Senin, 10 Maret 2014

TUGAS SOFTSKILL

AUDIT AROUND THE COMPUTER DAN AUDIT THROUGHT THE COMPUTER

Pengertian Audit
Audit dapat dikatakan sebagai suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara tertulis ataupun lisan dengan menggunakan pembuktian yang secara objektif mengenai kumpulan pertanyaan-pertanyaan, apakah sudah sesuai dengan kriteria aktivitas dilapangan yang telah ditetapkan serta penyampaian hasil-hasilnya kepada yang memiliki kepentingan pada tujuan tertentu.
Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut dengan auditor. Tujuan dari diadakannya Audit adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima. Ada beberapa contoh audit, diantaranya adalah audit laporan keuangan pada suatu perusahaan, dimana auditor akan melakukan audit untuk melakukan penilaian terhadap laporan keuangan yang data-datanya bersifat relevan, akurat, lengkap dan disajikan secara wajar. Auditor mengeluarkan hasilnya secara benar dan akan lebih baik lagi jika dihasilkan dari pendapat yang independent.

Pengertian Audit Around The Computer
Audit around the computer adalah pendekatan audit dimana auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik.
Audit around the computer termasuk kedalam kategori audit sistem informasi dan lebiih tepatnya ke dalam metode audit. Audit around the computer dapat dikatakan hanya memeriksa dari sisi user saja pada masukkan dan keluarannya tanpa memeriksa lebih mendalam terhadap program atau sistemnya, bisa dikatakan bahwa audit around the computer adalah audit yang dipandang dari sudut pandang black box.
Audit around the computer dapat dilakukan pada saat :
1.      Dokumen sumber tersedia dalam bentuk kertas(bahasa non-mesin), artinya masih kasat mata dan dapat dilihat secara visual.
2.      Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
3.      Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
4.      Audit around the computer dapat digunakan ketika proses yang terotomasi dalam sistem cukup sederhana.

Audit around the computer sendiri memiliki kelebihan dan kelemahan, yaitu sebagai berikut :
Kelebihan :
1.      Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.
2.      Tidak harus mengetahui seluruh proses penanganan sistem.

Kelemahan :
1.      Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual. Tidak membuat auditor memahami sistem komputer lebih baik.
2.      Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensialdalam sistem.
3.      Lebih berkenaan dengan hal yang lalu daripada audit yang preventif
4.      Kemampuan komputer sebagai fasilitas penunjang audit terabaikan.
5.      Tidak mecakup keseluruhan maksud dan tujuan audit.
6.      Audit around the computer tidak menguji apakah logika program dalam sebuah sistem benar.
7.      Jenis pendekatan audit ini tidak menguji bagaimana pengendalian yang terotomasi menangani input yang mengandung error. Dampaknya, dalam lingkungan IT yang komplek, pendekatan ini akan tidak mampu untuk mendeteksi banyak error.

Pengertian Audit Throught The Computer
Audit through the computer adalah audit yang dilakukan untuk menguji sebuah sistem informasi dalam hal proses yang terotomasi, logika pemrograman, edit routines, dan pengendalian program. Pendekatan audit ini menganggap bahwa apabila program pemrosesan dalam sebuah sistem informasi telah dibangun dengan baik dan telah ada edit routines dan pengecekan pemrograman yang cukup maka adanya kesalahan tidak akan terjadi tanpa terdeteksi. Jika program berjalan seperti yang direncanakan, maka semestinya output yang dihasilkan juga dapat diandalkan.
Auditor didalam audit throught the computer selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehingga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu.
Audit throught the computer dapat dilakukan pada saat :
1.      Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
2.      Bagian penting dari struktur pengendalian intern perusahaan terdapat didalam komputerisasi yang digunakan.

Audit throught the computer sendiri memiliki kelebihan dan kelemahan, yaitu sebagai berikut :
Kelebihan :
1.      Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
2.      Dapat memeriksa secara langsung logika pemrosesan dan system aplikasi.
3.      Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.
4.      Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
5.      Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.

Kelemahan:
1.      Biaya yang dibutuhkan realtive tinggi karena jumlah jam kerja yang banyak untuk dapat lebih memahami struktur pengendalian intern dari pelaksanaan system aplikasi.
2.      Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.

Sumber :
http://uzi-online.blogspot.com/2013/04/Perbedaan-Audit-Around-The-Computer-Dan-Audit-Throught-The-Computer.html

http://rainzacious.blogspot.com/2013/03/tugas-perbedaan-audit-arround-computer.html


Diposting oleh di Tidak ada komentar:

PENULISAN 4



Sumber :
http://estiprast.blogspot.com/2012/04/artikel-etika-profesionalisme.html

http://benx-imajination.blogspot.com/2011_05_01_archive.html

PENGERTIAN IT AUDIT TRAIL, REAL TIME AUDIT, DAN IT FORENSICS

 

AUDIT TRAIL
Audit trail sebagai “yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa yang dia telah dilakukan selama periode waktu tertentu”. Dalam telekomunikasi, istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan untuk melacak transaksi  yang  telah  mempengaruhi  isi  record.  
Dalam  informasi  atau  keamanan  komunikasi,  audit informasi berarti catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara.
Dalam penelitian keperawatan, itu mengacu pada tindakan mempertahankan log berjalan atau jurnal dari keputusan yang berkaitan dengan sebuah proyek penelitian, sehingga membuat jelas langkah-langkah yang diambil dan perubahan yang dibuat pada protokol asli.
Dalam  akuntansi,   mengacu  pada  dokumentasi  transaksi  rinci  mendukung   entri  ringkasan  buku. Dokumentasi ini mungkin pada catatan kertas atau elektronik. Proses yang menciptakan jejak audit harus selalu berjalan dalam mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, dan user normal tidak bisa berhenti / mengubahnya.  Selanjutnya,  untuk alasan yang sama, berkas jejak atau tabel database dengan jejak tidak boleh diakses oleh pengguna normal. Dalam apa yang berhubungan dengan audit trail, itu juga sangat penting untuk mempertimbangkan isu- isu tanggung jawab dari jejak audit Anda, sebanyak dalam kasus sengketa, jejak audit ini dapat dijadikan sebagai bukti atas kejadian beberapa.
Perangkat lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai sebuah ‘sistem tertutup,  ”seperti  yang  disyaratkan  oleh banyak  perusahaan  ketika  menggunakan  sistem  Audit  Trail.

REAL TIME AUDIT

Dari beberapa sumber yang didapat yang dimaksud dengan Real Time Audit (RTA) adalah suatu sistem untuk mengawasi teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan dengan mengkombinasikan prosedur sederhana atau logis untuk merencanakan dan melakukan dana kegiatan, siklus proyek pendekatan untuk memantau kegiatan yang sedang berlangsung, dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing) yang digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Pada audit IT sendiri berhubungan dengan berbagai macam-macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Tujuan dari audit IT adalah untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi yang bersifat online atau real time. Pada Real Time Audit (RTA) dapat juga menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk meningkatkan kinerja karena sistem ini tidak mengganggu atau investor dapat memperoleh informasi yang mereka butuhkan tanpa menuntut waktu manajer.

IT FORENSICS
IT Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media penyimpanan digital. Komputer forensik juga dikenal sebagai Digital Forensik yang terdiri dari aplikasi dari ilmu pengetahuan kepada indetifikasi, koleksi, analisa, dan pengujian dari bukti digital.
IT Forensik adalah penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak digital terkini. Artefak Digital dapat mencakup sistem komputer, media penyimpanan (seperti hard disk atau CD-ROM, dokumen elektronik (misalnya pesan email atau gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak melalui jaringan. Bidang IT Forensik juga memiliki cabang-cabang di dalamnya seperti firewall forensik, forensik jaringan , database forensik, dan forensik perangkat mobile.

Tujuan IT Forensik
  • Mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum. 
  • Mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
    1. Komputer fraud : kejahatan atau pelanggaran dari segi sistem organisasi komputer. 
    2. Komputer crime: kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Diposting oleh di Tidak ada komentar:

PENULISAN 3


Sumber :
http://arfimomo08.blogspot.com/2013/03/jenis-jenis-ancaman-threat-melalui-it.html


JENIS-JENIS ANCAMAN (THREATS) MELALUI IT DAN KASUS KOMPUTER CRIME/CYBER CRIME

JENIS-JENIS ANCAMAN (THREATS) MELALUI IT
Kebutuhan kita untuk mendapatkan informasi melalui internet saat ini semakin tinggi. Namun, masih banyak yang belum menyadari akan ancaman atau serangan apabila kita menggunakan IT. Kita baru sadar setelah data menjadi hilang, terkena virus, spyware, spam bahkan sampai komputer menjadi rusak dan tidak bisa digunakan lagi. Saat ini berbagai serangan terhadap jaringan komputer dan internet semakin banyak dan berkembang. Serangan tidak hanya terhadap invidivu tertentu.
Ada serangan yang sengaja dilakukan oleh seseorang atau kelompok tertentu terhadap suatu perusahaan/lembaga untuk kepentingan pribadi mereka. Masih lemahnya sistem suatu perusahaan membuat mereka semakin berkembang dalam membuat teknik serangan-serangan baru. Berikut ini macam – macam ancaman atau serangan dari penggunaan IT :
1. Botnet
Deskripsi:
  • Terdiri dari dua kata, yaitu BOT (program yang otomatis) dan Net Networking). Jadi botnet merupakan program yang secara otomatis, bekerja dalam network tertentu yang bertujuan untuk mendapatkan “sesuatu” secara brutal, karena semua komputer yang terhubung dalam jaringan akan diserang semuanya secara otomatis.
  • Contoh: conficker.vmx. Botnet ini sulit sekali dihilangkan, karena mempunyai fitur. autoupdate ke server yang ditunjuk, sehingga conficker ini sulit dilacak dan dihilangkan.
2. Memaksa masuk (Brute Force) dan kamus password (Dictionary)
Deskripsi:
  • Menyerang database atau menyerang login prompt yang sedang aktif.
  • Brute Force: upaya menemukan password dari account user dengan cara sistematis, mencoba berbagai kombinasi angka, huruf dan simbol.
  • Dictionary: upaya menemukan password dengan mencoba berbagai kemungkinan password yang dipakai user dengan kamus password yang sudah didefinisikan sebelumnya.Cara mengatasi: Aturan pembuatan password yang kuat, misalnya tidak boleh menggunakan tanggal lahir, nama, password dengan kombinasi huruf dana angka.
3. Denial of Service (DoS)
Deskripsi:
  • Membuat layanan jaringan jadi mampet.
  • Bentuk: mengirim paket data yang besar terhadap suatu server dan memanfaatkan celah yang rentan dari sistem operasi, layanan-2 atau aplikasi-2.
  • Akibat serangan: sitem crash atau pemakaian CPU 100 %.
  • Jenis-jenis DoS: Distributed Denial of Service (DSoS), Distributed Reflective Denial of Service (DRDoS).
  • Contoh akibat serangan: layanan pemesanan selalu gagal atau username tidak bisa login, daftar barang tidak bisa muncul atau sudah dicetak.
4. Identity Teft
Deskripsi: 
  • Pencurian informasi tentang identitas kita yang dilakukan melalui komputer offline, jaringan LAN, internet maupun melalui transaksi-transaksi dalam kehidupan sehari-hari.
5. Smurf Attack
Deskripsi:
  • Membanjiri komputer client dengan sampah.
  • Mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket broadcast.
  • Ada yang menggolongkan sebagai DoS.
6. Ping of Death
Deskripsi:
  • Menggunakan tool khusus dengan mengirimkan paket ping oversized yang banyak sekali kepada korbannya.
  • Akibatnya: sistem crash, freeze atau reboot.
  • Ada yang menggolongkan sebagai DoS.
7. Stream Attack
Deskripsi: 
  • Mengirim jumlah paket besar menuju port pada sistem korban menggunakan sumber nomor yang random. Ada yang menggolongkan sebagai DoS. 
8. Spoofing
Deskripsi:
  • Seni untuk menjelma menjadi sesuatu yang lain.
  • IP address atau node source yang asli diganti IP address atau node source yang lain.
  • Contoh: pemalsuan web Paypal
9. Serangan Pembajakan (Man in the Middle)
Deskripsi:
  • Mengkomposisikan dua titik link komunikasi dengan jalan: menyusup antara dua party dan para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme store and forward.
  • Akibat: para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi.
10. Spamming
Deskripsi:
  • Spam merupakan email/newsgroup/pesan diskusi forum yang tak diundang.
  • Berupa iklan dari vendor atau bisa berisi kuda Trojan.
  • Biasanya datang bertubi-tubi tanpa diminta dan sering kali tidak dikehendaki oleh penerimanya.
  • Mirip dengan DoS.
  • Cara kerja: pembuat spam akan membuat mailing list dari alamat-alamat email yang ditemukan dari situs-situs terkenal seperti Facebook, Multiply, Friendster dll. Setelah itu file-file akan disebarkan melalui email-email tersebut.
11. Sniffer (Snooping Attact)
Deskripsi:
  • Kegiatan user perusak yang ingin mendapatkan informasi atau traffic melalui jaringan.
  • Merupakan program penangkap paket data yang bisa di duplikasikan isi paket yang melalui media jaringan ke dalam file.
  • Fokus untuk mendapatkan logon credensial, kunci rahasia, password dan lainnya.
  • Contoh: menyadap suatu pengiriman program saat memasukkan password dengan tujuan mendapatkan password pengguna atau menduplikasikan program yang dikirimi program.
12. Crackers
Deskripsi:
  • User yang ingin merusak sistem.
  • Akibat: kegiatan pencurian data/ide, disable system, kompromi keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan, kehilangan produktivitas.
  • Contoh: seorang pencopy software seperti microsoft.
  • Keahlian minimal cracker: bisa membuat program C, C++, atau Perl, memiliki pengetahuan TCP/IP, menguasai sistem operasi UNIX atau VMS, suka mengkoleksi software dan hardware lama.
13. Hacker
Deskripsi: 
  • Seseorang atau beberapa orang yang ahli dan mengetahui seluk beluk komputer, baik, software, hardware, keamanan atau jaringannya. Sesungguhnya tidak semua hacker melakukan kejahatan, ada hacker yang berfungsi sebagai peneliti dan pengembang dengan cara menelusuri lubang-lubang keamanan sebuah software atau jaringan komputer.
14. Back Door
Deskripsi:
  • Serangan dengan sengaja membuka suatu “pintu belakang” bagi pengunjung tertentu, tanpa disadari oleh orang yang menginstall software.
  • Contoh: E-bay untuk mengizinkan pengembang tersebut memperoleh informasi mengenai transaksi yang terjadi antara pembeli dan penjual, termasuk kartu kredit.
15. Social Engineering
Deskripsi:
  • Bentuk serangan yang memanfaatkan sisi kelemahan manusia, misalnya dengan merekayasa perasaan user sehingga user bersedia mengirim informasi kepada hacker untuk selanjutnya digunakan untuk merusak sistem.
  • Misalnya: email yang meminta target untuk membuak attachment yang disisipi worm/trojan horse untuk merusak jaringan.
16. DNS Poisoning
Deskripsi:
  • Usaha merubah atau merusak isi DNS sehingga semua akses yang memakai DNS akan disalurkan ke alamat yang salah atau alamat yang dituju tidak bisa diakses.
  • User melakukan login ada rekening internetnya. Karena sudah dialihkan, maka ia mengakses ke suatu situs palsu yang serupa dan telah dipersiapkan oleh hacker.
17. Phising Mail
Deskripsi:
  • Email yang seolah-olah dikirim dari bank tempat kita menyimpan uang, dari situs tempat kita membeli barang secara online. Bila kita log ini ke dalam situs gadungan tersebut maka situs itu akan mencuri username dan password yang akan merugikan kita.
  • Berasal dari bahasa Inggris yang berari pengelabuhan. Phishing berupa webpage yang alamatnya mirip dengan web aslinya. Misalnya: www.klikbca.com diubah menjadi www.clickbca.com atau www.klikkbca.com. Jika dilihat ketiganya memiliki pelafalan yang sama, tetapi tujuannya berbeda. Klik BCA bertujuan untuk mengakses suatu alamat bank swasta di Indonesia, tetapi click BCA bertujuan ke suatu komputer dimana pemiliknya mengetahui username dan password Anda jika Anda memasuki web tersebut.
18. Adware
Deskripsi:
  • Kependekan dari advertising software, yaitu sebuah program untuk mengiklankan sesuatu yang dapat secara otomatis tampil dalam web browser atau pop up.
  • Adware bisa terdownload tanpa sengaja bila kita tidak teliti saat mengeklik iklan yang tampil dalam sebuah pop-up.
  • Ada yang menyamakan dengan spyware.
19. Virus dan Worm
Deskripsi: 
  • Program komputer aktif yang tersembunyi dan membahayakan, karena bersifatt merusak sistem komputer. Virus dapat menginfeksi program komputer lain atau file data serta dapat terdistribusi ke komputer lain dengan membonceng pendistribusian file/program lain.
20. Spyware
Deskripsi: 
  • Merupakan program komputer yang biasanya tanpa sengaja terinstall untuk melakukan perusakan, penyalinan dan/atau pengintipan aktifitas sebuah komputer, sehingga segala aktifitas saat menggunakan komputer dapat dipantau, dicopy dari tempat lain. Spyware biasanya terinstall karena ketidaktelitian pengguna komputer saat menegklik suatu pop-up atau browsing internet.
21. Remote Attack
Deskripsi: 
  • Segala bentuk serangan terhadap suatu sistem dimana penyerangannya tidak memiliki kendali terhadap mesin tersebut karena dilakukan dari jarak jaruh di luar sistem jaringan atau media transmisi.
22. Hole
Deskripsi: 
  • Kondisi dari software atau hardware yang bisa diakses oleh pemakai yang memiliki otoritas atau meningkatnya tingkat pengaksesan tanpa melalui proses otoritasi.
23. Phreaking
Deskripsi: 
  • Perilaku menjadikan pengamanan telepon melemah.
24. Wireless Attack
Deskripsi: 
  • Biasanya berbentuk pencurian bandwidth.
25. HTTPD Attack
Deskripsi:
  • Memanfaatkan kerawanan webserver, misalnya: buffer, overflows, httpd bypasses, cross scripting, web code vulnerabilities, URL floods.
  • Contoh: melalui cross XSS seorang attacker bisa mengeksploitasi pertukaran cookies antara browser dan webserver. Fasilitas ini dapat mengaktifkan script untuk merubah tampilan web dll. Script ini bisa menjalankan malware, membca informasi penting dan mengexpose data sensitive seperti nomor credit card dan password.
26. Pencurian Cookie
Deskripsi:
  • Cookie adalah kumpulan data yang dikirimkan oleh server atau admin sebuah website kepada webbrowser yang digunakan. Kemudian web browser akan mengembalikan lagi data tersebut untuk mengakses website tanpa ada perubahan sedikitpun.
  • Kenapa berbahaya ? Untuk mengakses sbuah situ dibutuhkan transfer cookie dari user ke server dan sebaliknya, sebagai proses authentifikasi dan enkripsi data sekaligus konfirmasi identitas user. Sehingga jika cookie dicuri, maka pencuri dapat menggunakan cookie tersebut untuk mengakses situs ilegal maupun memalsukan identitasnya.
  • Pencurian cookie dapat menggunakan script.

KASUS-KASUS COMPUTER CRIME/CYBER CRIME
1.   Pencurian dan penggunaan account Internet milik orang lain.
Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang “dicuri” dan digunakan secara tidak sah. Berbeda dengan pencurian yang dilakukan secara fisik, “pencurian” account cukup menangkap “userid” dan “password” saja. Hanya informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan hilangnya “benda” yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut. Kasus ini banyak terjadi di ISP. Namun yang pernah diangkat adalah penggunaan account curian oleh dua Warnet di Bandung.
2.   Membajak situs web.
Salah satu kegiatan yang sering dilakukan oleh cracker adalah mengubah halaman web, yang dikenal dengan istilah deface. Pembajakan dapat dilakukan dengan mengeksploitasi lubang keamanan. Statistik di Indonesia menunjukkan satu (1) situs web dibajak setiap harinya.
3.   Probing dan port scanning.
Salah satu langkah yang dilakukan cracker sebelum masuk ke server yang ditargetkan adalah melakukan pengintaian. Cara yang dilakukan adalah dengan melakukan “port scanning” atau “probing” untuk melihat servis-servis apa saja yang tersedia di server target. Sebagai contoh, hasil scanning dapat menunjukkan bahwa server target menjalankan program web server Apache, mail server Sendmail, dan seterusnya. Analogi hal ini dengan dunia nyata adalah dengan melihat-lihat apakah pintu rumah anda terkunci, merek kunci yang digunakan, jendela mana yang terbuka, apakah pagar terkunci (menggunakan firewall atau tidak) dan seterusnya. Yang bersangkutan memang belum melakukan kegiatan pencurian atau penyerangan, akan tetapi kegiatan yang dilakukan sudah mencurigakan. Apakah hal ini dapat ditolerir (dikatakan sebagai tidak bersahabat atau unfriendly saja) ataukah sudah dalam batas yang tidak dapat dibenarkan sehingga dapat dianggap sebagai kejahatan?
4.   Virus.
Seperti halnya di tempat lain, virus komputer pun menyebar di Indonesia. Penyebaran umumnya dilakukan dengan menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal ini. Virus ini kemudian dikirimkan ke tempat lain melalui emailnya. Kasus virus ini sudah cukup banyak seperti virus Mellisa, I love you, dan SirCam. Untuk orang yang terkena virus, kemungkinan tidak banyak yang dapat kita lakukan.
5.   Denial of Service (DoS) dan Distributed DoS (DDos) attack.
DoS attack merupakan serangan yang bertujuan untuk melumpuhkan target (hang, crash) sehingga dia tidak dapat memberikan layanan. Serangan ini tidak melakukan pencurian, penyadapan, ataupun pemalsuan data. Akan tetapi dengan hilangnya layanan maka target tidak dapat memberikan servis sehingga ada kerugian finansial. Bagaimana status dari DoS attack ini? Bayangkan bila seseorang dapat membuat ATM bank menjadi tidak berfungsi. Akibatnya nasabah bank tidak dapat melakukan transaksi dan bank (serta nasabah) dapat mengalami kerugian finansial. DoS attack dapat ditujukan kepada server (komputer) dan juga dapat ditargetkan kepada jaringan (menghabiskan bandwidth). Tools untuk melakukan hal ini banyak tersebar di Internet. DDoS attack meningkatkan serangan ini dengan melakukannya dari berberapa (puluhan, ratusan, dan bahkan ribuan) komputer secara serentak. Efek yang dihasilkan lebih dahsyat dari DoS attack saja.
6.   Kejahatan yang berhubungan dengan nama domain.
Nama domain (domain name) digunakan untuk mengidentifikasi perusahaan dan merek dagang. Namun banyak orang yang mencoba menarik keuntungan dengan mendaftarkan domain nama perusahaan orang lain dan kemudian berusaha menjualnya dengan harga yang lebih mahal. Pekerjaan ini mirip dengan calo karcis. Istilah yang sering digunakan adalah cybersquatting. Masalah lain adalah menggunakan nama domain saingan perusahaan untuk merugikan perusahaan lain. (Kasus: mustika-ratu.com) Kejahatan lain yang berhubungan dengan nama domain adalah membuat “domain plesetan”, yaitu domain yang mirip dengan nama domain orang lain. (Seperti kasus klikbca.com) Istilah yang digunakan saat ini adalah typosquatting.
7.   IDCERT (Indonesia Computer Emergency Response Team).
Salah satu cara untuk mempermudah penanganan masalah keamanan adalah dengan membuat sebuah unit untuk melaporkan kasus keamanan. Masalah keamanan ini di luar negeri mulai dikenali dengan munculnya “sendmail worm” (sekitar tahun 1988) yang menghentikan sistem email Internet kala itu. Kemudian dibentuk sebuah Computer Emergency Response Team (CERT). Semenjak itu di negara lain mulai juga dibentuk CERT untuk menjadi point of contact bagi orang untuk melaporkan masalah kemanan. IDCERT merupakan CERT Indonesia.
8.   Sertifikasi perangkat security.
Perangkat yang digunakan untuk menanggulangi keamanan semestinya memiliki peringkat kualitas. Perangkat yang digunakan untuk keperluan pribadi tentunya berbeda dengan perangkat yang digunakan untuk keperluan militer. Namun sampai saat ini belum ada institusi yang menangani masalah evaluasi perangkat keamanan di Indonesia.

Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)