metode CSMA/CA & CSMA/CD

METODA AKSES : CSMA/CD

Metoda akses yang digunakan ethernet dalam LAN disebut carrier sense multiple access with collision detection disingkat CSMA/CD. Maksudnya, sebelum komputer/device mengirim data, komputer tersebut “menyimak/mendengar” dulu media yang akan dilalui sebagai pengecekan apakah komputer lain sedang menggunakannya, jika tidak ada maka komputer/device akan mengirimkan data nya. Terkadang akan terjadi dua atau lebih komputer yang mengirimkan data secara bersamaan dan itu akan mengakibatkan collision (tabrakan). Bila collisionterjadi maka seluruh komputer yang ada akan mengabaikan data yang hancur tersebut. Namun bagi komputer pengirim data, dalam periode waktu tertentu maka komputer pengirim akan mengerim kembali data yang hancur akibat tabrakan tersebut.

Metode Akses : CSMA/CA
Di suatu jaringan yang menggunakan metode akses CSMA/CA, ketika komputer mempunyai data untuk ditransmisikan, NICnya terlebih dahulu mengecek kabel apakah sudah ada data yang siap di kabel. Sejauh ini, proses ini ada juga di CSMA/CD.
Namun, jika NIC meresakan bahwa kabel tidak digunakan, NIC tidak akan mengirim paket datanya. Dia akan mengirimkan sinyal yang menandakan bahwa NIC mungkin mentransmisikan data luar menuju kabel.

Kelebihan CSMA/CA 

Efektif : Menghindari data yang bertubrukan
Relativ Lambat : Sinyal penanda harus dikirim setiap waktu ketika komputer ingin mentransmisikan penyebab
Handal : Sinyal yang dikirim ketika kabel benar-benar bersih dari aliran data sehingga data akan disampaikan dengan aman sampai tujuan.

Kelemahan CSMA/CA
Tidak cocok untuk jaringan besar/aktif.
Terbatas : memiliki keterbatasan jarak yang sama dengan CSMA / CD karena harusmendengarkan dari sinyal.

Metode Serangan DOS dan DDOS

Metode Serangan DOS dan DDOS

Beberapa metode serangan DOS dan DDOS Attack yang  umum dilakukan adalah sebagai berikut : 

1.                  SYN-Flooding

SYN-Flooding merupakan network Denial of Service yang memanfaatkan 'loophole' pada saat koneksi TCP/IP terbentuk. Kernel Linux terbaru (2.0.30 dan yang lebih baru) telah mempunyai option konfigurasi untuk mencegah Denial of Service dengan  mencegah menolak cracker untuk mengakses sistem.

2.                  Pentium 'FOOF' Bug

                Merupakan serangan Denial of Service terhadap prosessor Pentium yang menyebabkan sistem menjadi reboot. Hal ini tidak  bergantung terhadap jenis sistem operasi yang digunakan tetapi lebih spesifik lagi terhadap prosessor yang digunakan yaitu pentium.

3.        Ping Flooding

Ping Flooding adalah brute force Denial of Service sederhana. Jika serangan dilakukan oleh penyerang dengan bandwidth yang lebih baik dari korban, maka mesin korban tidak dapat mengirimkan paket data ke dalam jaringan (network). Hal ini terjadi karena mesin korban dibanjiri (flood) oleh peket-paket ICMP. Varian dari seranganini disebut "smurfing".

4.        FTP Bounce Attack 

FTP (File Transfer Protocol) digunakan untuk melakukan transfer dokumen dan data secara anonymously dari mesin local ke server dan sebaliknya. Idealnya seorangadministrator ftp server mengerti bagaimana serangan ini bekerja. FTP bounce attack digunakan untuk melakukan slip past application-basedfirewalls dalam sebuah bounce attack,hacker melakukan upload sebuah file aplikasi atau script pada ftp server dan kemudian melakukan request pada file ini dikirim ke server internal. File tersebut dapat terkandung di dalamnya malicioussoftware atau suatu script yang simple yang membebani server internal dan menggunakan semua memory dan sumber daya CPU.5. 

5.                  Port Scanning Attack 

                Sebuah port scan adalah ketika seseorang menggunakan software untuk secara sistematik melakukan scan bagian-bagian dari sistem mesin komputer orang lain. Hal yang dibolehkan dalam penggunaan software ini adalah untuk manajemen network kebanyakan hacker masuk ke komputer lain untuk meninggalkan sesuatu ke dalamnya, melakukan capture terhadap password atau melakukan perubahan konfigurasi set-up. Metode pertahanan dari serangan ini, melakukan monitor network secara teratur. Ada beberapa free tools yang dapat melakukan monitor terhadap scan port dan aktivitas yang berhubungan dengannya.

6.      Smurf Attack

                Smurf Attack merupakan modifikasi dari serangan ping dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir the victim mesin atau sistem dengan ratusan atau ribuan ping.

6.        Fragment Attack  IP Fragmentation/Overlapping

            Yaitu memfasilitasi IP relatif sesak pengiriman melalui jaringan. Paket IP dapat dikurangi dalam ukuran atau pecah menjadi paket yang lebih kecil. Dengan membuat paket-paket yang sangat kecil, router dan system deteksi intrusi tidak dapat  mengidentifikasi isi paket dan akan  membiarkan mereka melewati tanpa pemeriksaan. Ketika sebuah paket disusunkembali pada ujung yang lain, itu buffer overflows. Mesin akan hang, reboot atau  mungkin tidak menunjukkan efek sama sekali. Dalam Fragmen Tumpang Tindih Attack, paket yang disusun kembali dimulai di tengah paket lain. Sebagai  sistem operasi tersebut menerima paket yang tidak valid, itu mengalokasikan memori untuk menahan mereka. Ini akhirnya menggunakan semua sumber daya memori dan menyebabkan mesin untuk reboot atau menggantung.

8.    IP Sequence Prediction Attack

Yaitu dengan menggunakan metode Banjir SYN, hacker dapat membuat koneksi dengan mesin korban dan mendapatkan urutan nomor paket IP dalam SeranganPrediksi Urutan IP. Dengan jumlah ini, hacker dapat mengontrol mesin korban dan menipu itu menjadi percaya itu berkomunikasi dengan mesin lain jaringan. Mesin korban akan Menyediakan layanan yang diminta. Sebagian besar sistem operasi sekarang mengacak nomor urut mereka untuk mengurangi kemungkinan prediksi.

9.    DNS Cache Poisoning

            DNS menyediakan informasi host didistribusikan digunakan untuk  pemetaan nama domain, dan alamat IP. Untuk meningkatkan produktivitas, server DNS cache data yang terbaru untuk pencarian cepat. Cache ini bisa diserang dan informasi palsu untuk mengarahkan sambungan jaringan atau  memblokir akses ke situs Web, sebuah taktik  licik  yan g disebut cache  DNS  keracunan.

10.    SNMP Attack 

     Kebanyakan dukungan jaringan perangkat SNMP karena aktif  secara default. Sebuah serangan SNMP dapat mengakibatkan jaringan yang dipetakan, dan lalu lintas dapat dipantau dan diarahkan.

11.  UDP Flood Attack

            Serangan Banjir UDP sebuah link Serangan dua sistem yang tidak curiga. Oleh Spoofing, banjir UDP hook up sistem UDP satu layanan (yang untuk tujuan pengujian menghasilkan karakter untuk setiap paketyang diterimanya) dengan sistem lain layanan echo UDP (yang gemanya setiap karakter yang diterimanya dalam upaya untuk menguji program jaringan). Akibatnya non-stop banjir data yang tidak berguna between two lewat sistem.

12.    Send Mail Attack 

Dalam serangan ini,  ratusan dari ribuan pesan dikirim dalam waktu yang singkat load normal biasanya hanya berkisar 100 atau 1000 pesan per  jam. Serangan melawan pengiriman email mungkin tidak  berdampak pada bagian depan, tetapi waktu down sebuah padabeberapa website akan terjadi. bagi perusahaan yang reputasinya bergantung pada reliablenya dan keakuratan transaksi pada base web, sebuah serangan DoS dapat menjadi pemicu utama dan merupakan ancaman yangserius untuk berjalannya bisnis.

sumber

- http://alwayslookdown12.blogspot.com/2013/01/metode-serangan-dos-dan-ddos.html

Enkripsi

Enkripsi adalah proses mengubah atau mengamankan sebuah teks asli atau teks terang menjadi sebuah teks tersandi.

Dalam ilmu kriptografi, enkripsi adalah proses untuk mengamankan sebuah informasi agar informasi tersebut tidak dapat dibaca tanpa pengetahuan khusus.

Pada tahun 1970an, enkripsi dimanfaatkan untuk pengamanan oleh sekretariat pemerintah AS pada domain publik, namun sekarang enkripsi digunakan pada sistem secara luas, sperti ATM pada bank, e-commerce, dan lain sebagainya.

Kekurangan dan kelebihan enkripsi antara lain :

• Kelebihan dari Enkripsi
• Kerahasiaan suatu informasi terjamin
• Menyediakan autentikasi dan perlindungan integritas pada algoritma checksum/hash
• Menanggulangi penyadapan telepon dan email
• Untuk digital signature
• Kekurangan dari Enkripsi
• Penyandian rencana teroris
• Penyembunyian record kriminal oleh seorang penjahat
• Pesan tidak bisa dibaca bila penerima pesan lupa atau kehilangan kunci

Dan tujuan dari enkripsi adalah :

1.     Kerahasiaan :Yaitu untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk membuka informasi yang telah dienkripsi.

2.     Integritas data : Untuk menjaga keaslian/keutuhan data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.

3.     Autentikasi : Ini berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.

4.     Non-repudiasi/Nirpenyangkalan : Adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat. Cara kerja dari algoritma ini adalah dengan menggantikan setiap karakter dari plaintext dengan karakter lain.

Ada istilah dalam enkripsi, yaitu Ciphers, adalah sebuah algoritma untuk menampilkan enkripsi, yang disebut dekripsi. Informasi yang asli disebut plaintext, dan informasi yang sudah di enkripsi disebut ciphertext. Namun isi dari ciphertext tidak dapat dibaca atau diketahui oleh manusia maupun komputer, sebelum melalui proses yang tepat untuk melakukan dekripsi

Algoritma enkripsi

Enkripsi digunakan pertama dalam persandian pada waktu pemerintahan Yulius Caesar dikenal dengan Caesar Cipher dengan mengganti posisi huruf awal dari alphabet.

Contoh : huruf digeser 3 digit

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Plaintext : “Saya main computer”

Ciphertext : “VDBD PDLQ FRPSXWHU”

Algoritma dari Caesar cipher adalah jika (a=1.b=2, dan seterusnya). Plaintex diberi simbol “P” dan cipher text adalah “C” dan kunci adalah “K”.

Rumus untuk enskripsi :

C = E(P) = (P+K) mod (26)

Dari contoh di atas, maka enskripsi dapat dilakukan dengan rumus :

C= E(P) =(P+3) mod (26)

Caesar Cipher menggunakan satu kunci/Subsitusi deret campur kata kunci :

Contoh : menggunakan kata kunci RINI ANGRAINI = RINAG

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

R I N A G B C D E F H J K L M O P Q S T U V W X Y Z

Note : huruf yang telah muncul pada Key tidak ditulis kembali.

Plaintext : “Belajar keamanan computer”

Ciphertext : “IGJRFRQ HGRKRLRL NMKOUTGQ”

Caesar Cipher menggunakan dua kunci :

Contoh : menggunakan kata kunci pertama : RINI ANGRAINI = RINAG

Kunci kedua : RAHMAT HIDAYAT = RAHMTIDY

K1 .

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

R I N A G B C D E F H J K L M O P Q S T U V W X Y Z

Chipertext

K2 K1 ke K2

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

R A H M T I D Y B C E F G J K L N O P Q S U V W X Z

Plaintext : “Saya belajar keamanan computer”

Ciphertext : “POXO BDCOION YDOEOFOF JGEKSQDN”

Penggunaan dua kunci akan menyulitkan untuk dideteksi, walaupun satu kunci sudah ditemukan. Cara untuk mengubah plaintext menjadi ciphertext adalah dengan menukarkan huruf asli dengan huruf yang sudah memakai kunci (T1) dan mencari huruf yang sama pada T2. Huruf yang akan menjadi ciphertext adalah huruf dari persamaan T2 seperti pada contoh diatas.

Caesar Cipher menggunakan tiga kunci :

Contoh : menggunakan kata kunci pertama : RINI ANGRAINI = RINAG

Kunci kedua : RAHMAT HIDAYAT = RAHMTIDY

Kunci ketiga : DIANA PUTRI = DIANPUTR

K1 .

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

R I N A G B C D E F H J K L M O P Q S T U V W X Y Z

K2

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

R A H M T I D Y B C E F G J K L N O P Q S U V W X Z

K3 .

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

D I A N P U T R B C E F G H J K L M O Q S V W X Y Z

Untuk tiga kunci pada plaintext dapat digunakan pendistribusian kunci-kunci, dimana plaintext terlebih dahulu dibagi menjadi block-block yang terdiri dari 6 huruf satu block.

Contoh :

Plaintext : “Saya belajar keamanan computer”

Block : Sayabe lajark eamana ncompu terxxx

K1 K2 K3 K1 K2

Maka Ciphertext : “SRYRIG FRCROE PDGDHD LNMKOU QTOWWW”

Shift Cipher

Teknik subsitusi shift cipher dengan modulus 26 dengan memberikan angka ke setiap alphabet seperti a=0, b=2, c=3,….,z=25.

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

Contoh :

Plaintext : “Lagi senang program”

Angka yang didapat P : “11 0 6 8 18 4 13 0 13 6 15 17 14 6 17 0 12”

Kalau key : 11

Maka angka C yang didapat adalah :

22 11 17 19 3 15 24 11 24 17 0 2 25 17 2 11 23

Kemudian angka hasil dikonversi ke bentuk huruf, sehingga akan didapatkan ciphertext sebagai

berikut :

WLRT DPYLYR ACZRCLX

Vigenere cipher

Pada Vigenere cipher memungkinkan setiap ciphertext memiliki banyak kemungkinan plaintext-nya, yang dapat dilakukan dengan 2 cara :

·         Angka

·         huruf

Angka :

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

Kita memiliki kunci dengan 6 huruf cipher. Jika ditukar dengan angka, maka akan menjadi K=(2, 8, 15, 7, 4, 17). Dengan demikian bila plaintext adalah “Sudah larut malamxxx”

S U D A H L A R U T M A L A M

18 20 3 0 7 11 0 17 20 19 12 0 11 0 12

2 8 15 7 4 17 2 8 15 7 4 17 2 8 15

20 2 18 7 11 2 2 25 9 0 16 17 13 8 1

ciphertextnya adalah :

UCSHL CCZIAQRNIB

Teknik Transposisi Chiper

Teknik ini menggunakan permutasi karakter. Penggunaan teknik ini memungkinkan pesan yang asli tidak dapat dibaca kecuali memiliki kunci untuk mengembalikan pesan tersebut ke bentuk semula (deskripsi). Ada 6 kunci yang digunakan untuk melakukan permutasi chipper :

B e l a j a

1 2 3 4 5 6

3 5 1 6 4 2

L j b a a e

Langkah yang harus dilakukan :

1.      Bentuk blok-blok text dari plaint text yang akan di enskripsikan, dimana setiap blok text terdiri dari 6 karakter/huruf.

2.      Setiap blok text yang dibentuk diberi nomor urutan dari 1-6.

3.      Setiap blok text yang telah dibentuk dipermutasikan atau ditukar letaknya sesuai dengan rumus di atas.

Plant text : Kriptografi dengan teknik transposisi chipper

Enskripsi :

Bentuk blok text :

1 2 3 4 5 6 1 2 3 4 5 6 1 2 3 4 5 6 12 3 4 5 6

K R I P T O G R A F I D E N G A N T EKN I KT RANSPO SISICH IPPERX

1 2 3 4 5 6

3 5 1 6 4 2

Hasil Permutasi (chipper Text):

I T K O P R A I G D F R G N E T A N

Contoh enkripsi dalam bahasa pemrograman

Disini saya mencoba bahasa pemrograman yang ada pada YII Framework sebagai contoh kasus.

Berikut adalah sepenggal contoh kasusnya :

public function hashPassword($password,$salt)
{
return md5($salt.$password);
}

public function beforeSave()
{
$isinya=$this->generateSalt();
$dua=$this->password;
$this->enkrip=$isinya;
$this->password=$this->hashPassword($dua,$isinya);
$this->id_level=3;
return true;
}

Penjelasannya :

public function hashPassword($password,$salt)==> Mengenkripsi password sesuai dengan code yang diberikan

return md5($salt.$password)==> password akan di enkripsi dalam model md5

protected function generateSalt()==> menggenerate otomatis code enkripsi password.

Sumber

-http://ghietta.blogspot.com/2013/05/enkripsi-subtitusi-cipher.html

Mekanisme Digital Signature

Dalam teknologi Digital Signature ini, pengirim dan penerima pesan masing – masing memiliki dua kunci, yaitu kunci pribadi dan kunci publik.  Kunci pribadi tidak akan diberitahukan kepada siapapun, sedangkan kunci publik akan diberitahukan kepada setiap orang.  Kunci pribadi ini disimpan oleh pemiliknya dan digunakan untuk membuat Digital Signature.  Sedangkan kunci publik dapat diserahkan kepada siapa saja yang mau memerika keaslian Digital Signature pada suatu dokumen yang dikirimkan.

Dalam Digital Signature, suatu dokumen dienkripsi dengan menggunakan kunci.  Kunci yang digunakan dalam melakukan enkripsi dibedakan menjadi :

1. Kunci simetris terdiri dari dua kunci, satu untuk enkripsi dan yang lain untuk dekripsi
2. Kunci asimetrik, menggunakan sepasang kunci yang berbeda

Kedua kunci ini memiliki hubungan yang matematis dan berkaitan sehingga data yang dienkripsi hanya dapat di dekripsi dengan kunci pasangannya.  Dengan menggunakan Digital Signature ini, penerima akan dapat mempercayai bahwa data yang diterima benar dikirimkan oleh pengirim.  Karena jika terdapat perubahan data dapat menyebabkan perubahan message digest dengan cara yang tidak dapat diprediksi sehingga penerima merasa yakin bahwa data pesan tidak pernah diubah setelah diciptakan message digest

Ada 3 proses dalam Digital Signature ini yaitu ;

1. Proses memilih kunci privat secara acak
2. Proses pemberian tanda tangan, menerima kunci privat sehinggal menghasilkan tanda tangan
3. Proses memverifikasi tanda tangan, memverifikasi pesan yang telah ditanda – tangani

Ketika dua orang akan saling bertukar data secara aman yang dalam hal ini dalam aplikasi E-Commerce.  Mereka saling mengirimkan satu kunci yang dipunya, yaitu kunci publik.  Sedangkan kunci privatnya merupakan pasangan dari kunci publik tersebut.  Jadi ketika mengirimkan data pada jaringan E-Commerce, dokumen hanya bisa dienkripsi dan didekrpisi dengan menggunakan kunci pasangannya sehingga data tersebut ditransmisikan secara aman di jaringan publik.  Dengan adanya digital signature di jaringan E-Commerce, maka user megetahui data elektronik suatu jasa E-Commerce berasal.  Terjaminnya integritas pesan tersebut terjadi karena adanya Digital Certificate.

 sumber : http://tbibistel.wordpress.com/2011/05/23/mekanisme-digital-signature/

Social engineering

Social Engineering

Apakah yang dimaksud dengan social engineering? Apakah social engineering teknik hacking yang mudah atau sulit untuk dilakukan? Technology Tower akan mencoba memaparkan apa yang dimaksud social engineering serta seluk beluk dari teknik ini.

Social Engineering Technique

Ada prinsip dalam dunia keamanan jaringan yang berbunyi “kekuatan sebuah rantai

tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa asingnya

“the strength of a chain depends on the weakest link”. Apa atau siapakah “the weakest link”

atau “komponen terlemah” dalam sebuah sistem jaringan komputer? Ternyata jawabannya

adalah: manusia. Walaupun sebuah sistem telah dilindungi dengan piranti keras dan piranti

lunak canggih penangkal serangan seperti firewalls, anti virus, IDS/IPS, dan lain sebagainya

– tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan itu tidaklah

ada artinya. Para kriminal dunia maya paham betul akan hal ini sehingga kemudian mereka

mulai menggunakan suatu kiat tertentu yang dinamakan sebagai “social engineering” untuk

mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh manusia.

Kelemahan Manusia

Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data

atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan

manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering

adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi

kelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:

Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari

atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan

langsung memberikan tanpa merasa sungkan;

Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik,

rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan

langsung memberikannya tanpa harus merasa curiga; dan

Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang

sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana,

atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data

atau informasi yang diinginkan tanpa bertanya lebih dahulu.

Tipe Social Engineering

Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis

interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social

engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka

yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi sasaran penipuan adalah

individu yang bekerja di divisi teknologi informasi perusahaan. Modus operandinya sama,

yaitu melalui medium telepon.

Skenario 1 (Kedok sebagai User Penting)

Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal

sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena

takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan

mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung

memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama

Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.

Skenario 2 (Kedok sebagai User yang Sah)

Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita

menelepon staf junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi

dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong bantu

reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang

tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa

bantu ya?”. Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam

acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan

cek dan ricek. Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama

terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor

telepon Iwan diketahuinya dari Satpam dan/atau receptionist.

Skenario 3 (Kedok sebagai Mitra Vendor)

Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional

teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis sebagai berikut:

“Pak Aryo, saya Ronald dari PT Teknik Alih Daya Abadi, yang membantu outsource file

CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba modul baru kami secara cuma-

cuma. Boleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari

tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas

canggih dari program CRM versi terbaru.” Merasa mendapatkan kesempatan, kepercayaan,

dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya

kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu nama-

nama yang bersangkutan melalui berita-berita di koran dan majalah mengenai produk/jasa PT

Teknik Alih Daya Abadi dan nama-nama klien utamanya.

Skenario 4 (Kedok sebagai Konsultan Audit)

Kali ini seorang penipu menelpon Manajer Teknologi Informasi dengan menggunakan

pendekatan sebagai berikut: “Selamat pagi Pak Basuki, nama saya Roni Setiadi, auditor

teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi prosedur.

Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu bagaimana cara Bapak

melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”.

Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai

struktur keamanan website yang diimplementasikan perusahaannya. Tentu saja sang kriminal

tertawa dan sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga

mempermudah yang bersangkutan dalam melakukan serangan.

Skenario 5 (Kedok sebagai Penegak Hukum)

Contoh terakhir ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai

pendekatan penjahat kepada calon korbannya: “Selamat sore Pak, kami dari Kepolisian yang

bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami

memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud

untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan

spesifikasi jaringan anda secara detail?”. Tentu saja yang bersangkutan biasanya langsung

memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan

atau keaslian identitas penelpon.

Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital

lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti:

Skenario 1 (Teknik Phishing – melalui Email)

Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia.

Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan

bank. Email yang dimaksud berbunyi misalnya sebagai berikut:

“Pelanggan Yth. Sehubungan sedang dilakukannya upgrade sistem teknologi

informasi di bank ini, maka agar anda tetap mendapatkan pelayanan perbankan yang prima,

mohon disampaikan kepada kami nomor rekening, username, dan password anda untuk kami

perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini. Terima kasih

atas perhatian dan koordinasi anda sebagai pelanggan setia kami. Wassalam, Manajer Teknologi Informasi”

Bagaimana caranya si penjahat tahu alamat email yang bersangkutan? Banyak cara yang

dapat diambil, seperti: melakukan searching di internet, mendapatkan keterangan dari kartu

nama, melihatnya dari anggota mailing list, dan lain sebagainya.

Skenario 2 (Teknik Phishing – melalui S MS)

Pengguna telepon genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor

terjual pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada

telepon genggam atau sejenisnya untuk melakukan social engineering seperti yang terlihat

pada contoh S MS berikut ini:

“Selamat. Anda baru saja memenangkan hadiah sebesar Rp 25,000,000 dari Bank X

yang bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer

uang tunai kemenangan ke rekening bank anda, mohon diinformasikan user name dan

passoword internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X

mengucapkan selamat atas kemenangan anda…”

Skenario 3 (Teknik Phishing – melalui Pop Up Windows)

Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window”

yang bertuliskan sebagai berikut:

“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk

membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.”

Tentu saja para awam tanpa pikir panjang langsung menekan tombol BERSIH K A N yang

akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait yang

dapat dimasukkan virus atau program mata-mata lainnya.

Jenis Social Engineering Lainnya

Karena sifatnya yang sangat “manusiawi” dan memanfaatkan interaksi sosial, teknik-teknik

memperoleh informasi rahasia berkembang secara sangat variatif. Beberapa contoh adalah

sebagai berikut:

- Ketika seseorang memasukkan password di AT M atau di PC, yang bersangkutan

“mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat

terlihat;

- Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja

perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya;

- Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor

manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia;

- Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit”

individu atau mereka yang memiliki akses legal;

- Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card

yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam;

- Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan

manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah

informasi berharga;

- Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil

pelan-pelan berusaha menguak sejumlah informasi berharga darinya;

- Dengan menggunakan situs social networking – seperti facebook, myspace, friendster,

dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses

“penelanjangan” informasi rahasia;

dan lain sebagainya.

Target Korban Social Engineering

Statistik memperlihatkan, bahwa ada 4 (empat) kelompok individu di perusahaan yang kerap

menjadi korban tindakan social engineering, yaitu:

1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk

ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel

yang bekerja dalam lingkungan dimaksud;

2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani

pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci

akses penting ke data dan informasi rahasia, berharga, dan strategis;

3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk

mengelola manajemen password dan account semua pengguna teknologi informasi di

perusahaan;

 4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak

yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang

dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan

5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar

keamanan informasi di perusahaan.

Solusi Menghindari Resiko

Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana

cara menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa

disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset informasi

penting perusahaan, yaitu:

- Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di

dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini

mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi

atau perusahaan;

- Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan

mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya,

untuk mengurangi insiden-insiden yang tidak diinginkan;

- Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar

terhindar dari berbagai penipuan dengan menggunakan modus social engineering;

- Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai

pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;

- Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional

sehari-hari – misalnya “clear table and monitor policy” - untuk memastikan semua

pegawai melaksanakannya; dan lain sebagainya.

 Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan

perlu pula melakukan sejumlah usaha, seperti:

- Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya

(baca: vulnerability analysis);

- Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan

“penetration test”;

- Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar

yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi;

- Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi,

institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai

program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada

keamanan informasi;

- Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan

nilainya;

- Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan

suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.

sumber : http://andi-techno.blogspot.com/2012/04/memahami-teknik-social-engineering.html