A. KERAHASIAAN DATA Data confidentialty atau kerahasiaan data adalah sifat data yang menyatakan bahwa data tersebut tidak boleh diketahui atau diakses pihak lain yang tidak berwenang. Data confidentiality merupakan salah satu dari 8 aspek keamanan yang tertuang dalam rekomendasi ITU-T nomor X.800 yaitu ! 1. Authentication "gar penerima informasi dapat memastikan keaslian pesan tersebut dating dari orang yang diminta informasi. Dengan kata lain informasi benar-benar dating dari orang yang dikendaki. 2. Integrity #easlian dipesan yang dikirim melalui sebuah $aringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam hal per$alanan informasi tersebut. 3. Nonrepudiation %erupakan hal yang bersangkutan dengan si pengirim sipengirim tidak bias mengelak bahwa dial ah yang mengirim informasi tersebut. 4. Authority Informasi yang berada pada system $aringan tidak dapat di modifaikasi oleh pihak yang tidak berhak atas akses tersebut. 5. Confidentiality %erupakan usaha untuk men$aga informasi dari orang yang tidak berhak mengakses. &onfidentiality biasanya berhubungan dengan informasi yang diberikan ke pihak lain. 6. Privacy %erupakan lebih kearah data-data yang sifatnya pribadi. 7. Availaility 'erhubungan dengan ketersediaan informasi ketika dibutuhkan. (ystem informasi yang diserang atau di$ebol dapat menghambat atau meniadakan akses ke informasi. !. Acce"" Control "spek ini berhubungan dengan cara pengaturan akses kepada informasi. )al ini biasanya berhubungan dengan masalah authentication dan $uga pri*acy. "ccess control seringkali dilakukan dengan menggunakan kombinasi user id dan password atau dengan mekanisme lainnya. +roteksi terhadap data confidentiality men$amin data yang rahasia tidak dapat diakses diketahui atau dimanipulasi oleh pihak yang tidak memiliki hak akses ke dalamnya. 'erdasarkan rekomendasi ITU-T tersebut terdapat empat macam proteksi terhadap keamanan data yaitu ! - &onnection confidentiality yaitu layanan yang memastikan kerahasiaan data seluruh ,-.- user-data pada ,-.-connection - &onnectionless confidentiality yaitu layanan yang memastikan kerahasiaan data seluruh ,-.-user-data pada single connectionless ,-.-(DU - (electi*e field confidentiality yaitu layanan yang memastikan kerahasiaan data dari field yang terpilih dalam ,-.-user-data pada ,-.-connection ataupun single connectionless ,-.-(DU - Traffic flow confidentiality yaitu layanan yang menyediakan proteksi suatu informasi yang dapat didapat dengan melakukan obser*asi dari aliran traffic $aringan
1. Ancaman terhadap kerahasiaan data #edelapan aspek keamanan yang direkomendasikan tentunya saling terkait. %isalnya dalam keterkaitannya dengan aspek autentikasi kerahasiaan data yang ter$aga dengan baik akan sia-sia bila ternyata peretas dapat mengelabui sistem dan masuk sebagai orang yang berwenang untuk mengakses data tersebut. Di antara berbagai ancaman keamanan atas 8 aspek tersebut ancaman yang langsung berpengaruh terhadap kerahasiaan data di antaranya adalah sniffing dan malware khususnya spyware. (niffing bisa berarti /mengendus0 koneksi $aringan. "kti*itas sniffing berusaha menangkap paket-paket di $aringan dan mengambil informasi di dalamnya. (ecara positif sniffing dimanfaatkan untuk menganalisis performa $aringan. (ecara negatif sniffing bisa berarti menyadap data yang lalu-lalang di $aringan. Ini merupakan ancaman serius bagi konfidensialitas data yang ditransmisikan. %alware merupakan perangkat lunak yang berbahaya atau boleh dibilang /$ahat0. %alware bisa berwu$ud *irus worm tro$an. 1irus dan worm merupakan perangkat lunak yang bersifat merusak sistem komputer menghapus2menyembunyikan data dan lain sebagainya. %ereka $uga menggandakan diri dan menyebar dalam satu komputer atau antarkomputer melalui $aringan atau media transfer data. 'erbeda dengan worm *irus membutuhkan pemicu dari pengguna komputer untuk membuat dirinya aktif. (ebagai salah satu $enis malware tro$an biasanya tidak terlalu merusak sistem2data namun $ustru membuka celah keamanan ,back door. komputer korban agar mudah dimasuki malware yang lain. Tro$an $uga ada yang bisa dikendalikan dari luar sehingga pelaku bisa memiliki akses atau bahkan mengendalikan komputer korban. "da $uga tro$an yang bersifat memata-matai atau disebut spyware yang merekam akti*itas korban lalu mengirimkan hasil rekaman tersebut ke pelaku. %alware $enis inilah yang merupakan ancaman besar bagi konfidensialitas data. 2. Mengusahakan kerahasiaan data Dari berbagai ancaman keamanan yang dapat menyerang kerahasaiaan data serta dari berbagai kasus penyerangan terhadap kerahasiaan data yang telah ter$adi cara paling populer yang biasa digunakan untuk melakukan proteksi data confidentiality adalah enkripsi. 3nkripsi merupakan suatu proses mengacak data sehingga data yang kita miliki tidak dapat dimengerti oleh pihak lain. 3nkripsi la4im dilakukan pada penyimpanan data seperti password dan dalam transmisi data seperti (() ((5 T5( dan masih banyak lagi. (edikitnya terdapat tiga cara metode dasar untuk mengenkripsi yaitu hashing kriptografi simetrik dan kriptografi asimetrik. #etiganya dipela$ari dalam disiplin ilmu kriptografi. )ashing adalah metode membuat suatu /tanda tangan0 yang unik dan konsisten pada sekelompok data. )ash diciptakan melalui suaut algoritma dan kemudian digunakan untuk membandingkan suatu set data. +erbedaaan hashing dan kriptografi ,atau metode lainnya. adalah hash tidak dapat di dekripsi sehingga $ika seseorang mengambil data yang telah di-hash orang ini tidak dapat menemukan isi pesan aslinya. "lgoritma hashing yang umum adalah %essage Digest 6 ,%D6. dan (ecure )ashing +rogram ,()".. #riptografi simetrik disebut $uga sebagai kriptografi berbasis +re-shared #ey ,+(#.. +ada metode ini digunakan kunci untuk mengenkripsi dan dekripsi data yang dimiliki. %etode enkripsi dapat dikategorikan sebagai cipher aliran atau chiper blok tergantung pada $umlah data yang dienkripsi atau didekripsi pada suatu waktu. (ebuah aliran cipher mengenkripsi data satu karakter pada satu waktu sementara blok cipher memproses potongan tetap data. Umum algoritma enkripsi simetris termasuk Data 3ncryption (tandard ,D3(. 3ncryption (tandard 5an$utan ,"3(. International Data 3ncryption "lgorithm ,ID3". dan 'lowfish. #riptografi asimetrik menggunakan pri*ate key dan public key untuk melakuka enkripsi dan dekripsi. #riptografi asimetrik diciptakan untuk mengatasi titik lemah pada kriptografi simetrik bahwa kunci tunggal tidak perlu dikelola oleh banyak pengguna. +ada metode ini public key tersedia untuk setiap orang sedangkan pri*ate key tetap berada pada penerima cipherteks untuk mendekripsi pesan. "lgoritma yang digunakan adalah termasuk 7(" dan Diffie-)ellman. Ada beberapa aspek yg perlu diketahui antara lain adalah Aspek yang berhubungan dengan persyaratan keamananan dan Aspek yang berhubungan dengan ancaman terhadap keamanan. 1. Aspek Yang Berhubungan Dengan Persyaratan Keamanan a. Secrecy Berhubungan dengan akses membaca data dan informasi yang mana hanya bisa diak- ses dan dibaca oleh orang yang berhak. b. Integrity Berhubungan dengan akses merubah data dan informasi dialam suatu sistem kompu- ter yang hanya dapat diubah oleh orang yang berhak. c. Availability Berhubungan dengan ketersediaan data dan informasi dalam suatu komputer yang - hanya dapat dimanfaatkan oleh orang yang berhak. 2. Aspek Yang Berhubungan Dengan Ancaman Keamanan a. Interruption Merupakan ancaman terhadap availability dimana data dan informasi yang berada dalam sistem komputer dirusak atau dibuang sehingga menjadi tidak ada dan ti - dak berguna. (Contoh : arddisk dirusak! kabel telekomunikasi dipotong! dll." ____________________________ _____________________________ | Sumber Tujuan | | Sumber Tujuan | | ____ ____ | | ____ ____ | | | | | | | | | | | | | | | 11 |------------>| 22 | | | | 11 |------->| | 22 | | | |____| |____| | | |____| |____| | | Normal Flow | | Interruption | |____________________________| |_____________________________| "Interruption (Ancaman terhaap A!ailabilit"#"
b. Interception Merupakan ancaman terhadap secrecy dimana orang yang tidak berhak namun berha- sil mendapatkan akses informasi dari dalam sistem komputer. (Contoh : #iretap- ping atau mencopy data secara tidak sah! dll" ____________________________ ________________________________ | Sumber Tujuan | | Sumber Tujuan | | ____ ____ | | ____ ____ | | | | | | | | | | | | | | | 11 |------------>| 22 | | | | 11 |---------------->| 22 | | | |____| |____| | | |____| | |____| | | Normal Flow | | | | |____________________________| | $ | | ____ | | | | | | | %% | | | |____| | | | | Interception | |________________________________| "Interception (Ancaman terhaap Secrec"#" c. o!i"cation Merupakan ancaman terhadap integrity dimana orang yang tidak berhak dapat meng- akses maupun merubah suatu informasi. (Contoh : Merubah suatu program! dll." ___________________________ _________________________________ | Sumber Tujuan | | Sumber Tujuan | | ____ ____ | | ____ ____ | | | | | | | | | | | | | | | 11 |------------>| 22 | | | | 11 |____ ___&| 22 | | | |____| |____| | | |____| & ' '|____| | | Normal Flow | | & ____ ' | |___________________________| | | | | | | %% | | | |____| | | | | (oi)ication | |_________________________________| "(oi)ication (Ancaman terhaap Inte*rit"#" !. #abrication Merupakan ancaman terhadap integrity juga! namun disini orang yang tidak ber - hak meniru atau memalsukan suatu object kedalam sistem. (Contoh: menambahkan - record ke dalam $le! dll" ___________________________ _________________________________ | Sumber Tujuan | | Sumber Tujuan | | ____ ____ | | ____ ____ | | | | | | | | | | | | | | | 11 |------------>| 22 | | | | 11 | ___&| 22 | | | |____| |____| | | |____| ' '|____| | | Normal Flow | | ____ ' | |___________________________| | | | | | | %% | | | |____| | | | | Fabrication | |_________________________________| "Fabrication (Ancaman terhaap Inte*rit"#" B. I$%&'(I%AS DA%A Integritas Data (%ata &ntegrity" adalah konsistensi dan kebenaran data yang disimpan. Antara representasi dunia nyata dan nilai dari data harus dilindungi oleh sistem! agar mempunyai arti yang sesuai. %alam komputasi! integritas data mengacu pada menjaga dan menjamin akurasi dan konsistensi data melaluiseluruh hidup-siklus! dan merupakan $tur penting dari sebuah database atau sistem '%BM(. %ata yang terdapat dalam database yang akurat dan dapat diandalkan. &ntegritas data tetap dijaga melalui beberapa cara! antara lain : )alidasi $eld secara individual )eri$kasi satu $eld melalui $eld yang lainnya )alidasi data dari satu table ke table yang lainnya. )eri$kasi bah*a transaksi berjalan secara sukses dari a*al hingga akhir )enis * +enis integritas !ata 1. Integritas &ntitas Mende$nisikan sebuah baris sebagai entitas yang untuk untuk sebuah tabel. +erintah yang di gunakan dalam s,l. - +rimary key - uni,ue 2. Integritas Domain Melakukan valisadi dalam masukan yang di tujukam dalam sebuah kolom. %imana jenis domainnya adalah : - Membatasi tipe - -ormat - (erta range nilai - nilai ,. Integritas (e-erensial Melakukan validasi pemasukan data agar sesuai dengan tabel yang menjadi acuan pengisian .. Integritas &nteprise Mengi.inkan membuat spesi$k business rules yang tidak sama dengan integritas lain. /. K&%&(S&DIAA$ DA%A De"nisi 0 /etersediaan data pada database yang diakses oleh semua user dan dapat diperoleh setiap saat ketika dibutuhkan. Availability (ketersediaan) : /etersediaan data atau layanan dapat dengan mudah dipantau oleh pengguna dari sebuah layanan. 0ang dimana ketidaktersediaan dari sebuah layanan (service" dapat menjadi sebuah halangan untuk maju bagi sebuah perusahaan dan bahkan dapat berdampak lebih buruk lagi! yaitu penghentian proses produksi. (ehingga untuk semua akti$tas jaringan! ketersediaan data sangat penting untuk sebuah system agar dapat terus berjalan dengan benar. +erbedaan utama terletak pada kemampuan pengguna untuk mengakses dat abase. /etersediaan dan kinerja adalah hal yang berbeda dan harus diperlakukan oleh %BA sebagai persoalan yang terpisah /etersediaan data terdiri dari 1 komponen yang berbeda! yang bersatu untuk memastikan bah*a sistem dapat dijalankan dan proses bisnis dapat dilakukan . Komponen Data Avaibility 0 a. anageability 0 kemampuan untuk membuat dan memelihara lingkungan yang efektif yang memberikan layanan kepada pengguna b. (ecoverability 0 kemampuan untuk membangun kembali layanan jika mengalami kesalahan atau kegagalan komponen c. (eliability0 kemampuan untuk memberikan pelayanan pada tingkat tertentu untuk jangka *aktu lain d. Serviceability0 kemampuan untuk menentukan adanya masalah! diagnosamasalah! da n memperbaiki Masalah an-aat !ari Data Avaibility0 2. %apat diakses dari jarak jauh 3. %ata tersedia pada saat dibutuhkan 4. /emampuan menangani crash 5 failure agar service tetap berjalan +emindahan 5 penghapusan data yang sudah tidak diperlukan agar menghemat tempat penyimpanan data Data avaibility !ipengaruhi oleh 0 2. Bentuk 'elasi tabel data 3. ak akses user 4. 6ersedia band*idth antara perangkat dan koneksi jaringan media 1. Mekanisme untuk ketersediaan tinggi dan keamanan mereka sendiri dan aksesibilitas 7. +rioritas dan jenis data yang akan dibuat tersedia 8. +emulihan peran dan tanggung ja*ab 9. :enis $le system dan tingkat akses ;. :enis penyimpanan 5 pengambilan perangkat atau media termasuk hard*are dan soft*are <. (ervice =evel +erjanjian antara entitas yang bertanggung ja*ab dan dipengaruhi 2>. +engolahan overhead dari mekanisme yang terkena dampak 22. %isaster 'ecovery Permasalahan !alam Data Avaibility Masalah-masalah yang dihadapi dalam ketersediaan data adalah : 2. /ehilangan pusat data 3. Masalah dalam jaringan 4. ilangnya perangkat keras dari server 1. ?( rusak 7. (oft*are %BM( rusak 8. Aplikasi bermasalah 9. %ata corupt! dll Keamanan Pa!a Keterse!iaan !ata - /eamanan atas ketersediaan layanan informasi. - (erangan pada jaringan: %o( (denial of services" baik disadari5sengaja maupun tidak. Akti$tas mal*are! *orm! virus dan bomb mail sering memacetkan jaringan. - Countermeasure : -ire*all dan router $ltering! backup dan redundancy! &%( dan &+ data. %alam hal ini yaitu foreign key dari primary key. II. Aspek Keamananan Data 1an+utan D.S&/2(I%Y A%%A/K 3D&1S 4ulnerability )ulnerability merupakan kelemahan dalam system keamanan! contoh dalam prosedur! rancangan! atau implementasi yang dapat di- eksploitasi untuk menyebabkan kehilangan dan bahaya. (ebuah threat dalam sistem komputer merupakan suatu kumpulan keadaan yang berpotensi menimbulkan kehilangan atau bahaya. Beberapa jenis threat dalam system keamanan terdapat empat jenis! yaitu: Menurut #. (tallings @#illiam (tallings! ABet*ork and &nternet*ork (ecurity!C +rentice all! 2<<7.D serangan (attack" terdiri dari : Interruption : +erangkat sistem menjadi rusak atau tidak tersedia. (erangan ditujukan kepada ketersediaan (availability" dari sistem. Contoh serangan adalah Adenial of service attack (%?( attack"C. DoS attack merupakan serangan yang bertujuan untuk melumpuhkan target (hang! crash" sehingga dia tidak dapat memberikan layanan. (erangan ini tidak melakukan pencurian! penyadapan! ataupun pemalsuan data. Akan tetapi dengan hilangnya layanan maka target tidak dapat memberikan servis sehingga ada kerugian $nansial. Bagaimana status dari %o( attack iniE Bayangkan bila seseorang dapat membuat A6M bank menjadi tidak berfungsi. Akibatnya nasabah bank tidak dapat melakukan transaksi dan bank (serta nasabah" dapat mengalami kerugian $nansial. %o( attack dapat ditujukan kepada server (komputer" dan juga dapat ditargetkan kepada jaringan (menghabiskan band*idth". 6ools untuk melakukan hal ini banyak tersebar di &nternet. %alam sebuah serangan %enial of (ervice! si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara! yakni sebagai berikut: Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. 6eknik ini disebut sebagai trafc fooding. Membanjiri jaringan dengan banyak re,uest terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga re,uest yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. 6eknik ini disebut sebagai request fooding. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara! termasuk dengan mengubah informasi kon$gurasi sistem atau bahkan perusakan $sik terhadap komponen dan server. )enis*+enis DoS0 1. 1okal DoS /egiatan %o( yang dilakukan oleh cracker menggunakan interaksi langsung dengan konsole sistem operasi. +elaku dapat berinteraksi langsung dengan konsole sistem operasi korban dan mengeksekusi perintah F perintah (script" yang dapat menghabiskan resource komputer korban tersebut. 'esource yang dimaksud adalah C+G! 'AM! (#A+ (pace! disk! /ernel! cache dan juga band*idth. 2. (emote DoS kegiatan %o( yang dilakukan oleh cracker secara jarak jauh tanpa interaksi secara langsung dengan konsole sistem operasi korban. +elaku melakukan kegiatan %o( dengan memanfaatkan media jaringan komputer dan internet. +ada tehnik ini! +elaku memanfaatkan kelamahan dari protokol 6C+5&+ dan kelamahan lebih detail mengenai teknik remote %o(. Berikut ini dalah beberapa tujuan dari serangan %enial ?f (evice: 1. enghabiskanBan!5icth (ebuah serangan dos attack menggunakan resource jaringan yang sangat besar karena paketnya sangat banyak! hal ini menyebabkan band*idth yang digunakan oleh korban akan habis! kejadian ini sering dialami oleh sebuah internet service provaider(&(+" 2. emutuskan koneksi antar server %alam sebuah sistem perusahaan! server satu dengan server yang lainnya saling terhubung menjalankan service ! misalnya %B( server sebuah &(+ akan berhubungan dengan internet pelangan &(+ tersebut. jika %B( server mendapatakan dos attack maka client dari &(+ tersebut kemungkinan besar tidak dapat melakukan bro*sing *ebsite di internet. ,. encegah korban menggunakan layanan (ebuah server menjalankan layanan di internet kepada yang meminta layanan! misalnya *eb server *ebsite ***.contoh.com mendapat do( attack maka kemungkinan besar jika ada yang membuka *ebsite ***.contoh.com! *ebsite tidak akan terbuka di bro*ser internet! dalam keadaan mendapat do( attack!*ebserver tidak bisa memberikan layanannya karena C+G dan 'AM sibuk melayani do( attack. .. erusak System Beberapa teknik dari %o( attack yang berbahaya menyebabkan kerusakan secara permanen terhadap hard*are dan soft*are korban! contoh kerusakan yang sering di hadapi pada korban adalah kernel panic. +HBABIIG=ABIAB (H'ABIAB %enial ?f (evice (%o(" &nternet -ire*all: untuk mencegah akses dari pihak luar ke sistem internal. -ire*all dapat bekerja dengan 3 cara! yaitu menggunakan $lter dan proJy. -ire*all $lter menyaring komunikasi agar terjadi seperlunya saja! hanya aplikasi tertentu saja yang bisa le*at dan hanya komputer dengan identitas tertentu saja yang bisa berhubungan. -ire*all proJy berarti mengi.inkan pemakai dalam untuk mengakses internet seluas- luasnya! tetapi dari luar hanya dapat mengakses satu komputer tertentu saja. Menutup service yang tidak digunakan. Adanya sistem pemantau serangan yang digunakan untuk mengetahui adanya tamu5seseorang yang tak diundang (intruder" atau adanya serangan (attack". Melakukan back up secara rutin. Adanya pemantau integritas sistem. Misalnya pada sistem GB&K adalah program trip*ire. +rogram ini dapat digunakan untuk memantau adanya perubahan pada berkas. +erlu adanya cyberla*: Cybercrime belum sepenuhnya terakomodasi dalam peraturan 5 Gndang-undang yang ada! penting adanya perangkat hukum khusus mengingat karakter dari cybercrime ini berbeda dari kejahatan konvensional. +erlunya %ukungan =embaga /husus: =embaga ini diperlukan untuk memberikan informasi tentang cybercrime! melakukan sosialisasi secara intensif kepada masyarakat! serta melakukan riset-riset khusus dalam penanggulangan cybercrime. Interception: +ihak yang tidak ber*enang berhasil mengakses asset atau informasi. Contoh dari serangan ini adalah penyadapan (*iretapping". Modifcation: +ihak yang tidak ber*enang tidak saja berhasil mengakses! akan tetapi dapat juga mengubah (tamper" aset. Contoh dari serangan ini antara lain adalah mengubah isi dari *eb site dengan pesan-pesan yang merugikan pemilik *eb site. Fabrication: +ihak yang tidak ber*enang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer. +enyerang umumnya memiliki tiga hal yaitu: eto!e0 keahlian! pengetahuan! alat dan sesuatu yang membantunya dalam penyerangan Kesempatan0 *aktu dan akses untuk menyelesaikan penyerangan oti-0 Alasan untuk melakukan penyerangan ke system yang dituju.