalah otentik. Browser web, search engine, dan perangkat lunak tambahan (add-on) telah dapat membantu memfilter situs web yang dianggap otentik dan aman. Perangkat lunak tambahan juga memiliki fasilitas yang mampu untuk menampilkan peringatan bagi situs yang diketahui mengumpulkan dan menyalahgunakan informasi pribadi. Meskipun bermanfaat bagi pengguna, tetapi bentuk pemfilteran harus dilakukan dengan hati-hati. Filter yang terlalu ketat akan membuat situs web yang sebenarnya aman akan masuk kategori yang terfilter, seperti juga mekanisme filter spam pada surel.
Kesalahan dalam menandai (memberi nilai/rating) untuk keperluan pemfilteran dapat merusak hubungan bisnis dan dapat mengakibatkan gugatan untuk perusahaan pemberi rating. Hal ini penting, baik dari perspektif etika maupun bisnis dalam bentuk kehati-hatian dalam merancang dan menerapkan sistem penilaian.
Selain itu, dengan maraknya kejahatan internet seperti phising dan pharming yang memalsukan internet, banyak institusi bisnis dan keuangan seperti perbankan memberi keamanan lebih pada pengguna daringnya. Institusi bank dan bisnis keuangan juga mengembangkan sistem keamanan untuk web mereka. Teknik ini digunakan untuk meyakinkan pelanggan bahwa web yang diakses oleh pelanggan adalah web otentik sebelum pelanggan memasukkan kata sandi atau informasi sensitif lainnya. Misalnya, saat pelanggan membuat akun pertama kali, web site meminta pelanggan untuk mengunggah gambar digital (misalnya, kucing/anjing peliharaan) atau memilih dari gambar yang tersedia. Pada saat berikutnya, ketika pelanggan mengakses web site, sebelum proses login dengan mengisikan nama (atau pengenal lain yang tidak penting), sistem akan menampilkan gambar yang diunggah/dipilih sebelumnya. Dengan demikian, situs mengotentikasi dirinya sendiri kepada pelanggan sebelum pelanggan melakukan otentikasi dirinya dengan memasukkan kata sandi.
b. Otentikasi Pengguna
Otentikasi pengguna adalah bagian penting dari keamanan informasi. Banyak kejahatan peretasan terjadi karena otentikasi pengguna ini. Otentikasi pengguna umumnya menggunakan username dan password. Username dan password adalah data sensitif yang harus dijaga agar tidak diketahui orang lain.
Kejahatan dengan memanfaatkan otentikasi pengguna telah banyak terjadi. Di Amerika, seorang peretas membobol banyak akun milik pialang online, dan kemudian membeli saham menggunakan akun curian tersebut. Jumlah pembelian yang besar mendorong harga naik, dan peretas itu kemudian mendapatkan keuntungan dengan menjual sahamnya. Ketika seorang peretas dapat membobol akun kita, banyak hal yang dapat dilakukan oleh peretas tersebut. Pembobolan ini juga sering terjadi pada bank online dan situs keuangan lainnya. Di Indonesia, penyalahgunaan PIN ATM, kata sandi oleh orang yang tidak berhak marak terjadi yang disebabkan oleh penipuan atau banyak hal lainnya.
Aksi phising juga pernah terjadi pada tahun 1990-an dimana situs palsu sebuah bank ternama di Indonesia mampu mendapatkan ribuan username dan password dari pengguna online banking dari bank tersebut. Hal inilah yang mendorong institusi keuangan untuk mengembangkan prosedur yang lebih baik untuk mengotentikasi pengguna. Walaupun berbekal identitas dan nomor curian serta informasi identitas lain yang lain, perusahaan diharapkan dapat membedakan pemilik akun asli atau palsu.
Otentikasi pengguna atau pelanggan secara jarak jauh pada dasarnya sulit ttsehingga memang diperlukan informasi lebih dari yang biasa diperlukan untuk mengidentifikasi seseorang dan kemudian memberikan otorisasi.
Metode otentikasi yang saat ini banyak digunakan, salah satunya ialah penggunaan biometrik dari pengguna seperti sidik jari, suara, wajah, retina mata, dll. Beberapa situs meminta memasukkan nama guru favorit, mobil yang dibeli pertama kali, dll. saat mendaftarkan diri sebagai pengguna, yang untuk selanjutnya diminta untuk dimasukkan kembali sebelum proses login. Ada juga situs yang menyimpan informasi mengenai peranti yang biasanya digunakan pelanggan untuk login dan meminta informasi tambahan ketika seseorang masuk dari peranti yang berbeda. Sebuah situs meminta pelanggan untuk memilih beberapa gambar saat membuka akun, dan kemudian meminta pelanggan untuk identifikasi gambar saat login. Hal-hal tersebut di atas merupakan contoh bahwa banyak metode yang terus berkembang untuk menambah keamanan berinternet.
Kemajuan perangkat lunak otentikasi muncul dengan teknik kecerdasan buatan. Perangkat lunak ini mampu menghitung risiko kepalsuan berdasarkan data perbedaan waktu login, jenis browser yang digunakan, perilaku, transaksi khas pelanggan, dll. Termasuk juga lokasi geografis, dan tempat pengguna biasanya login ke situs web juga dapat digunakan untuk konfirmasi.
c. Biometrik
Biometrik adalah karakteristik biologis yang unik bagi seorang individu.
Termasuk di dalamnya ialah sidik jari, pola suara, struktur wajah, geometri tangan, pola mata (iris atau retina), dan DNA. DNA sudah lama digunakan dalam penegakan hukum dan sistem peradilan di Indonesia. Teknologi biometrik untuk identifikasi saat ini merupakan industri penting bernilai miliaran dolar dengan banyak aplikasi yang bermanfaat dan memberikan kenyaman dan keamanan.
Saat ini, telah banyak penggunaan biometrik untuk otentikasi. Kita dapat membuka smartphone, tablet, dan pintu dengan menyentuh pemindai sidik jari. Dengan biometrik, kita tidak lagi menggunakan kata sandi yang mungkin dapat terlupa, atau kunci fisik yang mungkin tertinggal atau hilang.
Dengan sidik jari akses peretas menjadi banyak terkurangi. Beberapa aplikasi ponsel cerdas saat ini telah menggunakan pengenalan sidik jari, wajah, atau suara yang bermanfaat untuk mengotentikasi pemilik dan melindungi pencurian informasi atau dana di dompet elektronik.
Untuk mengurangi risiko terorisme, beberapa bandara menggunakan sistem identifikasi sidik jari untuk memastikannya bahwa hanya karyawan yang boleh memasuki area terlarang. Di pabrik, pekerja tidak lagi memasukkan kartu presensi fisik; sebagai gantinya, mereka gunakan scan sidik jari tangan.
Sekolah dan kampus saat ini di Indonesia, bahkan telah banyak yang menggunakan sidik jari atau wajah untuk presensi kehadiran sekolah.
Di sisi lain, peretas berusaha menemukan cara untuk mencari celah keamanan identifikasi biometrik. Peneliti di AS dan Jepang pernah melakukan riset mengganti sidik jari manusia dengan sidik jari mayat atau dengan jari palsu yang dibuat dari gelatin atau plastisin (Play-Doh).
Pemindai mata juga dapat ditipu dengan menggunakan lensa kontak. Namun, teknologi biometrik juga berkembang jauh lebih baik. Saat ini, misalnya, pemindai jari dapat mengambil gambar sidik jari dengan resolusi sangat tinggi dari sidik jari subdermal sehingga dapat membedakan sidik jari orang mati. Pemindaian iris mata menggunakan analisis pola lingkaran berwarna yang mengelilingi pupil mata, yang telah ada pada smartphone. Pemindaian retina yang diklaim lebih akurat, di mana mengambil gambar dan menganalisis pola unik pembuluh darah di retina mata. Pola retina mata juga akan memudar dengan cepat setelah kematian. Pemindaian dengan retina dianggap hampir tidak mungkin dapat dipalsukan.
d. Otentikasi Multifaktor
Otentikasi pengguna dengan menggunakan kata sandi dan pemindaian biometrik, saat ini cukup memadai. Namun, dengan banyaknya usaha untuk meretas, muncul otentikasi dengan metode lain. Metode lain tersebut disebut otentikasi multifaktor. Pada teknologi otentikasi, terdapat tiga kategori teknologi, yaitu seperti berikut.
1. Sesuatu yang diketahui oleh pengguna, misalnya kata sandi, PIN, atau frase kunci rahasia.
2. Sesuatu tentang diri pengguna, seperti: suara, sidik jari, atau pemindaian retina.
3. Sesuatu yang dimiliki pengguna, misalnya kartu (kartu masuk, debit, kredit), ponsel cerdas, pin generator (seperti key BCA, token Mandiri), atau fob
Metode otentikasi multifaktor menggunakan setidaknya memiliki dua item dari kategori berbeda. Beberapa contohnya seperti berikut.
a. Otentikasi menggeser kartu debit (3) dan memasukkan PIN (1)
b. Memasukkan kata sandi (1), kemudian mengetik kode khusus situs web yang dikirim ke ponsel (3).
c. Berbicara (2) dan frasa kunci rahasia (1).
d. Menggunakan sidik jari (2) dan kode khusus dari fob (3).
Memasukkan kata sandi dan PIN tidak akan menjadi otentikasi multifaktor karena kedua item berada dalam satu kesatuan kategori.
.png)
0 komentar:
Posting Komentar