Security Services

SECURITY SERVICES

Seperti yang kita rasakan saat ini, teknologi keamanan sangat berkembang pesat, namun disisi lain gangguan keamanan belum juga dapat dihentikan. Bahkan gangguan keamanan juga mengikuti perkembangan tersebut, memanfaatkan kekurangan dan kelebihan teknologi untuk melakukan gangguan. Berikut ini adalah beberapa catatan gangguan keamanan yang terjadi, baik di luar maupun dalam negeri.

Untuk menyimpan sesuatu secara pribadi,kita harus menyembunyikan agar orang tidak lain tidak tahu, misalnya kita mengirimkan surat kepada seseorang, pastilah surat tersebut kita bungkus dengan amplop dan kita beri alamat tertentu agar surat tersebut sampai ke tujuan yang kita inginkan.

Ketika sebuah pesan, file, dokumen berupa informasi dirasa sensitive atau nilai dari informasi tersebut menjadi sangat penting bagi user yaitu orang yang paling berhak menggunakan informasi tersebut. Informasi itu harus dirahasiakan dan perlu mendapat perlindungan. Keamanan data harus terjamin sehingga tidak sembarang orang yang bisa membukanya.

Berikut dijabarkan aspek-aspek layanan keamanan (security service) menurut William Stalling, 2000: 
1. KONFIDENCI (CONFIDENTIALITY-PRIVACY)

Merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP).

Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak.

Serangan terhadap aspek privacy misalnya adalah usaha untuk melakukan penyadapan (dengan program sniffer). Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi (dengan enkripsi dan dekripsi).

Ada beberapa masalah lain yang berhubungan dengan confidentiality. Apabila kita menduga seorang pemakai (sebut saja X) dari sebuah ISP (Z), maka dapatkah kita meminta ISP (Z) untuk membuka data-data tentang pemakai X tersebut? Di luar negeri, ISP Z akan menolak permintaan tersebut meskipun bukti-bukti bisa ditunjukkan bahwa pemakai X tersebut melakukan kejahatan. Biasanya ISP Z tersebut meminta kita untuk menunjukkan surat dari pihak penegak hukum. Masalah privacy atau confidentiality ini sering digunakan sebagi pelindung oleh orang yang jahat/nakal.



2. AUTHENTICATION

Autentifikasi ini berkaitan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.

Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat.

Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.

Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia:

a) What you have (misalnya kartu ATM)

b) What you know (misalnya PIN atau password)

c) What you are (misalnya sidik jari, biometric)



Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital certificates. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau mesin.

Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)







3. KESAHIAN (INTEGRITY)

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.

Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika kita memasang program yang berisi trojan horse tersebut, maka ketika kita merakit (compile) program tersebut, dia akan mengirimkan email kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem kita.



4. NON-REPUDIATION

Jika seseorang telah terlibat dengan orang lain dalam berkomunikasi, bertransaksi, baik itu mengirimkan dokumen ataupun kegiatan yang lain, maka kondisi seperti ini sangat diperlukan bukti autentik, sebab bilamana terjadi kekeliruan maka bisa dipertanggungjawabkan.

Berbicara tentang pembuktian tak tersangkal, kita akan menyoroti pada penyangkalan yang pelanggarannya ingin kita lindungi. Dalam sebuah komunikasi dan terjadi suatu transsaksi, ada kemungkinan bahwa salah satu pengguna akan menyangkal isi transaksi atau mengemukakan bahwa transaksi tidak pernah terjadi.