Risiko dan Tanggung Jawab Pemilik Website

17 Maret 2009 pukul 07:41 | Ditulis dalam komputer-hp-gadget, politik, serba serbi | 2 Komentar

Memang perlu diamankan? Paling-paling hanya di-deface. Lagipula yang ada di website tidak ada yang rahasia.” Pernyataan berbentuk pertanyaan klasik yang sering saya dengar dari banyak rekan-rekan TI dan non-TI. Pernyataan yang dapat dipahami karena sebagian besar orang memang tidak sadar berbagai potensi ancaman yang ada.

Ketika seseorang mengunjungi sebuah website, sebenarnya dia juga mengundang script atau aplikasi untuk dijalankan di komputernya. Risiko besar pun menghadang para pengunjung website-website resmi pemerintah, partai, perusahaan, website berita, atau e-commerce yang berhasil disisipi malicious code yang menyerang komputer pengunjung. Beberapa risiko atau kerugian yang ditumbulkan antara lain:

· Session cookies Gmail, Yahoo, Facebook, Friendster, atau Internet Banking dicuri dan digunakan untuk mengakses account-accou­nt korban

· Komputer korban dipasangi keylogger atau malicious code lainnya sehingga terjadi pembajakan UserID/password dan kartu kredit atau malah penyadapan percakapan dan aktivitas pribadi melalui fasilitas multimedia pada komputer korban.

· Pencurian informasi rahasia.

· Komputer korban dijadikan bot (robot) untuk menyerang sis­tem komputer lainnya dan mengirim e-mail sampah.

Dengan adanya Undang-Undang Informasi dan Transaksi Elektronik (UU ITE), setiap pemilik website (penyelenggara sistem) bisa saja digugat oleh pengunjung yang merasa komputernya diserang oleh website yang bersangkutan sehingga menimbulkan berbagai kerugian diatas. Komputer juga bisa menjadi senjata. Jika pemilik senjata lalai mengamankan senjata yang dimiliki, lalu pihak lain menggunakannya untuk mem­bunuh kemudian dikembalikan lagi tanpa dike­tahui, kemungkinan besar si pemilik senjata yang akan menjadi tersangka pelaku pembunuhan.

Apa yang terjadi seandainya server web milik Departemen Pertahanan Indonesia dibajak pihak lain dan digunakan untuk menyerang jaringan Department of Defense Amerika Serikat dan me­ngacaukan sistem kelistrikan milik Malaysia? Dalam konteks perang cyber, hal ini sama seperti ada pihak yang mencoba menarik Lebanon untuk terlibat dalam perang dengan Israel dengan menembakkan roket dari Lebanon.

Hal serupa bisa saja terjadi antara Partai A dan Partai B, atau Perusahaan A dan kompetitornya, Perusahaan B. Dalam UU ITE, kecuali si pesaing bisa membuktikan bahwa sistemnya dibajak pihak lain untuk menyerang lawan bisnis atau lawan politiknya, pemilik sistem yang dibajak harus mem­pertang­gungjawabkan perbuatannya secara hukum. Apalagi dalam hal ini ketiga faktor utama terjadinya tindak kejahatan terpenuhi yaitu kemampuan, motif, dan kesempatan.

Website merupakan sarana penyebaran informasi yang cepat dan efektif. Sebuah skenario serangan yang disusun rapi dapat digunakan untuk membuat goyah sebuah perusahaan. Pada awal Juli 2007 saham Surgutneftegaz perusahaan minyak Rusia nyaris jatuh karena informasi sesat yang disebarkan menggunakan mailing list resmi miliknya. Di tengah gelombang krisis keuangan yang melanda saat ini, bukan hal mustahil ada bank yang tiba-tiba seluruh nasabahnya menarik uang beramai-ramai. Hal ini mungkin terjadi hanya karena penyerang yang membajak website bank tersebut berhasil menyisipkan informasi rahasia palsu bahwa bank akan dibekukan oleh BI dalam beberapa hari.

Untuk kebanyakan organisasi yang website-nya di-deface memang tidak terlalu menjadi persoalan. Karena cukup banyak pelaku defacement yang masih dalam belajar hacking tahap awal. Akibat serangan yang ditimbulkan pun tidak membahayakan dan relatif mudah dilacak karena mereka meninggalkan begitu banyak jejak pada sis­tem. Namun yang mengerikan adalah jika seseorang berhasil menguasai sistem tanpa diketahui. Seperti yang terjadi pada jaringan milik Bank Dunia. Selama beberapa bulan, jaringan tersebut disusupi pihak lain melalui Internet, bahkan si penyerang berhasil menguasai server-server yang mengatur keamanan jaringan komputer Bank Dunia, seperti Domain Controller dan SecureID Server untuk melayani proses strong authentication.

Yang cukup sering terjadi adalah setelah me­nguasai server web (atau sistem lainnya yang bisa diakses langsung melalui Internet), penyerang mencari celah dan mencoba menguasai sistem lain dengan menggunakan server web sebagai batu loncatan, demikian seterusnya. Sebuah perusahaan yang memiliki koneksi Internet selayaknya memiliki firewall. Namun sudah pasti ada network port pada firewall yang harus dibuka dari jaringan DMZ (demiliterized zone) ke sistem lain pada jaringan internal. Hal ini diperlukan untuk pengawasan kinerja, administrasi, maupun backup server-server pada DMZ. Dimana server-server yang digunakan untuk pengawasan hingga backup umumnya berada pada jaringan internal.

Penulis: Gildas Deograt Lumy, CISSP (Information Security Senior Consultant)

Sumber: CHIP

2 Komentar »

RSS feed for comments on this post. TrackBack URI

  1. Komputer (termasuk internet) itu seperti pisau yang tajam. Kalau digunakan untuk yang bermanfaat (seperti memotong ayam, buah dan lain-lain) maka hasilnya itu bermanfaat; tetapi kalau digunakan untuk yang berbahaya, atau untuk kejahatan (ex: nodong orang, dsb) maka hasilnya ya madlarat…

  2. wuihhh ngeri…
    padahal saya lg otrak-atrik e-commerce plugin…*mutung ah* :d


    weiks……


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Blog di WordPress.com.
Entries dan komentar feeds.

%d blogger menyukai ini: