Special Note- eBizzAsia Vol I No 01 - Oktober 2002
 
Bagaimana Agar Aman?


Kalimat bijak “sedia payung sebelum hujan” nampaknya harus dijadikan pedoman bagi para user maupun administrator pengguna internet. Langkah pencegahan ataupun proteksi harus dipersiapkan dengan matang dan di maintain dengan baik.

Berikut ini tip yang diberikan Roy M. Suryo untuk mengatasi dan meminimalkan ketidakamanan di dunia virtual.

Bagi para user, disarankan agar menggunakan password yang baik. Bukan sekedar mudah diingat, tetapi juga harus aman agar tidak mudah diketahui orang. Akan lebih baik jika menggunakan kombinasi angka dan huruf sebagai password, misalnya 3@6a5, yang jika diperhatikan dapat dibaca menjadi Bagas. Kombinasi seperti ini selain mudah diingat bagi pemiliknya, juga sulit diduga oleh orang lain. Yang perlu diperhatikan adalah, jangan pernah menggunakan tanggal lahir maupun nama ibu kandung sebagai password. Karena kedua poin tadi sudah terlalu sering dan terlalu banyak digunakan oleh masyarakat.

Sebaiknya, user secara periodik mengganti password yang dimilikinya. Hal ini untuk menjaga kemungkinan password sudah diketahui orang yang dekat dengan kita. Asal tahu saja, penjahat tidak saja datang dari jauh, tetapi bisa juga orang di sekitar kita.

Jangan pernah meninggalkan komputer Anda dalam keadaan menyala dan hindari internet anda selalu on-line secara terus menerus. Sebaiknya para user juga harus hati-hati ketika akan mendownload sesuatu. Pastikan sumbernya dapat dipercaya. Karena itu, jangan mudah terprovokasi oleh attachment yang terkirim lewat e-mail. Karena isinya belum tentu menguntungkan.

Jika sedang browsing dan masuk ke alamat situs tertentu, cermati semua domain-domain yang mirip. Misalnya, klikbca, clickbca, klickbca dan seterusnya. Jangan sampai kita terlanjur melakukan registrasi pada alamat yang salah.

Yang sepele namun penting, jangan pernah lupa log-out, ketika selesai menggunakan internet. Jangan sampai pengguna berikutnya bisa mengakses rekening atau data milik kita.

Selain langkah di atas, kita juga perlu mengamati secara periodik performa sistem atau audit trail milik kita. Sebagai pamungkas, gunakanlah one-time yang berupa token untuk pengamanan yang lebih meyakinkan.

Bagi para admin, dirinya perlu meyakinkan keaslian data, sumber data, dan orang yang mengakses data tersebut. Karena itu gunakanlah digital signature dan juga biometrics sebagai tanda pengenal. Penggunaan enkripsi untuk meningkatkan keamanan antara private key dengan publick key juga perlu dilakukan.

Para admin juga harus rajin menutup servis yang tidak digunakan, memasang proteksi yang dapat berupa filter, firewell ataupun tcp wrapper. Selain proteksi, monitoring system juga harus terpasang dengan baik. Ini bertujuan untuk mengetahui intruder atau serangan yang mungkin saja terjadi dan menyerang sistem yang ada. Jalankan sistem untuk memonitor integritas sistem. Untuk dapat melakukan langkah-langkah pengaman dan perbaikan jika terjadi serangan, sebaiknya para admin rajin mencari informasi dengan membaca dan selalu memback up secara rutin dan mengupdate sistem secara berkala.

Mengatasi ketidakamanan juga harus dilakukan pada sistem. Karena itu, fokuskan pada kebijakan yang terdapat pada satu institusi, bukan memokuskan pada teknologi, karena bagian yang terakhir ini hanya merupakan tool. Bagi perusahaan, sebaiknya posisi information security departement berada dibawah CEO langsung. Jangan sampai departemen tersebut dibentuk hanya sebagai pemanis yang berada dibawah MIS departement tanpa mampu melakukan sesuatu. Seluruh langkah-langkah bijak untuk mengantisipasi ketidakamanan ini sebaiknya dilakukan secara terintegrasi. Dan yang terpenting, tetap waspada!•jl
 
Menghalau Maling Virtual
Kejahatan internet yang semakin canggih berjalan seiring kemajuan teknologinya. Karenanya, sistem keamanan internet tidak bisa dianggap angin lalu. Berkacalah pada pengalaman.

Internet bagi sebagian kalangan sudah menjadi kebutuhan pokok yang nyaris sama pentingnya dengan makan. Tak heran jika pertumbuhan penggunaan internet terus meningkat. Pernahkah terbayang kehidupan Anda sepuluh atau dua puluh tahun yang akan datang?

Di negeri Paman Sam bayangan itu muncul lewat kartun yang menggambarkan kehidupan seseorang, yang sangat tergantung pada internet. Diceritakan seorang lelaki meninggal dunia, dan ketika sang istri mendengar surat wasiat sang suami, betapa terkejutnya takkala ia hanya diberi warisan berupa web space di dunia maya. Digambarkan lewat kartun lainnya, seorang ibu kebingungan memberi jawaban pada sang anak yang bertanya bagaimana ia bisa berada di dunia ini, “Sebenarnya saya ini dilahirkan atau didownload sih?”

Pengamat dan Praktisi Teknologi Informasi, KRMT Roy Suryo Notodiprojo yang lebih dikenal dengan nama Roy M. Suryo, menyatakan analogi kartun di atas bisa jadi benar adanya. Hal itu, menurut dosen sebuah perguruan tinggi negeri di Yogyakarta, ini adalah sebuah refleksi betapa internet menjadi sama pentingnya dengan sembako, atau yang lebih ekstrim internet sama pentingnya dengan bernafas. “Pertumbuhan internet di dunia sangat luar biasa. Rebutan domain menjadi salah satu indikasinya. Karena itu, seiring pertumbuhan internet yang kian melaju membuat lahirnya paradigma baru dalam kehidupan, terutama e-Economy,” ujar Roy.

Menurut Roy, jika di tahun 1920-an sektor ekonomi pertanian menjadi primadona, sepuluh tahun kemudian, ekonomi industri mulai dilirik. Era berikutnya, orang berubah haluan dengan membangun ekonomi service. Hingga 1980-an, masyarakat dunia mulai bermain di ekonomi global. Sejak awal 1995-an hingga sekarang, ekonomi digital menjadi paradigma baru dalam menjalankan bisnis. Paradigma e-Economy pun akhirnya melahirkan uang digital.

“Saat ini, berbelanja atau melakukan transaksi bisnis lewat internet bukanlah barang baru. Tidak hanya di negara maju, di kawasan Asia pun sering dilakukan. Begitu juga di Indonesia. Hebatnya, meski pengguna internet di Indonesia belum sebanyak negara Asia lainnya, namun berdasarkan riset yang dilakukan oleh badan riset independen AC. Nielsen, Indonesia menempati urutan keempat terbesar dalam belanja lewat internet di kawasan Asia. Sayangnya, prestasi itu bukanlah sesuatu yang patut dibanggakan. Masalahnya, sebagian besar belanja digital dilakukan secara ilegal,” tambah Roy.

Hasil riset juga menyebutkan, dari seluruh total pengguna internet yang pernah berbelanja dan melakukan transaksi lewat internet, tercatat kurang dari 10% yang menggunakan uang ataupun kartu kredit milik sendiri. “Artinya, meski di urutan keempat terbesar, tetapi yang belanja mayoritas adalah penjahat-penjahat,” kata Roy sambil tersenyum.

Adanya lubang dalam sebuah kemajuan tentu dapat dimaklumi. Bukankah hukum dibuat untuk dilanggar, begitu kalimat pelesetan yang sering terdengar. Jadi wajar saja jika internet lahir, maka penjahat di bidang ini pun bermunculan. “Yang sering dilupakan, ketika membangun teknologi dan mengembangkan sistem pengamanannya, orang hanya melihat dari satu sudut pandang saja. Padahal dengan sistem security yang handal, bukan saja akan mencegah terjadinya kejahatan tetapi juga mendongkrak pendapatan sebuah perusahaan yang menggunakan teknologi tersebut,” kata FX. Taro, Pengamat IT Security.

Menurut Taro, yang perlu diperhatikan dalam membangun sistem keamanan di dunia virtual adalah segala aspek yang terkait dengannya. “Bukan saja secara fisik, tetapi juga secara logika. Ini yang sering dilupakan. Sistem security internet membutuhkan perhatian dari berbagai bidang,” tambah Taro.

Meski dianggap penting, sayangnya security system internet di Indonesia kadangkala dianggap angin lalu. Yang sering terjadi ketika sistem sudah dibobol, dengan tergopoh-gopoh sistem keamanan dibangun dan ditingkatkan. Karena itu, walaupun internet baru berkembang sepuluh tahun belakangan ini di Indonesia, namun dalam catatan yang dibuat oleh Roy Suryo sejumlah kejahatan digital telah menelan banyak korban.
“Yang paling banyak adalah carding, yaitu menggunakan kartu kredit milik orang lain untuk berbelanja,” ujar pria yang banyak membantu polisi dalam menangani kejahatan internet ini.

Selain itu, Roy juga memberikan contoh kasus lainnya yang pernah terjadi. Yaitu situs resmi yang berisi tentang jajak pendapat di Timor Timur - ketika akan melepaskan diri dari Indonesia - juga pernah dimasuki tamu tak diundang. Akibatnya, banyak yang meragukan hasil perhitungan jajak pendapat yang berbuntut kerusuhan besar di tanah bekas jajahan Portugis tersebut. Cerita buram tentang pembobol internet juga datang dari negera tetangga, Singapura. Saat itu, Wenas Agusetiawan, bocah asal Indonesia yang memiliki otak encer membobol situs di negeri seribu singa tersebut. Dan contoh kasus yang paling kesohor adalah plesetan situs Klikbca.

Kasus terakhir yang sempat menghebohkan ini diakui oleh Aswin Wirjadi, Deputy President Director BCA. “Untuk kasus klikbca, tak sempat menduga akan terjadi. Pengalaman kami, mulai dari dibuatnya ATM, kartu debit sampai dengan klikbca yang kami bangun bagi nasabah memang kerap kali menemukan kendala. Apapun kami lakukan, mulai dari merangkak, berjalan, sampai berlari. Itu semua kami lakukan satu persatu sampai dengan sekarang ini. Kami melakukan riset di berbagai negara, khususnya Amerika untuk membangun internet banking ini,” kata Aswin panjang lebar.

Menurut Sarjana Teknik Mesin jebolan Universitas Katolik Atmajaya ini, yang perlu menjadi perhatian adalah ketika makin canggih teknologi, maka makin canggih pula kejahatannya. Berdasarkan pengalaman BCA menghadapi itu, ada lima kategori yang dapat diklasifikasikan sebagai kejahatan internet banking.

Seperti yang dipaparkan oleh Aswin, kejahatan yang paling banyak dan seringkali tidak diakui diakui oleh para korban adalah situs palsu. Modusnya sangat sederhana, ada seseorang memfotokopi tampilan klikbca yang seolah-olah milik BCA. Peristiwa yang dilakukan oleh pria asal Bandung ini memang tidak bertujuan membobol rekening para nasabah BCA yang terlanjur masuk dalam situs palsu tersebut. Toh tetap saja, BCA sempat kebakaran jenggot.

Modus lainnya yang juga menggunakan situs palsu adalah penipuan lewat situs-situs tertentu. “Yang pernah terjadi adalah sebuah situs porno Triple X membuat penawaran, jika ingin masuk dan melihat gambar syur yang mampu menaikkan adrenalin silahkan melakukan registrasi dan transfer biaya sebesar Rp. 10.000,- lewat BCA. Herannya banyak yang tanpa sadar melakukan itu, ketika registrasi akhirnya sang korban akan memberikan nomor pin BCA-nya. Akibatnya, dalam waktu sekejap rekeningnya kosong tak bersisa,” terang Aswin.

Masih menurut Aswin, yang bergabung dengan BCA sejak tahun 1990, untuk modus seperti ini telah terjadi 37 kasus. Meskipun BCA berhasil menuntaskan dan menangkap pelakunya, sayangnya tak ada korban yang mau bersaksi karena malu. Padahal UU di Indonesia menyebutkan minimal ada dua saksi yang mau memberi kesaksian agar pelaku dapat masuk ke persidangan.

Jenis kejahatan kedua yang dialami BCA adalah pencurian user ID dan PIN (Personal Identification Number) yang dilakukan oleh seseorang lewat warung internet. PC di warnet juga telah dipasang program untuk merekam user ID dan PIN pengguna yang sedang melakukan transaksi internet banking BCA. Selain di warnet, hal serupa juga pernah dilakukan di beberapa kantor di Jakarta.

Jenis kejahatan berikutnya, biasanya, mengenai orang yang awam internet, yaitu berupa penipuan registrasi. “Padahal kami membuat registrasi begitu mudahnya. Seperti juga ATM, setiap nasabah memiliki PIN. Artinya, setiap nasabah bisa secure kartunya masing-masing. Begitu juga, dengan internet banking sesungguhnya,” kata mantan Direktur di Indomobil ini. Modusnya, selain menggunakan internet, si pelaku kejahatan juga menggunakan SMS. Sebuah SMS yang berisi pesan tentang penerimaan hadiah dan si penerima diwajibkan membayar pajak hadiah lewat BCA.

Bentuk kejahatan lainnya adalah petugas BCA palsu, yang meminta pendaftaran registrasi di internet banking. Terakhir, menurut Aswin, sangat ironi. Karena korban yang berjatuhan adalah kalangan intelektual yang sangat security minded dan berorientasi pada penggunaan teknologi. Kelemahannya adalah, para korban yang berasal dari satu perguruan tinggi terkemuka di Indonesia terlalu sederhana membuat PIN dan user ID-nya.

Dalam dua tahun, sejak dibangunnya internet banking, 381 kejahatan telah dialami bank swasta terbesar nomor satu di Indonesia ini. “Dari seluruh kejahatan tersebut, BCA mengalami kerugian sebesar Rp. 670 juta. Kami anggap itu sebagai uang hilang untuk biaya sekolah,” aku Aswin.

Belajar dari pengalaman, kini BCA melakukan langkah pengamanan agar lembaran hitam tidak kembali terjadi. BCA mencoba menerapkan beberapa langkah strategis agar tidak menjadi bulan-bulanan kejahatan internet banking. “Langkah pertama, kami telah memaksimalkan internet security system yang ada. Secara terus menerus dan optimal kami memberikan pendidikan pada masyarakat dan nasabah. Dan yang terakhir, kami membuat dan menyerahkan sistem keamanan pribadi kepada para nasabah dengan membekali perangkat security berupa key BCA,” ujar Aswin.

Aswin memaparkan, langkah yang dilakukan BCA dalam memaksimalkan internet security system adalah dengan memblokir user ID jika terjadi return email atau bounce email dengan alasan unknown user, e-mail blocked ataupun tak memiliki alasan yang spesifik. BCA juga akan melakukan pemblokiran jika terdapat satu alamat e-mail yang digunakan oleh banyak user ID, yang masuk dalam report fraud control.

Untuk langkah pengamanan lainnya, BCA juga melakukan pemblokiran kepada user ID yang dormant atau tidak melakukan transaksi lebih dari enam bulan lamanya. BCA juga akan menutup user ID nasabah yang tidak melakukan first time log-in selama dua minggu. Selain itu, sebagai langkah antisipasi BCA telah membeli nama-nama domain yang mirip dengan Klikbca, meminta secara resmi penutupan situs palsu dan juga menutup link banner Klikbca yang terdapat pada situs lain.

Walaupun benteng pertahanan telah dibangun, Aswin mengakui internet banking milik BCA bukan berarti aman 100%. “Karena itu, kami terus menerus melakukan perbaikan internet security system. Sehingga jika disimpulkan berdasarkan pengalaman yang dialami BCA, ada tiga hal penting dalam mengimplementasikan internet banking. Yaitu, kita harus kuat dalam membangun bisnis yang ada, kuat dalam investasi dan mempertajam solusi keamanannya, terutama dengan menggunakan sistem keamanan dinamik ,” tutup Aswin.

Menilik apa yang dialami BCA, Roy Suryo menyarankan agar bank tersebut harus memberikan perhatian ekstra untuk memperkuat sistem keamanannya. “Karena, sebagian besar pelakunya bermotif ekonomi, kecuali pelaku yang membuat situs plesetan BCA. Karena sesungguhnya tidak semua kejahatan komputer dan internet bertujuan akhir pada ekonomi,” katanya.

Roy membagi menjadi dua kategori besar jenis kejahatan komputer dan internet. Pertama, fraud by computer manipulation, yaitu si pelaku melakukan manipulasi atas jumlah saldo rekening, jumlah jam kerja, jatah cuti, dan lain sebagainya. Selain itu, jenis kejahatan lainnya adalah computer forgery, biasanya berupa pemalsuan surat-surat penting, pengrusakan data dan program komputer, penyusupan ke sistem komputer, pembajakan program komputer dan masih banyak lagi.

“Untuk itu diperlukan prinsip desain security yang baik. Desain keamanan itu dapat berupa desain yang terbuka, dimana jika sistem memiliki source code, maka kode tersebut harus dibuka sehingga akan meminimalkan kemungkinan terjadinya backdoor. Selain itu, akses ke resource system harus tergantung pada lebih dari satu persyaratan yang harus dipenuhi. Yang lebih baik adalah menggunakan model sekuriti yang memisahkan tingkat pengguna, karena akan memberikan hasil yang lebih memuaskan. Yang juga harus dilakukan adalah user harus memisahkan diri dengan sistem, dan yang terakhir secara psikologi, seseorang harus mampu membuat sistem sekuriti yang mudah digunakan. Sudah saatnya para desainer sistem keamanan memikirkan perilaku penggunanya,” ujar Roy. menambahkan.•jl

© 2003 eBizzAsia. All rights reserved.