Keamanan Informasi dan Kopi Candu
Keamanan Informasi dan Kopi Candu, sebenarnya tidak ada hubungan apa-apa hanya saja tulisan ini terinspirasi dari kegiatan baru beberapa minggu ini yang rutin di pagi hari dan mengobrol beberapa hal salah satu topik yang menarik untuk dijadikan bahan diskusi. Pagi itu, teman kerja ah bukan tepatnya atasan menanyakan tentang keamanan sistem dan bercerita mulai dari kasus-kasus yang sering terjadi dan ya viralnya kebocoran data beberapa bulan yang lalu yang dialami oleh salah satu lembaga pemerintahan. Dalam tulisan ini tidak begitu membahas secara teknis, jadi kalau mau mencari yang teknis bukan disini, tetapi misal ingin tahu konsepnya bisa lanjut membaca.
Konsep Keamanan Informasi
Menurut saya, topik yang dibicarakan ini sangatlah menarik yaitu tentang keamanan informasi dan menoleh beberapa tahun yang lalu pernah mengikuti kursus dari IndonesiaX tentang Keamanan Informasi: Melindungi Informasi Anda di Era Digital yang diampu oleh Pak Budi Rahardjo. Dalam kursus tersebut dijelaskan beberapa hal tentang keamanan informasi, mulai dari jenis penyerangan dan konsep dari keamanan informasi. Membicarakan keamanan juga tidak terlepas dari kenyamanan, dua hal yang tidak dapat dilepaskan dan harus seimbang. Misalkan, Anda ingin mengamankan rumah yang selama ini ditempati saat Anda keluar. Karena menggunakan satu gembok kunci, Anda merasa belum aman maka Anda menambah satu lagi. Sekarang sudah ada 2 gembok untuk mengamankan rumah Anda, tetapi masih belum merasa aman. Anda menambah 20 gembok lagi dana merasa sudah aman, Anda sudah mengunci pintu dengan 20 gembok dan Anda baru ingat bahwa ada barang yang tertinggal didalam rumah dan membuat Anda harus membuka 20 gembok satu persatu. Apakah Anda merasa nyaman dengan membuka 20 gembok satu persatu? tentu saja tidak.
Nah untuk itu, amat sangat perlu menyeimbangkan antara keamanan dan kenyamanan. Untuk menyeimbangkan hal tersebut, Anda perlu memahami arti dari keamanan tersebut. Dalam kursus yang saya sebut diatas, ada 1 kata yang selalu saya ingat untuk masalah keamanan karena merupakan konsep dasar dari keamanan, kata tersebut adalaha CIA. CIA yang dimaksud ini bukan badan intelijen milik Amerika ya, tetapi singakatan dari Confidetiality, Integrity dan Availability.
Confidetaility itu membahas tentang kerahasian, dalam hal ini menjaga kerahasian data yang ada. Misalkan, data perusahaan berupa detail keuangan hanya departemen keuangan dan orang-orang tertentu yang berhak mengkases datanya.
Integrity atau dapat diartikan sebagai integritas atau suatu kesatuan yang utuh. Jadi, data tidak boleh diubah tanpa seizin dari pemilik data.
Availability atau ketersediaan. Jadi, suatu sistem atau data harus tersedia saat dibutuhkan.
Selain CIA, ada satu kata yang harus diingat kalau membahas keamanan informasi. Yaitu PPT (People, Process, Technology), kalau mau lebih jelasnya lagi. Anda bisa mengikuti kursus tersebut, bukan maksud endorse tetapi menurut saya kursus tersebut menarik untuk diikuti. Selanjunya adalah membahas tentang jenis-jenis serangan pada sistem keamanan informasi.
Jenis-Jenis Serangan
Serangan-serangan terhadap suatu sistem informasi yang sering kita dengar adalah DDos (Distributed Denial of Service) Attack, dimana jenis serangan ini melakukan flooding dengan sampah dan biasanya melakukan flooding terhadap jaringan suatu sistem sehingga sistem tersebut tidak dapat diakses. Dan yang kedua adalah MMIT (Man Middle in the Attack), atau istilah sederhananya hampir dengan sabotase tetapi berbeda. Misalkan, Bernard mengirim pesan melalui suatu jaringan ke Anton dan saat proses pengiriman ternyata dilakukan penyadapan oleh Juli, karena Juli orangnya iseng dirubahlah isi pesan tersebut. Setelah dirubah, pesan hasil rubahan akan diteruskan ke Anton. Dan Anton menerima pesan yang seolah-olah itu pesan asli dari Bernard padahal bukan.
Dan yang ketiga adalah Social Engineering, serangan ini bukan ke sistemnya tapi menurut saya sangatlah menarik. Dan karena Social Engineering saya ingin belajar tentang Mind Power atau Hipnotis atau permainan psikologi. Social Engineering adalah salah satu penyerangan dengan melakukan manipuasi psikologis seseorang untuk mendapatkan informasi yang sangat rahasia. Misal, bertanya tentang password, nama ibu kandung atau nomor ID lainnya yang sangat rahasia.
Dari ketiga serangan tadi, sebenarnya jenis-jenis serangan menurut Williams Stalling, salah satu pakar keamanan informasi membagi jenis-jenis serangan keamanan informasi menjadi 4 jenis dan tergantung dari topologinya. Empat jenis serangan tersebut adalah:
1. Interruption
Atau dalam bahasa Indonesia artinya interupsi. Menurut KBBI, interupsi adalah penyelaan atau pemotongan. Dan serangan ini, ya memang tidak jauh dari itu. Penyerang melakukan interupsi, misal si A ingin mengirim informasi ke B tetapi ditengah jalan informasi tersebut dipotong atau disela oleh C, sehingga informasi tidak sampai ke B. Salah satu cara yang dapat dilakukan adalah melakukan flooding sehingga bandwidth jaringan habis. Software untuk melakukan flooding ada banyak sekali, salah satunya hping3.
2. Interception
Intersepsi atau penyadapan jaringan, biasanya menggunakan teknik sniffer. Kalau masalah sadap menyadap ini, mungkin sudah tidak asing lagi. Salah satu tools yang terkenal adalah Wireshark, software untuk menyadap dalam satu jaringan. Dulu waktu masih kuliah di kampus sebelumnya pernah mencoba, tetapi masih belum memahami lebih dalam terhadap info yang didapat dari Wireshark.
3. Modification
Modification atau modifikasi, penyerangan ini sudah disinggung sebelumnya. Yaitu MMIT, jenis serangan ini juga sangat berbahaya, misalkan saat mengirimkan sebuah file dan ditengah jalan file dirubah yang awalnya sebuah file gambar disisipi atau dirubah dengan malware atau ransomware, karena ketidaktaahun atas penyerangan tersebut. Si penerima membuka file yang sudah dirubah karena menganggap file tadi adalah asli, pasti tahu endingnya bukan?.
4. Fabrication
Jenis serangan ini, tujuannya untuk melakukan penipuan dengan membuat data palsu dan biasanya untuk mengirim phising. Contoh, pernahkah Anda menerima E-mail yang seolah-olah informasi yang dikirimkan oleh suatu E-Commerce, karena informasi yang dikirimkan meyakinkan Anda. Anda mengiyakan semua informasi yang diberikan dan bahkan mengirim data-data yang rahasia. Salah satu tool untuk melakukan penyerangan ini adalah Package Construction Kit.
Penutup
Salah satu cara untuk menangani masalah serangan-serangan tersebut adalah menggunakan metode Zero Trust dalam membangun keamanan suatu sistem seperti yang Google lakukan atau perusahaan-perusahaan besar lainnya, tetapi tetap saja tidak ada sistem yang aman dan jangan pernah bangga atau jumawa terhadap sistem yang sudah/sedang dibangun. Misalkan sistem kuat tetapi user dan pembuat sistem lemah dan mudah sekali mendapat info untuk masuk kedalam sistem. Bisa juga, user atau pembuat sistem kuat tetapi sistem yang dibangun lemah. Terima kasih, sudah membaca mungkin tulisan selanjutnya masih tentang keamanan sistem informasi. Sampai jumpa di artikel lainnya.
Referensi Tulisan dan Gambar:
Keamanan Informasi: Melindungi Informasi Anda di Era Digital