Kilas Balik Keamanan TI Tahun 2004, dan Tantangan Tahun 2005 - eBizzAsia Januari 2005 Volume III No 23 - Januari 2005 Agus Pracoyo Kilas Balik Keamanan TI Tahun 2004, dan Tantangan Tahun 2005 Satu kasus keamanan sistem informasi yang cukup mencuat di tahun 2004 dan mungkin akan selalu ‘dikenang' bangsa kita adalah, kasus bobolnya situs KPU oleh seorang yang mengaku biasa saja, dan mempergunakan cara yang tidak baru-baru amat. Entah benar atau tidak, pengakuan itu merupakan bahan pelajaran bagi pelaksana TI, dan menguatkan pernyataan yang sering didengar, bahwa cara-cara/teknik-teknik ganguan keamanan dapat dengan mudah dilakukan oleh siapapun dan tidak memerlukan keahlian khusus. Kelanjutan dari pernyataan ini adalah pertanyaan: Bagaimana kalau seandainya dilakukan oleh seseorang yang ahli, sehingga jejaknya sulit atau tidak mungkin dilacak dan gangguannya tidak cepat terdeteksi? Bagaimana kalau si- hacker tidak mengubah namanama peserta pemilu, tapi ‘hanya' menambah angka perolehan suara satu peserta pemilu yang diambil dari 1% perolehan suara peserta lainnya, misalnya. http://www.ebizzasia.com/0323-2005/column,agus,0323.html (1 of 5)7/30/2005 8:49:03 PM Kilas Balik Keamanan TI Tahun 2004, dan Tantangan Tahun 2005 - eBizzAsia Januari 2005 Ketidaksadaran akan terjadinya gangguan keamanan oleh pemakai TI merupakan topik pembicaraan utama di tahun 2004 yang ditandai dengan maraknya kasus phishing , spyware dan, tentunya, kasus lama, yaitu Virus/Worm/Trojan yang tetap menduduki top chart . Peta kerentanan TI tahun 2004 Dari catatan kerentanan ( vulnerability notes ) yang dilakukan oleh US-CERT, jumlah kerentanan dengan nilai metrik 20 atau lebih, mengalami penurunan pada tahun 2004 dibanding 2003 dan 2002 (Nilai metrik menunjukkan dampak dari kerentanan yang dihitung berdasarkan kemudahan melakukan eksploitasi menggunakan kerentanan tersebut, jumlah pemakai yang terimbas dan sebagainya; sedang angka 20 semata-mata digunakan penulis untuk memfilter kerentanan yang mempunyai dampak menengah keatas, walau tidak tepat benar). Statistik di atas cukup menunjukkan tingkat keseriusan vendor TI dalam penanganan keamanan, tetapi tidak cukup kuat untuk mengatakan bahwa kondisi keamanan tahun 2004 lebih baik dibanding tahun sebelumnnya. Bahkan, menurut survei terhadap perusahaan-perusahaan di Inggris, yang dilakukan oleh Department of Trade and Industry (DTI) bersama PricewaterhouseCoopers, menunjukkan hal sebaliknya. Perubahan peta kerentanan yang mencolok antara tahun 2002 dan 2003/2004 adalah dalam hal jumlah kerentanan untuk server web yang menurun drastis. Statistik ini sekali lagi menunjukkan usaha keras vendor, terutama Microsoft, dalam menangani masalah keamanan. Namun, disisi lain, kerentanan pada sistem operasi (O/S) dan web browser tidak menunjukkan penurunan. Dari Server ke PC http://www.ebizzasia.com/0323-2005/column,agus,0323.html (2 of 5)7/30/2005 8:49:03 PM Kilas Balik Keamanan TI Tahun 2004, dan Tantangan Tahun 2005 - eBizzAsia Januari 2005 Perbedaan lain yang terjadi antara tahun 2002 dan 2003/2004, yang tidak terkuak dari grafik di atas adalah komposisi jumlah kerentanan O/S Microsoft dan vendor lainnya. Untuk tahun 2002, O/S Microsoft hanya berkontribusi 20% saja dari jumlah kerentanan O/S yang dicatat CERT dengan nilai metrik lebih dari 20. Sedang tahun 2003 meningkat menjadi 71% dan tahun berikutnya menjadi 77%. Seperti diketahui, penggunaan O/S non Microsoft umumnya diperuntukkan bagi server, sedang untuk komputer perseorangan, O/S Microsoft masih sangat mendominasi. Perubahan komposisi kerentanan antara O/S Microsoft dan Non Microsoft dari tahun 2002 ke 2003/2004 secara tidak langsung menunjukkan pergeseran pola serangan dari server ke PC. Seperti pernah ditulis pada edisi sebelumnya, pergeseran itu diprediksi karena proteksi terhadap server jauh lebih serius ketimbang PC, yang menyebabkan hackers mencari mata rantai yang lebih rapuh dan mudah untuk ditembus, yaitu PC. Fokus sasaran 2004 : Web Browser Pergeseran serangan dari Server ke PC juga mengubah teknik serangan dari aktif ke pasif. Teknik pasif, umumnya dilakukan dengan cara mengirim umpan berupa e-mail atau membuat situs yang menarik untuk dikunjungi. Tujuannya, tidak lain agar sipengunjung memberi informasi rahasia atau men- download program trojan . Walau teknik ini sifatnya menunggu, tapi tingkat keberhasillannya diperkirakan jauh lebih tinggi dibanding teknik aktif. Kasus phising tahun 2004 yang dilaporkan AntiPhising Working Group adalah salah satu buktinya. -Pada November 2004 tercatat 1,518 situs phishing yang aktif, dan meningkat rata-rata 28% per bulan sejak July 2004. Tingginya kasus yang mencuat , menjadikan phishing salah satu ancaman berbahaya di tahun 2004. Phishing merupakan metode yang mencampurkan teknik social engineering , dengan cara mengirim email yang berisikan kata-kata yang mendorong seseorang untuk akses ke situs palsu, dan teknik eksploitasi yang memanfaatkan kerentanan web browser, seperti command injection , cross-site scripting (penjelasan yang mudah dicerna beserta contohnya dapat dilihat pada situs www.secunia.com ). Korban phishing akan merasa situs yang diakses memang benar-benar situs aslinya (ulasan tentang phishing dibahas lebih detil pada edisi http://www.ebizzasia.com/0323-2005/column,agus,0323.html (3 of 5)7/30/2005 8:49:03 PM Kilas Balik Keamanan TI Tahun 2004, dan Tantangan Tahun 2005 - eBizzAsia Januari 2005 sebelumnya). Virus/Worm : Lagu lama yang tetap harus didengar Kasus worm Sasser yang muncul pada bulan May, merupakan kasus terbesar yang tidak mudah dilupakan. Banyak orang yang masih ingat bagaimana jengkelnya menghadapi komputer yang boot sendiri akibat ulah Sasser. Tahun 2004 ini juga diramaikan oleh keluarga virus lainnya seperti Bagle, Mydoom, Netsky, Korgo dan Sober. Kehadiran virus itu seringkali karena kompetisi antara sesama pembuat virus, seperti diakui Sven Jaschan, si pembuat Sasset dan Netsky. Jika tahun 2003 pernah dinyatakan sebagai year of the virus/worm , agaknya kalau melihat statistik yang dibuat oleh F-Secure untuk tahun 2004, predikat itu masih belum lepas. Tahun 2004 ini juga ditandai dengan ditemukannya virus Cabir, virus yang pertama kali menyerang mobile phone . Profit dan Kompetisi Latar belakang profit dan kompetisi mulai tampak nyata pada ganguan keamanan yang terjadi pada tahun 2004. Kasus phishing adalah contoh yang jelas. Begitu pula, virus Bagle, Mydoom, dan Korgo. Disinyalir hal itu berhubungan dengan para spammer dan bertujuan untuk mencuri informasi rahasia nasabah Bank. Kasus lain yang bermotifkan kompetisi, dilakukan oleh suatu ISP dengan mengirimkan paket Denial of Service (DoS) untuk melumpuhkan ISP pesaingnya. Peraturan Kalau di Amerika Serikat banyak perusahaan publik disibukkan untuk memenuhi kepatuhan ( compliance ) terhadap Sarbanes-Oxley, di Indonesia kesibukkan semacam ini tidak dijumpai, kecuali pada sektor perbankan. Bank Indonesia (BI) telah mengeluarkan Peraturan Bank Indonesia No: 5/8/PBI 2003 yang mewajibkan Bank Umum untuk menerapkan manajemen risiko. Sebagai pelengkap peraturan tersebut, BI juga mengeluarkan Pedoman Standar Penerapan Manajemen Risiko bagi bank umum, surat No 5/21/DPNP yang mensyaratkan adanya pengamanan dan Disaster Recovery Plannin g pada sistem TI Bank. Selain itu, BI juga mengeluarkan surat edaran No: 6/18/DPNP yang berkaitan dengan Internet Banking dan surat edaran No: 6/14/DASP, yang salah satunya mengisyaratkan security audit terhadap sistem RTGS ( real-time gross settlement ). Adanya peraturan itu, menjadikan bank sibuk membuat action plan untuk program keamanan TI pada 2004. Tantangan tahun 2005 Dengan semakin banyaknya mobile computing ( laptop, PDA, handphone ) yang berinteraksi tidak hanya dengan jaringan perusahaan, tetapi juga dengan dunia luar tanpa ada pembatas, menyebabkan mobile computing menjadi perimeter (batas) jaringan perusahaan itu sendiri. Kondisi itu, tentunya memerlukan kontrol keamanan yang lebih ketat terhadap mobile computing . Selain itu, melihat kondisi tahun 2004 yang kemungkinan besar akan berlanjut di tahun 2005, http://www.ebizzasia.com/0323-2005/column,agus,0323.html (4 of 5)7/30/2005 8:49:03 PM Kilas Balik Keamanan TI Tahun 2004, dan Tantangan Tahun 2005 - eBizzAsia Januari 2005 terutama serangan yang lebih tertuju pada PC, maka program sosialisasi ( awareness ) keamanan informasi perlu mendapat porsi yang lebih besar, perlu anggaran khusus, serta menjadi program dengan cakupan perusahaan, bukan program divisi/departemen semata. Untuk mengantisipasi phishing , bagi perusahaan yang mempunyai portal untuk bertransaksi, seperti Internet Banking , perlu menginformasikan kepada para nasabahnya akan bahaya phishing dan langkah-langkah pencegahannya. Citibank Indonesia adalah salah satu contoh bank yang telah menginformasikan hal tersebut bersamaan dengan pengiriman tagihan kartu kredit. Tantangan lain pada tahun 2005, yang sebenarnya juga menjadi pekerjaan rumah di tahun-tahun sebelumnya, adalah penanggulangan terhadap virus/worm. Beberapa perusahaan telah dan akan mencanangkan upaya ‘pemaksaan' updating anti-virus dan patch , yaitu dengan cara membuat proses download dan instalasi anti-virus/patch terbaru yang dilakukan secara otomatis setiap kali karyawan login ke domain/jaringan, dan tidak ada pilihan untuk membatalkan ( cancel ) proses itu. Agus Pracoyo • channel manager / security consultant pada PT. Indokom Primanusa dengan alamat e-mail: [email protected] Foto: dok. ebizzasia © 2003 - 2005 eBizzAsia. All rights reserved. http://www.ebizzasia.com/0323-2005/column,agus,0323.html (5 of 5)7/30/2005 8:49:03 PM
© Copyright 2024 Paperzz
