No. Revisi :
00
Tanggal Terbit :
2 Agustus. 2020
No. Dokumen :
FRM/POS/STD/STTR/A.3-3-1
BAHAN AJAR
MATA KULIAH
3 SKS
Keamanan Informasi dan Jaringan
Halaman :
1 dari 124
PROGRAM STUDI S1 TEKNIK ELEKTRO
SEKOLAH TINGGI TEKNOLOGI RONGGOLAWE CEPU
No. Dokumen :
FRM/POS/STD/STTR/A.3-3-1
No. Revisi :
00
Tanggal Terbit :
2 Agustus. 2020
Halaman :
2 dari 124
VERIFIKASI BAHAN AJAR
Pada hari ini Senin tanggal 2 bulan Agustus tahun 2020 Bahan Ajar Mata Kuliah Game
Sistem Program Studi Teknik Elektro telah diverifikasi oleh Ketua Program Studi Teguh
Yuwono, ST. MT
Cepu, 2 Agustus 2020
PRAKATA
Pertama-tama kami mengucapkan terima kasih kepada Tuhan Yang Maha Esa atas
terwujudnya modul ini. Tujuan dari dibuatnya modul ini agar mahasiswa terbantu dapat
mempelajari dasar-dasar pemrograman dalam mata kuliah Keamanan Informasi dan
Jaringan. Dalam mata kuliah ini, Modul ini dikembangkan dengan menggunakan
pendekatan eksplorasi, dengan harapan pembaca dapat mencoba, memodifikasi
dan
selanjutnya dapat berkreasi dengan menggunakan perangkat lunak ini. Modul ini dimulai
dengan pengetahuan awal tentang teori dan konsep Berikutnya pengenalan terhadap
berbagai perangkat lunak pendukung dan diakhiri dengan implementasi pembuatan
berbagai macam analisis dan pelaporan
Cepu, 2 Agustus 2020
Penyusun
3
TINJAUAN UMUM MATA KULIAH
Deskripsi Mata Kuliah
Mata kuliah ini bertujuan memberikan pemahaman 1.Sejarah dan Konsep Sistem Keamanan,
Kejahatan Komputer dan UU, Kriptografi, Enkripsi Klasik, Life Cycle Pengembangan Sistem,
Standar Keamanan Pada Pengkodean, Keamanan Sistem, Enkripsi Searah, Enkripsi Dua Arah,
Keamanan pada Berbagai Protocol Jaringan, Keamanan Wireless, Keamanan Web, Malware,
Social Engineering dan Pencegahannya.
Manfaat Mata Kuliah
1. Mahasiwa memiliki kemampuan tentang konsep dan teori keamanan informasi
2. Mahasiswa memiliki kemampuan tentang konsep dan teori keamanan jaringan
Capaian Pembelajaran Lulusan (CPL)
A. Sikap
(Ditetapkan pemerintah dalam permendikbud no 3 tahun 2020 tentang Standar Nasional
Perguruan Tinggi. Ambil yang sesuai dengan mata kuliah.)
1. Bertakwa kepada Tuhan Yang Maha Esa dan mampu menunjukkan sikap religius;
2.
Menjunjung tinggi nilai kemanusiaan dalam menjalankan tugas berdasarkan agama,
moral, dan etika;
3.
Berkontribusi dalam peningkatan mutu kehidupan bermasyarakat, berbangsa,
bernegara, dan kemajuan peradaban berdasarkan Pancasila;
4.
Berperan sebagai warga negara yang bangga dan cinta tanah air, memiliki
nasionalisme serta rasa tanggung jawab pada negara dan bangsa;
5.
Menghargai keanekaragaman budaya, pandangan, agama, dan kepercayaan, serta
pendapat atau temuan orisinal orang lain;
6.
Bekerjasama dan memiliki kepekaan sosial serta kepedulian terhadap masyarakat dan
lingkungan;
7.
Taat hukum dan disiplin dalam kehidupan bermasyarakat dan bernegara;
8.
Menginternalisasi nilai, norma, dan etika akademik;
9.
Menunjukkan sikap bertanggung jawab atas pekerjaan di bidang keahliannya secara
mandiri;
10. Menginternalisasi semangat kemandirian, kejuangan, dan kewirausahaan.
4
Pengetahuan Umum
Keterampilan Umum
(Ditetapkan pemerintah dalam permendikbud no 3 tahun 2020 tentang Standar Nasional
Perguruan Tinggi. Ambil yang sesuai dengan mata kuliah.)
1. Mampu menerapkan pemikiran logis, kritis, sistematis, dan inovatif dalam konteks
pengembangan
atau
implementasi
ilmu
pengetahuan
dan
teknologi
yang
memperhatikan dan menerapkan nilai humaniora yang sesuai dengan bidang
keahliannya;
2.
Mampu menunjukkan kinerja mandiri, bermutu, dan terukur;
3.
Mampu mengkaji implikasi pengembangan atauimplementasi ilmu pengetahuan
teknologi yang memperhatikan dan menerapkan nilai humaniora sesuai dengan
keahliannya berdasarkan kaidah, tata cara dan etika ilmiah dalam rangka
menghasilkan solusi, gagasan, desain atau kritik seni;
4.
Menyusun deskripsi saintifik hasil kajiannya dalam bentuk skripsi atau laporan tugas
akhir, dan mengunggahnya dalam lamanperguruan tinggi; menyusun deskripsi
saintifik hasil kajian tersebut di atas dalam bentuk tesis atau laporan tugas akhir, dan
mengunggahnya dalam laman perguruan tinggi;
5.
Mampu mengambil keputusan secara tepat dalam konteks penyelesaian masalah di
bidang keahliannya, berdasarkan hasil analisis informasi dan data;
6.
Mampu memelihara dan mengembangkan jaringan kerja dengan pembimbing, kolega,
sejawat baik di dalam maupun di luar lembaganya;
7.
Mampu bertanggung jawab atas pencapaian hasil kerja kelompok dan melakukan
supervisi dan evaluasi terhadap penyelesaian pekerjaan yang ditugaskan kepada
pekerja yang berada di bawah tanggung jawabnya;
8.
Mampu melakukan proses evaluasi diri terhadap kelompok kerja yang berada di
bawah tanggung jawabnya, dan mampu mengelola pembelajaran secara mandiri;
9.
Mampu mendokumentasikan, menyimpan, mengamankan, dan menemukan kembali
data untuk menjamin kesahihan dan mencegah plagiasi.
Keterampilan Khusus
5
Capaian Pembelajaran Mata Kuliah (CPMK)
1. Memahami secara utuh tentang konsep keamanan informasi dan jaringan. Sejarah, Undang
Undang ITE, Teori Kriptografi dan Enkripsi.
2. Mengerti dan memahami penerapan Keamanan pada Sistem, Pengkodean, Web dan Wireless.
3. Mengetahui dan Memahami Bahaya Malware, Social Engineering dan Pencegahannya.
6
DAFTAR ISI
Keamanan Informasi dan Jaringan ....................................................................................................1
VERIFIKASI BAHAN AJAR....................................................................................................................2
PRAKATA ...........................................................................................................................................3
TINJAUAN UMUM MATA KULIAH ......................................................................................................4
Deskripsi Mata Kuliah ....................................................................................................................4
Manfaat Mata Kuliah .....................................................................................................................4
Capaian Pembelajaran Lulusan (CPL) ............................................................................................4
Pengetahuan Umum .....................................................................................................................5
Keterampilan Umum .....................................................................................................................5
Keterampilan Khusus.....................................................................................................................5
Capaian Pembelajaran Mata Kuliah (CPMK) ..................................................................................6
DAFTAR ISI .........................................................................................................................................7
Capaian Matakuliah ........................................................................................................................14
Materi Pembelajaran ......................................................................................................................15
1.Sejarah dan Konsep Sistem Keamanan ........................................................................................15
2.Kejahatan Komputer dan UU .......................................................................................................17
Cybercrime ......................................................................................................................................17
Isi .................................................................................................................................................18
Klasifikasi .....................................................................................................................................18
Kejahatan penipuan keuangan ................................................................................................18
Cyberterrorism ........................................................................................................................18
Pemerasan siber ......................................................................................................................19
Perdagangan Cybersex ............................................................................................................19
Perang maya ............................................................................................................................19
Komputer sebagai target .........................................................................................................20
7
Komputer sebagai alat ............................................................................................................20
Konten cabul atau menyinggung .............................................................................................21
Pelecehan online .....................................................................................................................21
Perdagangan narkoba .............................................................................................................22
Memerangi kejahatan komputer ................................................................................................25
Penyelidikan ............................................................................................................................25
Pencegahan .............................................................................................................................26
Legislasi ...................................................................................................................................26
Hukuman .................................................................................................................................27
Kesadaran ................................................................................................................................27
Intelijen ...................................................................................................................................28
Difusi kejahatan dunia maya ...................................................................................................28
3.Kriptografi ....................................................................................................................................29
Kriptografi .......................................................................................................................................29
Isi .................................................................................................................................................30
Terminologi .................................................................................................................................30
Sejarah kriptografi dan kriptanalisis ............................................................................................31
Kriptografi klasik......................................................................................................................31
Era komputer ..........................................................................................................................34
Munculnya kriptografi modern ...............................................................................................34
Kriptografi modern ......................................................................................................................35
Kriptografi kunci simetris ........................................................................................................35
Kriptografi kunci publik ...........................................................................................................37
Pembacaan sandi ....................................................................................................................39
Primitif kriptografi ...................................................................................................................40
Sistem kriptografi ....................................................................................................................41
Masalah hukum ...........................................................................................................................41
8
Larangan ..................................................................................................................................41
Kontrol ekspor .........................................................................................................................42
Keterlibatan NSA .....................................................................................................................43
Manajemen hak digital ............................................................................................................43
Pengungkapan paksa kunci enkripsi ........................................................................................44
Lihat juga .....................................................................................................................................44
4. Enkripsi Klasik ..............................................................................................................................45
Apa itu Enkripsi Klasik .................................................................................................................45
Apa itu Caesar Cipher ..................................................................................................................45
Apa itu Kode Foursquare .............................................................................................................45
Apa itu One Time Pad ..................................................................................................................45
Cara Menggunakan Playfair Cipher .............................................................................................46
Cara Menggunakan Transposition Cipher ...................................................................................46
Cara Menggunakan Sandi Dua Kotak ..........................................................................................46
Cara Menggunakan Vigenere Cipher ...........................................................................................46
Bagaimana Cryptanalysis Bekerja dengan Sandi Klasik ...............................................................46
Membungkus ..............................................................................................................................47
5. Life Cycle Pengembangan Sistem ................................................................................................47
................................................................................................................................................50
Program Kesadaran dan Pelatihan ..........................................................................................50
Persyaratan Gathering ............................................................................................................50
Rancangan ...............................................................................................................................51
Pengembangan........................................................................................................................52
Verifikasi ..................................................................................................................................52
Rilis dan Dukungan ..................................................................................................................53
Pembuangan ...........................................................................................................................53
6. Standar Keamanan Pada Pengkodean .........................................................................................54
9
Kebutuhan ...................................................................................................................................54
Deskripsi Risiko............................................................................................................................54
Rekomendasi ...............................................................................................................................54
Pelatihan Keamanan Aplikasi ..................................................................................................55
Praktik Pengkodean Aman ......................................................................................................56
Layanan Kampus yang Relevan ...............................................................................................56
Review Kode ............................................................................................................................56
7. Keamanan Sistem ........................................................................................................................57
Masalah Keamanan .................................................................................................................57
Ancaman Program ...................................................................................................................59
Ancaman Sistem dan Jaringan .................................................................................................65
Kriptografi sebagai Alat Keamanan .........................................................................................68
Otentikasi Pengguna ...............................................................................................................76
Menerapkan Pertahanan Keamanan .......................................................................................79
Firewall untuk Melindungi Sistem dan Jaringan ......................................................................81
Klasifikasi Keamanan Komputer (Opsional) .............................................................................83
Contoh: Windows XP (Opsional)..............................................................................................84
9. Enkripsi Satu Kunci ......................................................................................................................85
Isi .................................................................................................................................................85
Jenis.............................................................................................................................................85
Implementasi ..............................................................................................................................85
Primitif kriptografik berdasarkan cipher simetris ........................................................................85
Konstruksi cipher simetris ...........................................................................................................86
Keamanan cipher simetris ...........................................................................................................86
Manajemen kunci ........................................................................................................................86
Pembentukan kunci.....................................................................................................................86
Pembuatan kunci ........................................................................................................................86
10
Sandi timbal balik ........................................................................................................................86
Catatan ........................................................................................................................................87
10. Enkripsi Kunci Publik..................................................................................................................87
Isi .................................................................................................................................................90
Deskripsi ......................................................................................................................................90
Aplikasi ........................................................................................................................................91
Kelemahan ..................................................................................................................................91
Algoritma.................................................................................................................................91
Perubahan kunci publik ...........................................................................................................92
Infrastruktur kunci publik ........................................................................................................93
Contoh.........................................................................................................................................93
Sejarah ........................................................................................................................................94
Antisipasi .................................................................................................................................94
Penemuan rahasia ...................................................................................................................95
Penemuan publik.....................................................................................................................95
11. Keamanan pada Layer Transport ...............................................................................................96
Isi .................................................................................................................................................97
Deskripsi ......................................................................................................................................97
Sejarah dan perkembangan ........................................................................................................98
Sistem Jaringan Data Aman .....................................................................................................98
Pemrograman Jaringan Aman .................................................................................................99
SSL 1.0, 2.0, dan 3.0 .................................................................................................................99
TLS 1.0 .....................................................................................................................................99
TLS 1.1 ...................................................................................................................................100
TLS 1.2 ...................................................................................................................................100
TLS 1.3 ...................................................................................................................................100
Sertifikat digital .........................................................................................................................102
11
Otoritas sertifikat ..................................................................................................................102
12. Keamanan Wireless .................................................................................................................104
WEP .......................................................................................................................................104
Pelajaran WiFi Lanjutan .........................................................................................................104
WPA.......................................................................................................................................105
WPA2.....................................................................................................................................105
WPS .......................................................................................................................................105
Rekomendasi Kami ....................................................................................................................106
13. Keamanan Web .......................................................................................................................106
Keamanan aplikasi web .................................................................................................................106
Isi ...............................................................................................................................................107
Ancaman keamanan ..................................................................................................................107
Rekomendasi praktik terbaik .....................................................................................................108
Standar keamanan ....................................................................................................................108
Teknologi keamanan .................................................................................................................108
14. Malware ..................................................................................................................................108
Malware ........................................................................................................................................109
Isi ...............................................................................................................................................110
Tujuan .......................................................................................................................................110
Malware menular ......................................................................................................................111
Penyembunyian.........................................................................................................................111
Virus ......................................................................................................................................111
Ransomware pengunci layar .................................................................................................112
Kuda Troya ............................................................................................................................112
Rootkit ...................................................................................................................................112
Pintu Belakang .......................................................................................................................113
Penghindaran ........................................................................................................................113
12
Kerentanan ................................................................................................................................114
Cacat keamanan dalam perangkat lunak...............................................................................114
Desain tidak aman atau kesalahan pengguna .......................................................................114
Pengguna yang memiliki hak istimewa dan kode yang memiliki hak istimewa .....................115
Penggunaan sistem operasi yang sama .................................................................................116
Strategi anti-malware ................................................................................................................116
Perangkat lunak anti-virus dan anti-malware ........................................................................116
Pemindaian keamanan situs web ..........................................................................................118
Isolasi "celah udara" atau "jaringan paralel" .........................................................................118
Grayware ...................................................................................................................................118
Sejarah virus dan worm .............................................................................................................119
Penelitian akademis ..................................................................................................................119
15. Social Engineering dan Pencegahannya ..................................................................................120
Isi ...............................................................................................................................................120
Budaya keamanan informasi .....................................................................................................120
Teknik dan istilah.......................................................................................................................121
Enam prinsip utama ..............................................................................................................121
Empat vektor rekayasa sosial ................................................................................................122
Konsep lainnya ..........................................................................................................................123
Pretexting ..............................................................................................................................123
Phishing tombak ....................................................................................................................124
Lubang air ..............................................................................................................................124
Umpan ...................................................................................................................................124
Kompensasi ...........................................................................................................................125
Tailgating ...............................................................................................................................125
Tipe yang lain ........................................................................................................................126
Penanggulangan ....................................................................................................................126
13
Siklus manipulasi psikologis.......................................................................................................127
Insinyur sosial terkemuka ..........................................................................................................127
Frank Abagnale Jr. .................................................................................................................127
Kevin Mitnick .........................................................................................................................127
Susan Headley .......................................................................................................................128
Badir Brothers .......................................................................................................................128
Christopher J. Hadnagy..........................................................................................................128
Hukum .......................................................................................................................................128
Pretexting catatan telepon ....................................................................................................128
Legislasi federal .....................................................................................................................128
Spesialis Informasi Sumber Pertama .....................................................................................129
HP ..........................................................................................................................................130
Tindakan pencegahan ...............................................................................................................130
PUSTAKA .......................................................................................................................................132
Capaian Matakuliah
1. Memahami secara utuh tentang konsep keamanan informasi dan jaringan. Sejarah, Undang
Undang ITE, Teori Kriptografi dan Enkripsi.
2. Mengerti dan memahami penerapan Keamanan pada Sistem, Pengkodean, Web dan Wireless.
14
3. Mengetahui dan Memahami Bahaya Malware, Social Engineering dan Pencegahannya.
Materi Pembelajaran
1.Sejarah dan Konsep Sistem Keamanan
2.Kejahatan Komputer dan UU
3.Kriptografi
4. Enkripsi Klasik
5. Life Cycle Pengembangan Sistem
6. Standar Keamanan Pada Pengkodean
7. Keamanan Sistem
9. Enkripsi Searah
10. Enkripsi Dua Arah
11. Keamanan pada Berbagai Protocol Jaringan
12. Keamanan Wireless
13. Keamanan Web
14. Malware
15. Social Engineering dan Pencegahannya
1.Sejarah dan Konsep Sistem Keamanan
Modul ini berfokus pada dua bidang luas: algoritma dan protokol kriptografi, yang
memiliki berbagai aplikasi; dan keamanan jaringan dan Internet, yang mengandalkan
banyak pada teknik kriptografi.
Algoritma dan protokol kriptografi dapat dikelompokkan menjadi empat bidang utama:
■ Enkripsi simetris: Digunakan untuk menyembunyikan konten blok atau aliran
data dalam berbagai ukuran, termasuk pesan, file, kunci enkripsi, dan kata sandi.
15
■ Enkripsi asimetris: Digunakan untuk menyembunyikan blok kecil data, seperti kunci enkripsi
dan nilai fungsi hash, yang digunakan dalam tanda tangan digital.
■ Algoritme integritas data: Digunakan untuk melindungi blok data, seperti pesan,
dari perubahan.
■ Protokol otentikasi: Ini adalah skema yang didasarkan pada penggunaan algoritma grafik kripto
yang dirancang untuk mengotentikasi identitas entitas.
Bidang keamanan jaringan dan Internet terdiri dari langkah-langkah untuk mencegah, mencegah,
mendeteksi, dan mengoreksi pelanggaran keamanan yang melibatkan transmisi informasi.
Itu adalah pernyataan luas yang mencakup sejumlah kemungkinan. Untuk memberi Anda
gambaran tentang
area yang tercakup dalam buku ini, pertimbangkan contoh pelanggaran keamanan berikut:
1. Pengguna A mengirimkan file ke pengguna B. File tersebut berisi informasi sensitif
(misalnya, catatan penggajian) yang dilindungi dari pengungkapan. Pengguna C, siapa
tidak berwenang untuk membaca file, dapat memantau transmisi dan penangkapan
salinan file selama transmisi.
2. Seorang manajer jaringan, D, mengirimkan pesan ke komputer, E, di bawah manajemennya.
Pesan tersebut menginstruksikan komputer E untuk memperbarui file otorisasi ke
menyertakan identitas sejumlah pengguna baru yang akan diberi akses
komputer itu. Pengguna F mencegat pesan, mengubah isinya untuk menambah atau menghapus
entri, dan kemudian meneruskan pesan ke komputer E, yang menerima pesan sebagai berasal
dari manajer D dan memperbarui file otorisasinya sesuai.
TUJUAN PEMBELAJARAN
Setelah mempelajari bab ini, Anda diharapkan mampu:
◆ Jelaskan persyaratan keamanan utama dari kerahasiaan, integritas, dan
ketersediaan.
◆ Jelaskan arsitektur keamanan X.800 untuk OSI.
◆ Diskusikan jenis ancaman keamanan dan serangan yang harus ditangani
dan memberikan contoh jenis ancaman dan serangan yang berlaku untuk berbagai kategori aset
komputer dan jaringan.
◆ Jelaskan prinsip desain keamanan dasar.
◆ Diskusikan penggunaan permukaan serangan dan serangan pohon.
◆ Buat daftar dan jelaskan secara singkat organisasi kunci yang terlibat dalam kriptografi
standar.
16
1.1 / KONSEP KEAMANAN KOMPUTER 21
3. Daripada mencegat pesan, pengguna F membuat pesannya sendiri dengan
entri yang diinginkan dan mengirimkan pesan itu ke komputer E seolah-olah pesan itu datang
dari manajer D. Komputer E menerima pesan yang berasal dari manajer D
dan memperbarui file otorisasinya sebagaimana mestinya.
4. Seorang karyawan dipecat tanpa peringatan. Manajer personalia mengirimkan pesan ke sistem
server untuk membatalkan akun karyawan. Ketika invali-dation selesai, server akan memposting
pemberitahuan ke file karyawan sebagai
konfirmasi tindakan. Karyawan dapat mencegat pesan tersebut dan
tunda cukup lama untuk membuat akses terakhir ke server untuk mengambil sensitif
informasi. Pesan tersebut kemudian diteruskan, tindakan diambil, dan konfirmasi diposting.
Tindakan karyawan mungkin tidak diperhatikan untuk beberapa waktu yang cukup lama.
5. Pesan dikirim dari pelanggan ke pialang saham dengan instruksi untuk berbagai transaksi.
Selanjutnya, investasi kehilangan nilai dan pelanggan
menyangkal mengirim pesan.
Meskipun daftar ini sama sekali tidak membahas kemungkinan jenis pelanggaran keamanan
jaringan, daftar ini menggambarkan cakupan masalah keamanan jaringan.
2.Kejahatan Komputer dan UU
Cybercrime
Cybercrime , atau kejahatan berorientasi komputer , adalah kejahatan yang melibatkan
komputer dan jaringan . [1] Komputer mungkin telah digunakan untuk melakukan
kejahatan, atau mungkin targetnya. [2] Kejahatan dunia maya dapat mengancam keamanan
dan kesehatan finansial seseorang , perusahaan , atau suatu negara .
Ada banyak masalah privasi seputar kejahatan dunia maya ketika informasi rahasia disadap
atau diungkapkan, secara sah atau sebaliknya. Debarati Halder dan K. Jaishankar lebih
jauh mendefinisikan kejahatan dunia maya dari perspektif gender dan mendefinisikan
'kejahatan dunia maya terhadap perempuan' sebagai "Kejahatan yang ditujukan kepada
perempuan dengan motif untuk secara sengaja merugikan korban secara psikologis dan
fisik, menggunakan jaringan telekomunikasi modern seperti internet dan telepon genggam"
. [3] Secara internasional, baik aktor pemerintah maupun non-negara terlibat dalam kejahatan
dunia maya, termasuk spionase , pencurian keuangan, dan kejahatan lintas batas lainnya.
Kejahatan dunia maya yang melintasi perbatasan internasional dan melibatkan tindakan
setidaknya satu negara bangsa terkadang disebut sebagai perang dunia maya .
Sebuah laporan (disponsori oleh McAfee ), yang diterbitkan pada tahun 2014,
memperkirakan bahwa kerusakan tahunan ekonomi global mencapai $ 445 miliar. [4]
17
Sekitar $ 1,5 miliar hilang pada tahun 2012 karena penipuan kartu kredit dan debit online
di AS. [5] Pada tahun 2018, sebuah studi oleh Center for Strategic and International Studies
(CSIS), bekerja sama dengan McAfee , menyimpulkan bahwa hampir $ 600 miliar, hampir
satu persen dari PDB global, hilang akibat kejahatan dunia maya setiap tahun. [6]
Isi
Klasifikasi
Kejahatan komputer mencakup berbagai macam aktivitas. [7]
Kejahatan penipuan keuangan
Artikel utama: penipuan internet
Penipuan komputer adalah kesalahan penyajian fakta yang tidak jujur yang dimaksudkan
agar orang lain melakukan atau menahan diri dari melakukan sesuatu yang menyebabkan
kerugian. Dalam konteks ini, kecurangan akan menghasilkan keuntungan dengan cara:
•
•
•
Mengubah dengan cara yang tidak sah. Hal ini membutuhkan sedikit keahlian teknis dan
merupakan bentuk pencurian yang umum dilakukan oleh karyawan yang mengubah data
sebelum memasukkan atau memasukkan data palsu, atau dengan memasukkan instruksi
yang tidak sah atau menggunakan proses yang tidak sah;
Mengubah, menghancurkan, menekan, atau mencuri keluaran, biasanya untuk
menyembunyikan transaksi yang tidak sah. Ini sulit untuk dideteksi;
Mengubah atau menghapus data yang disimpan;
Bentuk penipuan lainnya dapat difasilitasi dengan menggunakan sistem komputer,
termasuk penipuan bank , carding , pencurian identitas , pemerasan , dan pencurian
informasi rahasia . Jenis kejahatan ini sering mengakibatkan hilangnya informasi pribadi
atau informasi moneter.
Cyberterrorism
Artikel utama: Cyberterrorism
Pejabat pemerintah dan spesialis keamanan teknologi informasi telah mendokumentasikan
peningkatan yang signifikan dalam masalah Internet dan pemindaian server sejak awal
2001. Ada kekhawatiran yang berkembang di antara badan-badan pemerintah seperti Biro
Investigasi Federal (FBI) dan Badan Intelijen Pusat (CIA) yang seperti itu. intrusi adalah
bagian dari upaya terorganisir oleh badan intelijen asing cyberterrorist , atau kelompok lain
untuk memetakan potensi lubang keamanan dalam sistem kritis. [8] Seorang cyberterrorist
adalah seseorang yang mengintimidasi atau memaksa pemerintah atau organisasi untuk
memajukan tujuan politik atau sosialnya dengan meluncurkan serangan berbasis komputer
terhadap komputer, jaringan, atau informasi yang tersimpan di dalamnya.
Cyberterrorism secara umum dapat diartikan sebagai tindakan terorisme yang dilakukan
melalui penggunaan sumber daya dunia maya atau komputer (Parker 1983). Dengan
demikian, bagian propaganda sederhana di Internet bahwa akan ada serangan bom selama
liburan dapat dianggap sebagai cyberterrorism. Ada juga aktivitas peretasan yang ditujukan
kepada individu, keluarga, yang diatur oleh kelompok dalam jaringan, cenderung
18
menimbulkan ketakutan di antara orang-orang, menunjukkan kekuasaan, mengumpulkan
informasi yang relevan untuk menghancurkan kehidupan masyarakat, perampokan,
pemerasan , dll. [9]
Pemerasan siber
Artikel utama: Pemerasan
Cyberextortion terjadi ketika situs web, server email, atau sistem komputer menjadi
sasaran atau diancam dengan penolakan layanan berulang atau serangan lain oleh peretas
jahat. Para peretas ini meminta uang sebagai imbalan karena berjanji untuk menghentikan
serangan dan menawarkan "perlindungan". Menurut Biro Investigasi Federal , pemeras
kejahatan dunia maya semakin banyak menyerang situs web dan jaringan perusahaan,
melumpuhkan kemampuan mereka untuk beroperasi dan menuntut pembayaran untuk
memulihkan layanan mereka. Lebih dari 20 kasus dilaporkan setiap bulan ke FBI dan
banyak yang tidak dilaporkan untuk menyembunyikan nama korban dari domain publik.
Pelaku biasanya menggunakan serangan denial-of-service terdistribusi . [10] Namun, ada
teknik pemerasan siber lainnya sepertipemerasan doxing dan perburuan serangga .
Contoh pemerasan dunia maya adalah serangan terhadap Sony Pictures tahun 2014 . [11]
Perdagangan Cybersex
Artikel utama: Perdagangan Cybersex
Perdagangan cybersex adalah transportasi korban dan kemudian streaming langsung dari
tindakan seksual paksa dan atau pemerkosaan di webcam. [12] [13] [14] [15] Para korban
diculik, diancam, atau ditipu dan dipindahkan ke 'sarang seks siber'. [16] [17] [18] Sarang dapat
berada di lokasi mana pun di mana penyelundup cybersex memiliki komputer, tablet, atau
telepon dengan koneksi internet . [19] Pelaku menggunakan jaringan media sosial ,
konferensi video , halaman kencan, ruang obrolan online, aplikasi, situs web gelap , [20] dan
platform lainnya.[21] Mereka menggunakan sistem pembayaran online [22] [23] [24] dan
cryptocurrency untuk menyembunyikan identitas mereka. [25] Jutaan laporan
kemunculannya dikirim ke pihak berwenang setiap tahun. [26] Undang-undang dan
prosedur polisi baru diperlukan untuk memerangi jenis kejahatan dunia maya ini. [27]
Contoh perdagangan cybersex adalah kasus kamar ke-N 2018-2020 di Korea Selatan . [28]
Perang maya
Pelaut menganalisis, mendeteksi, dan secara defensif menanggapi aktivitas tidak sah dalam
sistem informasi Angkatan Laut AS dan jaringan komputer
19
Artikel utama: Cyberwarfare
AS Departemen Pertahanan mencatat bahwa dunia maya telah muncul sebagai
keprihatinan tingkat nasional melalui beberapa peristiwa baru-baru signifikansi
geostrategis. Diantaranya termasuk, serangan terhadap infrastruktur Estonia tahun 2007,
yang diduga dilakukan oleh peretas Rusia. Pada Agustus 2008, Rusia kembali diduga
melakukan serangan dunia maya, kali ini dalam kampanye kinetik dan non-kinetik yang
terkoordinasi dan tersinkronisasi melawan negara Georgia . The Desember 2015 Ukraina
jaringan listrik cyber juga telah dikaitkan dengan Rusia dan dianggap sukses serangan
dunia maya pertama pada jaringan listrik. [ butuh rujukan ]Khawatir serangan semacam itu dapat
menjadi norma dalam peperangan antarnegara bangsa di masa depan, konsep operasi dunia
maya berdampak dan akan diadaptasi oleh peperangan komandan militer di masa depan.
[29]
Komputer sebagai target
Kejahatan ini dilakukan oleh sekelompok penjahat terpilih. Berbeda dengan kejahatan
yang menggunakan komputer sebagai alatnya, kejahatan tersebut membutuhkan
pengetahuan teknis dari pelakunya. Dengan demikian, seiring berkembangnya teknologi,
begitu pula sifat kejahatan. Kejahatan ini relatif baru, hanya ada selama komputer
memilikinya — yang menjelaskan betapa tidak siapnya masyarakat dan dunia pada
umumnya dalam memerangi kejahatan ini. Ada banyak kejahatan seperti ini yang
dilakukan setiap hari di internet. Jarang dilakukan oleh penyendiri, malah melibatkan
kelompok sindikat besar.
Kejahatan yang terutama menargetkan jaringan atau perangkat komputer meliputi:
•
•
•
Virus komputer
Penolakan serangan layanan
Malware (kode berbahaya)
Komputer sebagai alat
Artikel utama: Penipuan Internet , Spamming , Phishing , dan Carding (penipuan)
Ketika individu menjadi sasaran utama kejahatan dunia maya, komputer dapat dianggap
sebagai alat daripada sasaran. Kejahatan ini umumnya melibatkan keahlian teknis yang
kurang. Kelemahan manusia umumnya dieksploitasi. Kerusakan yang ditangani sebagian
besar bersifat psikologis dan tidak berwujud, membuat tindakan hukum terhadap varian
tersebut lebih sulit. Ini adalah kejahatan yang telah ada selama berabad-abad di dunia
offline. Penipuan , pencurian, dan sejenisnya telah ada bahkan sebelum pengembangan
peralatan berteknologi tinggi. Penjahat yang sama hanya diberi alat yang meningkatkan
potensi kumpulan korban dan membuat mereka semakin sulit dilacak dan ditangkap. [30]
Kejahatan yang menggunakan jaringan komputer atau perangkat untuk mencapai tujuan
lain meliputi:
•
20
Penipuan dan pencurian identitas (meskipun ini semakin sering menggunakan malware,
peretasan, atau phishing, menjadikannya contoh kejahatan "komputer sebagai target"
dan "komputer sebagai alat")
•
•
•
•
Perang informasi
Penipuan phishing
Spam
Penyebaran konten cabul atau menyinggung ilegal, termasuk pelecehan dan ancaman
Pengiriman email massal yang tidak diminta untuk tujuan komersial ( spam ) melanggar
hukum di beberapa yurisdiksi .
Phishing sebagian besar disebarkan melalui email. Email phishing mungkin berisi tautan
ke situs web lain yang dipengaruhi oleh malware. [31] Atau, mereka mungkin berisi tautan
ke perbankan online palsu atau situs web lain yang digunakan untuk mencuri informasi
rekening pribadi.
Konten cabul atau menyinggung
Konten situs web dan komunikasi elektronik lainnya mungkin tidak menyenangkan, cabul ,
atau menyinggung karena berbagai alasan. Dalam beberapa kasus, komunikasi ini mungkin
ilegal.
Sejauh mana komunikasi ini melanggar hukum sangat bervariasi antar negara, dan bahkan
di dalam negara. Ini adalah area sensitif di mana pengadilan dapat terlibat dalam proses
arbitrase antara kelompok yang memiliki keyakinan kuat.
Salah satu bidang pornografi Internet yang telah menjadi sasaran upaya pemberantasan
terkuat adalah pornografi anak , yang ilegal di sebagian besar yurisdiksi di dunia.
Pelecehan online
Lihat juga: Cyberbullying , Predator online , Cyberstalking , dan troll Internet
Belajarlah lagi
Contoh dan perspektif di bagian ini mungkin tidak mewakili pandangan subjek secara global .
Meskipun konten mungkin menyinggung dengan cara yang tidak spesifik, pelecehan
mengarahkan kata-kata kotor dan komentar yang menghina pada individu tertentu yang
berfokus misalnya pada jenis kelamin, ras, agama, kebangsaan, orientasi seksual.
Ada beberapa contoh di mana melakukan kejahatan menggunakan komputer dapat
mengakibatkan hukuman yang lebih berat. Misalnya, dalam kasus United States v. Neil
Scott Kramer , terdakwa diberi hukuman yang ditingkatkan menurut US Sentencing
Guidelines Manual §2G1.3 (b) (3) karena penggunaan ponselnyauntuk "membujuk,
membujuk, membujuk, memaksa, atau memfasilitasi perjalanan, anak di bawah umur
untuk terlibat dalam perilaku seksual yang dilarang." Kramer mengajukan banding atas
hukuman tersebut dengan alasan tidak cukup bukti untuk menghukumnya berdasarkan
undang-undang ini karena dakwaannya termasuk membujuk melalui perangkat komputer
dan telepon selulernya secara teknis bukan komputer. Meskipun Kramer mencoba
memperdebatkan hal ini, Panduan Hukuman AS menyatakan bahwa istilah 'komputer'
berarti perangkat pemrosesan data elektronik, magnetik, optik, elektrokimia , atau
21
kecepatan tinggi lainnya yang melakukan fungsi logis, aritmatika, atau penyimpanan, dan
termasuk fasilitas penyimpanan data atau fasilitas komunikasi apa pun yang terkait
langsung atau beroperasi dengan perangkat tersebut. "
Di Amerika Serikat saja, Missouri dan lebih dari 40 negara bagian lainnya telah
mengesahkan undang-undang dan peraturan yang menganggap pelecehan online yang
ekstrem sebagai tindakan kriminal. Tindakan ini dapat dihukum dalam skala federal,
seperti US Code 18 Section 2261A, yang menyatakan bahwa menggunakan komputer
untuk mengancam atau melecehkan dapat mengakibatkan hukuman hingga 20 tahun,
tergantung pada tindakan yang diambil. [32]
Beberapa negara di luar Amerika Serikat juga telah membuat undang-undang untuk
memerangi pelecehan online. Di China, negara yang mendukung lebih dari 20 persen
pengguna internet dunia, Kantor Urusan Legislatif Dewan Negara mengesahkan undangundang yang ketat terhadap penindasan terhadap kaum muda melalui RUU sebagai
tanggapan terhadap Mesin Pencari Daging Manusia . [33] [34] Inggris Raya mengeluarkan
Undang-Undang Komunikasi Berbahaya , antara lain tindakan dari tahun 1997 hingga
2013, yang menyatakan bahwa mengirim pesan atau surat secara elektronik yang oleh
pemerintah dianggap "tidak senonoh atau sangat menyinggung" dan / atau bahasa yang
dimaksudkan untuk menyebabkan "penderitaan dan kecemasan "dapat menyebabkan
hukuman penjara enam bulan dan kemungkinan denda besar. [35] [36] Australia, meskipun
tidak secara langsung menangani masalah pelecehan, telah mengelompokkan sebagian
besar pelecehan online di bawah Undang-Undang KUHP tahun 1995. Menggunakan
telekomunikasi untuk mengirim ancaman atau melecehkan dan menyebabkan pelanggaran
merupakan pelanggaran langsung atas tindakan ini. [37]
Meskipun kebebasan berbicara dilindungi oleh hukum di sebagian besar masyarakat
demokratis (di AS, hal ini dilakukan oleh Amandemen Pertama ), ini tidak mencakup
semua jenis ucapan. Nyatanya, ucapan / teks "ancaman sebenarnya" yang diucapkan atau
ditulis dikriminalisasi karena "bermaksud untuk menyakiti atau mengintimidasi". Itu juga
berlaku untuk online atau semua jenis ancaman terkait jaringan dalam teks atau ucapan
tertulis.
Perdagangan narkoba
Pasar Darknet digunakan untuk membeli dan menjual narkoba secara online. Beberapa
pengedar narkoba menggunakan alat pesan terenkripsi untuk berkomunikasi dengan bagal
narkoba. The gelap web situs Silk Road adalah sebuah pasar online utama untuk obat
sebelum ditutup oleh penegak hukum (kemudian dibuka kembali di bawah manajemen
baru, dan kemudian ditutup oleh penegak hukum lagi). Setelah Silk Road 2.0 turun, Silk
Road 3 Reloaded muncul. Namun, itu hanya pasar lama bernama Diabolus Market , yang
menggunakan nama tersebut untuk lebih banyak eksposur dari kesuksesan merek
sebelumnya. [38]
Pasar Darknet mengalami peningkatan lalu lintas dalam beberapa tahun terakhir karena
berbagai alasan. Salah satu kontributor terbesar adalah anonimitas dan keamanan yang
sejalan saat menggunakan pasar [39]. Ada banyak cara Anda bisa kehilangan semua uang
yang diinvestasikan dan ditangkap saat menggunakan pasar Darknet. Vendor dan
pelanggan berusaha keras menjaga kerahasiaan identitas mereka saat online. Alat yang
22
umum digunakan adalah jaringan pribadi virtual, Tails, dan Tor untuk membantu
menyembunyikan jejak mereka yang tertinggal untuk penyelidik. Pasar Darknet membuat
pengguna merasa aman karena mereka bisa mendapatkan apa yang mereka inginkan dari
kenyamanan rumah mereka. Orang-orang dapat dengan mudah mendapatkan akses ke
browser Tor dengan browser DuckDuckGo yang memungkinkan pengguna untuk
menjelajahi lebih dalam daripada browser lain seperti Google Chrome. Namun sebenarnya
mendapatkan akses ke pasar terlarang tidak sesederhana mengetiknya di mesin pencari
seperti yang Anda lakukan dengan google. Pasar Darknet memiliki tautan khusus yang
berubah setiap hari dengan akhiran .onion berlawanan dengan .com biasa, .net. dan
ekstensi domain .org.Untuk menambah privasi, mata uang terbesar di pasar ini adalah
Bitcoin. Bitcoin memungkinkan transaksi dilakukan di antara orang-orang dengan bertukar
alamat dompet dan tidak perlu tahu apa-apa tentang orang yang Anda kirimi uang.[40]
Salah satu masalah terbesar yang dihadapi pengguna yang menggunakan pasar adalah
vendor atau pasar itu sendiri keluar dari penipuan. [41] Ini terjadi ketika biasanya vendor
dengan peringkat tinggi akan bertindak seolah-olah mereka masih menjual di pasar dan
meminta pengguna mengirimkan uang [42] . Penjual kemudian akan menutup akunnya
setelah menerima uang dari beberapa pembeli dan tidak pernah mengirim apa yang mereka
beli. Semua vendor yang terlibat dalam aktivitas ilegal memiliki peluang rendah untuk
tidak keluar dari penipuan ketika mereka tidak lagi ingin menjadi vendor. Pada 2019,
seluruh pasar yang disebut Wall Street Market diduga telah keluar dari penipuan, mencuri
30 juta dolar dari vendor dan pembeli dompet dalam bitcoin. [43]Admin dan Manajer pasar
mengirim pesan ke banyak vendor top yang memeras mereka untuk mengirim bitcoin ke
alamat tertentu atau berisiko bocornya informasi pribadi mereka. [43] Ini semakin
membuktikan bahwa pasar darknet tidak aman bagi siapa pun yang menggunakannya.
Tidak ada perlindungan pembeli untuk mendapatkan uang Anda kembali saat penipuan ini
terjadi.
Agen federal telah melakukan tindakan keras besar-besaran di pasar ini. Pada Juli 2017,
agen federal merebut salah satu pasar terbesar yang biasa disebut Alphabay. [44] Biasanya
penyelidik akan bertindak sebagai pembeli dan memesan paket dari vendor darknet dengan
harapan mereka meninggalkan jejak yang dapat mereka ikuti. Satu investigasi memiliki
penyidik yang berpura-pura sebagai penjual senjata api dan selama enam bulan orang
membeli dari mereka dan memberikan alamat rumah [45] . Mereka berhasil melakukan
lebih dari selusin penangkapan selama penyelidikan enam bulan ini [45] . Salah satu
tindakan keras terbesar penegak hukum adalah pada vendor yang menjual fentanyl dan
opiat. Dengan ribuan orang meninggal setiap tahun karena obat-obatan yang melebihi
dosis, sudah lama terlambat bagi penegak hukum untuk menindak pasar ini [46]. Banyak
vendor tidak menyadari biaya tambahan yang menyertai penjualan obat secara online.
Biasanya mereka dituduh melakukan pencucian uang dan biaya ketika obat dikirim melalui
pos selain menjadi distributor obat. [47] Setiap negara bagian memiliki undang-undang dan
peraturan tentang obat-obatan, oleh karena itu vendor menghadapi banyak tuduhan dari
negara bagian yang berbeda. Pada 2019, seorang vendor dijatuhi hukuman 10 tahun
penjara setelah menjual kokain dan metamfetamin dengan nama JetSetLife. [48] Meskipun
banyak penyelidik menghabiskan banyak waktu untuk melacak orang dalam satu tahun,
hanya 65 tersangka yang diidentifikasi membeli dan menjual barang ilegal di beberapa
pasar terbesar [49] . Ini dibandingkan dengan ribuan transaksi yang terjadi setiap hari di
pasar ini.
23
•
Salah satu kejahatan komputer perbankan dengan profil tertinggi terjadi selama tiga
tahun yang dimulai pada tahun 1970. Kepala teller di cabang Park Avenue dari Union
Dime Savings Bank, New York, menggelapkan lebih dari $ 1,5 juta dari ratusan rekening.
[50]
•
•
•
•
•
•
•
•
•
•
24
Sebuah kelompok peretas bernama MOD (Masters of Deception), diduga mencuri kata
sandi dan data teknis dari Pacific Bell , Nynex , dan perusahaan telepon lainnya serta
beberapa agen kredit besar dan dua universitas besar. Kerusakan yang diakibatkan sangat
luas, satu perusahaan, Southwestern Bell mengalami kerugian $ 370.000 saja. [50]
Pada tahun 1983, seorang mahasiswa UCLA berusia 19 tahun menggunakan PC-nya untuk
membobol sistem Komunikasi Internasional Departemen Pertahanan. [50]
Antara 1995 dan 1998 layanan satelit Newscorp pay to view terenkripsi SKY-TV diretas
beberapa kali selama perlombaan senjata teknologi yang sedang berlangsung antara grup
peretas pan-Eropa dan Newscorp. Motivasi asli para peretas adalah untuk menonton
tayangan ulang Star Trek di Jerman; sesuatu yang hak ciptanya tidak diizinkan oleh
Newscorp. [51]
Pada tanggal 26 Maret 1999, worm Melissa menginfeksi sebuah dokumen di komputer
korban, kemudian secara otomatis mengirimkan dokumen tersebut dan salinan virus
tersebut menyebar melalui e-mail ke orang lain.
Pada bulan Februari 2000, seseorang yang menggunakan nama lain MafiaBoy memulai
serangkaian serangan penolakan layanan terhadap situs web terkenal, termasuk Yahoo! ,
Dell, Inc. , E * TRADE , eBay , dan CNN . Sekitar 50 komputer di Universitas Stanford , dan
juga komputer di Universitas California di Santa Barbara, termasuk di antara komputer
zombie yang mengirimkan ping dalam serangan DDoS . Pada 3 Agustus 2000, jaksa federal
Kanada menuntut MafiaBoy dengan 54 dakwaan akses ilegal ke komputer, ditambah total
sepuluh dakwaan kerusakan data untuk serangannya.
The Stuxnet worm rusak mikroprosesor SCADA, terutama dari jenis yang digunakan di
Siemens pengendali centrifuge.
The Flame (malware) yang terutama menargetkan pejabat Iran dalam upaya untuk
mendapatkan informasi sensitif. [52]
The Jaringan Bisnis Rusia (RBN) telah terdaftar sebagai situs internet pada tahun 2006.
Awalnya, banyak aktivitasnya itu sah. Namun rupanya, para pendiri segera menemukan
bahwa lebih menguntungkan menjadi tuan rumah kegiatan tidak sah dan mulai
menyewakan layanannya kepada penjahat. RBN telah dijelaskan oleh VeriSign sebagai
"yang paling buruk dari yang buruk". [53] Ia menawarkan layanan web hosting dan akses
internet untuk semua jenis kegiatan kriminal dan tidak menyenangkan, dengan kegiatan
individu menghasilkan hingga $ 150 juta dalam satu tahun. Ini mengkhususkan diri dalam
dan dalam beberapa kasus memonopoli pencurian identitas pribadi untuk dijual kembali.
Ini adalah pencetus MPack dan diduga operator botnet Storm yang sekarang sudah tidak
berfungsi.
Pada 2 Maret 2010, penyelidik Spanyol menangkap 3 [ klarifikasi diperlukan ] yang menginfeksi lebih
dari 13 juta komputer di seluruh dunia. "Botnet" dari komputer yang terinfeksi termasuk
PC di dalam lebih dari separuh perusahaan Fortune 1000 dan lebih dari 40 bank besar,
menurut para penyelidik.
Pada Agustus 2010, Operasi investigasi internasional Delego , yang beroperasi di bawah
pengawasan Departemen Keamanan Dalam Negeri , menutup jaringan pedofil
internasional Dreamboard. Situs web tersebut memiliki sekitar 600 anggota dan mungkin
telah mendistribusikan hingga 123 terabyte pornografi anak (kira-kira setara dengan
16.000 DVD). Sampai saat ini, ini adalah penuntutan terbesar di AS atas jaringan
pornografi anak internasional ; 52 penangkapan dilakukan di seluruh dunia. [54]
•
•
•
•
•
•
•
Pada Januari 2012 Zappos.com mengalami pelanggaran keamanan setelah sebanyak 24
juta nomor kartu kredit pelanggan, informasi pribadi, alamat penagihan dan pengiriman
telah disusupi. [55]
Pada Juni 2012 LinkedIn dan eHarmony diserang, membahayakan 65 juta hash kata sandi .
30.000 kata sandi dipecahkan dan 1,5 juta kata sandi EHarmony diposting online. [56]
Desember 2012 Situs web Wells Fargo mengalami serangan penolakan layanan.
Berpotensi membahayakan 70 juta pelanggan dan 8,5 juta pemirsa aktif. Bank lain yang
dianggap telah disusupi: Bank of America , JP Morgan U.S. Bank , dan PNC Financial
Services . [57]
Pada 23 April 2013, akun Twitter Associated Press diretas - peretas memposting tweet
tipuan tentang serangan fiktif di Gedung Putih yang mereka klaim menyebabkan Presiden
Obama terluka. [58] Tweet tipuan ini mengakibatkan penurunan singkat 130 poin dari Dow
Jones Industrial Average , penghapusan $ 136 miliar dari indeks S&P 500 , [59] dan
penangguhan sementara akun Twitter AP. Dow Jones kemudian memulihkan kenaikan
sesinya.
Pada Mei 2017, 74 negara mencatat kejahatan dunia maya ransomware , yang disebut "
WannaCry " [60]
Akses ilegal ke sensor kamera, sensor mikrofon, kontak buku telepon, semua aplikasi
berkemampuan internet, dan metadata telepon seluler yang menjalankan Android dan
IOS dilaporkan dapat diakses oleh spyware Israel, ditemukan beroperasi di setidaknya 46
negara bagian di seluruh dunia. dunia. Jurnalis, Royalti dan pejabat pemerintah termasuk
di antara target. [61] [62] [63] Tuduhan sebelumnya tentang kasus perusahaan senjata Israel
yang ikut campur dalam telepon internasional [64] dan ponsel cerdas [65] telah dikalahkan
dalam kasus yang dilaporkan tahun 2018 .
Pada Desember 2019, intelijen Amerika Serikat dan investigasi The New York Times
mengungkap bahwa aplikasi messaging Uni Emirat Arab , ToTok merupakan alat mata mata . Penelitian tersebut mengungkapkan bahwa pemerintah Emirat berusaha melacak
setiap percakapan, pergerakan, hubungan, janji temu, suara, dan gambar orang-orang
yang memasang aplikasi di ponsel mereka. [66]
Memerangi kejahatan komputer
Sulit untuk menemukan dan memerangi pelaku kejahatan dunia maya karena penggunaan
internet mereka untuk mendukung serangan lintas batas. Internet tidak hanya
memungkinkan orang menjadi sasaran dari berbagai lokasi, tetapi skala kerugian yang
ditimbulkan dapat diperbesar. Penjahat dunia maya dapat menargetkan lebih dari satu
orang pada satu waktu. Ketersediaan ruang virtual [67] untuk sektor publik dan swasta telah
memungkinkan kejahatan dunia maya menjadi kejadian sehari-hari. [68] Pada tahun 2018,
Internet Crime Complaint Center menerima 351.937 pengaduan kejahatan dunia maya,
yang menyebabkan kerugian $ 2,7 miliar. [69]
Penyelidikan
Komputer dapat menjadi sumber bukti (lihat forensik digital ). Meskipun komputer tidak
secara langsung digunakan untuk tujuan kriminal, komputer mungkin berisi catatan
berharga bagi penyidik kriminal dalam bentuk file log . Di sebagian besar negara [70]
Penyedia Layanan Internet diwajibkan, oleh hukum, untuk menyimpan file log mereka
untuk jangka waktu yang telah ditentukan. Sebagai contoh; Petunjuk Retensi Data di
seluruh Eropa (berlaku untuk semua negara anggota UE ) menyatakan bahwa semua lalu
lintas email harus disimpan selama minimal 12 bulan.
25
Ada banyak cara untuk terjadinya kejahatan dunia maya, dan penyelidikan cenderung
dimulai dengan jejak Alamat IP , namun, itu belum tentu menjadi dasar faktual yang dapat
digunakan detektif untuk menyelesaikan suatu kasus. Berbagai jenis kejahatan teknologi
tinggi juga dapat mencakup elemen kejahatan teknologi rendah, dan sebaliknya,
menjadikan penyelidik kejahatan dunia maya sebagai bagian yang sangat diperlukan dari
penegakan hukum modern. Metode kerja detektif kejahatan dunia maya bersifat dinamis
dan terus meningkat, baik dalam unit polisi tertutup maupun dalam kerangka kerja sama
internasional. [71]
Di Amerika Serikat, Biro Investigasi Federal (FBI) [72] dan Departemen Keamanan Dalam
Negeri (DHS) [73] adalah lembaga pemerintah yang memerangi kejahatan dunia maya. FBI
telah melatih agen dan analis dalam kejahatan dunia maya yang ditempatkan di kantor
lapangan dan markas mereka. [72] Di bawah DHS, Secret Servicememiliki Bagian Intelijen
Cyber yang bekerja untuk menargetkan kejahatan dunia maya keuangan. Mereka
menggunakan kecerdasan mereka untuk melindungi dari kejahatan dunia maya
internasional. Upaya mereka bekerja untuk melindungi institusi, seperti bank, dari
gangguan dan pelanggaran informasi. Berbasis di Alabama, Secret Service dan Kantor
Layanan Penuntutan Alabama bekerja sama untuk melatih para profesional dalam
penegakan hukum melalui pembentukan The National Computer Forensic Institute. [73] [74]
[75]
Lembaga ini bekerja untuk menyediakan "anggota lokal dan negara bagian dari
komunitas penegak hukum dengan pelatihan dalam menanggapi insiden dunia maya,
penyelidikan, dan pemeriksaan forensik dalam menanggapi insiden dunia maya,
penyelidikan, dan pemeriksaan forensik." [75]
Karena penggunaan umum enkripsi dan teknik lain untuk menyembunyikan identitas dan
lokasi mereka oleh penjahat dunia maya, mungkin sulit untuk melacak pelaku setelah
kejahatan dilakukan, sehingga tindakan pencegahan menjadi sangat penting. [68] [76]
Pencegahan
Departemen Keamanan Dalam Negeri juga melembagakan Program Diagnostik dan
Mitigasi Berkelanjutan (CDM). Program CDM memantau dan mengamankan jaringan
pemerintah dengan melacak dan memprioritaskan risiko jaringan, dan menginformasikan
personel sistem sehingga mereka dapat mengambil tindakan. [77] Dalam upaya untuk
menangkap gangguan sebelum kerusakan terjadi, DHS membuat Enhanced Cybersecurity
Services (ECS) untuk melindungi sektor publik dan swasta di Amerika Serikat. Badan
Keamanan Cyber dan Keamanan Infrastruktur menyetujui mitra swasta yang menyediakan
layanan deteksi dan pencegahan intrusi melalui ECS . Contoh salah satu layanan yang
ditawarkan adalah DNS sinkholing. [77]
Legislasi
Karena undang-undang yang mudah dieksploitasi, penjahat dunia maya menggunakan
negara berkembang untuk menghindari deteksi dan penuntutan dari penegakan hukum. Di
negara berkembang, seperti Filipina , undang-undang yang melarang kejahatan dunia maya
lemah atau terkadang tidak ada. Undang-undang yang lemah ini memungkinkan penjahat
dunia maya menyerang dari perbatasan internasional dan tetap tidak terdeteksi. Bahkan
ketika diidentifikasi, para penjahat ini menghindari hukuman atau ekstradisi ke negara,
seperti Amerika Serikat , yang telah mengembangkan undang-undang yang memungkinkan
26
penuntutan. Meskipun hal ini terbukti sulit dalam beberapa kasus, lembaga, seperti FBI,
telah menggunakan penipuan dan tipu daya untuk menangkap penjahat. Misalnya, dua
peretas Rusia telah menghindari FBI selama beberapa waktu. FBI mendirikan perusahaan
komputasi palsu yang berbasis di Seattle, Washington. Mereka melanjutkan untuk memikat
kedua pria Rusia itu ke Amerika Serikat dengan menawarkan mereka bekerja di
perusahaan ini. Setelah menyelesaikan wawancara, para tersangka ditangkap di luar
gedung. Trik cerdas seperti ini terkadang menjadi bagian penting untuk menangkap
penjahat dunia maya ketika undang-undang yang lemah tidak memungkinkan sebaliknya.
[78]
Presiden Barack Obama saat itu merilis perintah eksekutif pada April 2015 untuk
memerangi kejahatan dunia maya. Perintah eksekutif memungkinkan Amerika Serikat
untuk membekukan aset penjahat dunia maya yang dihukum dan memblokir aktivitas
ekonomi mereka di Amerika Serikat. Ini adalah beberapa undang-undang solid pertama
yang memerangi kejahatan dunia maya dengan cara ini. [79]
Uni Eropa mengadopsi arahan 2013/40 / EU. Semua pelanggaran dari direktif, dan definisi
lain dan lembaga prosedural juga di Dewan Eropa 's Konvensi Cybercrime . [80]
Bukan hanya AS dan Uni Eropa yang memperkenalkan tindakan baru terhadap kejahatan
dunia maya. PADA 31 Mei 2017 China mengumumkan bahwa undang-undang keamanan
siber yang baru berlaku pada tanggal ini. [81]
Hukuman
Hukuman untuk kejahatan terkait komputer di Negara Bagian New York dapat berkisar
dari denda dan jangka waktu penjara yang singkat untuk pelanggaran Kelas A seperti
penggunaan komputer yang tidak sah hingga gangguan komputer pada tingkat pertama
yang merupakan kejahatan Kelas C dan dapat membawa 3 sampai 15 tahun penjara. [82]
Namun, beberapa peretas telah dipekerjakan sebagai pakar keamanan informasi oleh
perusahaan swasta karena pengetahuan mereka tentang kejahatan komputer, sebuah
fenomena yang secara teoritis dapat menciptakan insentif yang merugikan . Kemungkinan
kontra untuk ini adalah pengadilan untuk melarang peretas yang dihukum menggunakan
Internet atau komputer, bahkan setelah mereka dibebaskan dari penjara - meskipun karena
komputer dan Internet menjadi semakin sentral dalam kehidupan sehari-hari, jenis
hukuman ini dapat dilihat karena semakin keras dan kejam. Namun, pendekatan bernuansa
telah dikembangkan yang mengelola perilaku pelaku dunia maya tanpa menggunakan
larangan komputer atau Internet total. [83]Pendekatan ini melibatkan membatasi individu ke
perangkat tertentu yang tunduk pada pemantauan komputer atau pencarian komputer oleh
petugas percobaan atau pembebasan bersyarat. [84]
Kesadaran
Seiring kemajuan teknologi dan semakin banyak orang yang bergantung pada internet
untuk menyimpan informasi sensitif seperti informasi perbankan atau kartu kredit, penjahat
semakin berupaya untuk mencuri informasi tersebut. Kejahatan dunia maya semakin
menjadi ancaman bagi orang-orang di seluruh dunia. Meningkatkan kesadaran tentang
bagaimana informasi dilindungi dan taktik yang digunakan penjahat untuk mencuri
27
informasi itu terus bertambah penting. Menurut Pusat Pengaduan Kejahatan Internet FBI
pada tahun 2014, ada 269.422 pengaduan yang diajukan. Dengan semua klaim
digabungkan, ada kerugian total yang dilaporkan sebesar $ 800.492.073. [85]Tapi kejahatan
dunia maya tampaknya belum ada di radar orang kebanyakan. Ada 1,5 juta serangan dunia
maya setiap tahun, itu berarti ada lebih dari 4.000 serangan setiap hari, 170 serangan setiap
jam, atau hampir tiga serangan setiap menit, dengan studi yang menunjukkan kepada kami
bahwa hanya 16% korban yang bertanya kepada orang-orang yang melakukan serangan
untuk berhenti. [86] Siapa pun yang menggunakan internet untuk alasan apa pun dapat
menjadi korban, oleh karena itu penting untuk menyadari bagaimana seseorang dilindungi
saat online.
Intelijen
Seiring dengan berkembangnya kejahatan dunia maya, ekosistem profesional telah
berkembang untuk mendukung individu dan kelompok yang mencari keuntungan dari
aktivitas kejahatan dunia maya. Ekosistemnya telah menjadi sangat terspesialisasi,
termasuk pengembang malware, operator botnet, kelompok kejahatan dunia maya
profesional, kelompok yang mengkhususkan diri dalam penjualan konten curian, dan
sebagainya. Beberapa perusahaan keamanan siber terkemuka memiliki keterampilan,
sumber daya, dan visibilitas untuk mengikuti aktivitas individu dan grup ini. [87] Berbagai
macam informasi tersedia dari sumber-sumber ini yang dapat digunakan untuk tujuan
pertahanan, termasuk indikator teknis seperti hash file yang terinfeksi [88] atau IP / URL
berbahaya, [88]serta informasi strategis yang menggambarkan tujuan, teknik, dan kampanye
dari grup yang diprofilkan. Beberapa di antaranya dipublikasikan secara gratis, tetapi akses
yang konsisten dan berkelanjutan biasanya memerlukan langganan layanan langganan
intelijen musuh. Pada tingkat aktor ancaman individu, intelijen ancaman sering disebut
sebagai "TTP", atau "taktik, teknik, dan prosedur" aktor tersebut, karena infrastruktur, alat,
dan indikator teknis lainnya sering kali dianggap remeh bagi penyerang untuk berubah.
Sektor korporat sedang mempertimbangkan peran penting dari cybersecurity kecerdasan
buatan . [89] [90]
Difusi kejahatan dunia maya
Difusi yang luas dari aktivitas kejahatan dunia maya adalah masalah dalam pendeteksian
dan penuntutan kejahatan komputer.
Peretasan menjadi kurang kompleks karena komunitas peretasan telah menyebarkan
pengetahuan mereka melalui Internet. Blog dan komunitas telah berkontribusi besar dalam
berbagi informasi: pemula dapat memperoleh manfaat dari pengetahuan dan saran peretas
yang lebih tua. Selain itu, peretasan lebih murah dari sebelumnya: sebelum era komputasi
awan , untuk melakukan spam atau penipuan, seseorang membutuhkan server khusus,
keterampilan dalam manajemen server, konfigurasi jaringan, dan pemeliharaan,
pengetahuan tentang standar penyedia layanan Internet, dll. Sebagai perbandingan, sebuah
mail software-as-a-service adalah layanan pengiriman email yang dapat diskalakan, murah,
massal, dan transaksional untuk tujuan pemasaran dan dapat dengan mudah diatur untuk
spam . [91]Komputasi awan dapat bermanfaat bagi penjahat dunia maya sebagai cara untuk
memanfaatkan serangannya, dalam hal pemaksaan kata sandi secara brutal, meningkatkan
jangkauan botnet , atau memfasilitasi kampanye spamming. [92]
28
3.Kriptografi
Kriptografi
Kriptografi , atau kriptologi (dari bahasa Yunani Kuno : κρυπτός , diromanisasi : kryptós
"hidden, secret"; dan γράφειν graphein , "to write", atau -λογία -logia , "study", masingmasing [1] ), adalah praktik dan studi teknik untuk komunikasi yang aman di hadapan pihak
ketiga yang disebut musuh . [2] Secara umum, kriptografi adalah tentang membangun dan
menganalisis protokol yang mencegah pihak ketiga atau publik untuk membaca pesan
pribadi; [3] berbagai aspek dalamkeamanan informasi seperti kerahasiaan data , integritas
data , otentikasi , dan non-repudiation [4] adalah pusat kriptografi modern. Kriptografi
modern berada di persimpangan disiplin ilmu matematika , ilmu komputer , teknik elektro ,
ilmu komunikasi , dan fisika . Aplikasi kriptografi meliputi perdagangan elektronik , kartu
pembayaran berbasis chip , mata uang digital , sandi komputer , dan komunikasi militer .
Mesin penyandian Lorenz Jerman , yang digunakan dalam Perang Dunia II untuk mengenkripsi
pesan staf umum tingkat sangat tinggi
Kriptografi sebelum zaman modern secara efektif identik dengan enkripsi , konversi
informasi dari keadaan yang dapat dibaca menjadi omong kosong . Pencetus pesan
terenkripsi membagikan teknik decoding hanya dengan penerima yang dituju untuk
menghalangi akses dari musuh. Literatur kriptografi sering menggunakan nama Alice
("A") untuk pengirimnya, Bob ("B") untuk penerima yang dituju, dan Eve (" eavesdropper
") untuk musuh. [5] Sejak perkembangan mesin cipher rotor dalam Perang Dunia I dan
munculnya komputer dalam Perang Dunia II, metode yang digunakan untuk menjalankan
kriptologi menjadi semakin kompleks dan penerapannya semakin meluas.
Kriptografi modern sangat didasarkan pada teori matematika dan praktik ilmu komputer;
Algoritme kriptografi dirancang berdasarkan asumsi kekerasan komputasi , membuat
algoritme semacam itu sulit dipatahkan oleh musuh mana pun. Secara teoritis mungkin
untuk mematahkan sistem seperti itu, tetapi tidak mungkin untuk melakukannya dengan
cara praktis yang diketahui. Skema ini oleh karena itu disebut aman secara komputasi;
kemajuan teoritis, misalnya, peningkatan dalam algoritma faktorisasi integer , dan
teknologi komputasi yang lebih cepat membutuhkan solusi ini untuk terus diadaptasi.
Terdapat skema keamanan informasi-teoritis yang terbukti tidak dapat dirusak bahkan
29
dengan daya komputasi tak terbatas-contohnya adalah pad satu kali—Tetapi skema ini
lebih sulit digunakan dalam praktiknya daripada mekanisme terbaik yang secara teoritis
dapat dipecahkan tetapi aman secara komputasi.
Pertumbuhan teknologi kriptografi telah mengangkat sejumlah masalah hukum di era
informasi. Potensi kriptografi untuk digunakan sebagai alat spionase dan hasutan telah
menyebabkan banyak pemerintah mengklasifikasikannya sebagai senjata dan membatasi
atau bahkan melarang penggunaan dan ekspornya. [6] Di beberapa yurisdiksi di mana
penggunaan kriptografi adalah legal, undang-undang mengizinkan penyelidik untuk
memaksa pengungkapan kunci enkripsi untuk dokumen yang relevan dengan investigasi.
[7] [8]
Kriptografi juga memainkan peran utama dalam manajemen hak digital dan
pelanggaran hak cipta media digital. [9]
Isi
Terminologi
Sandi pengganti alfabet diyakini telah digunakan oleh Julius Caesar lebih dari 2.000 tahun yang
lalu. [5] Ini adalah contoh dengan k = 3 . Dengan kata lain, huruf-huruf dalam alfabet digeser tiga di
satu arah untuk mengenkripsi dan tiga di arah lain untuk mendekripsi.
Penggunaan pertama dari istilah kriptograf (sebagai lawan dari kriptogram ) berasal dari
abad ke-19 — berasal dari The Gold-Bug , novel karya Edgar Allan Poe . [10] [11] [ catatan kaki
rusak ]
Hingga zaman modern, kriptografi merujuk hampir secara eksklusif ke enkripsi , yang
merupakan proses mengubah informasi biasa (disebut teks biasa ) menjadi bentuk yang
tidak dapat dipahami (disebut teks sandi ). [12] Dekripsi adalah kebalikannya, dengan kata
lain, berpindah dari ciphertext yang tidak dapat dipahami kembali ke teks biasa. Sebuah
cipher (atau cypher ) adalah sepasang algoritma yang membuat enkripsi dan dekripsi
pembalik. Operasi mendetail dari sebuah sandi dikendalikan baik oleh algoritme dan di
setiap contoh oleh sebuah " kunci". Kuncinya adalah rahasia (idealnya hanya diketahui
oleh komunikan), biasanya serangkaian karakter pendek, yang diperlukan untuk
mendekripsi ciphertext. Secara formal," cryptosystem "adalah daftar berurutan dari elemen
teks biasa yang mungkin terbatas, mungkin hingga cyphertext, kunci yang mungkin
terbatas, dan algoritma enkripsi dan dekripsi yang sesuai dengan setiap kunci. Kunci
penting baik secara formal maupun dalam praktik aktual, karena sandi tanpa kunci variabel
dapat dipecahkan dengan mudah hanya dengan pengetahuan tentang sandi yang digunakan
dan oleh karena itu tidak berguna ( atau bahkan kontra-produktif) untuk sebagian besar
tujuan.
Secara historis, cipher sering digunakan secara langsung untuk enkripsi atau dekripsi tanpa
prosedur tambahan seperti otentikasi atau pemeriksaan integritas. Ada dua jenis
kriptosistem: simetris dan asimetris . Dalam sistem simetris, kunci yang sama (kunci
rahasia) digunakan untuk mengenkripsi dan mendekripsi pesan. Manipulasi data dalam
sistem simetris lebih cepat daripada sistem asimetris karena umumnya menggunakan
panjang kunci yang lebih pendek. Sistem asimetris menggunakan kunci publik untuk
mengenkripsi pesan dan kunci privat untuk mendekripsinya. Penggunaan sistem asimetris
30
meningkatkan keamanan komunikasi. [13] Contoh sistem asimetris termasuk RSA ( Rivest –
Shamir – Adleman ), dan ECC ( Elliptic Curve Cryptography). Model simetris mencakup
AES ( Advanced Encryption Standard ) yang umum digunakan yang menggantikan DES (
Standar Enkripsi Data ) yang lama. [14]
Dalam penggunaan sehari-hari , istilah " kode " sering digunakan untuk berarti metode
enkripsi atau penyembunyian makna. Namun, dalam kriptografi, kode memiliki arti yang
lebih spesifik: penggantian unit teks biasa (yaitu, kata atau frasa yang bermakna) dengan
kata kode (misalnya, "wallaby" menggantikan "serangan saat fajar").
Kriptanalisis adalah istilah yang digunakan untuk mempelajari metode untuk memperoleh
arti dari informasi terenkripsi tanpa akses ke kunci yang biasanya diperlukan untuk
melakukannya; yaitu, ini adalah studi tentang cara memecahkan algoritma enkripsi atau
implementasinya.
Beberapa menggunakan istilah kriptografi dan kriptologi secara bergantian dalam bahasa
Inggris, sementara yang lain (termasuk praktik militer AS pada umumnya) menggunakan
kriptografi untuk merujuk secara khusus pada penggunaan dan praktik teknik kriptografi
dan kriptologi untuk merujuk pada studi gabungan kriptografi dan kriptanalisis. [15] [16]
Bahasa Inggris lebih fleksibel daripada beberapa bahasa lain di mana kriptologi (dilakukan
oleh ahli kriptologi) selalu digunakan dalam pengertian kedua di atas. RFC 2828
menyarankan bahwa steganografi terkadang disertakan dalam kriptologi. [17]
Studi tentang karakteristik bahasa yang memiliki beberapa aplikasi dalam kriptografi atau
kriptologi (misalnya data frekuensi, kombinasi huruf, pola universal, dll.) Disebut
kriptolinguistik.
Sejarah kriptografi dan kriptanalisis
Artikel utama: Sejarah kriptografi
Sebelum era modern, kriptografi berfokus pada kerahasiaan pesan (yaitu, enkripsi) —
konversi pesan dari bentuk yang dapat dipahami menjadi bentuk yang tidak dapat dipahami
dan kembali lagi di ujung lain, membuatnya tidak dapat dibaca oleh interseptor atau
penyadap tanpa pengetahuan rahasia (yaitu kunci yang dibutuhkan untuk dekripsi pesan
itu). Enkripsi berusaha untuk memastikan kerahasiaan dalam komunikasi , seperti mata mata , pemimpin militer, dan diplomat . Dalam beberapa dekade terakhir, bidang ini telah
berkembang melampaui masalah kerahasiaan untuk memasukkan teknik pemeriksaan
integritas pesan, otentikasi identitas pengirim / penerima , tanda tangan digital ,bukti
interaktif dan komputasi yang aman , antara lain.
Kriptografi klasik
Direkonstruksi Yunani kuno scytale , perangkat cipher awal
Jenis sandi klasik utama adalah sandi transposisi , yang mengatur ulang urutan huruf dalam
pesan (misalnya, 'hello world' menjadi 'ehlol owrdl' dalam skema penataan ulang yang
sederhana), dan sandi substitusi , yang secara sistematis mengganti huruf atau kelompok
huruf dengan huruf atau kelompok huruf lain (misalnya, 'fly at once' menjadi 'gmz bu podf'
31
dengan mengganti setiap huruf dengan huruf yang mengikutinya dalam alfabet Latin ).
Versi sederhana dari keduanya tidak pernah menawarkan banyak kerahasiaan dari lawan
yang giat. Sandi substitusi awal adalah sandi Caesar , di mana setiap huruf dalam teks
biasa diganti dengan huruf beberapa posisi tetap di bagian bawah alfabet.
Suetoniusmelaporkan bahwa Julius Caesar menggunakannya dengan shift tiga untuk
berkomunikasi dengan jenderalnya. Atbash adalah contoh sandi Ibrani awal. Penggunaan
paling awal dari kriptografi adalah beberapa teks sandi yang diukir di atas batu di Mesir
(ca 1900 SM), tetapi ini mungkin dilakukan untuk hiburan bagi pengamat yang terpelajar
daripada sebagai cara untuk menyembunyikan informasi.
Orang Yunani pada zaman Klasik dikatakan telah mengetahui sandi (misalnya, sandi
transposisi skala yang diklaim telah digunakan oleh militer Spartan ). [18] Steganografi
(yaitu, menyembunyikan keberadaan pesan agar tetap dirahasiakan) juga pertama kali
dikembangkan pada zaman kuno. Contoh awal, dari Herodotus , adalah pesan yang ditato
di kepala seorang budak yang dicukur dan disembunyikan di bawah rambut yang tumbuh
kembali. [12] Contoh steganografi yang lebih modern termasuk penggunaan tinta tak terlihat
, mikrodot , dan tanda air digital untuk menyembunyikan informasi.
Di India, 2000 tahun Kamasutra dari Vatsyayana berbicara tentang dua macam cipher
disebut Kautiliyam dan Mulavediya. Dalam Kautiliyam, penggantian huruf sandi
didasarkan pada hubungan fonetik, seperti vokal menjadi konsonan. Dalam Mulavediya,
alfabet sandi terdiri dari huruf berpasangan dan menggunakan huruf timbal balik. [12]
Di Sassanid Persia , ada dua naskah rahasia, menurut penulis Muslim Ibn al-Nadim : šāhdabīrīya (secara harfiah berarti "naskah Raja") yang digunakan untuk korespondensi resmi,
dan rāz-saharīya yang digunakan untuk mengkomunikasikan pesan rahasia dengan negara
lain. [19]
David Kahn mencatat dalam The Codebreakers bahwa kriptologi modern berasal dari
orang Arab , orang pertama yang secara sistematis mendokumentasikan metode
cryptanalytic. [20] Al-Khalil (717–786) menulis Kitab Pesan Kriptografi , yang berisi
penggunaan permutasi dan kombinasi pertama untuk mendaftar semua kemungkinan katakata Arab dengan dan tanpa vokal. [21]
Halaman pertama buku oleh Al-Kindi yang membahas tentang enkripsi pesan
Teks sandi yang dihasilkan oleh sandi klasik (dan beberapa sandi modern) akan
mengungkapkan informasi statistik tentang teks biasa, dan informasi tersebut sering kali
dapat digunakan untuk memecahkan sandi. Setelah penemuan analisis frekuensi , oleh ahli
matematika dan polimatik Arab Al-Kindi (juga dikenal sebagai Alkindus ) pada abad ke-9,
[22] [23] [24]
hampir semua sandi semacam itu dapat dipecahkan oleh penyerang yang
memiliki informasi. Cipher klasik seperti itu masih menikmati popularitas hari ini,
meskipun kebanyakan sebagai teka - teki . Al-Kindi menulis buku tentang kriptografi
berjudul Risalah fi Istikhraj al-Mu'amma (Manuscript for the Deciphering Cryptographic
Messages ), yang menjelaskan penggunaan pertama yang diketahui dari analisis frekuensi
dan teknik kriptanalisis . [22] [25] Kontribusi penting dari Ibn Adlan (1187–1268) adalah
pada ukuran sampel untuk penggunaan analisis frekuensi. [21]
32
Mesin sandi Prancis berbentuk buku dari abad ke-16 , dengan tangan Henri II dari Prancis
Surat terenkripsi dari Gabriel de Luetz d'Aramon , Duta Besar Prancis untuk Kekaisaran Ottoman ,
setelah 1546, dengan penguraian sebagian
Frekuensi huruf bahasa mungkin menawarkan sedikit bantuan untuk beberapa teknik
enkripsi historis yang diperluas seperti sandi homofonik yang cenderung meratakan
distribusi frekuensi. Untuk sandi tersebut, frekuensi kelompok huruf bahasa (atau n-gram)
dapat memberikan serangan.
Pada dasarnya semua sandi tetap rentan terhadap kriptanalisis menggunakan teknik analisis
frekuensi sampai pengembangan sandi polialfabetis . Meskipun diketahui oleh Al-Kindi
sampai batas tertentu, [25] [26] ini pertama kali dijelaskan dengan jelas dalam karya AlQalqashandi (1355–1418), berdasarkan karya awal Ibn al-Durayhim (1312–1359 ),
mendeskripsikan sandi polialfabet di mana setiap huruf teks biasa diberikan lebih dari satu
pengganti. [27] Ia kemudian juga dijelaskan oleh Leon Battista Albertisekitar tahun 1467,
meskipun ada beberapa indikasi bahwa metode Alberti adalah menggunakan sandi yang
berbeda (yaitu, huruf pengganti) untuk berbagai bagian pesan (mungkin untuk setiap huruf
teks biasa yang berurutan di limit). Dia juga menemukan apa yang mungkin merupakan
perangkat sandi otomatis pertama , roda yang menerapkan sebagian realisasi dari
penemuannya. Dalam sandi Vigenère , sandi polialfabetis, enkripsi menggunakan kata
kunci , yang mengontrol substitusi huruf tergantung pada huruf mana dari kata kunci yang
digunakan. Pada pertengahan abad ke-19 Charles Babbage menunjukkan bahwa sandi
Vigenère rentan terhadap pemeriksaan Kasiski , tetapi ini pertama kali diterbitkan sekitar
sepuluh tahun kemudian olehFriedrich Kasiski . [28]
Meskipun analisis frekuensi dapat menjadi teknik yang kuat dan umum terhadap banyak
cipher, enkripsi masih sering efektif dalam praktiknya, karena banyak calon kriptanalis
tidak menyadari teknik ini. Memecah pesan tanpa menggunakan analisis frekuensi pada
dasarnya membutuhkan pengetahuan tentang sandi yang digunakan dan mungkin kunci
yang terlibat, sehingga membuat spionase, penyuapan, perampokan, pembelotan, dll.,
Pendekatan yang lebih menarik ke kriptanalitis yang tidak mendapat informasi. Akhirnya
secara eksplisit diakui pada abad ke-19 bahwa kerahasiaan algoritme sandi bukanlah
pengamanan yang masuk akal atau praktis untuk keamanan pesan; pada kenyataannya,
disadari lebih lanjut bahwa setiap skema kriptografi yang memadai (termasuk cipher) harus
tetap aman bahkan jika musuh memahami sepenuhnya algoritma cipher itu
sendiri.Keamanan kunci yang digunakan saja sudah cukup untuk sandi yang baik untuk
menjaga kerahasiaan saat diserang. Prinsip fundamental ini pertama kali dinyatakan secara
eksplisit pada tahun 1883 olehAuguste Kerckhoffs dan umumnya disebut Prinsip
Kerckhoffs ; alternatif dan lebih blak-blakan, itu dinyatakan kembali oleh Claude Shannon
, penemu teori informasi dan dasar-dasar kriptografi teoretis, sebagai Pepatah Shannon — '
musuh mengetahui sistem'.
Perangkat fisik dan alat bantu yang berbeda telah digunakan untuk membantu sandi. Salah
satu yang paling awal mungkin adalah skala Yunani kuno , tongkat yang konon digunakan
33
oleh Spartan sebagai bantuan untuk sandi transposisi. Pada abad pertengahan, alat bantu
lain ditemukan seperti cipher grille , yang juga digunakan untuk semacam steganografi.
Dengan penemuan cipher polyalphabetic datang bantuan yang lebih canggih seperti Alberti
sendiri disk yang cipher , Johannes Trithemius ' recta tabula skema, dan Thomas Jefferson '
s roda nol (tidak diketahui publik, dan diciptakan kembali secara independen oleh
Bazeriessekitar 1900). Banyak perangkat enkripsi / dekripsi mekanis ditemukan pada awal
abad ke-20, dan beberapa dipatenkan, di antaranya mesin rotor —terkenal termasuk mesin
Enigma yang digunakan oleh pemerintah dan militer Jerman dari akhir 1920-an dan selama
Perang Dunia II . [29] Cipher yang diimplementasikan oleh contoh kualitas yang lebih baik
dari desain mesin ini membawa peningkatan yang substansial dalam kesulitan kriptanalitik
setelah Perang Dunia I. [30]
Era komputer
Sebelum awal abad ke-20, kriptografi terutama berkaitan dengan pola linguistik dan
leksikografik . Sejak saat itu penekanannya telah bergeser, dan kriptografi sekarang
menggunakan matematika secara ekstensif, termasuk aspek teori informasi , kompleksitas
komputasi , statistik , kombinatorika , aljabar abstrak , teori bilangan , dan matematika
terbatas pada umumnya. Kriptografi juga merupakan cabang dari teknik, tapi tidak biasa
karena berhubungan dengan oposisi yang aktif, cerdas, dan jahat; Jenis teknik lainnya
(misalnya, teknik sipil atau kimia) hanya perlu berurusan dengan gaya alam netral. Ada
juga penelitian aktif yang meneliti hubungan antara masalah kriptografi dan fisika kuantum
.
Sama seperti perkembangan komputer digital dan elektronik yang membantu dalam
pembacaan sandi, hal itu memungkinkan pembuatan sandi yang jauh lebih kompleks.
Lebih jauh, komputer diperbolehkan untuk enkripsi semua jenis data yang dapat
direpresentasikan dalam format biner apa pun, tidak seperti sandi klasik yang hanya
mengenkripsi teks bahasa tertulis; ini baru dan signifikan. Penggunaan komputer dengan
demikian telah menggantikan kriptografi linguistik, baik untuk desain sandi maupun
kriptanalisis. Banyak cipher komputer dapat dicirikan oleh operasinya pada bit biner urutan
(kadang-kadang dalam kelompok atau blok), tidak seperti skema klasik dan mekanis, yang
umumnya memanipulasi karakter tradisional (yaitu, huruf dan angka) secara langsung.
Namun, komputer juga telah membantu kriptanalisis, yang telah mengkompensasi sampai
batas tertentu untuk peningkatan kompleksitas sandi. Meskipun demikian, sandi modern
yang baik tetap berada di depan kriptanalisis; Biasanya kasus penggunaan sandi berkualitas
sangat efisien (yaitu, cepat dan memerlukan sedikit sumber daya, seperti memori atau
kemampuan CPU), sementara memecahnya memerlukan upaya yang banyak kali lipat
lebih besar, dan jauh lebih besar dari yang diperlukan untuk sandi klasik apa pun, membuat
kriptanalisis menjadi tidak efisien dan tidak praktis sehingga tidak mungkin secara efektif.
Munculnya kriptografi modern
Kriptanalisis dari perangkat mekanis baru terbukti sulit dan melelahkan. Di Inggris Raya,
upaya cryptanalytic di Bletchley Park selama PD II mendorong pengembangan sarana
yang lebih efisien untuk melaksanakan tugas yang berulang. Ini memuncak dalam
pengembangan Colossus , komputer terprogram yang sepenuhnya elektronik, digital, dan
pertama di dunia , yang membantu dalam dekripsi sandi yang dihasilkan oleh mesin
Lorenz SZ40 / 42 milik Angkatan Darat Jerman .
34
Penelitian akademis terbuka yang luas tentang kriptografi relatif baru; itu baru dimulai
pada pertengahan 1970-an. Belakangan ini, personel IBM merancang algoritme yang
menjadi Standar Enkripsi Data Federal (yaitu, AS) ; Whitfield Diffie dan Martin Hellman
menerbitkan algoritme kesepakatan utama mereka ; [31] dan RSA algoritma diterbitkan
pada Martin Gardner 's Scientific American kolom. Mengikuti pekerjaan mereka pada
tahun 1976, menjadi populer untuk mempertimbangkan sistem kriptografi berdasarkan
masalah matematika yang mudah dinyatakan tetapi sulit dipecahkan. [32]Sejak itu,
kriptografi telah menjadi alat yang banyak digunakan dalam komunikasi, jaringan
komputer , dan keamanan komputer pada umumnya. Beberapa teknik kriptografi modern
yang hanya dapat menyimpan kunci mereka rahasia jika masalah matematika tertentu yang
keras , seperti faktorisasi prima atau logaritma diskrit masalah, jadi ada hubungan yang
mendalam dengan matematika abstrak . Ada sangat sedikit sistem kriptografi yang terbukti
aman tanpa syarat. The satu kali padadalah satu, dan dibuktikan oleh Claude Shannon. Ada
beberapa algoritme penting yang telah terbukti aman berdasarkan asumsi tertentu.
Misalnya, ketidakmampuan memfaktorkan bilangan bulat yang sangat besar adalah dasar
untuk percaya bahwa RSA aman, dan beberapa sistem lain, tetapi meskipun demikian bukti
tidak dapat dipecahkan tidak tersedia karena masalah matematika yang mendasarinya tetap
terbuka. Dalam praktiknya, ini digunakan secara luas, dan diyakini tidak dapat dipecahkan
dalam praktik oleh sebagian besar pengamat yang kompeten. Ada sistem yang mirip
dengan RSA, seperti yang dibuat oleh Michael O. Rabin yang terbukti aman asalkan
pemfaktoran n = pq tidak mungkin; itu cukup tidak dapat digunakan dalam praktiknya.
Masalah logaritma diskritadalah dasar untuk percaya bahwa beberapa sistem kriptografi
lain aman, dan sekali lagi, ada sistem terkait yang kurang praktis yang terbukti aman relatif
terhadap masalah log diskrit solvabilitas atau insolvabilitas. [33]
Selain mengetahui sejarah kriptografi, algoritma kriptografi dan perancang sistem juga
harus mempertimbangkan perkembangan masa depan yang mungkin terjadi saat
mengerjakan desain mereka. Misalnya, peningkatan berkelanjutan dalam kekuatan
pemrosesan komputer telah meningkatkan cakupan serangan brute force , jadi ketika
menentukan panjang kunci , panjang kunci yang diperlukan juga meningkat. [34] Efek
potensial dari komputasi kuantum telah dipertimbangkan oleh beberapa perancang sistem
kriptografi yang mengembangkan kriptografi pasca kuantum ; implementasi kecil yang
akan segera diumumkan dari mesin-mesin ini mungkin membuat perlunya kehati-hatian
lebih awal daripada sekadar spekulatif. [4]
Kriptografi modern
Kriptografi kunci simetris
Artikel utama: Algoritme kunci simetris
Kriptografi kunci simetris, di mana satu kunci digunakan untuk enkripsi dan dekripsi
Kriptografi kunci simetris mengacu pada metode enkripsi di mana pengirim dan penerima
berbagi kunci yang sama (atau, lebih jarang, di mana kuncinya berbeda, tetapi terkait
dengan cara yang mudah dihitung). Ini adalah satu-satunya jenis enkripsi yang diketahui
publik hingga Juni 1976. [31]
35
Satu putaran (dari 8.5) cipher IDEA , digunakan di sebagian besar versi perangkat lunak yang
kompatibel dengan PGP dan OpenPGP untuk enkripsi pesan yang efisien waktu
Cipher kunci simetris diimplementasikan baik sebagai block cipher atau stream cipher .
Sebuah input encipher block cipher dalam blok teks biasa sebagai lawan dari karakter
individu, bentuk input yang digunakan oleh stream cipher.
The Data Encryption Standard (DES) dan Advanced Encryption Standard (AES) adalah
blok cipher desain yang telah ditunjuk standar kriptografi oleh pemerintah AS (meskipun
penunjukan DES ini akhirnya ditarik setelah AES diadopsi). [35] Meskipun tidak digunakan
lagi sebagai standar resmi, DES (terutama varian triple-DES yang masih disetujui dan jauh
lebih aman ) tetap cukup populer; ini digunakan di berbagai aplikasi, dari enkripsi ATM
[36]
hingga privasi email [37] dan akses jarak jauh yang aman . [38]Banyak block cipher
lainnya telah dirancang dan dirilis, dengan variasi kualitas yang cukup besar. Banyak,
bahkan beberapa dirancang oleh praktisi yang cakap, telah rusak total , seperti FEAL . [4]
[39]
Stream cipher, berbeda dengan tipe 'blok', membuat aliran material kunci yang panjangnya
sewenang-wenang, yang dikombinasikan dengan teks biasa sedikit demi sedikit atau
karakter-demi-karakter, seperti pad satu kali . Dalam stream cipher, aliran output dibuat
berdasarkan keadaan internal tersembunyi yang berubah saat cipher beroperasi. Keadaan
internal tersebut awalnya diatur menggunakan materi kunci rahasia. RC4 adalah stream
cipher yang banyak digunakan. [4] Block cipher dapat digunakan sebagai stream cipher.
Fungsi hash kriptografi adalah jenis ketiga dari algoritma kriptografi. Mereka mengambil
pesan dengan panjang berapa pun sebagai input, dan mengeluarkan hash pendek dan
panjang tetap , yang dapat digunakan dalam (misalnya) tanda tangan digital. Untuk fungsi
hash yang baik, penyerang tidak dapat menemukan dua pesan yang menghasilkan hash
yang sama. MD4 adalah fungsi hash yang sudah lama digunakan dan sekarang rusak; MD5
, varian MD4 yang diperkuat, juga banyak digunakan tetapi dalam praktiknya rusak. Badan
Keamanan Nasional AS mengembangkan rangkaian Algoritme Hash Aman dari fungsi
hash seperti MD5: SHA-0 adalah algoritme cacat yang ditarik badan tersebut; SHA-1
digunakan secara luas dan lebih aman daripada MD5, tetapi kriptanalis telah
mengidentifikasi serangan terhadapnya; ituKeluarga SHA-2 membaik pada SHA-1, tetapi
rentan terhadap bentrokan pada 2011; dan otoritas standar AS menganggapnya "bijaksana"
dari perspektif keamanan untuk mengembangkan standar baru untuk "secara signifikan
meningkatkan ketangguhan perangkat algoritma hash keseluruhan NIST ." [40] Jadi,
kompetisi desain fungsi hash dimaksudkan untuk memilih standar nasional AS yang baru,
yang disebut SHA-3 , pada 2012. Kompetisi berakhir pada 2 Oktober 2012 ketika NIST
mengumumkan bahwa Keccak akan menjadi SHA- baru 3 algoritma hash. [41]Tidak seperti
block dan stream cipher yang dapat dibalik, fungsi hash kriptografi menghasilkan keluaran
berciri yang tidak dapat digunakan untuk mengambil data masukan asli. Fungsi hash
kriptografi digunakan untuk memverifikasi keaslian data yang diambil dari sumber yang
tidak tepercaya atau untuk menambahkan lapisan keamanan.
Kode otentikasi pesan (MAC) sangat mirip dengan fungsi hash kriptografi, kecuali bahwa
kunci rahasia dapat digunakan untuk mengautentikasi nilai hash setelah diterima; [4]
36
komplikasi tambahan ini memblokir skema serangan terhadap algoritme intisari kosong ,
dan karenanya dianggap sepadan dengan usaha.
Kriptografi kunci publik
Artikel utama: Kriptografi kunci publik
Kriptografi kunci publik, di mana kunci yang berbeda digunakan untuk enkripsi dan dekripsi.
Ikon gembok dari browser Web Firefox , yang menunjukkan bahwa TLS , sistem kriptografi kunci
publik, sedang digunakan.
Kriptosistem kunci-simetris menggunakan kunci yang sama untuk enkripsi dan dekripsi
pesan, meskipun pesan atau sekelompok pesan dapat memiliki kunci yang berbeda dari
yang lain. Kerugian signifikan dari cipher simetris adalah manajemen kunci yang
diperlukan untuk menggunakannya dengan aman. Setiap pasangan yang berbeda dari pihak
yang berkomunikasi harus, idealnya, berbagi kunci yang berbeda, dan mungkin untuk
setiap ciphertext yang dipertukarkan juga. Jumlah kunci yang diperlukan meningkat seiring
kuadrat dari jumlah anggota jaringan, yang sangat cepat membutuhkan skema manajemen
kunci yang kompleks untuk menjaga agar semuanya tetap konsisten dan rahasia.
Whitfield Diffie dan Martin Hellman , penulis makalah pertama yang diterbitkan tentang
kriptografi kunci publik.
Dalam sebuah makalah inovatif tahun 1976, Whitfield Diffie dan Martin Hellman
mengusulkan gagasan kriptografi kunci publik (juga, lebih umum, disebut kunci asimetris )
di mana dua kunci yang berbeda tetapi terkait secara matematis digunakan — kunci publik
dan kunci privat . [42] Sebuah sistem kunci publik dibangun sedemikian rupa sehingga
kalkulasi satu kunci ('kunci privat') secara komputasi tidak layak dari yang lain ('kunci
publik'), meskipun kunci tersebut harus terkait. Sebaliknya, kedua kunci dihasilkan secara
diam-diam, sebagai pasangan yang saling terkait. [43] Sejarawan David
Kahnmendeskripsikan kriptografi kunci publik sebagai "konsep baru yang paling
revolusioner di lapangan sejak substitusi polialfabet muncul di zaman Renaisans". [44]
Dalam sistem kriptografi kunci publik, kunci publik dapat didistribusikan secara bebas,
sedangkan kunci privat yang dipasangkan harus tetap rahasia. Dalam sistem enkripsi kunci
publik, kunci publik digunakan untuk enkripsi, sedangkan kunci privat atau rahasia
digunakan untuk dekripsi. Meskipun Diffie dan Hellman tidak dapat menemukan sistem
seperti itu, mereka menunjukkan bahwa kriptografi kunci publik memang dimungkinkan
dengan menghadirkan protokol pertukaran kunci Diffie – Hellman , sebuah solusi yang
sekarang banyak digunakan dalam komunikasi yang aman untuk memungkinkan dua pihak
secara diam-diam menyetujui sebuah kunci enkripsi bersama . [31] Standar X.509
mendefinisikan format yang paling umum digunakan untuk sertifikat kunci publik .[45]
37
Publikasi Diffie dan Hellman memicu upaya akademis yang luas dalam menemukan sistem
enkripsi kunci publik yang praktis. Perlombaan ini akhirnya dimenangkan pada tahun 1978
oleh Ronald Rivest , Adi Shamir , dan Len Adleman , yang solusinya kemudian dikenal
sebagai algoritma RSA . [46]
Algoritme Diffie-Hellman dan RSA, selain menjadi contoh algoritme kunci publik
berkualitas tinggi pertama yang diketahui publik, telah menjadi salah satu yang paling
banyak digunakan. Algoritme kunci asimetris lainnya termasuk kriptosistem CramerShoup , enkripsi ElGamal , dan berbagai teknik kurva eliptik . [ butuh rujukan ]
Sebuah dokumen yang diterbitkan pada tahun 1997 oleh Government Communications
Headquarters ( GCHQ ), sebuah organisasi intelijen Inggris, mengungkapkan bahwa
kriptografer di GCHQ telah mengantisipasi beberapa perkembangan akademis. [47]
Dilaporkan, sekitar tahun 1970, James H. Ellis telah memahami prinsip-prinsip kriptografi
kunci asimetris. Pada tahun 1973, Clifford Cocks menemukan solusi yang sangat mirip
dengan dasar pemikiran desain RSA. [47] [48] Dan pada tahun 1974, Malcolm J. Williamson
diklaim telah mengembangkan pertukaran kunci Diffie-Hellman. [49]
Dalam contoh ini, pesan hanya ditandatangani dan tidak dienkripsi. 1) Alice menandatangani
pesan dengan kunci pribadinya. 2) Bob dapat memverifikasi bahwa Alice mengirim pesan dan
pesan tersebut belum diubah.
Kriptografi kunci publik juga digunakan untuk mengimplementasikan skema tanda tangan
digital . Tanda tangan digital mengingatkan pada tanda tangan biasa ; keduanya memiliki
karakteristik yang mudah dibuat oleh pengguna, tetapi sulit dipalsukan oleh orang lain .
Tanda tangan digital juga dapat secara permanen diikat ke konten pesan yang sedang
ditandatangani; mereka kemudian tidak dapat 'dipindahkan' dari satu dokumen ke dokumen
lain, karena upaya apa pun akan dapat dideteksi. Dalam skema tanda tangan digital, ada
dua algoritme: satu untuk penandatanganan , di mana kunci rahasia digunakan untuk
memproses pesan (atau hash pesan, atau keduanya), dan satu untuk verifikasi, di mana
kunci publik yang cocok digunakan dengan pesan untuk memeriksa validitas tanda tangan.
RSA dan DSA adalah dua skema tanda tangan digital paling populer. Tanda tangan digital
merupakan pusat pengoperasian infrastruktur kunci publik dan banyak skema keamanan
jaringan (misalnya, SSL / TLS , banyak VPN , dll.). [39]
Algoritma kunci publik paling sering didasarkan pada kompleksitas komputasi dari
masalah "sulit", seringkali dari teori bilangan . Misalnya, kekerasan RSA terkait dengan
masalah faktorisasi bilangan bulat , sedangkan Diffie – Hellman dan DSA terkait dengan
masalah logaritma diskrit . Keamanan kriptografi kurva eliptik didasarkan pada masalah
teori bilangan yang melibatkan kurva elips . Karena kesulitan masalah yang mendasarinya,
sebagian besar algoritme kunci publik melibatkan operasi seperti modularperkalian dan
eksponensial, yang secara komputasi jauh lebih mahal daripada teknik yang digunakan di
kebanyakan block cipher, terutama dengan ukuran kunci yang khas. Akibatnya, sistem
kriptografi kunci publik biasanya merupakan kriptosistem hibrid , di mana algoritme
enkripsi kunci simetris berkualitas tinggi digunakan untuk pesan itu sendiri, sementara
kunci simetris yang relevan dikirim bersama pesan, tetapi dienkripsi menggunakan kunci
publik. algoritma. Demikian pula, skema tanda tangan hibrid sering digunakan, di mana
38
fungsi hash kriptografi dihitung, dan hanya hasil hash yang ditandatangani secara digital.
[4]
Pembacaan sandi
Artikel utama: Kriptanalisis
Varian mesin Enigma , yang digunakan oleh militer dan otoritas sipil Jerman dari akhir 1920-an
hingga Perang Dunia II , menerapkan sandi polialfabet elektro-mekanis yang kompleks .
Pemecahan dan pembacaan sandi Enigma di Biro Sandi Polandia , selama 7 tahun sebelum
perang, dan dekripsi berikutnya di Bletchley Park , penting untuk kemenangan Sekutu. [12]
Tujuan dari kriptanalisis adalah untuk menemukan beberapa kelemahan atau
ketidakamanan dalam skema kriptografi, sehingga memungkinkan subversi atau
penghindarannya.
Ini adalah kesalahpahaman umum bahwa setiap metode enkripsi dapat dipecah.
Sehubungan dengan pekerjaan PD II di Bell Labs , Claude Shannon membuktikan bahwa
pad cipher satu kali tidak dapat dipecahkan, asalkan bahan kuncinya benar - benar acak ,
tidak pernah digunakan kembali, dirahasiakan dari semua kemungkinan penyerang, dan
dengan panjang yang sama atau lebih besar dari pesan . [50] Kebanyakan cipher , selain pad
satu kali, dapat dipecahkan dengan upaya komputasi yang cukup dengan serangan brute
force , tetapi jumlah upaya yang dibutuhkan mungkin berlipat gandabergantung pada
ukuran kunci, dibandingkan dengan upaya yang diperlukan untuk menggunakan sandi.
Dalam kasus seperti itu, keamanan yang efektif dapat dicapai jika terbukti bahwa upaya
yang diperlukan (yaitu, "faktor kerja", dalam istilah Shannon) berada di luar kemampuan
musuh mana pun. Ini berarti harus diperlihatkan bahwa tidak ada metode yang efisien
(sebagai lawan dari metode brute force yang memakan waktu) yang dapat ditemukan untuk
memecahkan sandi. Karena tidak ada bukti seperti itu yang ditemukan hingga saat ini, onetime-pad tetap menjadi satu-satunya sandi yang tidak dapat dipecahkan secara teoritis.
Ada berbagai macam serangan cryptanalytic, dan mereka dapat diklasifikasikan dalam
beberapa cara. Perbedaan yang umum muncul pada apa yang diketahui Eve (penyerang)
dan kemampuan apa yang tersedia. Dalam serangan ciphertext-only , Eve hanya memiliki
akses ke ciphertext (cryptosystems modern yang baik biasanya kebal terhadap serangan
ciphertext-only). Dalam serangan teks biasa yang diketahui , Eve memiliki akses ke teks
sandi dan teks biasa yang sesuai (atau ke banyak pasangan teks serupa). Dalam serangan
teks-teks-terpilih , Eve dapat memilih teks-teks biasa dan mempelajari teks-teks yang
sesuai (mungkin berkali-kali); contohnya adalah berkebun , yang digunakan oleh Inggris
selama PD II. Dalam serangan teks sandi-terpilih , Eve mungkin bisa memilihciphertext
dan mempelajari teks biasa yang sesuai. [4] Akhirnya dalam serangan man-in-the-middle
Eve berada di antara Alice (pengirim) dan Bob (penerima), mengakses dan mengubah lalu
lintas dan kemudian meneruskannya ke penerima. [51] Yang juga penting, sering kali sangat
berlebihan, adalah kesalahan (umumnya dalam desain atau penggunaan salah satu protokol
yang terlibat.
39
Monumen Poznań ( tengah ) untuk para cryptanalyst Polandia yang memecahkan sandi mesin
Enigma Jerman, dimulai pada tahun 1932, mengubah jalannya Perang Dunia II
Cryptanalysis dari cipher kunci-simetris biasanya melibatkan pencarian serangan terhadap
cipher blok atau cipher aliran yang lebih efisien daripada serangan apa pun yang bisa
melawan cipher yang sempurna. Misalnya, serangan brute force sederhana terhadap DES
memerlukan satu teks biasa dan 2 55 dekripsi, mencoba sekitar setengah dari kemungkinan
kunci, untuk mencapai titik di mana peluang lebih baik daripada kunci yang dicari akan
ditemukan. Tapi ini mungkin bukan jaminan yang cukup; sebuah kriptanalisis linear
serangan terhadap DES membutuhkan 2 43 plaintexts dikenal (dengan ciphertexts sesuai
mereka) dan sekitar 2 43 operasi DES. [52] Ini adalah peningkatan yang cukup besar atas
serangan brute force.
Algoritma kunci publik didasarkan pada kesulitan komputasi dari berbagai masalah. Yang
paling terkenal dari ini adalah kesulitan faktorisasi bilangan bulat dari semiprimes dan
kesulitan menghitung logaritma diskrit , yang keduanya belum terbukti dapat diselesaikan
dalam waktu polinomial hanya dengan menggunakan komputer lengkap Turing klasik .
Banyak kriptanalisis kunci publik menyangkut perancangan algoritme dalam P yang dapat
memecahkan masalah ini, atau menggunakan teknologi lain, seperti komputer kuantum .
Misalnya, algoritma paling terkenal untuk memecahkan berbasis kurva elipsversi logaritma
diskrit jauh lebih memakan waktu daripada algoritme paling terkenal untuk pemfaktoran,
setidaknya untuk masalah dengan ukuran yang kurang lebih setara. Dengan demikian, halhal lain dianggap sama, untuk mencapai kekuatan yang setara dari ketahanan serangan,
teknik enkripsi berbasis faktor harus menggunakan kunci yang lebih besar daripada teknik
kurva elips. Karena alasan ini, sistem kriptografi kunci publik berdasarkan kurva elips
telah menjadi populer sejak penemuannya pada pertengahan 1990-an.
Sementara kriptanalisis murni menggunakan kelemahan dalam algoritme itu sendiri,
serangan lain pada kriptosistem didasarkan pada penggunaan aktual algoritme di perangkat
nyata, dan disebut serangan saluran samping . Jika seorang kriptanalis memiliki akses ke,
misalnya, jumlah waktu yang dibutuhkan perangkat untuk mengenkripsi sejumlah teks
biasa atau melaporkan kesalahan dalam sandi atau karakter PIN, ia mungkin dapat
menggunakan serangan waktu untuk memecahkan sandi yang sebaliknya. tahan terhadap
analisis. Penyerang mungkin juga mempelajari pola dan panjang pesan untuk mendapatkan
informasi berharga; ini dikenal sebagai analisis lalu lintas [53]dan bisa sangat berguna bagi
musuh yang waspada. Administrasi yang buruk dari sistem kriptografi, seperti
mengizinkan kunci yang terlalu pendek, akan membuat sistem menjadi rentan, terlepas dari
kebaikan lainnya. Rekayasa sosial dan serangan lain terhadap manusia (misalnya,
penyuapan , pemerasan , pemerasan , spionase , penyiksaan , ...) biasanya digunakan
karena lebih hemat biaya dan layak untuk dilakukan dalam jumlah waktu yang wajar
dibandingkan dengan pembacaan sandi murni oleh a margin tinggi.
Primitif kriptografi
Banyak dari karya teoritis dalam kriptografi menyangkut primitif kriptografi —algoritma
dengan sifat kriptografi dasar — dan hubungannya dengan masalah kriptografi lainnya.
Alat kriptografi yang lebih rumit kemudian dibangun dari primitif dasar ini. Primitif ini
menyediakan properti fundamental, yang digunakan untuk mengembangkan alat yang lebih
kompleks yang disebut kriptosistem atau protokol kriptografi , yang menjamin satu atau
40
lebih properti keamanan tingkat tinggi. Namun perlu dicatat, bahwa perbedaan antara
primitif kriptografi dan sistem kriptografi, cukup arbitrer; misalnya, RSAalgoritma
terkadang dianggap sebagai kriptosistem, dan terkadang primitif. Contoh umum dari
kriptografi primitif termasuk fungsi pseudorandom , fungsi satu arah , dll.
Sistem kriptografi
Satu atau lebih primitif kriptografi sering digunakan untuk mengembangkan algoritma
yang lebih kompleks, yang disebut sistem kriptografi, atau sistem kriptografi .
Cryptosystems (misalnya, enkripsi El-Gamal ) dirancang untuk menyediakan
fungsionalitas tertentu (misalnya, enkripsi kunci publik) sambil menjamin properti
keamanan tertentu (misalnya, keamanan serangan teks yang dipilih (CPA) dalam model
oracle acak). Sistem kriptografi menggunakan properti primitif kriptografi yang mendasari
untuk mendukung properti keamanan sistem. Karena perbedaan antara primitif dan sistem
kriptografi agak sewenang-wenang, sistem kriptografi yang canggih dapat diturunkan dari
kombinasi beberapa sistem kriptografi yang lebih primitif. Dalam banyak kasus, struktur
kriptosistem melibatkan komunikasi bolak-balik antara dua pihak atau lebih dalam ruang
(misalnya, antara pengirim pesan aman dan penerima) atau lintas waktu (misalnya, data
cadangan yang dilindungi secara kriptografik ). Sistem kriptografi semacam itu terkadang
disebut protokol kriptografi .
Beberapa kriptografi dikenal luas termasuk enkripsi RSA , tanda tangan Schnorr , enkripsi
El-Gamal , PGP , dll kriptografi yang lebih kompleks termasuk electronic cash [54] sistem,
signcryption sistem, dll Beberapa lebih 'teoritis' [ klarifikasi diperlukan ] kriptografi termasuk
sistem bukti interaktif , [55] (seperti bukti tanpa pengetahuan ), [56] sistem untuk berbagi
rahasia , [57] [58] dll.
Masalah hukum
Lihat juga: Hukum kriptografi di berbagai negara
Larangan
Kriptografi telah lama menjadi perhatian pengumpulan intelijen dan lembaga penegak
hukum . [8] Komunikasi rahasia mungkin bersifat kriminal atau bahkan pengkhianatan [ butuh
rujukan ]
. Karena fasilitasi privasi , dan berkurangnya petugas privasi karena pelarangannya,
kriptografi juga menjadi perhatian yang cukup besar bagi pendukung hak-hak sipil.
Dengan demikian, telah ada sejarah masalah hukum yang kontroversial seputar kriptografi,
terutama sejak munculnya komputer murah telah memungkinkan akses luas ke kriptografi
berkualitas tinggi.
Di beberapa negara, bahkan penggunaan kriptografi domestik telah, atau telah, dibatasi.
Hingga 1999, Prancis secara signifikan membatasi penggunaan kriptografi di dalam negeri,
meskipun sejak itu banyak aturan yang dilonggarkan. Di Cina dan Iran , lisensi masih
diperlukan untuk menggunakan kriptografi. [6] Banyak negara yang memiliki batasan ketat
dalam penggunaan kriptografi. Di antara yang lebih ketat adalah undang-undang di Belarus
, Kazakhstan , Mongolia , Pakistan , Singapura , Tunisia , dan Vietnam . [59]
Di Amerika Serikat , kriptografi legal untuk penggunaan rumah tangga, tetapi telah terjadi
banyak konflik mengenai masalah hukum yang berkaitan dengan kriptografi. [8] Salah satu
41
masalah yang sangat penting adalah ekspor perangkat lunak dan perangkat keras
kriptografi dan kriptografi. Mungkin karena pentingnya kriptanalisis dalam Perang Dunia
II dan harapan bahwa kriptografi akan terus menjadi penting untuk keamanan nasional,
banyak pemerintah Barat, pada titik tertentu, telah mengatur ekspor kriptografi secara
ketat. Setelah Perang Dunia II, adalah ilegal di AS untuk menjual atau mendistribusikan
teknologi enkripsi ke luar negeri; nyatanya, enkripsi ditetapkan sebagai perlengkapan
militer tambahan dan dimasukkan ke dalam Daftar Amunisi Amerika Serikat .[60] Sampai
perkembangan komputer pribadi , algoritma kunci asimetris (yaitu, teknik kunci publik),
dan Internet , ini tidak terlalu bermasalah. Namun, seiring pertumbuhan Internet dan
komputer menjadi lebih banyak tersedia, teknik enkripsi berkualitas tinggi menjadi
terkenal di seluruh dunia.
Kontrol ekspor
Artikel utama: Ekspor kriptografi
Pada 1990-an, ada beberapa tantangan terhadap regulasi ekspor kriptografi AS. Setelah
kode sumber untuk Philip Zimmermann 's Pretty Good Privacy (PGP) program enkripsi
menemukan jalan ke Internet pada bulan Juni 1991, keluhan oleh RSA Security (kemudian
disebut RSA Data Security, Inc) mengakibatkan penyelidikan kriminal panjang
Zimmermann oleh Layanan Bea Cukai AS dan FBI , meskipun tidak ada tuntutan yang
diajukan. [61] [62] Daniel J. Bernstein , yang saat itu merupakan mahasiswa pascasarjana di
UC Berkeley , mengajukan gugatan terhadap pemerintah AS yang menantang beberapa
aspek pembatasan berdasarkan kebebasan berbicaraalasan. Kasus tahun 1995 Bernstein v.
Amerika Serikat pada akhirnya menghasilkan keputusan tahun 1999 bahwa kode sumber
tercetak untuk algoritme dan sistem kriptografi dilindungi sebagai kebebasan berbicara
oleh Konstitusi Amerika Serikat. [63]
Pada tahun 1996, tiga puluh sembilan negara menandatangani Wassenaar Arrangement ,
sebuah perjanjian pengendalian senjata yang berhubungan dengan ekspor senjata dan
teknologi "penggunaan ganda" seperti kriptografi. Perjanjian tersebut menetapkan bahwa
penggunaan kriptografi dengan panjang kunci pendek (56-bit untuk enkripsi simetris, 512bit untuk RSA) tidak akan lagi dikontrol ekspor. [64] Ekspor kriptografi dari AS menjadi
kurang diatur ketat sebagai konsekuensi dari relaksasi besar pada tahun 2000; [65] tidak ada
lagi batasan yang sangat banyak pada ukuran kunci dalam perangkat lunak pasar massal
yang diekspor AS . Karena relaksasi dalam pembatasan ekspor AS, dan karena sebagian
besar komputer pribadi yang terhubung ke Internet termasuk browser web yang bersumber
dari ASseperti Firefox atau Internet Explorer , hampir setiap pengguna Internet di seluruh
dunia memiliki akses potensial ke kriptografi berkualitas melalui browser mereka
(misalnya, melalui Transport Layer Security ). The Mozilla Thunderbird dan Microsoft
Outlook klien e-mail program sama dapat mengirim dan menerima email melalui TLS, dan
dapat mengirim dan menerima email terenkripsi dengan S / MIME . Banyak pengguna
Internet tidak menyadari bahwa perangkat lunak aplikasi dasar mereka berisi sistem
kriptografi yang sedemikian luas. Browser dan program email ini ada di mana-mana
sehingga bahkan pemerintah yang bermaksud untuk mengatur penggunaan kriptografi sipil
umumnya tidak merasa praktis untuk melakukan banyak hal untuk mengontrol distribusi
atau penggunaan kriptografi dengan kualitas ini, bahkan ketika undang-undang tersebut
diberlakukan, penegakan hukum yang sebenarnya seringkali tidak mungkin dilakukan. [
butuh rujukan ]
42
Keterlibatan NSA
Kantor pusat NSA di Fort Meade, Maryland
Lihat juga: Chip Clipper
Masalah kontroversial lainnya yang terkait dengan kriptografi di Amerika Serikat adalah
pengaruh Badan Keamanan Nasional pada pengembangan dan kebijakan sandi. [8] NSA
terlibat dengan desain DES selama pengembangannya di IBM dan pertimbangannya oleh
National Bureau of Standards sebagai kemungkinan Standar Federal untuk kriptografi. [66]
DES dirancang agar tahan terhadap kriptanalisis diferensial , [67] teknik kriptanalitik yang
kuat dan umum yang dikenal oleh NSA dan IBM, yang menjadi dikenal publik hanya
ketika ditemukan kembali pada akhir 1980-an. [68] Menurut Steven Levy, IBM menemukan
kriptanalisis diferensial, [62] tetapi merahasiakan teknik ini atas permintaan NSA. Teknik
ini diketahui publik hanya ketika Biham dan Shamir menemukan kembali dan
mengumumkannya beberapa tahun kemudian. Keseluruhan urusan menggambarkan
kesulitan untuk menentukan sumber daya dan pengetahuan apa yang sebenarnya dimiliki
penyerang.
Contoh lain dari keterlibatan NSA adalah masalah chip Clipper 1993 , microchip enkripsi
yang dimaksudkan untuk menjadi bagian dari inisiatif kontrol kriptografi Capstone .
Clipper dikritik secara luas oleh kriptografer karena dua alasan. Algoritma sandi (disebut
Skipjack ) kemudian diklasifikasikan (dideklasifikasi pada tahun 1998, lama setelah
inisiatif Clipper berakhir). Sandi rahasia tersebut menimbulkan kekhawatiran bahwa NSA
sengaja membuat sandi tersebut lemah untuk membantu upaya intelijennya. Seluruh
inisiatif juga dikritik karena melanggar Prinsip Kerckhoffs , karena skema tersebut
menyertakan kunci escrow khusus yang dipegang oleh pemerintah untuk digunakan oleh
penegak hukum (yaitu penyadapan). [62]
Manajemen hak digital
Artikel utama: Manajemen hak digital
Kriptografi sangat penting dalam manajemen hak digital (DRM), sekelompok teknik untuk
mengontrol penggunaan materi berhak cipta secara teknologi , yang diterapkan secara luas
dan digunakan atas perintah beberapa pemegang hak cipta. Pada tahun 1998, Presiden AS
Bill Clinton menandatangani Digital Millennium Copyright Act (DMCA), yang
mengkriminalkan semua produksi, penyebaran, dan penggunaan teknik dan teknologi
cryptanalytic tertentu (sekarang dikenal atau kemudian ditemukan); khususnya, yang dapat
digunakan untuk menghindari skema teknologi DRM. [69]Hal ini berdampak nyata pada
komunitas penelitian kriptografi karena argumen dapat dibuat bahwa penelitian
kriptanalitik apa pun melanggar DMCA. Undang-undang serupa telah diberlakukan di
beberapa negara dan wilayah, termasuk penerapannya dalam Pedoman Hak Cipta Uni
Eropa . Pembatasan serupa diminta oleh perjanjian yang ditandatangani oleh negara-negara
anggota Organisasi Kekayaan Intelektual Dunia .
The Departemen Kehakiman Amerika Serikat dan FBI belum ditegakkan DMCA sebagai
ketat seperti yang telah ditakuti oleh sebagian orang, tetapi hukum, namun, tetap menjadi
salah satu yang kontroversial. Niels Ferguson , seorang peneliti kriptografi yang dihormati,
43
secara terbuka menyatakan bahwa dia tidak akan merilis beberapa penelitiannya ke dalam
desain keamanan Intel karena takut dituntut di bawah DMCA. [70] Ahli kriptologi Bruce
Schneier berpendapat bahwa DMCA mendorong penguncian vendor , sambil menghambat
langkah-langkah aktual terhadap keamanan dunia maya. [71] Baik Alan Cox ( pengembang
kernel Linux lama ) danEdward Felten (dan beberapa mahasiswanya di Princeton)
mengalami masalah terkait dengan UU tersebut. Dmitry Sklyarov ditangkap selama
kunjungan ke AS dari Rusia, dan dipenjara selama lima bulan menunggu persidangan atas
dugaan pelanggaran DMCA yang timbul dari pekerjaan yang telah dilakukannya di Rusia,
di mana pekerjaan itu legal. Pada tahun 2007, kunci kriptografi yang bertanggung jawab
atas pengacakan konten Blu-ray dan HD DVD ditemukan dan dirilis ke Internet . Dalam
kedua kasus tersebut, Motion Picture Association of America mengirimkan banyak
pemberitahuan penghapusan DMCA, dan ada reaksi internet besar-besaran [9] yang dipicu
oleh dampak yang dirasakan dari pemberitahuan tersebut pada penggunaan wajardan
kebebasan berbicara .
Pengungkapan paksa kunci enkripsi
Artikel utama: Hukum pengungkapan kunci
Di Inggris Raya, Regulation of Investigatory Powers Act memberi polisi Inggris
wewenang untuk memaksa tersangka mendekripsi file atau menyerahkan kata sandi yang
melindungi kunci enkripsi. Kegagalan untuk mematuhi adalah pelanggarannya sendiri,
yang dapat dihukum dengan hukuman penjara dua tahun atau hingga lima tahun dalam
kasus yang melibatkan keamanan nasional. [7] Penuntutan yang berhasil telah terjadi
berdasarkan Undang-undang; yang pertama, pada tahun 2009, [72] mengakibatkan hukuman
13 bulan penjara. [73] Undang-undang pengungkapan paksa serupa di Australia, Finlandia,
Prancis, dan India memaksa tersangka individu yang sedang diselidiki untuk menyerahkan
kunci enkripsi atau kata sandi selama penyelidikan kriminal.
Di Amerika Serikat, kasus kriminal federal Amerika Serikat v. Fricosu membahas apakah
perintah penggeledahan dapat memaksa seseorang untuk mengungkapkan frasa sandi atau
sandi enkripsi . [74] The Electronic Frontier Foundation (EFF) berpendapat bahwa ini
adalah pelanggaran terhadap perlindungan dari memberatkan diri sendiri diberikan oleh
Amandemen Kelima . [75] Pada tahun 2012, pengadilan memutuskan bahwa berdasarkan
All Writs Act , terdakwa harus menunjukkan hard drive yang tidak dienkripsi untuk
pengadilan. [76]
Di banyak yurisdiksi, status hukum pengungkapan paksa masih belum jelas.
Sengketa enkripsi FBI-Apple 2016 menyangkut kemampuan pengadilan di Amerika
Serikat untuk memaksa bantuan produsen dalam membuka kunci ponsel yang isinya
dilindungi secara kriptografis.
Sebagai tindakan balasan potensial untuk pengungkapan paksa, beberapa perangkat lunak
kriptografi mendukung penyangkalan yang masuk akal , di mana data terenkripsi tidak
dapat dibedakan dari data acak yang tidak digunakan (misalnya seperti drive yang telah
dihapus dengan aman ).
Lihat juga
44
4. Enkripsi Klasik
Apakah Anda menyukai pesan rahasia "decoding"? Maka Ingress Google mungkin adalah
game seluler yang sempurna untuk Anda. Ini adalah jenis permainan menangkap bendera,
sosial, decoding yang memungkinkan Anda menemukan pesan rahasia yang tersembunyi
di media yang dibagikan dengan pemain melalui ponsel mereka. Permainan ini
mengharuskan para pemain untuk mengetahui cara klasik dan lanjutan untuk memecahkan
kode pesan ini, juga dikenal sebagai sandi.
Cipher adalah operasi mekanis, juga disebut algoritma, yang digunakan untuk
memecahkan kode potongan kecil kode terenkripsi. Caesar Cipher adalah yang paling
terkenal dan paling mudah digunakan, karena memetakan setiap huruf dalam alfabet ke
huruf lain. Ini juga disebut sebagai shift cipher.
Panduan ini membahas setiap jenis sandi klasik yang saat ini dikenal dan cara kerjanya.
Apa itu Enkripsi Klasik
Enkripsi Klasik - Ini mengacu pada salah satu metode paling umum untuk mengenkripsi
teks biasa dan menggunakan dua teknik sederhana yang disebut Substitusi dan Transposisi.
Apa itu Caesar Cipher
Caesar Cipher - A Caesar Cipher adalah salah satu metode enkripsi tertua yang melibatkan
penggantian setiap karakter dalam teks biasa dengan karakter yang merupakan sejumlah
posisi sebelum atau sesudahnya.
Apa itu Kode Foursquare
Foursquare Cipher - Foursquare Cipher menggunakan empat kotak 5X5 huruf untuk
mengenkripsi teks biasa. Keistimewaannya adalah terdiri dari dua kata kunci, tetapi
dikenal sebagai metode yang relatif memakan waktu.
Apa itu One Time Pad
One Time Pad - Ini adalah metode enkripsi khusus di mana kata kunci yang dibagikan
sebelumnya digunakan untuk mengenkripsi teks biasa melalui penambahan modular.
45
Cara Menggunakan Playfair Cipher
Playfair Cipher - Playfair cipher adalah jenis enkripsi simetris manual di mana bigraphs,
atau pasangan huruf dienkripsi sehingga membuat analisis frekuensi lebih sulit.
Cara Menggunakan Transposition Cipher
Transposition Ciphers - Jenis sandi ini dilakukan dengan mengubah urutan karakter dalam
teks biasa. Metode yang umum adalah menulis teks biasa secara diagonal dan membacanya
secara horizontal.
Cara Menggunakan Sandi Dua Kotak
Dua Sandi Persegi - Dua sandi persegi adalah jenis enkripsi simetris manual yang
mengurangi kerumitan sandi persegi empat tetapi menawarkan keamanan lebih dari sandi
sederhana.
Cara Menggunakan Vigenere Cipher
Vigenere Cipher - Ini adalah metode enkripsi yang menggunakan beberapa sandi Caesar
yang terjalin untuk mengenkripsi teks biasa berdasarkan abjad. Ini terkenal sebagai metode
yang menahan upaya untuk memecahkannya selama hampir tiga abad.
Bagaimana Cryptanalysis Bekerja dengan Sandi Klasik
Seringkali, cipher klasik terlalu terkenal untuk digunakan untuk enkripsi keamanan tinggi
di dunia saat ini. Namun, mereka masih dapat digunakan melalui proses otomatis oleh
peretas untuk menentukan lubang apa pun dan menemukan bisikan kerentanan, karena
beberapa sistem dibangun di atas metode enkripsi klasik yang lebih lama. Inilah sebabnya
mengapa penting bagi bisnis untuk memperbarui sistem keamanan siber dan metode
enkripsi mereka setiap saat.
Jika Anda tidak memiliki kunci khusus untuk mendekripsi kode terenkripsi, Anda
menggunakan kriptanalisis untuk menemukan cipher. Metode ini menggunakan
pendekatan matematis dan algoritma yang dikenal untuk menguraikan sandi.
Dalam keamanan siber, serangan kriptanalisis dapat digunakan untuk mendekripsi data
hash dan informasi terenkripsi lainnya. Keberhasilan serangan ini bergantung pada jumlah
waktu dalam sistem Anda, daya komputer yang tersedia, dan kapasitas penyimpanan.
Beberapa serangan kriptanalisis yang paling umum meliputi:
•
•
46
Serangan brute force: Seorang peretas menggunakan algoritma yang dikenal untuk
mencoba dan menebak pola logis dari teks biasa, yang kemudian dapat disandikan dan
dibandingkan dengan sandi asli.
Serangan kamus: Daftar kata digabungkan untuk menemukan kecocokan teks biasa atau
kunci. Ini sebagian besar digunakan untuk memecahkan kata sandi.
•
Rainbow table attack: Dalam jenis serangan terbaru ini, ciphertext digunakan untuk
membandingkan dengan hash yang telah dihitung sebelumnya, menghasilkan kecocokan
yang dapat digunakan untuk mendekripsi teks lebih lanjut.
Membungkus
Dalam kriptografi, pesan terenkripsi disandikan dan diuraikan. Dengan mempelajari sandi
klasik, Anda dapat menggunakan kriptanalisis untuk mengungkap bit teks biasa tertentu
dalam pesan berkode. Sandi klasik menyenangkan untuk dipelajari dan digunakan dalam
kriptografi teka-teki sederhana, tetapi sebagian besar sistem keamanan siber sudah
melindungi sandi yang dikenal ini.
5. Life Cycle Pengembangan Sistem
Secure Software Development Lifecycle (SDLC) adalah suatu keharusan bagi setiap
perusahaan pengembang perangkat lunak yang berusaha untuk menjadi kompetitif di pasar.
Dengan tujuan untuk mengimbangi dan menyediakan pelanggan kami dengan produk
aman yang lebih andal, kami telah mengintegrasikan praktik keamanan terbaik ke dalam
proses pengembangan kami. Secara khusus, proses Infotecs SDLC (ISDL)
47
memperhitungkan rekomendasi NIST (misalnya NIST SP 800-64, SP 800-100), materi
OWASP, dan persyaratan seri ISO / IEC 27000.
ISDL adalah proses seluruh organisasi yang komprehensif termasuk berikut ini:
48
49
Program Kesadaran dan Pelatihan
ISDL akan dikompromikan tanpa Program Kesadaran dan Pelatihan yang efektif. Kami
telah mengembangkan serangkaian pelatihan internal yang didedikasikan untuk mengatasi
kurangnya kesadaran keamanan informasi, mendukung, dan meningkatkan kompetensi
profesional personel yang berfokus pada tanggung jawab dan tugas mereka dalam proses
ISDL. Pelatihan tidak dibatasi oleh praktik keamanan yang diterapkan selama proses,
tetapi juga melibatkan beberapa keahlian praktis yang diperlukan untuk staf teknis.
Persyaratan Gathering
Definisi persyaratan produk bermuara pada pertukaran antara kebutuhan bisnis pelanggan
dan tingkat keamanan yang diperlukan untuk melindungi asetnya. Ini hanya dapat dicapai
dengan mengumpulkan dan menganalisis secara menyeluruh Persyaratan berbasis Pasar ,
Hukum dan Peraturan yang berlaku, serta Standar dan Praktik Terbaik .
Persyaratan Berbasis Pasar
50
Pengumpulan persyaratan berbasis pasar menyiratkan identifikasi masalah pelanggan yang
harus diselesaikan dengan produk atau layanan. Akibatnya, pada langkah ini, penting untuk
mengklarifikasi banyak hal, misalnya jenis data yang akan dilindungi, fungsionalitas
produk yang diperlukan, batasan apa pun yang terkait dengan lingkungan operasional, dan
sebagainya.
Hukum dan regulasi
Pertimbangan lebih awal atas semua hukum dan peraturan yang berlaku menghasilkan
penurunan biaya, risiko ketidakpatuhan, serta waktu ke pasar (TTM) produk secara
keseluruhan.
Standar dan Praktik Terbaik
Terlepas dari kenyataan bahwa undang-undang dan peraturan biasanya tidak
mengharuskan kepatuhan terhadap Standar dan Praktik Terbaik apa pun, yang terakhir
masih wajib bagi setiap vendor yang ingin bersaing.
Rancangan
Selama fase ini, kami menganalisis persyaratan yang dikumpulkan untuk memahami
bagaimana produk akan memenuhinya, serta bagaimana membuat pemenuhan ini lebih
andal dan aman. Oleh karena itu, kami memeriksa perangkat lunak Pihak Ketiga jika kami
akan menggunakannya, melakukan Analisis Permukaan Serangan dan Pemodelan
Ancaman .
Keamanan Pihak Ketiga
Dalam kasus perangkat lunak pihak ketiga komersial, kami mewajibkan mitra kami untuk
memberi tahu kami tentang kerentanan yang teridentifikasi sesegera mungkin untuk
mengambil tindakan yang diperlukan dan mencegah eksploitasi mereka. Selain itu, kami
secara otomatis memantau informasi tentang kerentanan yang ditemukan dalam perangkat
lunak sumber terbuka, yang digabungkan atau akan dimasukkan ke dalam produk kami,
untuk membuat perubahan yang diperlukan secara tepat waktu.
Analisis Permukaan Serangan
Tujuan dari Analisis ini adalah untuk mengidentifikasi apa yang tersedia untuk dan,
akibatnya, dapat digunakan oleh penyerang, untuk meminimalkan ini semaksimal
mungkin.
Pemodelan Ancaman
Pemodelan ancaman adalah salah satu langkah paling penting untuk pengembangan produk
dengan mempertimbangkan keamanan. Oleh karena itu, dengan mempertimbangkan
temuan pada langkah sebelumnya, model ancaman harus dikembangkan. Kemudian, model
tersebut digunakan untuk menentukan tingkat keamanan yang diperlukan dan untuk
memilih kontrol keamanan yang sesuai untuk diterapkan dalam produk guna melindungi
informasi dengan benar.
51
Pengembangan
Pengodean aman terutama difokuskan pada pencegahan kesalahan pengkodean selama fase
Pengembangan. Ini dapat dicapai melalui:
1. Penerapan Standar Pengodean Aman yang ketat , pemantauan dan kontrol
pemenuhannya dengan melakukan Analisis Kode , dan
2. Integrasi alat otomatis terbaru (penganalisis statis, kompiler, mekanisme kontrol versi,
dan lainnya) ke dalam lingkungan pengembangan perangkat lunak.
Standar Pengkodean Aman
Kami telah mengembangkan Secure Coding Standard in-house, menerapkannya ke dalam
proses pengembangan produk kami dengan memenuhi persyaratannya dalam Program
Kesadaran dan Pelatihan kami . Kemudian, kami membuat Standar wajib untuk setiap
anggota staf teknis yang terlibat dalam proses tersebut.
Analisis Kode
Analisis kode aman yang dilakukan oleh pakar keamanan dan tinjauan kode sejawat
dimaksudkan untuk menghilangkan kesalahan pada langkah awal pengembangan. Mereka
cukup efektif untuk menemukan kesalahan logika terlepas dari apakah kesalahan tersebut
disengaja atau tidak.
Alat Otomatis
Alat pengembangan otomatis (mis. Kompiler, alat kontrol versi, penganalisis kode, dll.)
Dan konfigurasi yang sesuai diperlukan untuk pengembangan perangkat lunak. Selain itu,
mereka harus selalu diperbarui agar efektif dan oleh karena itu, kami berusaha untuk
mengintegrasikan versi terbaru dari alat tersebut ke dalam lingkungan pengembangan
kami.
Verifikasi
Tujuan dari fase ini adalah untuk memverifikasi bahwa produk sesuai dengan persyaratan
spesifikasi dan tingkat keamanan yang diperlukan. Sementara integrasi, regresi, dan
pengujian unit sangat membantu untuk evaluasi fungsional, pengujian keamanan ,
pemindaian kerentanan , dan pengujian penetrasi adalah bagian penting dari pengujian
keamanan yang dilakukan pada Tahap Verifikasi.
Pengujian Keamanan
Kontrol keamanan harus diuji pada Fase ini untuk memverifikasi bahwa mereka
dikembangkan dengan benar dan, sebenarnya, memberikan tingkat keamanan yang
diperlukan.
Pemindaian Kerentanan
52
Pemindaian kerentanan otomatis yang dilakukan secara berkala mendeteksi dan
menghilangkan kerentanan sebelum produk dirilis. Selain itu, disarankan untuk memenuhi
pengujian fuzz pada langkah ini untuk memeriksa bahwa program merespons dengan benar
ke nilai input yang diharapkan dan tidak terduga dengan tujuan untuk mengidentifikasi
buffer overflows, kesalahan validasi input, serta kelemahan keamanan lainnya.
Pengujian Penetrasi
Pengujian penetrasi yang dilakukan oleh pakar keamanan efektif untuk menemukan
kerentanan canggih, dan, sebagai hasilnya, melengkapi pemindaian kerentanan yang
dilakukan oleh alat otomatis.
Rilis dan Dukungan
Setiap produk kami hanya dirilis jika Final Security Review yang dilakukan oleh tim
pengembangan produk dan pakar keamanan kami telah berhasil dilakukan. Kami juga telah
menyiapkan Rencana Tanggap Insiden sebelumnya untuk menanggapi kemungkinan
masalah keamanan. Kami memberi Pelanggan kami Layanan Dukungan Teknis ( tautan ke
Kebijakan ) dan semua informasi yang diperlukan tentang perubahan yang diharapkan
pada produk kami pada waktunya.
Review / Sertifikasi Keamanan Akhir
Tinjauan Keamanan Akhir difokuskan terutama pada evaluasi kesiapan produk termasuk
masalah yang berkaitan dengan keamanannya, dan, jika diperlukan, sertifikasi produk,
serta pengambilan keputusan lebih lanjut mengenai apakah akan meluncurkan produk ke
pasar atau tidak dilakukan pada saat ini. langkah.
Rencana Respons Insiden
Tidak ada perusahaan yang ingin mengembangkan perangkat lunak yang rentan. Namun,
kesalahan, kelalaian, dan hal-hal yang tidak diinginkan lainnya dapat terjadi, serta
kerentanan baru ditemukan. Oleh karena itu, Rencana Tanggap Insiden yang siap sangat
penting untuk menghemat waktu dan uang.
Konfigurasi dan Manajemen Perubahan
Hampir setiap produk out-of-the-box perlu dikonfigurasi dengan benar untuk beroperasi di
lingkungan produksi. Setelah itu, produk harus dipantau dan diperbarui bila diperlukan
(misalnya karena rilis versi baru produk, kebutuhan untuk memperbaiki kesalahan atau
kerentanan pengkodean yang tidak terungkap) untuk terus memastikan tingkat keamanan
yang diperlukan.
Pembuangan
Ketika tiba waktunya untuk membuang suatu produk (karena sudah usang, perlu
diperbarui, atau karena alasan lain), informasi yang dilindungi harus tetap disimpan dengan
aman. Untuk mengatasi hal ini dengan benar, proses pembuangan harus direncanakan dan
dipikirkan sebelumnya, dengan memperhatikan langkah-langkah keamanan, yang harus
53
diterapkan untuk menjaga informasi berharga , membersihkan media , serta, secara
keseluruhan, membuang perangkat keras dan perangkat lunak .
Pelestarian Informasi
Pelestarian informasi berharga menyiratkan tidak hanya memastikan ketersediaan
informasi tersebut (misalnya jika diwajibkan oleh hukum), tetapi juga memastikan
perlindungannya selama dan, jika berlaku, setelah pembuangan produk.
Sanitasi Media
Penekanan khusus harus diberikan pada sanitasi media (dengan menimpa, menghapus, atau
menghancurkan) yang diperlukan untuk mencegah pengungkapan informasi sensitif, yang
dapat dilakukan dengan menggunakan teknik dan peralatan yang disetujui yang dipilih
sesuai dengan tingkat keamanan yang diperlukan.
Pembuangan Perangkat Keras dan Perangkat Lunak
Meskipun pembuangan perangkat keras fisik hampir selalu diperlukan hanya jika informasi
sensitif tidak dapat disterilkan dengan cara lain, penghapusan perangkat lunak usang
biasanya sangat disarankan karena jika tidak, perangkat lunak ini dapat menimbulkan
risiko baru.
6. Standar Keamanan Pada Pengkodean
Kebijakan keamanan UC Berkeley mewajibkan kepatuhan dengan Standar Keamanan
Minimum untuk Informasi Elektronik untuk perangkat yang menangani data tertutup.
Rekomendasi di bawah ini disediakan sebagai panduan opsional untuk persyaratan
keamanan perangkat lunak aplikasi .
Kebutuhan
Pemilik Sumber Daya dan Pemelihara Sumber Daya harus memastikan bahwa praktik
pengkodean yang aman, termasuk pelatihan dan tinjauan keamanan, dimasukkan ke dalam
setiap fase siklus hidup pengembangan perangkat lunak.
Deskripsi Risiko
Praktik pengkodean yang tidak aman mengakibatkan kerentanan yang mahal dalam
perangkat lunak aplikasi yang mengarah pada pencurian data sensitif.
Rekomendasi
Agar aplikasi dirancang dan diterapkan dengan persyaratan keamanan yang tepat, praktik
pengodean yang aman dan fokus pada risiko keamanan harus diintegrasikan ke dalam
54
operasi sehari-hari dan proses pengembangan. Pengembang aplikasi harus menyelesaikan
persyaratan pengkodean aman apa pun perangkat yang digunakan untuk pemrograman.
Pelatihan Keamanan Aplikasi
Langkah penting pertama untuk mengembangkan aplikasi yang aman adalah rencana
pelatihan yang efektif yang memungkinkan pengembang mempelajari prinsip-prinsip
pengkodean aman yang penting dan bagaimana penerapannya. Kepatuhan terhadap kontrol
ini dinilai melalui Program Pengujian Keamanan Aplikasi (diwajibkan oleh MSSEI 6.2),
yang mencakup pengujian untuk prinsip pengkodean aman yang dijelaskan dalam
OWASP Secure Coding Guidelines :
1. Validasi Input
2. Pengkodean Keluaran
3. Otentikasi dan Manajemen Kata Sandi (termasuk penanganan kredensial yang aman oleh
layanan / skrip eksternal)
4. Manajemen Sesi
5. Kontrol akses
6. Praktek Kriptografi
7. Penanganan dan Pencatatan Kesalahan
8. Perlindungan data
9. Keamanan Komunikasi
10. Sistem konfigurasi
11. Keamanan Database
12. Manajemen file
13. Manajemen memori
14. Praktik Pengkodean Umum
Meskipun OWASP (Proyek Keamanan Aplikasi Web Terbuka) secara khusus merujuk
pada aplikasi web, prinsip pengodean aman yang diuraikan di atas juga harus diterapkan
pada aplikasi non-web. Silakan merujuk ke OWASP Secure Coding Guidelines untuk
melihat penjelasan yang lebih mendetail dari setiap prinsip pengodean aman. OWASP juga
menjalankan situs demo Faux Bank yang menunjukkan 10 kerentanan teratas bersama
dengan entri blog yang menjelaskan seluk-beluk setiap kerentanan.
Di bawah ini adalah contoh kursus pelatihan yang dapat digunakan untuk memperoleh
kemahiran dalam prinsip-prinsip pengkodean yang aman:
•
•
Pelatihan Keamanan Perangkat Lunak SANS
o Mempertahankan Dasar-dasar Keamanan Aplikasi Web (langsung / online)
o Coding Aman di Java / JEE (live / online)
o Coding Aman di .NET (langsung / online)
o Coding Aman di C & C ++ (khusus live)
Pelatihan CERT Secure Coding
o Coding Aman di C dan C ++ (hanya live)
Sebagai alternatif, buku dan bahan bacaan yang relevan juga dapat digunakan untuk
mengembangkan kemahiran dalam prinsip-prinsip pengkodean yang aman, dengan syarat
bahwa waktu yang cukup dialokasikan kepada staf untuk belajar mandiri.
55
•
•
Keamanan Perangkat Lunak: Keamanan Gedung Dalam
Menulis Kode Aman (juga tersedia untuk staf UC Berkeley secara gratis di Buku 24x7 )
Praktik Pengkodean Aman
Praktik pengodean yang aman harus dimasukkan ke dalam semua tahapan siklus hidup dari
proses pengembangan aplikasi. Rangkaian praktik pengkodean aman minimum berikut
harus diterapkan saat mengembangkan dan menerapkan aplikasi tertutup:
1. Memformalkan dan mendokumentasikan proses siklus hidup pengembangan perangkat
lunak (SDLC) untuk memasukkan komponen utama dari proses pengembangan:
o Persyaratan
o Arsitektur dan Desain
o Penerapan
o Menguji
o Penyebaran
o Pemeliharaan
Meskipun tidak ada standar kampus atau model preskriptif untuk metodologi SDLC,
pemilik sumber daya dan penjaga sumber daya harus memastikan komponen utama di atas
dari proses pengembangan didefinisikan sehubungan dengan metodologi pengembangan
yang diadopsi, yang dapat berupa model air terjun tradisional, gesit, atau model lainnya. .
1. Integrasikan prinsip pengkodean yang aman ke dalam komponen SDLC dengan
memberikan gambaran umum tentang bagaimana prinsip pengkodean aman ditangani
dalam dokumen Arsitektur dan Desain. Jika prinsip pengkodean aman tidak berlaku untuk
proyek, ini harus didokumentasikan secara eksplisit bersama dengan penjelasan singkat.
2. Lakukan pengujian keamanan aplikasi otomatis sebagai bagian dari proses pengujian
aplikasi secara keseluruhan. Lihat Layanan Kampus yang Relevan untuk rincian layanan
pengujian keamanan aplikasi otomatis yang ditawarkan oleh ISO.
3. Lingkungan pengembangan dan pengujian harus menyunting semua data sensitif atau
menggunakan data yang tidak teridentifikasi.
Layanan Kampus yang Relevan
Penilaian Kerentanan Aplikasi ISO
Kantor Keamanan Informasi (ISO) akan membantu Anda mengevaluasi postur keamanan
aplikasi berbasis web Anda dengan memindai dengan pemindai kerentanan aplikasi
otomatis dan meninjau temuan pemindai dengan perwakilan yang ditunjuk dari unit Anda.
Untuk detail layanan, silakan kunjungi halaman ikhtisar layanan .
Review Kode
(Tautan berikut disediakan untuk tujuan informasi dan perencanaan. Persyaratan untuk
melakukan tinjauan kode akan berlaku efektif 1 Juli 2014, dan tidak akan disertakan
dalam penilaian MSSEI sebelum waktu itu.)
56
Panduan Review Kode OWASP
Microsoft Bagaimana Melakukan Review Kode Keamanan
7. Keamanan Sistem
Masalah Keamanan
•
•
•
•
•
57
Bab 14 (Perlindungan) berurusan dengan melindungi file dan sumber daya lainnya dari
penyalahgunaan yang tidak disengaja dengan bekerja sama dengan pengguna yang
berbagi sistem, umumnya menggunakan komputer untuk tujuan normal.
Bab ini (Keamanan) membahas tentang perlindungan sistem dari serangan yang
disengaja, baik internal maupun eksternal, dari individu yang dengan sengaja mencoba
mencuri informasi, merusak informasi, atau dengan cara lain dengan sengaja membuat
kekacauan dalam beberapa cara.
Beberapa jenis pelanggaran yang paling umum meliputi:
o Pelanggaran Kerahasiaan - Pencurian informasi pribadi atau rahasia, seperti
nomor kartu kredit, rahasia dagang, paten, formula rahasia, prosedur manufaktur,
informasi medis, informasi keuangan, dll.
o Pelanggaran Integritas - Modifikasi data yangtidak sah, yang mungkin memiliki
konsekuensi tidak langsung yang serius. Misalnya permainan populer atau kode
sumber program lain dapat dimodifikasi untuk membuka celah keamanan pada
sistem pengguna sebelum dirilis ke publik.
o Pelanggaran Ketersediaan - Penghancuran data yangtidak sah, seringkali hanya
untuk "kesenangan" menyebabkan malapetaka dan untuk ritus membual.
Vandalisme situs web adalah bentuk umum dari pelanggaran ini.
o Theft of Service - Penggunaan sumber daya yang tidak sah, seperti pencurian
siklus CPU, penginstalan daemon yang menjalankan server file yang tidak sah,
atau memasuki layanan telepon atau jaringan target.
o Denial of Service, DOS - Mencegah pengguna yang sah menggunakan sistem,
seringkali dengan membebani dan membanjiri sistem dengan permintaan layanan
yang berlebihan.
Salah satu serangan yang umum adalah penyamaran, di mana penyerang berpura-pura
menjadi pihak ketiga yang tepercaya. Variasi dari ini adalah man-in-the-middle, di mana
penyerang menyamar sebagai kedua ujung percakapan ke dua target.
Sebuah serangan replay melibatkan mengulangi transmisi valid. Terkadang ini bisa
berupa keseluruhan serangan, (seperti mengulangi permintaan transfer uang), atau di lain
waktu konten pesan asli diganti dengan konten berbahaya.
58
Gambar 15.1 - Serangan keamanan standar.
•
Ada empat tingkatan di mana sistem harus dilindungi:
1. Fisik - Cara termudah untuk mencuri data adalah mengantongi kaset cadangan.
Selain itu, akses ke konsol root sering kali memberikan hak khusus kepada
pengguna, seperti me-reboot sistem sebagai root dari media yang dapat dilepas.
Bahkan akses umum ke terminal di ruang komputer menawarkan beberapa
peluang bagi penyerang, meskipun lingkungan jaringan kecepatan tinggi modern
saat ini memberikan lebih banyak peluang untuk serangan jarak jauh.
2. Manusia - Ada beberapa kekhawatiran bahwa manusia yang diizinkan mengakses
sistem dapat dipercaya, dan bahwa mereka tidak dapat dipaksa untuk melanggar
keamanan. Namun, saat ini semakin banyak serangan yang dilakukan melalui
rekayasa sosial, yang pada dasarnya berarti membodohi orang yang dapat
dipercaya agar secara tidak sengaja melanggar keamanan.
▪ Phishing melibatkan pengiriman email atau situs web yang tampak tidak
bersalah yang dirancang untuk menipu orang agar mengungkapkan
informasi rahasia. Misalnya email spam yang berpura-pura berasal dari eBay, PayPal, atau salah satu dari sejumlah bank atau perusahaan kartu
kredit.
▪ Dumpster Diving melibatkan pencarian tempat sampah atau lokasi lain
untuk kata sandi yang tertulis. (Catatan: Kata sandi yang terlalu sulit
untuk diingat, atau yang harus sering diubah lebih cenderung ditulis di
suatu tempat yang dekat dengan stasiun pengguna.)
▪ Peretasan Kata Sandi melibatkan peramalan kata sandi pengguna, baik
dengan mengamati mereka mengetikkan kata sandi, mengetahui sesuatu
tentang mereka seperti nama hewan peliharaan mereka, atau sekadar
mencoba semua kata dalam kamus umum. (Catatan: Kata sandi yang
"baik" harus melibatkan jumlah karakter minimum, termasuk karakter
non-alfabet, dan tidak muncul dalam kamus mana pun (dalam bahasa apa
pun), dan harus sering diubah. Perhatikan juga bahwa etiket yang tepat
untuk berpaling dari keyboard saat orang lain memasukkan sandi
mereka.)
3. Sistem Operasi - OS harus melindungi dirinya dari pelanggaran keamanan, seperti
proses pelarian (penolakan layanan), pelanggaran akses memori, pelanggaran
stack overflow, peluncuran program dengan hak istimewa yang berlebihan, dan
banyak lainnya.
4. Jaringan - Ketika komunikasi jaringan menjadi semakin penting dan menyebar
dalam lingkungan komputasi modern, menjadi semakin penting untuk melindungi
area sistem ini. (Keduanya melindungi jaringan itu sendiri dari serangan, dan
melindungi sistem lokal dari serangan yang masuk melalui jaringan.) Ini adalah
area perhatian yang berkembang karena komunikasi nirkabel dan perangkat
portabel menjadi semakin umum.
Ancaman Program
•
59
Ada banyak ancaman umum terhadap sistem modern. Hanya sedikit yang dibahas di sini.
15.2.1 Kuda Troya
•
•
•
•
•
•
•
Sebuah Trojan Horse adalah program yang diam-diam melakukan beberapa kedengkian di
samping tindakan yang kelihatan.
Beberapa kuda Troya sengaja dibuat seperti itu, dan yang lainnya adalah hasil dari
program sah yang telah terinfeksi virus, (lihat di bawah.)
Satu pembukaan berbahaya untuk kuda Troya adalah jalur pencarian yang panjang, dan di
jalur tertentu yang menyertakan direktori saat ini (".") Sebagai bagian dari jalur tersebut.
Jika program berbahaya yang memiliki nama yang sama dengan program yang sah (atau
kesalahan ejaan yang umum, seperti "sl" bukan "ls") ditempatkan di mana saja pada jalur,
maka pengguna yang tidak curiga mungkin tertipu untuk menjalankan program yang salah
karena kesalahan.
Trojan Horse klasik lainnya adalah emulator login, yang mencatat nama akun dan kata
sandi pengguna, mengeluarkan pesan "kata sandi salah", dan kemudian logout dari
sistem. Pengguna kemudian mencoba lagi (dengan prompt login yang tepat), berhasil
login, dan tidak menyadari bahwa informasi mereka telah dicuri.
(Catatan Khusus untuk mahasiswa UIC: Berhati-hatilah karena seseorang telah
mendaftarkan nama domain uic.EU (tanpa "D"), dan menjalankan server ssh yang akan
menerima permintaan ke mesin mana pun di domain tersebut, dan dengan senang hati
menerima login Anda dan informasi sandi, tanpa, tentu saja, benar-benar membuat
Anda masuk. Akses ke situs ini diblokir dari kampus, tetapi Anda sendiri di luar
kampus.)
Dua solusi untuk Trojan Horses adalah memiliki statistik penggunaan pencetakan sistem
saat logout, dan mewajibkan pengetikan urutan kunci yang tidak dapat dijebak seperti
Control-Alt-Delete untuk masuk. (Inilah mengapa sistem Windows modern memerlukan
Kontrol -Alt-Hapus urutan untuk memulai login, yang tidak dapat ditiru atau ditangkap
oleh program biasa. Yaitu urutan kunci selalu mentransfer kontrol ke sistem operasi.)
Spyware adalah versi dari Trojan Horse yang sering disertakan dalam perangkat lunak
"gratis" yang diunduh dari Internet. Program spyware menghasilkan jendela browser popup, dan mungkin juga mengumpulkan informasi tentang pengguna dan mengirimkannya
ke beberapa situs pusat. (Ini adalah contoh saluran rahasia, tempat terjadinya
komunikasi diam-diam.) Tugas umum spyware lainnya adalah mengirimkan pesan email
spam, yang kemudian konon berasal dari pengguna yang terinfeksi.
15.2.2 Pintu Jebakan
•
•
•
60
Sebuah Perangkap Pintu adalah ketika desainer atau programmer (atau hacker) sengaja
menyisipkan lubang keamanan yang dapat mereka gunakan nanti untuk mengakses
sistem.
Karena kemungkinan pintu jebakan, sekali sistem berada dalam keadaan tidak dapat
dipercaya, sistem itu tidak akan pernah bisa dipercaya lagi. Bahkan kaset cadangan
mungkin berisi salinan dari beberapa pintu belakang yang tersembunyi dengan cerdik.
Sebuah pintu jebakan pintar dapat dimasukkan ke dalam kompiler, sehingga program
apapun yang dikompilasi dengan kompilator itu akan mengandung lubang keamanan. Ini
sangat berbahaya, karena pemeriksaan kode yang sedang dikompilasi tidak akan
mengungkapkan masalah apa pun.
15.2.3 Bom Logika
•
•
Sebuah Logika Bom adalah kode yang tidak dirancang untuk menyebabkan malapetaka
sepanjang waktu, tetapi hanya ketika satu set tertentu dari keadaan terjadi, seperti ketika
tanggal atau waktu tertentu tercapai atau beberapa peristiwa nyata lainnya.
Contoh klasik adalah Dead-Man Switch , yang dirancang untuk memeriksa apakah orang
tertentu (misalnya penulis) masuk setiap hari, dan jika mereka tidak masuk untuk waktu
yang lama (mungkin karena mereka telah dipecat ), lalu bom logika meledak dan
membuka lubang keamanan atau menyebabkan masalah lain.
15.2.4 Stack dan Buffer Overflow
•
Ini adalah metode serangan klasik, yang mengeksploitasi bug dalam kode sistem yang
memungkinkan buffer meluap. Pertimbangkan apa yang terjadi pada kode berikut,
misalnya, jika argv [1] melebihi 256 karakter:
o Perintah strcpy akan meluap buffer, menimpa area memori yang berdekatan.
o (Masalahnya dapat dihindari dengan menggunakan str n cpy, dengan batas 255
karakter yang disalin ditambah ruang untuk byte nol.)
#include
#define BUFFER_SIZE 256
int main (int argc, char * argv [])
{
penyangga karakter [BUFFER_SIZE];
jika (argc <2)
kembali -1;
lain {
strcpy (buffer, argv [1]);
kembali 0;
}
}
Gambar 15.2 - Program C dengan kondisi buffer overflow.
•
61
Jadi, bagaimana buffer yang meluap menyebabkan pelanggaran keamanan? Nah langkah
pertama adalah memahami struktur tumpukan di memori:
o Bagian "bawah" dari tumpukan sebenarnya berada di alamat memori tinggi, dan
tumpukan tumbuh ke alamat yang lebih rendah.
o Namun alamat array adalah alamat terendah dari array, dan elemen array yang
lebih tinggi meluas ke alamat yang lebih tinggi. (Yaitu sebuah array "tumbuh"
menuju bagian bawah tumpukan.
o Secara khusus, menulis melewati bagian atas larik, seperti yang terjadi ketika
buffer meluap dengan terlalu banyak data input, pada akhirnya dapat menimpa
alamat yang dikembalikan, secara efektif mengubah tempat program melompat
ketika kembali.
Gambar 15.3 - Tata letak bingkai tumpukan pada umumnya.
•
•
•
•
62
Sekarang kita tahu bagaimana mengubah tempat program kembali dengan meluap buffer,
langkah kedua adalah memasukkan beberapa kode jahat, dan kemudian membuat
program untuk melompat ke kode yang dimasukkan.
Satu-satunya kesempatan kita untuk memasukkan kode adalah melalui input ke buffer,
yang berarti tidak ada banyak ruang untuk itu. Salah satu pendekatan yang paling
sederhana dan jelas adalah memasukkan kode untuk "exec (/ bin / sh)". Untuk melakukan
ini membutuhkan kompilasi program yang berisi instruksi ini, dan kemudian
menggunakan alat assembler atau debugging untuk mengekstrak tingkat minimum yang
menyertakan instruksi yang diperlukan.
Kode buruk kemudian diisi dengan byte tambahan sebanyak yang diperlukan untuk
meluap buffer ke tingkat yang benar, dan alamat buffer dimasukkan ke lokasi alamat
pengirim. (Perhatikan, bagaimanapun, bahwa baik kode buruk atau padding dapat berisi
byte nol, yang akan menghentikan strcpy.)
Blok informasi yang dihasilkan disediakan sebagai "input", disalin ke buffer oleh program
asli, dan kemudian pernyataan return menyebabkan kontrol melompat ke lokasi buffer
dan mulai menjalankan kode untuk meluncurkan shell.
Gambar 15.4 - Bingkai tumpukan hipotetis untuk Gambar 15.2, (a) sebelum dan (b)
sesudah.
•
•
•
Sayangnya peretasan terkenal seperti serangan buffer overflow dipublikasikan dengan
baik dan terkenal, dan tidak membutuhkan banyak keahlian untuk mengikuti petunjuk
dan mulai menyerang banyak sistem sampai hukum rata-rata akhirnya berhasil. ( Script
Kiddies adalah para peretas dengan hanya keterampilan dasar mereka sendiri tetapi
kemampuan untuk menyalin upaya orang lain.)
Untungnya perangkat keras modern sekarang menyertakan sedikit di tabel halaman untuk
menandai halaman tertentu sebagai tidak dapat dieksekusi. Dalam hal ini serangan
buffer-overflow akan bekerja sampai titik tertentu, tetapi segera setelah "kembali" ke
alamat di ruang data dan mencoba menjalankan pernyataan di sana, pengecualian akan
dilempar sehingga program tidak berfungsi.
(Rincian lebih lanjut tentang serangan stack-overflow tersedia secara online dari
http://www.insecure.org/stf/smashstack.txt )
15.2.5 Virus
•
•
•
•
63
Virus adalah fragmen kode yang disematkan dalam program yang sah, dirancang untuk
mereplikasi dirinya sendiri (dengan menginfeksi program lain), dan (akhirnya)
mendatangkan malapetaka.
Virus lebih mungkin menginfeksi PC daripada UNIX atau sistem multi-pengguna lainnya,
karena program di sistem yang terakhir memiliki kewenangan terbatas untuk
memodifikasi program lain atau untuk mengakses struktur sistem penting (seperti blok
boot.)
Virus dikirim ke sistem melalui penetes virus, biasanya sejenis Trojan Horse, dan biasanya
melalui email atau unduhan yang tidak aman.
Virus memiliki banyak bentuk (lihat di bawah.) Gambar 15.5 menunjukkan operasi tipikal
dari virus boot sector:
Gambar 15.5 - Virus komputer boot-sector.
•
64
Beberapa bentuk virus antara lain:
o File - File virus menempel pada file yang dapat dijalankan, menyebabkannya
menjalankan kode virus terlebih dahulu dan kemudian melompat ke awal
program asli. Virus ini disebut parasit, karena mereka tidak meninggalkan file
baru di sistem, dan program asli masih berfungsi penuh.
o Boot - Virus boot menempati sektor boot, dan berjalan sebelum OS dimuat. Ini
juga dikenal sebagai virus memori , karena dalam pengoperasiannya virus berada
di memori, dan tidak muncul di sistem file.
o Makro - Virus ini ada sebagai makro (skrip) yang dijalankan secara otomatis oleh
program berkemampuan makro tertentu seperti MS Word atau Excel. Virus ini
dapat ada di dokumen pengolah kata atau file spreadsheet.
o Virus kode sumber mencari kode sumber dan menginfeksinya untuk menyebar.
o Virus polimorfik berubah setiap kali menyebar - Bukan fungsi dasarnya, tetapi
hanya tanda tangannya, yang digunakan oleh pemeriksa virus untuk
mengenalinya.
o Virus terenkripsi berjalan dalam bentuk terenkripsi untuk menghindari deteksi.
Dalam praktiknya, mereka mendekripsi sendiri, yang kemudian memungkinkan
mereka menginfeksi file lain.
o Virus siluman mencoba menghindari deteksi dengan memodifikasi bagian sistem
yang dapat digunakan untuk mendeteksinya. Misalnya, pemanggilan sistem read
() dapat dimodifikasi sehingga jika file yang terinfeksi dibaca, bagian yang
terinfeksi akan dilewati dan pembaca akan melihat file asli yang tidak tercemar.
Virus penerobos berusaha menghindari deteksi dengan memasukkan dirinya ke
dalam rantai penangan interupsi, atau ke driver perangkat.
o Virus multipartit menyerang banyak bagian sistem, seperti file, sektor boot, dan
memori.
o Virus lapis baja diberi kode untuk membuatnya sulit bagi para peneliti anti-virus
untuk memecahkan kode dan memahami. Selain itu, banyak file yang terkait
dengan virus disembunyikan, dilindungi, atau diberi nama yang tampak tidak
berbahaya seperti "...".
Pada tahun 2004, virus mengeksploitasi tiga bug dalam produk Microsoft untuk
menginfeksi ratusan server Windows (termasuk banyak situs terpercaya) yang
menjalankan Microsoft Internet Information Server, yang kemudian menginfeksi browser
web Microsoft Internet Explorer yang mengunjungi situs server yang terinfeksi. Salah satu
program pintu belakang yang dipasangnya adalah pencatat ketikan, yang mencatat
ketukan pengguna, termasuk kata sandi dan informasi sensitif lainnya.
Ada beberapa perdebatan dalam komunitas komputasi mengenai apakah monokultur, di
mana hampir semua sistem menjalankan perangkat keras, sistem operasi, dan aplikasi
yang sama, meningkatkan ancaman virus dan potensi bahaya yang disebabkan olehnya.
o
•
•
Ancaman Sistem dan Jaringan
•
Sebagian besar ancaman yang dijelaskan di atas disebut ancaman program , karena
mereka menyerang program tertentu atau dibawa dan didistribusikan dalam program.
Ancaman di bagian ini menyerang sistem operasi atau jaringan itu sendiri, atau
memanfaatkan sistem tersebut untuk meluncurkan serangannya.
15.3.1 Cacing
•
•
•
65
Sebuah worm adalah proses yang menggunakan garpu / proses bertelur untuk membuat
salinan dari dirinya sendiri untuk melampiaskan malapetaka pada sistem. Worm
menghabiskan sumber daya sistem, seringkali memblokir proses lain yang sah. Worm
yang menyebar melalui jaringan bisa menjadi sangat bermasalah, karena mereka dapat
mengikat sejumlah besar sumber daya jaringan dan menjatuhkan sistem berskala besar.
Salah satu worm paling terkenal diluncurkan oleh Robert Morris, seorang mahasiswa
pascasarjana di Cornell, pada November 1988. Dengan menargetkan komputer Sun dan
VAX yang menjalankan BSD UNIX versi 4, worm tersebut menyebar ke Internet dalam
hitungan beberapa jam, dan dikonsumsi sumber daya yang cukup untuk menjatuhkan
banyak sistem.
Cacing ini terdiri dari dua bagian:
1. Program kecil yang disebut grappling hook, yang disimpan pada sistem target
melalui salah satu dari tiga kerentanan, dan
2. Program worm utama, yang ditransfer ke sistem target dan diluncurkan oleh
program grappling hook.
Gambar 15.6 - Worm Morris Internet.
•
•
•
•
66
Tiga kerentanan yang dieksploitasi oleh worm Internet Morris adalah sebagai berikut:
1. rsh ( remote shell ) is a utility that was in common use at that time for accessing
remote systems without having to provide a password. If a user had an account
on two different computers ( with the same account name on both systems ),
then the system could be configured to allow that user to remotely connect from
one system to the other without having to provide a password. Many systems
were configured so that any user ( except root ) on system A could access the
same account on system B without providing a password.
2. finger is a utility that allows one to remotely query a user database, to find the
true name and other information for a given account name on a given system. For
example "finger joeUser@somemachine.edu" would access the finger daemon at
somemachine.edu and return information regarding joeUser. Unfortunately the
finger daemon ( which ran with system privileges ) had the buffer overflow
problem, so by sending a special 536-character user name the worm was able to
fork a shell on the remote system running with root privileges.
3. sendmail is a routine for sending and forwarding mail that also included a
debugging option for verifying and testing the system. The debug feature was
convenient for administrators, and was often left turned on. The Morris worm
exploited the debugger to mail and execute a copy of the grappling hook program
on the remote system.
Once in place, the worm undertook systematic attacks to discover user passwords:
1. First it would check for accounts for which the account name and the password
were the same, such as "guest", "guest".
2. Then it would try an internal dictionary of 432 favorite password choices. ( I'm
sure "password", "pass", and blank passwords were all on the list. )
3. Finally it would try every word in the standard UNIX on-line dictionary to try and
break into user accounts.
Once it had gotten access to one or more user accounts, then it would attempt to use
those accounts to rsh to other systems, and continue the process.
With each new access the worm would check for already running copies of itself, and 6
out of 7 times if it found one it would stop. ( The seventh was to prevent the worm from
being stopped by fake copies. )
•
•
•
Fortunately the same rapid network connectivity that allowed the worm to propagate so
quickly also quickly led to its demise - Within 24 hours remedies for stopping the worm
propagated through the Internet from administrator to administrator, and the worm was
quickly shut down.
There is some debate about whether Mr. Morris's actions were a harmless prank or
research project that got out of hand or a deliberate and malicious attack on the Internet.
However the court system convicted him, and penalized him heavy fines and court costs.
There have since been many other worm attacks, including the W32.Sobig.F@mm attack
which infected hundreds of thousands of computers and an estimated 1 in 17 e-mails in
August 2003. This worm made detection difficult by varying the subject line of the
infection-carrying mail message, including "Thank You!", "Your details", and "Re:
Approved".
15.3.2 Port Scanning
•
•
•
Port Scanning is technically not an attack, but rather a search for vulnerabilities to attack.
The basic idea is to systematically attempt to connect to every known ( or common or
possible ) network port on some remote machine, and to attempt to make contact. Once
it is determined that a particular computer is listening to a particular port, then the next
step is to determine what daemon is listening, and whether or not it is a version
containing a known security flaw that can be exploited.
Because port scanning is easily detected and traced, it is usually launched from zombie
systems, i.e. previously hacked systems that are being used without the knowledge or
permission of their rightful owner. For this reason it is important to protect "innocuous"
systems and accounts as well as those that contain sensitive information or special
privileges.
There are also port scanners available that administrators can use to check their own
systems, which report any weaknesses found but which do not exploit the weaknesses or
cause any problems. Two such systems are nmap ( http://www.insecure.org/nmap ) and
nessus ( http://www.nessus.org ). The former identifies what OS is found, what firewalls
are in place, and what services are listening to what ports. The latter also contains a
database of known security holes, and identifies any that it finds.
15.3.3 Denial of Service
•
•
•
•
67
Serangan Denial of Service (DOS) tidak berusaha untuk benar-benar mengakses atau
merusak sistem, tetapi hanya untuk membuatnya sangat tersumbat sehingga tidak dapat
digunakan untuk pekerjaan yang berguna. Loop ketat yang berulang kali meminta layanan
sistem adalah bentuk serangan ini yang jelas.
Serangan DOS juga dapat melibatkan rekayasa sosial, seperti surat berantai Internet yang
mengatakan "kirim ini segera ke 10 teman Anda, dan kemudian pergi ke URL tertentu",
yang menyumbat tidak hanya sistem surat Internet tetapi juga server web untuk yang
diarahkan setiap orang. (Catatan: Mengirim "balas semua" ke pesan semacam itu yang
memberi tahu semua orang bahwa itu hanya tipuan juga akan menyumbat layanan surat
Internet, sama efektifnya dengan jika Anda meneruskannya.)
Sistem keamanan yang mengunci akun setelah sejumlah upaya login yang gagal tunduk
pada serangan DOS yang berulang kali mencoba login ke semua akun dengan kata sandi
yang tidak valid secara ketat untuk mengunci semua akun.
Terkadang DOS bukanlah hasil dari kejahatan yang disengaja. Pertimbangkan misalnya:
o
o
o
o
Sebuah situs web yang melihat volume hit yang besar sebagai hasil dari kampanye
iklan yang sukses.
CNN.com terkadang kewalahan pada hari-hari berita besar, seperti 11 September
2001.
Siswa CS diberikan tugas pemrograman pertama mereka yang melibatkan fork ()
sering dengan cepat mengisi tabel proses atau menghabiskan sumber daya sistem
sepenuhnya. :-)
(Harap gunakan ipcs dan ipcrm saat mengerjakan tugas komunikasi antar proses!)
Kriptografi sebagai Alat Keamanan
•
•
•
•
Di dalam komputer tertentu, pengiriman pesan aman, andal, dan terjamin, karena OS
tahu persis dari mana asalnya dan ke mana tujuannya.
Pada jaringan, bagaimanapun, hal-hal tidak begitu mudah - Komputer nakal (atau
pengirim email) dapat memalsukan identitas mereka, dan paket keluar dikirimkan ke
banyak komputer lain selain tujuan akhir (yang dimaksudkan), yang menampilkan dua
pertanyaan besar tentang keamanan:
o Kepercayaan - Bagaimana sistem dapat memastikan bahwa pesan yang diterima
benar-benar dari sumber yang mereka katakan, dan dapatkah sumber tersebut
dipercaya?
o Kerahasiaan - Bagaimana cara memastikan bahwa pesan yang dikirim hanya
diterima oleh penerima yang dituju?
Kriptografi dapat membantu mengatasi kedua masalah ini, melalui sistem rahasia dan
kunci. Dalam kasus sebelumnya, kuncinya dipegang oleh pengirim, sehingga penerima
tahu bahwa hanya penulis asli yang dapat mengirim pesan; Yang terakhir, kunci dipegang
oleh penerima, sehingga hanya penerima yang dituju yang dapat menerima pesan secara
akurat.
Kunci dirancang sedemikian rupa sehingga tidak dapat dilihat dari informasi publik apa
pun, dan harus dijaga dengan hati-hati. ( Enkripsi asimetris melibatkan kunci publik dan
privat.)
15.4.1 Enkripsi
•
•
68
Ide dasar enkripsi adalah untuk menyandikan pesan sehingga hanya penerima yang
diinginkan yang dapat memecahkan kode dan membacanya. Enkripsi telah ada sejak
sebelum zaman Caesar, dan merupakan keseluruhan bidang studi itu sendiri. Hanya
beberapa dari skema enkripsi komputer yang lebih signifikan yang akan dibahas di sini.
Proses dasar enkripsi ditunjukkan pada Gambar 15.7, dan akan menjadi dasar dari
sebagian besar diskusi kita tentang enkripsi. Langkah-langkah dalam prosedur dan
beberapa terminologi utama adalah sebagai berikut:
1. The pengirim pertama menciptakan pesan, m di plaintext.
2. Pesan tersebut kemudian dimasukkan ke dalam algoritma enkripsi, E, bersama
dengan kunci enkripsi, Ke.
3. Algoritma enkripsi menghasilkan ciphertext, c, = E (Ke) (m). Untuk sembarang
tombol k, E (k) adalah algoritma untuk menghasilkan ciphertext dari sebuah
pesan, dan baik E dan E (k) harus menjadi fungsi yang dapat dihitung secara
efisien.
4. Ciphertext kemudian dapat dikirim melalui jaringan yang tidak aman, yang dapat
diterima oleh penyerang.
5. The penerima memasuki ciphertext menjadi algoritma dekripsi, D, bersama
dengan kunci dekripsi, Kd.
6. Algoritma dekripsi menghasilkan kembali pesan teks biasa, m, = D (Kd) (c). Untuk
sembarang kunci k, D (k) adalah algoritma untuk menghasilkan pesan teks yang
jelas dari ciphertext, dan D dan D (k) harus menjadi fungsi yang dapat dihitung
secara efisien.
7. Algoritma yang dijelaskan di sini harus memiliki properti penting ini: Dengan
ciphertext c, komputer hanya dapat menghitung pesan m sehingga c = E (k) (m)
jika memiliki D (k). (Dengan kata lain, pesan tidak dapat didekodekan kecuali Anda
memiliki algoritma dekripsi dan kunci dekripsi.)
Gambar 15.7 - Komunikasi yang aman melalui media yang tidak aman.
15.4.1.1 Enkripsi Simetris
•
69
Dengan enkripsi simetris , kunci yang sama digunakan untuk enkripsi dan dekripsi, dan
harus dijaga dengan aman. Ada sejumlah algoritma enkripsi simetris terkenal yang telah
digunakan untuk keamanan komputer:
o The data-Encryption Standard, DES, yang dikembangkan oleh Institut Nasional
Standar, NIST, telah menjadi sipil standar enkripsi standar selama lebih dari 20
o
o
o
o
o
o
tahun. Pesan dipecah menjadi potongan 64-bit, yang masing-masing dienkripsi
menggunakan kunci 56-bit melalui serangkaian substitusi dan transformasi.
Beberapa transformasi disembunyikan (kotak hitam), dan diklasifikasikan oleh
pemerintah AS.
DES dikenal sebagai block cipher, karena bekerja pada blok data pada satu waktu.
Sayangnya ini adalah kerentanan jika kunci yang sama digunakan untuk jumlah
data yang diperpanjang. Oleh karena itu peningkatan tidak hanya mengenkripsi
setiap blok, tetapi juga untuk XOR dengan blok sebelumnya, dalam teknik yang
dikenal sebagai rantai blok-sandi.
Ketika komputer modern menjadi lebih cepat dan lebih cepat, keamanan DES
telah menurun, di mana sekarang dianggap tidak aman karena kuncinya dapat
dicari secara menyeluruh dalam waktu komputer yang wajar. Perangkat
tambahan yang disebut triple DES mengenkripsi data tiga kali menggunakan tiga
kunci terpisah (sebenarnya dua enkripsi dan satu dekripsi) untuk panjang kunci
efektif 168 bit. Triple DES digunakan secara luas saat ini.
The Advanced Encryption Standard, AES, yang dikembangkan oleh NIST pada
tahun 2001 untuk menggantikan DES penggunaan panjang kunci 128, 192, atau
256 bit, dan mengenkripsi di blok 128 bit menggunakan 10 sampai 14 putaran
transformasi pada matriks terbentuk dari blok.
The algoritma twofish, menggunakan panjang kunci variabel hingga 256 bit dan
bekerja pada 128 bit blok.
RC5 dapat bervariasi dalam panjang kunci, ukuran blok, dan jumlah transformasi,
dan berjalan pada berbagai macam CPU hanya dengan menggunakan komputasi
dasar.
RC4 adalah stream cipher, artinya ia bekerja pada aliran data daripada blok. Kunci
digunakan untuk mem-seed generator nomor pseudo-random, yang
menghasilkan keystream kunci. RC4 digunakan di WEP, tetapi telah terbukti
dapat rusak dalam waktu komputer yang wajar.
15.4.1.2 Enkripsi Asimetris
•
•
•
•
70
Dengan enkripsi asimetris, kunci dekripsi, Kd, tidak sama dengan kunci enkripsi, Ke, dan
yang lebih penting tidak dapat diturunkan darinya, yang berarti kunci enkripsi dapat
dibuat tersedia untuk umum, dan hanya kunci dekripsi yang perlu disimpan rahasia. (atau
sebaliknya, bergantung pada aplikasinya.)
Salah satu algoritma enkripsi asimetris yang paling banyak digunakan adalah RSA, dinamai
menurut pengembangnya - Rivest, Shamir, dan Adleman.
RSA didasarkan pada dua bilangan prima besar, p dan q, (masing-masing dengan urutan
512 bit), dan produk N.
o Ke dan Kd harus memenuhi hubungan:
(Ke * Kd)% [(p - 1) * (q - 1)] = = 1
o Algoritma enkripsi adalah:
c = E (Ke) (m) = m ^ Ke% N
o Algoritma dekripsi adalah:
m = D (Kd) (c) = c ^ Kd% N
Contoh menggunakan bilangan kecil:
o p=7
o q = 13
o N = 7 * 13 = 91
o (p - 1) * (q - 1) = 6 * 12 = 72
o
o
o
o
o
o
Pilih Ke <72 dan relatif prima ke 72, katakanlah 5
Sekarang pilih Kd, sehingga (Ke * Kd)% 72 = = 1, katakan 29
Kunci publiknya sekarang (5, 91) dan kunci privatnya adalah (29, 91)
Biar pesannya, m = 42
Enkripsi: c = 42 ^ 5% 91 = 35
Mendekripsi: m = 35 ^ 29% 91 = 42
Gambar 15.8 - Enkripsi dan dekripsi menggunakan kriptografi asimetris RSA
•
71
Perhatikan bahwa enkripsi asimetris jauh lebih mahal secara komputasi daripada enkripsi
simetris, dan karena itu biasanya tidak digunakan untuk transmisi besar. Enkripsi asimetris
cocok untuk pesan kecil, otentikasi, dan distribusi kunci, seperti yang dibahas di bagian
berikut.
15.4.1.3 Otentikasi
•
•
•
•
•
•
•
•
•
72
Otentikasi melibatkan verifikasi identitas entitas yang mengirimkan pesan.
Misalnya, jika D (Kd) (c) menghasilkan pesan yang valid, maka kita tahu pengirimnya
memiliki E (Ke).
Bentuk otentikasi ini juga dapat digunakan untuk memverifikasi bahwa pesan belum
dimodifikasi
Otentikasi berputar di sekitar dua fungsi, digunakan untuk tanda tangan (atau
penandatanganan ), dan verifikasi:
o Fungsi penandatanganan, S (Ks) yang menghasilkan pengautentikasi, A, dari
pesan yang diberikan m.
o Fungsi Verifikasi, V (Kv, m, A) yang menghasilkan nilai "benar" jika A dibuat dari
m, dan "salah" jika tidak.
o Jelas S dan V keduanya harus efisien secara komputasi.
o Lebih penting lagi, tidak mungkin menghasilkan pengautentikasi yang valid, A,
tanpa memiliki S (Ks).
o Selain itu, tidak mungkin untuk mengilahi S (Ks) dari kombinasi (m dan A), karena
keduanya dikirim secara terlihat melalui jaringan.
Memahami autentikator dimulai dengan pemahaman tentang fungsi hash, yang
merupakan langkah pertama:
o Fungsi hash, H (m) menghasilkan blok data berukuran tetap kecil yang dikenal
sebagai intisari pesan, atau nilai hash dari data masukan yang diberikan.
o Untuk tujuan otentikasi, fungsi hash harus tahan benturan pada m. Artinya tidak
mungkin untuk menemukan pesan alternatif m 'sehingga H (m') = H (m).
o Fungsi hash yang populer adalah MD5, yang menghasilkan intisari pesan 128-bit,
dan SHA-1, yang menghasilkan intisari 160-bit.
Intisari pesan berguna untuk mendeteksi (secara tidak sengaja) pesan yang diubah, tetapi
tidak berguna sebagai pengautentikasi, karena jika fungsi hash diketahui, maka seseorang
dapat dengan mudah mengubah pesan dan kemudian menghasilkan nilai hash baru untuk
pesan yang dimodifikasi. Oleh karena itu, pengautentikasi mengambil langkah lebih jauh
dengan mengenkripsi intisari pesan.
Sebuah kode pesan-otentikasi, MAC, menggunakan enkripsi simetris dan dekripsi pesan
mencerna, yang berarti bahwa siapa pun mampu memverifikasi pesan masuk juga bisa
menghasilkan pesan baru.
Pendekatan asimetris adalah algoritma tanda tangan digital, yang menghasilkan
pengautentikasi yang disebut tanda tangan digital. Dalam hal ini Ks dan Kv terpisah, Kv
adalah kunci publik, dan tidak praktis untuk menentukan S (Ks) dari informasi publik.
Dalam praktiknya, pengirim pesan menandatanganinya (menghasilkan tanda tangan
digital menggunakan S (Ks)), dan penerima menggunakan V (Kv) untuk memverifikasi
bahwa pesan tersebut memang berasal dari sumber tepercaya, dan belum dimodifikasi.
Ada tiga alasan bagus untuk memiliki algoritme terpisah untuk enkripsi pesan dan
otentikasi pesan:
1. Algoritme autentikasi biasanya memerlukan lebih sedikit penghitungan,
menjadikan verifikasi sebagai operasi yang lebih cepat daripada enkripsi.
2. Otentikator hampir selalu lebih kecil dari pesan, meningkatkan efisiensi ruang. (?)
3. Terkadang kami menginginkan otentikasi saja, dan bukan kerahasiaan, seperti
ketika vendor mengeluarkan patch perangkat lunak baru.
•
Penggunaan otentikasi lainnya adalah non-repudiation, di mana seseorang yang mengisi
formulir elektronik tidak dapat menyangkal bahwa merekalah yang melakukannya.
15.4.1.4 Distribusi Kunci
•
•
•
•
73
Distribusi kunci dengan kriptografi simetris merupakan masalah utama, karena semua
kunci harus dirahasiakan, dan jelas tidak dapat dikirim melalui saluran yang tidak aman.
Salah satu pilihan adalah mengirim mereka ke luar band, katakanlah melalui surat kabar
atau percakapan rahasia.
Masalah lain dengan kunci simetris, adalah bahwa kunci terpisah harus dijaga dan
digunakan untuk setiap koresponden yang ingin bertukar informasi rahasia.
Enkripsi asimetris memecahkan beberapa masalah ini, karena kunci publik dapat
ditransmisikan dengan bebas melalui saluran apa pun, dan kunci pribadi tidak perlu
dikirim ke mana pun. Penerima hanya perlu mempertahankan satu kunci pribadi untuk
semua pesan masuk, meskipun pengirim harus mempertahankan kunci publik terpisah
untuk setiap penerima yang mungkin ingin mereka kirimi pesan. Untungnya kunci publik
tidak bersifat rahasia, sehingga gantungan kunci ini dapat dengan mudah disimpan dan
dikelola.
Sayangnya, masih ada beberapa masalah keamanan terkait kunci publik yang digunakan
dalam enkripsi asimetris. Pertimbangkan misalnya serangan man-in-the-middle berikut
yang melibatkan kunci publik palsu:
Gambar 15.9 - Serangan man-in-the-middle pada kriptografi asimetris.
•
74
Salah satu solusi untuk masalah di atas melibatkan sertifikat digital, yang merupakan
kunci publik yang telah ditandatangani secara digital oleh pihak ketiga tepercaya. Tapi
tunggu sebentar - Bagaimana kita mempercayai pihak ketiga itu, dan bagaimana kita tahu
mereka benar-benar seperti yang mereka katakan? Otoritas sertifikat tertentu memiliki
kunci publik yang disertakan dalam browser web dan konsumen sertifikat lainnya
sebelum didistribusikan. Otoritas sertifikat ini kemudian dapat menjamin entitas
tepercaya lainnya dan seterusnya dalam web kepercayaan, seperti yang dijelaskan lebih
lengkap di bagian 15.4.3.
15.4.2 Penerapan Kriptografi
•
•
•
•
Komunikasi jaringan diimplementasikan dalam beberapa lapisan - Fisik, Tautan Data,
Jaringan, Transportasi, dan Aplikasi menjadi gangguan yang paling umum.
Enkripsi dan keamanan dapat diterapkan di semua lapisan dalam tumpukan, dengan pro
dan kontra untuk setiap pilihan:
o Karena paket pada tingkat yang lebih rendah berisi konten dari lapisan yang lebih
tinggi, enkripsi pada lapisan yang lebih rendah secara otomatis mengenkripsi
informasi lapisan yang lebih tinggi pada waktu yang sama.
o Namun keamanan dan otorisasi mungkin penting untuk tingkat yang lebih tinggi
terlepas dari mekanisme transportasi yang mendasarinya atau rute yang diambil.
Pada lapisan jaringan, standar yang paling umum adalah IPSec, bentuk lapisan IP yang
aman, yang digunakan untuk menyiapkan Jaringan Pribadi Maya, VPN.
Pada lapisan transport, implementasi yang paling umum adalah SSL, yang dijelaskan di
bawah ini.
15.4.3 Contoh: SSL
•
•
•
•
•
•
75
SSL (Secure Sockets Layer) 3.0 pertama kali dikembangkan oleh Netscape, dan sekarang
telah berkembang menjadi protokol TLS standar industri. Ini digunakan oleh browser web
untuk berkomunikasi secara aman dengan server web, menjadikannya mungkin protokol
keamanan yang paling banyak digunakan di Internet saat ini.
SSL cukup kompleks dengan banyak variasi, hanya kasus sederhana yang ditampilkan di
sini.
Inti dari SSL adalah kunci sesi , yang digunakan satu kali untuk enkripsi simetris dan
kemudian dibuang, membutuhkan pembuatan kunci baru untuk setiap sesi baru.
Tantangan besarnya adalah bagaimana membuat kunci seperti itu dengan aman sambil
menghindari serangan man-in-the-middle dan replay.
Sebelum memulai transaksi, server memperoleh sertifikat dari otoritas sertifikasi, CA,
yang berisi:
o Atribut server seperti nama unik dan umum.
o Identitas algoritma enkripsi publik, E (), untuk server.
o Kunci publik, k_e untuk server.
o Interval validitas di mana sertifikat itu valid.
o Tanda tangan digital di atas yang dikeluarkan oleh CA:
▪ a = S (K_CA) ((attrs, E (k_e), interval)
Selain itu, klien akan mendapatkan algoritme verifikasi publik , V (K_CA), untuk otoritas
sertifikasi. Peramban modern saat ini menyertakan bawaan ini oleh vendor peramban
untuk sejumlah otoritas sertifikat tepercaya.
Prosedur untuk membangun komunikasi yang aman adalah sebagai berikut:
1. Klien, c, terhubung ke server, s, dan mengirimkan nomor acak 28-byte, n_c.
2. Server membalas dengan nilai acaknya sendiri, n_s, bersama dengan sertifikat
otoritasnya.
3. Klien menggunakan algoritme verifikasinya untuk mengonfirmasi identitas
pengirim, dan jika semua check out, maka klien menghasilkan rahasia premaster
acak 46 byte , pms, dan mengirimkan versi terenkripsi sebagai cpms = E (k_s)
(pms)
4. Server memulihkan pms sebagai D (k_s) (cpms).
5. Sekarang klien dan server dapat menghitung rahasia master 48-byte bersama ,
ms, = f (pms, n_s, n_c)
•
•
6. Selanjutnya, klien dan server menghasilkan yang berikut dari ms:
▪ Kunci enkripsi simetris k_sc_crypt dan k_cs_crypt masing-masing untuk
mengenkripsi pesan dari server ke klien dan sebaliknya.
▪ Kunci pembuatan MAC k_sc_mac dan k_cs_mac untuk membuat
pengautentikasi pada pesan dari server ke klien dan klien ke server
masing-masing.
7. Untuk mengirim pesan ke server, klien mengirim:
▪ c = E (k_cs_crypt) (m, S (k_cs_mac)) (m)))
8. Setelah menerima c, server pulih:
▪ (m, a) = D (k_cs_crypt) (c)
▪ dan menerimanya jika V (k_sc_mac) (m, a) benar.
Pendekatan ini memungkinkan server dan klien untuk memverifikasi keaslian setiap pesan
masuk, dan untuk memastikan bahwa pesan keluar hanya dapat dibaca oleh proses yang
awalnya berpartisipasi dalam pembuatan kunci.
SSL adalah dasar dari banyak protokol aman, termasuk Jaringan Pribadi Maya, VPN, di
mana data pribadi didistribusikan melalui struktur internet publik yang tidak aman
dengan cara terenkripsi yang mengemulasi jaringan milik pribadi.
Otentikasi Pengguna
•
Banyak bab 14, Perlindungan, berurusan dengan memastikan bahwa hanya pengguna
tertentu yang diizinkan untuk melakukan tugas tertentu, yaitu bahwa hak istimewa
pengguna bergantung pada identitasnya. Tetapi bagaimana seseorang memverifikasi
identitas itu untuk memulai?
15.5.1 Kata Sandi
•
•
Kata sandi adalah bentuk otentikasi pengguna yang paling umum. Jika pengguna memiliki
kata sandi yang benar, maka mereka dianggap telah mengidentifikasi diri mereka sendiri.
Dalam teori, sandi terpisah dapat diterapkan untuk aktivitas terpisah, seperti membaca
file ini, menulis file itu, dll. Dalam praktiknya, kebanyakan sistem menggunakan satu sandi
untuk mengonfirmasi identitas pengguna, dan kemudian otorisasi didasarkan pada
identifikasi tersebut. Ini adalah hasil dari pertukaran klasik antara keamanan dan
kenyamanan.
15.5.2 Kerentanan Kata Sandi
•
•
76
Kata sandi bisa ditebak.
o Tebakan yang cerdas membutuhkan pengetahuan tentang target yang dituju
secara spesifik, atau tentang orang-orang dan kata sandi yang umum digunakan
secara umum.
o Tebakan brute force melibatkan percobaan setiap kata dalam kamus, atau setiap
kombinasi karakter yang valid. Untuk alasan ini, kata sandi yang baik tidak boleh
ada dalam kamus mana pun (dalam bahasa apa pun), harus cukup panjang, dan
harus menggunakan berbagai karakter yang diperbolehkan dengan memasukkan
karakter huruf besar dan kecil, angka, dan simbol khusus.
"Selancar bahu" melibatkan melihat dari balik bahu orang-orang saat mereka
mengetikkan kata sandi.
Meskipun pengintai tidak mendapatkan seluruh kata sandi, mereka mungkin
mendapatkan cukup petunjuk untuk mempersempitnya, terutama jika mereka
menonton berulang kali.
o Kesopanan umum mengharuskan Anda mengalihkan pandangan dari keyboard
saat seseorang mengetik sandi mereka.
o Kata sandi yang bergema seperti bintang atau titik tetap memberikan petunjuk,
karena seorang pengamat dapat menentukan berapa banyak karakter yang ada
dalam kata sandi tersebut. :-(
"Packet sniffing" melibatkan penempatan monitor pada koneksi jaringan dan membaca
data yang terdapat dalam paket tersebut.
o SSH mengenkripsi semua paket, mengurangi efektivitas packet sniffing.
o Namun Anda tetap tidak boleh mengirim email kata sandi, terutama dengan kata
"kata sandi" dalam pesan yang sama atau lebih buruk lagi judul subjeknya.
o Waspadalah terhadap sistem apa pun yang mengirimkan sandi dalam bentuk teks
biasa. ("Terima kasih telah mendaftar ke XYZ. Informasi akun dan kata sandi Anda
yang baru ditampilkan di bawah".) Anda mungkin ingin memiliki kata sandi sekali
pakai cadangan untuk memberikan entitas ini, daripada menggunakan kata sandi
keamanan tinggi yang sama yang Anda gunakan untuk perbankan atau
penggunaan rahasia lainnya.
Kata sandi yang lama sulit diingat sering kali ditulis, terutama jika jarang digunakan atau
harus sering diubah. Oleh karena itu, trade-off keamanan dari kata sandi yang mudah
diketahui versus kata sandi yang ditulis. :-(
Kata sandi dapat diberikan kepada teman atau rekan kerja, menghancurkan integritas
seluruh sistem identifikasi pengguna.
Sebagian besar sistem memiliki parameter yang dapat dikonfigurasi yang mengontrol
pembuatan kata sandi dan apa yang merupakan kata sandi yang dapat diterima.
o Mereka mungkin dipilih pengguna atau dihasilkan mesin.
o Mereka mungkin memiliki persyaratan panjang minimum dan / atau maksimum.
o Mereka mungkin perlu diubah dengan frekuensi tertentu. (Dalam kasus ekstrim
untuk setiap sesi.)
o Riwayat panjang variabel dapat mencegah pengulangan kata sandi.
o Pemeriksaan yang lebih atau kurang ketat dapat dilakukan terhadap kamus kata
sandi.
o
•
•
•
•
15.5.3 Kata Sandi Terenkripsi
•
•
•
77
Sistem modern tidak menyimpan kata sandi dalam bentuk teks biasa, dan karenanya tidak
ada mekanisme untuk mencari kata sandi yang ada.
Sebaliknya mereka dienkripsi dan disimpan dalam bentuk itu. Ketika pengguna
memasukkan kata sandi mereka, itu juga dienkripsi, dan jika versi terenkripsi cocok, maka
otentikasi pengguna lolos.
Skema enkripsi pernah dianggap cukup aman sehingga versi terenkripsi disimpan dalam
file yang dapat dibaca publik "/ etc / passwd".
o Mereka selalu dienkripsi menjadi string 13 karakter, sehingga akun dapat
dinonaktifkan dengan memasukkan string dengan panjang lain ke dalam bidang
kata sandi.
o Komputer modern dapat mencoba setiap kombinasi kata sandi yang mungkin
dalam waktu yang cukup singkat, jadi sekarang kata sandi terenkripsi disimpan
dalam file yang hanya dapat dibaca oleh pengguna super. Semua program yang
o
berhubungan dengan kata sandi dijalankan sebagai setuid root untuk
mendapatkan akses ke file-file ini. (/ etc / shadow)
Benih acak disertakan sebagai bagian dari proses pembuatan kata sandi, dan
disimpan sebagai bagian dari kata sandi terenkripsi. Ini memastikan bahwa jika
dua akun memiliki kata sandi teks biasa yang sama, mereka tidak akan memiliki
kata sandi terenkripsi yang sama. Namun memotong dan menempelkan kata
sandi terenkripsi dari satu akun ke akun lain akan memberi mereka kata sandi
teks biasa yang sama.
15.5.4 Kata Sandi Satu Kali
•
Kata sandi satu kali menahan penelusuran bahu dan serangan lain di mana pengamat
dapat menangkap kata sandi yang diketik oleh pengguna.
o Ini sering kali didasarkan pada tantangan dan respons. Karena tantangannya
berbeda setiap saat, respons lama tidak akan berlaku untuk tantangan masa
depan.
▪ Misalnya, Pengguna mungkin memiliki fungsi rahasia f (x). Sistem
menantang dengan beberapa nilai yang diberikan untuk x, dan pengguna
merespons dengan f (x), yang kemudian dapat diverifikasi oleh sistem.
Karena penantang memberikan x berbeda (acak) setiap kali, jawabannya
terus berubah.
▪ Variasi menggunakan peta (misalnya peta jalan) sebagai kuncinya.
Pertanyaan hari ini mungkin "Di sudut manakah SEO berada?", Dan
pertanyaan besok mungkin "Seberapa jauh dari Navy Pier ke Wrigley
Field?" Jelas sekali "Taylor dan Morgan" tidak akan diterima sebagai
jawaban yang valid untuk pertanyaan kedua!
o Pilihan lainnya adalah memiliki semacam kartu elektronik dengan rangkaian
nomor yang terus berubah, berdasarkan waktu saat ini. Pengguna memasukkan
nomor saat ini di kartu, yang hanya akan berlaku selama beberapa detik. Sebuah
otorisasi dua faktor juga membutuhkan password tradisional di samping nomor
pada kartu, sehingga orang lain mungkin tidak menggunakannya jika itu hilang
atau dicuri.
o Variasi ketiga adalah buku kode, atau pad satu kali. Dalam skema ini daftar
panjang kata sandi dibuat, dan setiap kata sandi dicoret dan dibatalkan saat
digunakan. Jelas penting untuk menjaga keamanan bantalan.
15.5.5 Biometrik
•
78
Biometrik melibatkan karakteristik fisik pengguna yang tidak mudah dipalsukan atau
diduplikasi dan tidak mungkin identik di antara banyak pengguna.
o Pemindai sidik jari menjadi lebih cepat, lebih akurat, dan lebih ekonomis.
o Pembaca telapak tangan dapat memeriksa properti termal, panjang jari, dll.
o Pemindai retina memeriksa bagian belakang mata pengguna.
o Alat analisis cetak suara membedakan suara tertentu.
o Kesulitan dapat timbul jika terjadi flu, cedera, atau perubahan fisiologis lainnya.
Menerapkan Pertahanan Keamanan
15.6.1 Kebijakan Keamanan
•
•
Kebijakan keamanan harus dipikirkan dengan matang, disepakati, dan terkandung dalam
dokumen hidup yang dipatuhi setiap orang dan diperbarui sesuai kebutuhan.
Contoh konten termasuk seberapa sering pemindaian port dijalankan, persyaratan kata
sandi, detektor virus, dll.
15.6.2 Penilaian Kerentanan
•
•
•
Periksa sistem secara berkala untuk mendeteksi kerentanan.
o Pemindaian port.
o Periksa kata sandi yang buruk.
o Cari program suid.
o Program tidak sah di direktori sistem.
o Bit izin yang salah ditetapkan.
o Checksum program / tanda tangan digital yang telah berubah.
o Daemon jaringan tak terduga atau tersembunyi.
o Entri baru dalam skrip startup, skrip shutdown, tabel cron, atau skrip sistem atau
file konfigurasi lainnya.
o Akun baru yang tidak sah.
Pemerintah menganggap suatu sistem hanya seaman komponen yang paling luas
jangkauannya. Setiap sistem yang terhubung ke Internet secara inheren kurang aman
daripada sistem yang berada di ruangan tertutup tanpa komunikasi eksternal.
Beberapa administrator menganjurkan "keamanan melalui ketidakjelasan", yang
bertujuan untuk menyembunyikan sebanyak mungkin informasi tentang sistem mereka,
dan tidak mengumumkan masalah keamanan yang mereka temukan. Yang lain
mengumumkan masalah keamanan dari atap, dengan teori bahwa peretas akan
mengetahuinya, dan satu-satunya yang tidak diketahui oleh ketidakjelasan adalah
administrator jujur yang perlu mendapatkan kabar.
15.6.3 Deteksi Intrusi
•
79
Deteksi gangguan mencoba mendeteksi serangan, baik upaya yang berhasil maupun yang
tidak. Teknik yang berbeda bervariasi di sepanjang beberapa sumbu:
o Waktu terjadinya pendeteksian, baik selama serangan atau setelah kejadian.
o Jenis informasi yang diperiksa untuk mendeteksi serangan. Beberapa serangan
hanya dapat dideteksi dengan menganalisis berbagai sumber informasi.
o Respon terhadap serangan tersebut, yang dapat berkisar dari mengingatkan
administrator untuk menghentikan serangan secara otomatis (misalnya
mematikan proses yang menyinggung), untuk melacak kembali serangan untuk
mengidentifikasi penyerang.
▪ Pendekatan lainnya adalah dengan mengalihkan penyerang ke honeypot ,
di honeynet. Ide di balik honeypot adalah komputer yang menjalankan
layanan normal, tetapi tidak ada yang menggunakannya untuk melakukan
pekerjaan nyata. Sistem seperti itu seharusnya tidak melihat lalu lintas
jaringan dalam kondisi normal, sehingga lalu lintas apa pun yang menuju
atau dari sistem semacam itu menurut definisi mencurigakan. Honeypots
biasanya disimpan di honeynet yang dilindungi oleh firewall terbalik,
•
•
yang akan memungkinkan penyerang potensial masuk ke honeypot,
tetapi tidak akan mengizinkan lalu lintas keluar. (Sehingga jika honeypot
disusupi, penyerang tidak dapat menggunakannya sebagai basis operasi
untuk menyerang sistem lain.) Honeypots diawasi dengan ketat, dan
aktivitas mencurigakan dicatat dan diselidiki dengan cermat.
Sistem Deteksi Intrusi, IDS, membunyikan alarm ketika mereka mendeteksi intrusi. Sistem
Deteksi dan Pencegahan Intrusi, IDPs, bertindak sebagai router penyaringan, mematikan
lalu lintas yang mencurigakan ketika terdeteksi.
Ada dua pendekatan utama untuk mendeteksi masalah:
o Deteksi Berbasis Tanda Tangan memindai paket jaringan, file sistem, dll. Mencari
karakteristik yang dapat dikenali dari serangan yang diketahui, seperti string teks
untuk pesan atau kode biner untuk "exec / bin / sh". Masalah dengan hal ini
adalah bahwa ia hanya dapat mendeteksi masalah yang sebelumnya dijumpai
yang tanda tangannya diketahui, yang memerlukan pembaruan daftar tanda
tangan secara berkala.
o Deteksi Anomali mencari pola lalu lintas atau operasi yang "tidak biasa", seperti
beban berat yang tidak biasa atau jumlah login larut malam yang tidak biasa.
▪ Manfaat dari pendekatan ini adalah dapat mendeteksi serangan yang
sebelumnya tidak dikenal, yang disebut serangan zero-day.
▪ Satu masalah dengan metode ini adalah mengkarakterisasi apa yang
"normal" untuk sistem tertentu. Salah satu pendekatannya adalah dengan
melakukan benchmark sistem, tetapi jika penyerang sudah ada saat
benchmark dibuat, maka aktivitas yang "tidak biasa" dicatat sebagai
"normanya".
▪ Masalah lainnya adalah tidak semua perubahan kinerja sistem merupakan
akibat dari serangan keamanan. Jika sistem macet dan sangat lambat
pada Kamis malam, apakah itu berarti peretas telah masuk dan
menggunakan sistem untuk mengirimkan SPAM, atau apakah itu hanya
berarti bahwa tugas CS 385 jatuh tempo pada hari Jumat? :-)
▪ Agar efektif, detektor anomali harus memiliki tingkat alarm palsu (positif
palsu) yang sangat rendah, agar peringatan tidak diabaikan, serta tingkat
negatif palsu yang rendah di mana serangan tidak terjawab.
15.6.4 Perlindungan Virus
•
•
•
•
•
•
80
Program anti-virus modern pada dasarnya adalah sistem deteksi berbasis tanda tangan,
yang juga memiliki kemampuan (dalam beberapa kasus) untuk mendisinfeksi file yang
terpengaruh dan mengembalikannya ke kondisi semula.
Baik virus maupun program anti-virus berkembang pesat. Misalnya virus sekarang
biasanya bermutasi setiap kali mereka menyebar, dan program anti-virus mencari
keluarga dari tanda tangan terkait daripada yang spesifik.
Beberapa program antivirus mencari anomali, seperti program yang dapat dieksekusi
dibuka untuk ditulis (selain oleh kompiler.)
Menghindari perangkat lunak bajakan, gratis, dan bersama dapat membantu mengurangi
kemungkinan tertular virus, tetapi bahkan perangkat lunak resmi yang menyusut
terkadang telah terinfeksi oleh pekerja pabrik yang tidak puas.
Beberapa detektor virus akan menjalankan program mencurigakan di kotak pasir, area
yang terisolasi dan aman dari sistem yang meniru sistem sebenarnya.
Rich Text Format, RTF, file tidak dapat membawa makro, dan karenanya tidak dapat
membawa virus makro Word.
•
Program aman yang diketahui (misalnya segera setelah instalasi baru atau setelah
pemeriksaan menyeluruh) dapat ditandatangani secara digital, dan secara berkala file-file
tersebut dapat diverifikasi ulang terhadap tanda tangan digital yang disimpan. (Yang
harus dijaga keamanannya, seperti di media khusus tulis offline.)
15.6.5 Auditing, Akuntansi, dan Logging
•
•
•
Audit, akuntansi, dan pencatatan catatan juga dapat digunakan untuk mendeteksi
perilaku anomali.
Beberapa jenis hal yang dapat dicatat termasuk kegagalan dan keberhasilan otentikasi,
login, menjalankan program suid atau sgid, akses jaringan, panggilan sistem, dll. Dalam
kasus ekstrim, hampir setiap penekanan tombol dan elektron yang bergerak dapat dicatat
untuk analisis di masa mendatang. (Perhatikan bahwa di sisi lain, semua pencatatan rinci
ini juga dapat digunakan untuk menganalisis kinerja sistem. Sisi negatifnya adalah bahwa
pencatatan juga mempengaruhi kinerja sistem (secara negatif!), Dan efek Heisenberg
berlaku.)
"The Cuckoo's Egg" menceritakan kisah tentang bagaimana Cliff Stoll mendeteksi salah
satu pembobolan UNIX awal ketika dia melihat anomali dalam catatan akuntansi pada
sistem komputer yang digunakan oleh peneliti fisika.
Sistem File Tripwire (Sidebar Baru)
•
•
•
•
•
•
•
Sistem file tripwire memonitor file dan direktori untuk perubahan, dengan asumsi bahwa
sebagian besar gangguan pada akhirnya menghasilkan semacam perubahan file yang tidak
diinginkan atau tidak terduga.
File tw.config menunjukkan direktori apa yang akan dipantau, serta properti apa dari
setiap file yang akan direkam. (Misalnya, seseorang dapat memilih untuk memantau izin
dan perubahan konten, tetapi tidak khawatir tentang waktu akses baca.)
Saat pertama kali dijalankan, properti yang dipilih untuk semua file yang dipantau dicatat
dalam database. Kode hash digunakan untuk memantau konten file untuk perubahan.
Proses selanjutnya melaporkan setiap perubahan pada data yang direkam, termasuk
perubahan kode hash, dan setiap file yang baru dibuat atau hilang di direktori yang
dipantau.
Untuk keamanan penuh, perlu juga melindungi sistem tripwire itu sendiri, yang paling
penting adalah database dari properti file yang direkam. Ini dapat disimpan di beberapa
lokasi eksternal atau hanya-tulis, tetapi itu membuat lebih sulit untuk mengubah
database ketika perubahan yang sah dibuat.
Sulit untuk memonitor file yang seharusnya berubah, seperti file log. Tripwire terbaik
yang dapat dilakukan dalam hal ini adalah mengawasi anomali, seperti file log yang
ukurannya menyusut.
Versi gratis dan komersial tersedia di http://tripwire.org dan http://tripwire.com .
Firewall untuk Melindungi Sistem dan Jaringan
•
81
Firewall adalah perangkat (atau terkadang perangkat lunak) yang berada di perbatasan
antara dua domain keamanan dan memantau / mencatat aktivitas di antara keduanya,
terkadang membatasi lalu lintas yang dapat lewat di antara keduanya berdasarkan kriteria
tertentu.
•
•
Misalnya, router firewall dapat mengizinkan permintaan HTTP: untuk melewati ke server
web di dalam domain perusahaan sementara tidak mengizinkan telnet, ssh, atau lalu
lintas lain untuk melewatinya.
Arsitektur yang umum adalah membangun zona de-militerisasi, DMZ, yang berada di
"antara" domain perusahaan dan dunia luar, seperti yang ditunjukkan di bawah ini.
Komputer perusahaan dapat mencapai baik DMZ atau dunia luar, tetapi komputer luar
hanya dapat mencapai DMZ. Mungkin yang paling penting, DMZ tidak dapat menjangkau
salah satu komputer perusahaan lain, jadi meskipun DMZ dilanggar, penyerang tidak
dapat menjangkau seluruh jaringan perusahaan. (Dalam beberapa kasus, DMZ mungkin
memiliki akses terbatas ke komputer perusahaan, seperti server web di DMZ yang perlu
meminta database di salah satu komputer perusahaan lainnya.)
Gambar 15.10 - Pemisahan domain melalui firewall.
•
•
82
Firewall itu sendiri harus tahan terhadap serangan, dan sayangnya memiliki beberapa
kerentanan:
o Tunneling, yang melibatkan mengenkapsulasi lalu lintas terlarang di dalam paket
yang diizinkan.
o Serangan Denial of service ditujukan pada firewall itu sendiri.
o Spoofing, di mana host yang tidak sah mengirimkan paket ke firewall dengan
alamat pengirim dari host resmi.
Selain firewall umum yang melindungi jaringan internal perusahaan dari dunia luar, ada
juga beberapa bentuk firewall khusus yang baru-baru ini dikembangkan:
o Sebuah firewall pribadi adalah lapisan perangkat lunak yang melindungi
komputer individu. Ini mungkin merupakan bagian dari sistem operasi atau paket
perangkat lunak terpisah.
o Sebuah aplikasi proxy firewall mengerti protokol layanan tertentu dan bertindak
sebagai stand-in (dan relay) untuk layanan tertentu. Misalnya, dan firewall proxy
SMTP akan menerima permintaan SMTP dari dunia luar, memeriksanya untuk
masalah keamanan, dan meneruskan hanya yang "aman" ke server SMTP yang
sebenarnya di belakang firewall.
o Firewall XML hanya memeriksa paket XML, dan menolak paket dengan format
yang salah. Firewall serupa ada untuk protokol spesifik lainnya.
o
Firewall panggilan sistem menjaga batas antara mode pengguna dan mode
sistem, dan menolak panggilan sistem apa pun yang melanggar kebijakan
keamanan.
Klasifikasi Keamanan Komputer (Opsional)
•
•
•
83
Tidak ada sistem komputer yang 100% aman, dan upaya untuk membuatnya dapat
dengan cepat membuatnya tidak dapat digunakan.
Namun seseorang dapat menetapkan tingkat kepercayaan yang membuatnya merasa
"aman" dengan menggunakan sistem komputer tertentu untuk kebutuhan keamanan
tertentu.
"Kriteria Evaluasi Sistem Komputer Tepercaya" Departemen Pertahanan AS menetapkan
empat tingkat kepercayaan yang luas, dan sub-tingkat dalam beberapa kasus:
o Tingkat D adalah yang paling tidak dapat dipercaya, dan mencakup semua sistem
yang tidak memenuhi kriteria yang lebih ketat. DOS dan Windows 3.1 termasuk
dalam level D, yang tidak memiliki identifikasi atau otorisasi pengguna, dan siapa
pun yang duduk memiliki akses dan kendali penuh atas mesin tersebut.
o Level C1 mencakup identifikasi dan otorisasi pengguna, dan beberapa cara untuk
mengontrol pengguna apa yang diizinkan untuk mengakses file apa. Ini dirancang
untuk digunakan oleh sekelompok pengguna yang sebagian besar bekerja sama,
dan menjelaskan sistem UNIX yang paling umum.
o Level C2 menambahkan kontrol dan pemantauan tingkat individu. Misalnya
kontrol akses file dapat diizinkan atau ditolak per individu, dan administrator
sistem dapat memantau dan mencatat aktivitas individu tertentu. Batasan lain
adalah ketika satu pengguna menggunakan sumber daya sistem dan kemudian
mengembalikannya kembali ke sistem, pengguna lain yang menggunakan sumber
daya yang sama di kemudian hari tidak dapat membaca informasi apa pun yang
disimpan pengguna pertama di sana. (Yaitu buffer, dll. Dihapus antar pengguna,
dan tidak dibiarkan penuh dengan konten lama.) Beberapa versi aman khusus
UNIX telah disertifikasi untuk tingkat keamanan C2, seperti SCO.
o Level B menambahkan label sensitivitas pada setiap objek dalam sistem, seperti
"rahasia", "sangat rahasia", dan "rahasia". Pengguna individu memiliki tingkat izin
yang berbeda, yang mengontrol objek mana yang dapat mereka akses. Semua
dokumen yang dapat dibaca manusia diberi label di bagian atas dan bawah
dengan tingkat sensitivitas file.
o Level B2 memperluas label sensitivitas ke semua sumber daya sistem, termasuk
perangkat. B2 juga mendukung saluran terselubung dan audit acara yang dapat
memanfaatkan saluran terselubung.
o B3 memungkinkan pembuatan daftar kontrol akses yang menunjukkan pengguna
TIDAK diberi akses ke objek tertentu.
o Kelas A adalah tingkat keamanan tertinggi. Secara arsitektural, ini sama dengan
B3, tetapi dikembangkan menggunakan metode formal yang dapat digunakan
untuk membuktikan bahwa sistem memenuhi semua persyaratan dan tidak dapat
memiliki kemungkinan bug atau kerentanan lainnya. Sistem di kelas A dan lebih
tinggi dapat dikembangkan oleh personel tepercaya di fasilitas yang aman.
o Klasifikasi ini menentukan apa yang dapat diterapkan sistem , tetapi terserah
pada kebijakan keamanan untuk menentukan bagaimana penerapannya dalam
praktik. Sistem dan kebijakan ini dapat ditinjau dan disertifikasi oleh organisasi
tepercaya, seperti Pusat Keamanan Komputer Nasional. Standar lain mungkin
menentukan perlindungan fisik dan masalah lainnya.
Contoh: Windows XP (Opsional)
•
•
•
•
•
•
•
•
•
84
Windows XP adalah OS serba guna yang dirancang untuk mendukung berbagai fitur dan
metode keamanan. Ini didasarkan pada akun pengguna yang dapat dikelompokkan
dengan cara apa pun.
Saat pengguna logon, token akses keamanan dikeluarkan yang mencakup ID keamanan
untuk pengguna, ID keamanan untuk setiap grup di mana pengguna menjadi anggotanya,
dan daftar hak istimewa apa pun yang dimiliki pengguna, seperti melakukan
pencadangan, mematikan sistem, dan mengubah jam sistem.
Setiap proses yang berjalan atas nama pengguna mendapatkan salinan token keamanan
pengguna, yang menentukan hak istimewa dari proses yang berjalan atas nama pengguna
tersebut.
Otentikasi biasanya dilakukan melalui kata sandi, tetapi desain modular XP
memungkinkan otentikasi alternatif seperti pemindaian retinal atau pembaca sidik jari.
Windows XP menyertakan audit internal yang memungkinkan banyak ancaman keamanan
umum untuk dipantau, seperti login yang berhasil dan tidak berhasil, logout, upaya untuk
menulis ke file yang dapat dijalankan, dan akses ke file sensitif tertentu.
Atribut keamanan objek dijelaskan oleh deskriptor keamanan , yang mencakup ID
pemilik, kepemilikan grup hanya untuk subsistem POSIX, daftar kontrol akses diskresioner
yang menjelaskan dengan tepat izin apa yang dimiliki setiap pengguna atau grup pada
sistem untuk objek khusus ini, dan audit mengontrol informasi.
Daftar kontrol akses menyertakan untuk setiap pengguna atau grup tertentu baik
AccessAllowed atau AccessDenied untuk jenis tindakan berikut: ReadData, WriteData,
AppendData, Execute, ReadAttributes, WriteAttributes, ReadExtendedAttribute, dan
WriteExtendedAttribute.
Objek kontainer seperti direktori secara logis dapat berisi objek lain. Ketika sebuah objek
baru dibuat dalam sebuah wadah atau disalin ke dalam sebuah wadah, secara default itu
mewarisi izin dari wadah baru. Objek noncontainer tidak mewarisi izin lain. Jika izin
wadah diubah kemudian, itu tidak mempengaruhi izin dari objek yang ada.
Meskipun Windows XP mampu mendukung sistem yang aman, banyak dari fitur
keamanan tidak diaktifkan secara default, mengakibatkan cukup banyak pelanggaran
keamanan pada sistem XP. Ada juga sejumlah besar daemon sistem dan program lain
yang dimulai secara otomatis saat startup, terlepas dari apakah administrator sistem
memikirkannya atau tidak. (Sistem saya saat ini memiliki 54 proses yang sedang berjalan,
sebagian besar tidak sengaja saya mulai dan yang memiliki nama samar pendek yang
membuatnya sulit untuk mengetahui dengan tepat apa yang mereka lakukan atau
mengapa. Menghadapi situasi ini, sebagian besar pengguna dan administrator akan
membiarkan apa saja mereka tidak mengerti.)
9. Enkripsi Satu Kunci
Algoritma kunci-simetris [a] adalah algoritma untuk kriptografi yang menggunakan kunci
kriptografi yang sama untuk enkripsi teks biasa dan dekripsi teks sandi . Kunci mungkin
identik atau mungkin ada transformasi sederhana untuk pergi di antara dua kunci. [1] Dalam
praktiknya, kunci mewakili rahasia bersama antara dua pihak atau lebih yang dapat
digunakan untuk memelihara tautan informasi pribadi. [2] Persyaratan bahwa kedua belah
pihak memiliki akses ke kunci rahasia adalah salah satu kelemahan utama enkripsi kunci
simetris, dibandingkan dengan enkripsi kunci publik(juga dikenal sebagai enkripsi kunci
asimetris). [3] [4]
Isi
Jenis
Enkripsi kunci simetris dapat menggunakan cipher aliran atau cipher blok . [5]
•
•
Stream cipher mengenkripsi digit (biasanya byte), atau huruf (dalam sandi pengganti) dari
sebuah pesan satu per satu. Contohnya adalah Vigenère Cipher .
Block cipher mengambil sejumlah bit dan mengenkripsinya sebagai satu kesatuan,
mengisi teks biasa sehingga merupakan kelipatan dari ukuran blok. The Advanced
Encryption Standard (AES) algoritma, disetujui oleh NIST pada Desember 2001,
menggunakan blok 128-bit.
Implementasi
Contoh algoritma kunci simetris yang populer termasuk Twofish , Serpent , AES
(Rijndael), Camellia , Salsa20 , ChaCha20 , Blowfish , CAST5 , Kuznyechik , RC4 , DES ,
3DES , Skipjack , Safer , dan IDEA . [6]
Primitif kriptografik berdasarkan cipher simetris
Cipher simetris biasanya digunakan untuk mencapai primitif kriptografi lain selain hanya
enkripsi. [ butuh rujukan ]
Mengenkripsi pesan tidak menjamin bahwa pesan ini tidak berubah saat dienkripsi.
Karenanya sering kali kode otentikasi pesan ditambahkan ke ciphertext untuk memastikan
bahwa perubahan pada ciphertext akan dicatat oleh penerima. Kode otentikasi pesan dapat
dibuat dari sandi simetris (misalnya CBC-MAC ). [ butuh rujukan ]
Namun, cipher simetris tidak dapat digunakan untuk tujuan non-repudiation kecuali
dengan melibatkan pihak tambahan. [7] Lihat standar ISO / IEC 13888-2 .
Aplikasi lain adalah untuk membangun fungsi hash dari cipher blok. Lihat fungsi kompresi
satu arah untuk deskripsi dari beberapa metode tersebut.
85
Konstruksi cipher simetris
Artikel utama: sandi Feistel
Banyak block cipher modern didasarkan pada konstruksi yang diusulkan oleh Horst Feistel
. Konstruksi Feistel memungkinkan untuk membangun fungsi yang dapat dibalik dari
fungsi lain yang tidak dapat dibalik. [ butuh rujukan ]
Keamanan cipher simetris
Cipher simetris secara historis rentan terhadap serangan teks biasa , serangan teks-teks
pilihan , kriptanalisis diferensial , dan kriptanalisis linier . Konstruksi fungsi yang hati-hati
untuk setiap putaran dapat sangat mengurangi kemungkinan serangan yang berhasil. [ butuh
rujukan ]
Manajemen kunci
Artikel utama: manajemen kunci
Pembentukan kunci
Artikel utama: pembentukan kunci
Algoritme kunci-simetris mengharuskan pengirim dan penerima pesan memiliki kunci
rahasia yang sama. Semua sistem kriptografi awal membutuhkan salah satu dari orangorang itu untuk entah bagaimana menerima salinan kunci rahasia itu melalui saluran yang
secara fisik aman.
Hampir semua sistem kriptografi modern masih menggunakan algoritme kunci simetris
secara internal untuk mengenkripsi sebagian besar pesan, tetapi mereka menghilangkan
kebutuhan akan saluran yang aman secara fisik dengan menggunakan pertukaran kunci
Diffie – Hellman atau beberapa protokol kunci publik lainnya untuk secara aman mencapai
kesepakatan mengenai kunci rahasia baru yang segar untuk setiap pesan (teruskan
kerahasiaan).
Pembuatan kunci
Artikel utama: pembuatan kunci
Ketika digunakan dengan cipher asimetris untuk transfer kunci, generator kunci
pseudorandom hampir selalu digunakan untuk menghasilkan kunci sesi sandi simetris.
Namun, kurangnya keacakan pada generator tersebut atau pada vektor inisialisasinya
adalah bencana dan telah menyebabkan jeda kriptanalitik di masa lalu. Oleh karena itu,
penting bahwa implementasi menggunakan sumber entropi tinggi untuk inisialisasi. [8] [9]
[10]
Sandi timbal balik
Belajarlah lagi
Bagian ini membutuhkan kutipan tambahan untuk verifikasi .
86
Cipher timbal balik adalah sandi di mana, sama seperti seseorang memasukkan teks biasa
ke dalam sistem kriptografi untuk mendapatkan teks sandi , seseorang dapat memasukkan
teks sandi tersebut ke tempat yang sama dalam sistem untuk mendapatkan teks biasa. Sandi
timbal balik juga kadang-kadang disebut sebagai sandi timbal balik sendiri.
Praktis semua mesin sandi mekanis menerapkan sandi timbal balik, sebuah involusi
matematika pada setiap huruf yang diketik. Alih-alih mendesain dua jenis mesin, satu
untuk enkripsi dan satu lagi untuk mendekripsi, semua mesin bisa identik dan bisa diatur
(dikunci) dengan cara yang sama. [11]
Contoh sandi timbal balik meliputi:
•
•
•
•
Atbash
Sandi Beaufort [12]
Mesin Enigma [13]
Marie Antoinette dan Axel von Fersen berkomunikasi dengan sandi timbal balik sendiri.
[14]
•
•
•
•
•
•
sandi polialfabetik Porta bersifat timbal balik sendiri. [15]
Sandi ungu [16]
RC4
ROT13
Sandi XOR
Sandi Vatsyayana
Secara praktis semua cipher modern dapat diklasifikasikan sebagai stream cipher , yang
sebagian besar menggunakan cipher combiner XOR timbal balik , atau cipher blok , yang
sebagian besar menggunakan cipher Feistel atau skema Lai-Massey dengan transformasi
timbal balik di setiap putaran.
Catatan
1.
Istilah lain untuk enkripsi kunci-simetris adalah enkripsi kunci- rahasia , kunci-tunggal , kuncibersama , satu-kunci , dan kunci-privat . Penggunaan istilah terakhir dan pertama dapat membuat
ambiguitas dengan terminologi serupa yang digunakan dalam kriptografi kunci publik . Kriptografi
kunci-simetris dikontraskan dengan kriptografi kunci-asimetris .
10. Enkripsi Kunci Publik
Kriptografi kunci publik , atau kriptografi asimetris , adalah sistem kriptografi yang
menggunakan pasangan kunci : kunci publik , yang dapat disebarluaskan, dan kunci privat ,
yang hanya diketahui oleh pemiliknya. Pembangkitan kunci tersebut bergantung pada
algoritma kriptografi berdasarkan masalah matematika untuk menghasilkan fungsi satu
arah . Keamanan yang efektif hanya membutuhkan kerahasiaan kunci privat; kunci publik
dapat didistribusikan secara terbuka tanpa mengorbankan keamanan. [1]
87
Angka yang tidak dapat diprediksi (biasanya besar dan acak ) digunakan untuk memulai
pembuatan pasangan kunci yang dapat diterima yang cocok untuk digunakan oleh algoritma kunci
asimetris.
Dalam skema enkripsi kunci asimetris, siapa saja dapat mengenkripsi pesan menggunakan kunci
publik, tetapi hanya pemegang kunci pribadi yang dipasangkan yang dapat mendekripsi.
Keamanan bergantung pada kerahasiaan kunci pribadi.
88
Dalam skema pertukaran kunci Diffie-Hellman , masing-masing pihak menghasilkan pasangan
kunci publik / pribadi dan mendistribusikan kunci publik. Setelah mendapatkan salinan otentik
dari kunci publik masing-masing, Alice dan Bob dapat menghitung rahasia bersama secara offline.
Rahasia bersama dapat digunakan, misalnya, sebagai kunci sandi simetris .
Dalam contoh ini, pesan hanya ditandatangani secara digital dan tidak dienkripsi. 1) Alice
menandatangani pesan dengan kunci pribadinya. 2) Bob dapat memverifikasi bahwa Alice
mengirim pesan dan pesan tersebut belum diubah.
Dalam sistem seperti itu, siapa pun dapat mengenkripsi pesan menggunakan kunci publik
penerima , tetapi pesan terenkripsi itu hanya dapat didekripsi dengan kunci pribadi
penerima .
Otentikasi yang kuat juga dimungkinkan. Seorang pengirim dapat menggabungkan pesan
dengan private key untuk membuat tanda tangan digital pendek pada pesan tersebut.
Siapapun dengan kunci publik pengirim yang sesuai dapat menggabungkan pesan yang
sama dan tanda tangan digital yang seharusnya terkait dengannya untuk memverifikasi
apakah tanda tangan itu valid, yaitu dibuat oleh pemilik kunci pribadi yang sesuai. [2] [3]
89
Algoritme kunci publik adalah bahan keamanan mendasar dalam sistem kriptografi modern
, aplikasi, dan protokol yang menjamin kerahasiaan, keaslian, dan non-repudiabilitas
komunikasi elektronik dan penyimpanan data. Mereka mendukung berbagai standar
Internet, seperti Transport Layer Security (TLS) , S / MIME , PGP , dan GPG . Beberapa
algoritma kunci publik menyediakan distribusi kunci dan kerahasiaan (misalnya,
pertukaran kunci Diffie-Hellman ), beberapa menyediakan tanda tangan digital (misalnya,
Algoritma Tanda Tangan Digital ), dan beberapa menyediakan keduanya (misalnya, RSA
). Dibandingkan denganenkripsi simetris , enkripsi asimetris lambat untuk banyak tujuan.
Sistem kriptografi saat ini (seperti TLS , Secure Shell ) menggunakan enkripsi simetris dan
enkripsi asimetris.
Isi
Deskripsi
Sebelum pertengahan 1970-an, semua sistem penyandian menggunakan algoritme kunci
simetris , di mana kunci kriptografik yang sama digunakan dengan algoritme yang
mendasari baik oleh pengirim maupun penerima, yang keduanya harus merahasiakannya.
Karena kebutuhan, kunci dalam setiap sistem semacam itu harus dipertukarkan antara
pihak-pihak yang berkomunikasi dengan cara yang aman sebelum menggunakan sistem saluran yang aman . Persyaratan ini tidak pernah sepele dan sangat cepat menjadi tidak
dapat dikelola dengan bertambahnya jumlah peserta, atau ketika saluran aman tidak
tersedia untuk pertukaran kunci, atau ketika, (seperti praktik kriptografi yang masuk akal),
kunci sering diubah. Secara khusus, jika pesan dimaksudkan untuk diamankan dari
pengguna lain, kunci terpisah diperlukan untuk setiap pasangan pengguna yang
memungkinkan.
Sebaliknya, dalam sistem kunci publik, kunci publik dapat disebarkan secara luas dan
terbuka, dan hanya kunci privat yang perlu dijaga keamanannya oleh pemiliknya.
Dua dari penggunaan kriptografi kunci publik yang paling terkenal adalah:
•
•
Enkripsi kunci publik , di mana pesan dienkripsi dengan kunci publik penerima. Pesan tidak
dapat didekripsi oleh siapa pun yang tidak memiliki kunci privat yang cocok, yang dengan
demikian dianggap sebagai pemilik kunci tersebut dan orang yang terkait dengan kunci
publik tersebut. Ini digunakan sebagai upaya untuk memastikan kerahasiaan .
Tanda tangan digital , di mana pesan ditandatangani dengan kunci pribadi pengirim dan
dapat diverifikasi oleh siapa saja yang memiliki akses ke kunci publik pengirim. Verifikasi
ini membuktikan bahwa pengirim memiliki akses ke kunci privat, dan oleh karena itu
kemungkinan besar adalah orang yang terkait dengan kunci publik tersebut. Ini juga
memastikan bahwa pesan tidak dirusak, karena tanda tangan terikat secara matematis ke
pesan aslinya, dan verifikasi akan gagal untuk hampir semua pesan lain, tidak peduli
seberapa mirip dengan pesan asli.
Satu masalah penting adalah keyakinan / bukti bahwa kunci publik tertentu adalah asli,
yaitu benar dan milik orang atau entitas yang diklaim, dan belum dirusak atau diganti oleh
pihak ketiga yang jahat. Ada beberapa kemungkinan pendekatan, termasuk:
90
Sebuah kunci infrastruktur publik (PKI), di mana satu atau lebih ketiga pihak - dikenal
sebagai otoritas sertifikat - kepemilikan Sertifikasi pasangan kunci. TLS mengandalkan ini.
Sebuah " web kepercayaan " yang mendesentralisasikan otentikasi dengan menggunakan
dukungan individu dari tautan antara pengguna dan kunci publik. PGP menggunakan
pendekatan ini, serta pencarian di sistem nama domain (DNS). Sistem DKIM untuk
menandatangani email secara digital juga menggunakan pendekatan ini.
Aplikasi
Aplikasi yang paling jelas dari sistem enkripsi kunci publik adalah dalam mengenkripsi
komunikasi untuk memberikan kerahasiaan - pesan yang dienkripsi pengirim
menggunakan kunci publik penerima hanya dapat didekripsi dengan kunci pribadi yang
dipasangkan penerima.
Aplikasi lain dalam kriptografi kunci publik adalah tanda tangan digital . Skema tanda
tangan digital dapat digunakan untuk otentikasi pengirim .
Sistem non-repudiasi menggunakan tanda tangan digital untuk memastikan bahwa salah
satu pihak tidak dapat berhasil menyengketakan kepenulisan dokumen atau
komunikasinya.
Aplikasi lebih lanjut yang dibangun di atas fondasi ini meliputi: uang digital , perjanjian
kunci yang diautentikasi dengan kata sandi , layanan cap waktu , protokol non-repudiasi,
dll.
Karena algoritme kunci asimetris hampir selalu lebih intensif secara komputasi daripada
algoritme simetris, dalam banyak kasus adalah umum untuk menukar kunci menggunakan
algoritme pertukaran kunci , kemudian mengirimkan data menggunakan kunci tersebut dan
algoritme kunci simetris. PGP , SSH , dan keluarga skema SSL / TLS menggunakan
prosedur ini, dan dengan demikian disebut hybrid cryptosystems .
Kelemahan
Seperti semua sistem yang terkait dengan keamanan, penting untuk mengidentifikasi
kelemahan potensial.
Algoritma
Semua skema kunci publik secara teori rentan terhadap " serangan pencarian kunci brute
force ". [4] Serangan semacam itu tidak praktis, namun, jika jumlah komputasi yang
diperlukan untuk berhasil - disebut "faktor kerja" oleh Claude Shannon - berada di luar
jangkauan semua penyerang potensial. Dalam banyak kasus, faktor kerja dapat
ditingkatkan hanya dengan memilih kunci yang lebih panjang. Tetapi algoritme lain
mungkin memiliki faktor kerja yang jauh lebih rendah, membuat perlawanan terhadap
serangan brute force menjadi tidak relevan. Beberapa algoritme khusus dan spesifik telah
dikembangkan untuk membantu menyerang beberapa algoritme enkripsi kunci publik -
91
baik RSA maupun enkripsi ElGamal telah mengetahui serangan yang jauh lebih cepat
daripada pendekatan brute-force. [5]
Kelemahan utama telah ditemukan untuk beberapa algoritma kunci asimetris yang
sebelumnya menjanjikan. The "ransel packing" algoritma ditemukan menjadi tidak aman
setelah pengembangan serangan baru. [6] Seperti semua fungsi kriptografi, implementasi
kunci publik mungkin rentan terhadap serangan saluran samping yang mengeksploitasi
kebocoran informasi untuk menyederhanakan pencarian kunci rahasia. Penelitian sedang
dilakukan untuk menemukan dan melindungi dari serangan baru.
Perubahan kunci publik
Kerentanan keamanan potensial lainnya dalam menggunakan kunci asimetris adalah
kemungkinan serangan "man-in-the-middle" , di mana komunikasi kunci publik dicegat
oleh pihak ketiga ("man in the middle") dan kemudian dimodifikasi menjadi berikan kunci
publik yang berbeda sebagai gantinya. Pesan dan tanggapan yang dienkripsi juga harus
dicegat, didekripsi, dan dienkripsi ulang oleh penyerang menggunakan kunci publik yang
benar untuk segmen komunikasi yang berbeda, dalam semua kasus, untuk menghindari
kecurigaan.
Komunikasi dikatakan tidak aman di mana data ditransmisikan dengan cara yang
memungkinkan terjadinya intersepsi (juga disebut "sniffing"). Istilah ini merujuk pada
membaca data pribadi pengirim secara keseluruhan. Komunikasi menjadi sangat tidak
aman ketika intersepsi tidak dapat dicegah atau dipantau oleh pengirim. [7]
Serangan man-in-the-middle mungkin sulit diterapkan karena kerumitan protokol
keamanan modern. Namun, tugas menjadi lebih sederhana ketika pengirim menggunakan
media yang tidak aman seperti jaringan publik, Internet , atau komunikasi nirkabel. Dalam
kasus ini, penyerang dapat membahayakan infrastruktur komunikasi daripada datanya
sendiri. Seorang anggota staf yang berbahaya hipotetis di Penyedia Layanan Internet (ISP)
mungkin menemukan serangan man-in-the-middle relatif mudah. Menangkap kunci publik
hanya akan memerlukan pencarian kunci karena akan dikirim melalui perangkat keras
komunikasi ISP.
Dalam beberapa serangan man-in-the-middle tingkat lanjut, satu sisi komunikasi akan
melihat data asli sementara sisi lainnya akan menerima varian yang berbahaya. Serangan
man-in-the-middle asimetris dapat mencegah pengguna menyadari bahwa koneksi mereka
terganggu. Ini tetap benar bahkan ketika satu data pengguna diketahui telah disusupi
karena data tersebut tampak baik-baik saja bagi pengguna lain. Hal ini dapat menyebabkan
ketidaksepakatan yang membingungkan di antara pengguna seperti "harus ada di pihak
Anda!" saat tidak ada pengguna yang salah. Oleh karena itu, serangan man-in-the-middle
hanya dapat dicegah sepenuhnya jika infrastruktur komunikasi secara fisik dikendalikan
oleh satu atau kedua pihak; seperti melalui jalur kabel di dalam gedung milik pengirim.
Singkatnya, kunci publik lebih mudah untuk diubah ketika perangkat keras komunikasi
yang digunakan oleh pengirim dikendalikan oleh penyerang. [8][9] [10]
92
Infrastruktur kunci publik
Salah satu pendekatan untuk mencegah serangan semacam itu melibatkan penggunaan
infrastruktur kunci publik (PKI); serangkaian peran, kebijakan, dan prosedur yang
diperlukan untuk membuat, mengelola, mendistribusikan, menggunakan, menyimpan, dan
mencabut sertifikat digital dan mengelola enkripsi kunci publik. Namun, hal ini pada
gilirannya memiliki kelemahan potensial.
Misalnya, otoritas sertifikat yang menerbitkan sertifikat harus dipercaya telah memeriksa
dengan benar identitas pemegang kunci, harus memastikan kebenaran kunci publik ketika
mengeluarkan sertifikat, harus aman dari pembajakan komputer, dan harus membuat
pengaturan dengan semua peserta untuk memeriksa semua sertifikat mereka sebelum
komunikasi yang dilindungi dapat dimulai. Browser web , misalnya, dilengkapi dengan
daftar panjang "sertifikat identitas yang ditandatangani sendiri" dari penyedia PKI - ini
digunakan untuk memeriksa yang bonafiddari otoritas sertifikat dan kemudian, pada
langkah kedua, sertifikat komunikator potensial. Penyerang yang dapat menumbangkan
salah satu dari otoritas sertifikat tersebut ke dalam menerbitkan sertifikat untuk kunci
publik palsu kemudian dapat memasang serangan "man-in-the-middle" semudah jika
skema sertifikat tidak digunakan sama sekali. Dalam skenario alternatif yang jarang
dibahas [ rujukan? ] , Penyerang yang menembus server otoritas dan mendapatkan
penyimpanan sertifikat dan kuncinya (publik dan pribadi) akan dapat melakukan spoof,
menyamar, mendekripsi, dan memalsukan transaksi tanpa batas.
Terlepas dari masalah teoritis dan potensialnya, pendekatan ini banyak digunakan.
Contohnya termasuk TLS dan SSL pendahulunya , yang biasanya digunakan untuk
memberikan keamanan untuk transaksi browser web (misalnya, untuk mengirim detail
kartu kredit dengan aman ke toko online).
Selain resistensi terhadap serangan pasangan kunci tertentu, keamanan hierarki sertifikasi
harus dipertimbangkan saat menerapkan sistem kunci publik. Beberapa otoritas sertifikat biasanya program yang dibuat khusus yang dijalankan di komputer server - menjamin
identitas yang ditetapkan ke kunci privat tertentu dengan menghasilkan sertifikat digital.
Sertifikat digital kunci publik biasanya berlaku selama beberapa tahun pada satu waktu,
sehingga kunci privat terkait harus disimpan dengan aman selama waktu tersebut. Jika
kunci pribadi yang digunakan untuk pembuatan sertifikat yang lebih tinggi dalam hierarki
server PKI disusupi, atau tidak sengaja terungkap, maka "serangan man-in-the-middle "
dapat terjadi, membuat sertifikat bawahan sepenuhnya tidak aman.
Contoh
Contoh teknik kunci asimetris yang dianggap baik untuk berbagai tujuan meliputi:
•
•
•
•
•
•
•
93
Protokol pertukaran kunci Diffie-Hellman
DSS (Digital Signature Standard), yang menggabungkan Algoritma Tanda Tangan Digital
ElGamal
Kriptografi kurva eliptik
Berbagai teknik perjanjian kunci yang diautentikasi dengan sandi
Sistem kriptografi Paillier
Algoritme enkripsi RSA ( PKCS # 1 )
•
•
Sistem kriptografi Cramer – Shoup
Protokol perjanjian kunci yang diautentikasi YAK
Contoh algoritma kunci asimetris yang tidak banyak digunakan meliputi:
•
•
Sistem kriptografi enkripsi NTRUE
Sistem kriptografi McEliece
Contoh algoritme kunci asimetris yang penting - namun tidak aman - meliputi:
•
Sistem kriptografi knapsack Merkle – Hellman
Contoh protokol yang menggunakan algoritma kunci asimetris meliputi:
•
•
•
•
•
•
•
•
•
•
•
S / MIME
GPG , implementasi OpenPGP
EMV , Otoritas Sertifikat EMV
IPsec
PGP
ZRTP , protokol VoIP yang aman
Transport Layer Security distandarisasi oleh IETF dan pendahulunya Secure Socket Layer
SILC
SSH
Bitcoin
Perpesanan Off-the-Record
Sejarah
Selama sejarah awal kriptografi , dua pihak akan mengandalkan kunci yang akan mereka
tukarkan melalui metode yang aman, tetapi non-kriptografi, seperti pertemuan tatap muka
atau kurir tepercaya. Kunci ini, yang dirahasiakan oleh kedua belah pihak, kemudian dapat
digunakan untuk bertukar pesan terenkripsi. Sejumlah kesulitan praktis yang signifikan
muncul dengan pendekatan pendistribusian kunci ini .
Antisipasi
Dalam bukunya tahun 1874, The Principles of Science , William Stanley Jevons [11]
menulis:
Dapatkah pembaca mengatakan apakah dua angka yang dikalikan akan menghasilkan
angka 8616460799 ? [12] Saya pikir tidak mungkin ada orang selain saya yang akan
mengetahuinya. [13]
Di sini dia menjelaskan hubungan fungsi satu arah dengan kriptografi, dan membahas
secara khusus masalah faktorisasi yang digunakan untuk membuat fungsi pintu jebakan .
Pada Juli 1996, matematikawan Solomon W. Golomb berkata: "Jevons mengantisipasi
fitur kunci dari Algoritma RSA untuk kriptografi kunci publik, meskipun dia jelas tidak
menemukan konsep kriptografi kunci publik." [14]
94
Penemuan rahasia
Pada tahun 1970, James H. Ellis , seorang kriptografer Inggris di Kantor Pusat Komunikasi
Pemerintah Inggris (GCHQ), memahami kemungkinan "enkripsi non-rahasia", (sekarang
disebut kriptografi kunci publik), tetapi tidak melihat cara untuk
mengimplementasikannya. [15] Pada tahun 1973, rekannya Clifford Cocks menerapkan apa
yang kemudian dikenal sebagai algoritma enkripsi RSA , memberikan metode praktis
"enkripsi non-rahasia", dan pada tahun 1974, ahli matematika dan kriptografer GCHQ
lainnya, Malcolm J. Williamson , mengembangkan apa sekarang dikenal sebagai
pertukaran kunci Diffie – Hellman . Skema ini juga diteruskan ke Badan Keamanan
Nasional AS . [16] Dengan fokus militer dan daya komputasi yang rendah, kekuatan
kriptografi kunci publik tidak terwujud di kedua organisasi:
Saya menilai itu paling penting untuk penggunaan militer ... jika Anda dapat membagikan
kunci Anda dengan cepat dan secara elektronik, Anda memiliki keunggulan besar atas
lawan Anda. Hanya pada akhir evolusi dari Berners-Lee yang merancang arsitektur
internet terbuka untuk CERN , adaptasi dan adopsi untuk Arpanet ... kriptografi kunci
publik menyadari potensi penuhnya.
- Ralph Benjamin [16]
Penemuan mereka tidak diketahui publik selama 27 tahun, sampai penelitian tersebut
dibuka oleh pemerintah Inggris pada tahun 1997. [17]
Penemuan publik
Pada tahun 1976, sebuah sistem kriptografi kunci asimetris diterbitkan oleh Whitfield
Diffie dan Martin Hellman yang, dipengaruhi oleh pekerjaan Ralph Merkle tentang
distribusi kunci publik, mengungkapkan metode kesepakatan kunci publik. Metode
pertukaran kunci ini, yang menggunakan eksponensiasi dalam medan berhingga ,
kemudian dikenal sebagai pertukaran kunci Diffie-Hellman . [18] Ini adalah metode praktis
pertama yang diterbitkan untuk membangun kunci rahasia bersama melalui saluran
komunikasi yang diautentikasi (tetapi tidak rahasia) tanpa menggunakan rahasia bersama
sebelumnya. "Teknik kesepakatan kunci publik" Merkle dikenal sebagai Merkle's Puzzles ,
dan ditemukan pada tahun 1974 dan diterbitkan pada tahun 1978.
Pada tahun 1977, generalisasi skema Cocks ditemukan secara independen oleh Ron Rivest
, Adi Shamir dan Leonard Adleman , semuanya di MIT . Penulis terakhir menerbitkan
karya mereka pada tahun 1978, dan algoritme kemudian dikenal sebagai RSA , dari inisial
mereka. [19] RSA menggunakan modulo eksponensial sebuah produk dari dua bilangan
prima yang sangat besar , untuk mengenkripsi dan mendekripsi, melakukan enkripsi kunci
publik dan tanda tangan digital kunci publik. Keamanannya terkait dengan kesulitan
ekstrim dalam memfaktorkan bilangan bulat besar, masalah yang tidak diketahui teknik
umum yang efisien (meskipun faktorisasi prima dapat diperoleh melalui serangan bruteforce; yang mungkin lebih sulit jika faktor prima lebih besar). Penjelasan tentang algoritme
tersebut dipublikasikan di kolom Permainan Matematika di Scientific American edisi
Agustus 1977 . [20]
95
Sejak tahun 1970-an, sejumlah besar dan variasi enkripsi, tanda tangan digital, kesepakatan
kunci, dan teknik lainnya telah dikembangkan di bidang kriptografi kunci publik, termasuk
kriptografi Rabin , enkripsi ElGamal , DSA - dan kriptografi kurva eliptik .
11. Keamanan pada Layer Transport
Transport Layer Security ( TLS ), dan pendahulunya yang sekarang tidak digunakan
lagi, Secure Sockets Layer ( SSL ), [1] adalah protokol kriptografi yang dirancang untuk
memberikan keamanan komunikasi melalui jaringan komputer . [2] Beberapa versi protokol
digunakan secara luas dalam aplikasi seperti web browsing , email , instant messaging, dan
voice over IP (VoIP). Situs web dapat menggunakan TLS untuk mengamankan semua
komunikasi antara server dan browser web mereka .
Protokol TLS bertujuan terutama untuk memberikan privasi dan integritas data antara dua
atau lebih aplikasi komputer yang berkomunikasi. [2] : 3 Ketika diamankan oleh TLS,
koneksi antara klien (mis., Browser web) dan server (mis., Wikipedia.org) harus memiliki
satu atau lebih properti berikut:
•
•
•
Sambungan bersifat pribadi (atau aman ) karena kriptografi simetris digunakan untuk
mengenkripsi data yang dikirimkan. The kunci untuk enkripsi simetris ini dihasilkan unik
untuk setiap koneksi dan didasarkan pada rahasia bersama yang dinegosiasikan di awal
sesi (lihat § TLS jabat tangan ). Server dan klien menegosiasikan detail algoritme enkripsi
dan kunci kriptografik mana yang akan digunakan sebelum data byte pertama dikirim
(lihat § Algoritma di bawah). Negosiasi rahasia bersama aman (rahasia yang
dinegosiasikan tidak tersedia untukpenyadap dan tidak dapat diperoleh, bahkan oleh
penyerang yang menempatkan dirinya di tengah-tengah koneksi) dan dapat diandalkan
(tidak ada penyerang yang dapat mengubah komunikasi selama negosiasi tanpa
terdeteksi).
Identitas pihak yang berkomunikasi dapat diautentikasi menggunakan kriptografi kunci
publik . Autentikasi ini dapat dibuat opsional, tetapi umumnya diperlukan setidaknya
untuk salah satu pihak (biasanya server).
Sambungan dapat diandalkan karena setiap pesan yang dikirim menyertakan
pemeriksaan integritas pesan menggunakan kode otentikasi pesan untuk mencegah
kehilangan atau perubahan data yang tidak terdeteksi selama transmisi . [2] : 3
Selain properti di atas, konfigurasi TLS yang cermat dapat memberikan properti terkait
privasi tambahan seperti teruskan kerahasiaan , memastikan bahwa pengungkapan kunci
enkripsi di masa mendatang tidak dapat digunakan untuk mendekripsi komunikasi TLS apa
pun yang direkam di masa lalu. [3]
TLS mendukung banyak metode berbeda untuk bertukar kunci, mengenkripsi data, dan
mengautentikasi integritas pesan (lihat § Algoritma di bawah). Akibatnya, konfigurasi TLS
yang aman melibatkan banyak parameter yang dapat dikonfigurasi, dan tidak semua
pilihan menyediakan semua properti terkait privasi yang dijelaskan dalam daftar di atas
(lihat § Pertukaran kunci (otentikasi), § Keamanan sandi , dan § Tabel integritas data ) .
Upaya telah dilakukan untuk menumbangkan aspek keamanan komunikasi yang ingin
disediakan TLS, dan protokol telah direvisi beberapa kali untuk mengatasi ancaman
96
keamanan ini (lihat § Keamanan ). Pengembang browser web juga telah merevisi produk
mereka untuk melindungi dari potensi kelemahan keamanan setelah kelemahan ini
ditemukan (lihat riwayat dukungan TLS / SSL dari browser web ). [4]
Protokol TLS terdiri dari dua lapisan: data TLS dan protokol jabat tangan TLS .
TLS adalah diusulkan Internet Engineering Task Force ( IETF ) standar , pertama kali
didefinisikan pada tahun 1999, dan versi saat ini adalah TLS 1.3 yang didefinisikan dalam
RFC 8446 (Agustus 2018). TLS dibangun di atas spesifikasi SSL sebelumnya (1994,
1995, 1996) yang dikembangkan oleh Netscape Communications [5] untuk menambahkan
protokol HTTPS ke browser web Navigator mereka .
Isi
Deskripsi
Aplikasi server-klien menggunakan protokol TLS untuk berkomunikasi di seluruh jaringan
dengan cara yang dirancang untuk mencegah penyadapan dan gangguan .
Karena aplikasi dapat berkomunikasi baik dengan atau tanpa TLS (atau SSL), klien perlu
menunjukkan ke server pengaturan koneksi TLS. [6] Salah satu cara utama untuk
melakukannya adalah dengan menggunakan nomor port yang berbeda untuk koneksi TLS,
misalnya port 443 untuk HTTPS . Mekanisme lainnya adalah klien membuat permintaan
khusus protokol ke server untuk mengalihkan koneksi ke TLS; misalnya, dengan membuat
permintaan STARTTLS saat menggunakan protokol surat dan berita .
Setelah klien dan server setuju untuk menggunakan TLS, mereka menegosiasikan koneksi
stateful dengan menggunakan prosedur handshaking . [7] Protokol menggunakan jabat
tangan dengan sandi asimetris untuk menetapkan tidak hanya pengaturan sandi tetapi juga
kunci bersama khusus sesi yang komunikasi lebih lanjut dienkripsi menggunakan sandi
simetris . Selama jabat tangan ini, klien dan server menyetujui berbagai parameter yang
digunakan untuk membangun keamanan koneksi:
•
•
•
•
•
97
Jabat tangan dimulai saat klien terhubung ke server berkemampuan TLS yang meminta
koneksi aman dan klien menyajikan daftar cipher suite yang didukung ( cipher dan fungsi
hash ).
Dari daftar ini, server memilih fungsi sandi dan hash yang juga mendukung dan memberi
tahu klien tentang keputusan tersebut.
Server biasanya kemudian memberikan identifikasi dalam bentuk sertifikat digital .
Sertifikat tersebut berisi nama server , otoritas sertifikat (CA) terpercaya yang menjamin
keaslian sertifikat, dan kunci enkripsi publik server.
Klien mengonfirmasi validitas sertifikat sebelum melanjutkan.
Untuk membuat kunci sesi yang digunakan untuk koneksi aman, klien:
o mengenkripsi nomor acak dengan kunci publik server dan mengirimkan hasilnya
ke server (yang hanya dapat didekripsi oleh server dengan kunci pribadinya);
kedua belah pihak kemudian menggunakan nomor acak untuk menghasilkan
kunci sesi unik untuk enkripsi dan dekripsi data selanjutnya selama sesi
o menggunakan pertukaran kunci Diffie – Hellman untuk secara aman menghasilkan
kunci sesi acak dan unik untuk enkripsi dan dekripsi yang memiliki properti
tambahan kerahasiaan penerusan: jika kunci pribadi server diungkapkan di masa
mendatang, kunci pribadi server tidak dapat digunakan untuk mendekripsi sesi
saat ini, bahkan jika sesi dicegat dan direkam oleh pihak ketiga.
Ini mengakhiri jabat tangan dan memulai koneksi aman, yang dienkripsi dan didekripsi
dengan kunci sesi hingga koneksi ditutup. Jika salah satu dari langkah di atas gagal, maka
jabat tangan TLS gagal dan koneksi tidak dibuat.
TLS dan SSL tidak cocok dengan satu lapisan model OSI atau model TCP / IP . [8] [9] TLS
berjalan "di atas beberapa protokol transport yang dapat diandalkan (misalnya, TCP)," [10]
yang berarti bahwa TLS berada di atas lapisan transport . Ini melayani enkripsi ke lapisan
yang lebih tinggi, yang biasanya merupakan fungsi dari lapisan presentasi . Namun,
aplikasi umumnya menggunakan TLS seolah-olah itu adalah lapisan transport, [8] [9]
meskipun aplikasi yang menggunakan TLS harus secara aktif mengontrol memulai jabat
tangan TLS dan menangani sertifikat otentikasi yang dipertukarkan. [10]
Sejarah dan perkembangan
Protokol SSL dan TLS
Protokol
Diterbitkan
Status
SSL 1.0 Tidak diterbitkan
Tidak diterbitkan
SSL 2.0
1995
Tidak digunakan lagi pada tahun 2011 ( RFC 6176 )
SSL 3.0
1996
Tidak digunakan lagi pada tahun 2015 ( RFC 7568 )
TLS 1.0
1999
Tidak digunakan lagi pada tahun 2020 [11] [12] [13]
TLS 1.1
2006
Tidak digunakan lagi pada tahun 2020 [11] [12] [13]
TLS 1.2
2008
TLS 1.3
2018
Sistem Jaringan Data Aman
Transport Layer Security Protocol (TLS), bersama dengan beberapa platform keamanan
jaringan dasar lainnya, dikembangkan melalui inisiatif bersama yang dimulai pada Agustus
1986, di antara Badan Keamanan Nasional, Biro Standar Nasional, Badan Komunikasi
Pertahanan, dan dua belas komunikasi dan perusahaan komputer yang memprakarsai
proyek khusus yang disebut Sistem Jaringan Data Aman (SDNS). [14]Program ini
dijelaskan pada bulan September 1987 di Konferensi Keamanan Komputer Nasional ke-10
dalam serangkaian makalah yang diterbitkan. Program penelitian inovatif berfokus pada
perancangan generasi berikutnya dari jaringan komunikasi komputer yang aman dan
spesifikasi produk yang akan diterapkan untuk aplikasi di internet publik dan swasta. Ini
dimaksudkan untuk melengkapi standar internet OSI baru yang berkembang pesat, baik
dalam Profil GOSIP pemerintah AS maupun dalam upaya besar internet ITU-ISO JTC1
98
secara internasional. Awalnya dikenal sebagai protokol SP4, itu diganti namanya menjadi
TLS dan kemudian diterbitkan pada tahun 1995 sebagai standar internasional ITU-T X.274
| ISO / IEC 10736: 1995.
Pemrograman Jaringan Aman
Upaya penelitian awal terhadap keamanan lapisan transportasi termasuk antarmuka
pemrograman aplikasi (API) Pemrograman Jaringan Aman (SNP) , yang pada tahun 1993
mengeksplorasi pendekatan memiliki API lapisan transportasi aman yang sangat mirip
dengan soket Berkeley , untuk memfasilitasi perbaikan aplikasi jaringan yang sudah ada
sebelumnya dengan keamanan. Pengukuran. [15]
SSL 1.0, 2.0, dan 3.0
Netscape mengembangkan protokol SSL asli, dan Taher Elgamal , kepala ilmuwan di
Netscape Communications dari 1995 hingga 1998, telah digambarkan sebagai "bapak
SSL". [16] [17] [18] [19] SSL versi 1.0 tidak pernah dirilis ke publik karena kelemahan
keamanan yang serius dalam protokol. Versi 2.0, dirilis pada Februari 1995, berisi
sejumlah kelemahan keamanan yang mengharuskan desain versi 3.0. [20] [18] Dirilis pada
tahun 1996, SSL versi 3.0 mewakili desain ulang lengkap dari protokol yang diproduksi
oleh Paul Kocherbekerja dengan insinyur Netscape Phil Karlton dan Alan Freier, dengan
implementasi referensi oleh Christopher Allen dan Tim Dierks dari Pengembangan
Konsensus. Versi SSL / TLS yang lebih baru didasarkan pada SSL 3.0. Draf SSL 3.0 tahun
1996 diterbitkan oleh IETF sebagai dokumen historis di RFC 6101 .
SSL 2.0 tidak digunakan lagi pada tahun 2011 oleh RFC 6176 . Pada tahun 2014, SSL 3.0
ditemukan rentan terhadap serangan POODLE yang mempengaruhi semua cipher blok di
SSL; RC4 , satu-satunya penyandian non-blok yang didukung oleh SSL 3.0, juga layak
rusak seperti yang digunakan dalam SSL 3.0. [21] SSL 3.0 tidak digunakan lagi pada bulan
Juni 2015 oleh RFC 7568 .
TLS 1.0
TLS 1.0 pertama kali didefinisikan di RFC 2246 pada Januari 1999 sebagai peningkatan
dari SSL Versi 3.0, dan ditulis oleh Christopher Allen dan Tim Dierks dari Consensus
Development. Seperti yang dinyatakan dalam RFC, "perbedaan antara protokol ini dan
SSL 3.0 tidak dramatis, tetapi cukup signifikan untuk menghalangi interoperabilitas antara
TLS 1.0 dan SSL 3.0". Tim Dierks kemudian menulis bahwa perubahan ini, dan
penggantian nama dari "SSL" menjadi "TLS", adalah isyarat penyelamatan wajah ke
Microsoft, "jadi tidak akan terlihat [seperti] IETF hanya menggosok protokol Netscape".
[22]
TLS 1.0 menyertakan cara di mana implementasi TLS dapat menurunkan versi koneksi ke
SSL 3.0, sehingga melemahkan keamanan. [23] : 1–2
The Council PCI menyarankan bahwa organisasi bermigrasi dari TLS 1.0 untuk TLS 1.1
atau lebih tinggi sebelum 30 Juni 2018. [24] [25] Pada bulan Oktober 2018, Apel , Google ,
Microsoft , dan Mozilla bersama-sama mengumumkan mereka akan mencela TLS 1.0 dan
1.1 Maret 2020. [11]
99
TLS 1.1
TLS 1.1 didefinisikan di RFC 4346 pada April 2006. [26] Ini adalah pembaruan dari TLS
versi 1.0. Perbedaan yang signifikan dalam versi ini antara lain:
•
•
Menambahkan perlindungan terhadap serangan cipher-block chaining (CBC).
o Vektor inisialisasi implisit (IV) diganti dengan IV eksplisit.
o Perubahan dalam penanganan kesalahan padding .
Dukungan untuk registrasi parameter IANA . [23] : 2
TLS 1.2
TLS 1.2 didefinisikan di RFC 5246 pada Agustus 2008. Ini didasarkan pada spesifikasi
TLS 1.1 sebelumnya. Perbedaan utama meliputi:
•
•
•
•
•
•
The MD5 - SHA-1 kombinasi dalam fungsi pseudorandom (PRF) diganti dengan SHA-256 ,
dengan opsi untuk menggunakan cipher suite yang PRFs ditentukan.
Kombinasi MD5-SHA-1 dalam hash pesan yang telah selesai diganti dengan SHA-256,
dengan opsi untuk menggunakan algoritme hash khusus cipher suite. Namun, ukuran
hash dalam pesan yang telah selesai setidaknya harus 96 bit . [27]
Kombinasi MD5-SHA-1 dalam elemen yang ditandatangani secara digital diganti dengan
satu hash yang dinegosiasikan selama jabat tangan , yang defaultnya adalah SHA-1.
Peningkatan dalam kemampuan klien dan server untuk menentukan algoritme tanda
tangan dan hash yang mereka terima.
Perluasan dukungan untuk cipher enkripsi yang diautentikasi , terutama digunakan untuk
Galois / Counter Mode (GCM) dan mode CCM dari enkripsi Advanced Encryption Standard
(AES).
Definisi Ekstensi TLS dan cipher suite AES telah ditambahkan. [23] : 2
Semua versi TLS disempurnakan lebih lanjut di RFC 6176 pada Maret 2011, menghapus
kompatibilitas mundurnya dengan SSL sehingga sesi TLS tidak pernah menegosiasikan
penggunaan Secure Sockets Layer (SSL) versi 2.0.
TLS 1.3
TLS 1.3 ditentukan di RFC 8446 pada Agustus 2018. Ini didasarkan pada spesifikasi TLS
1.2 sebelumnya. Perbedaan utama dari TLS 1.2 meliputi: [28]
•
•
•
•
•
•
•
•
•
100
Memisahkan kesepakatan kunci dan algoritma otentikasi dari cipher suite
Menghapus dukungan untuk kurva elips bernama lemah dan jarang digunakan
Menghapus dukungan untuk fungsi hash kriptografi MD5 dan SHA-224
Membutuhkan tanda tangan digital bahkan ketika konfigurasi sebelumnya digunakan
Mengintegrasikan HKDF dan proposal DH semi-ephemeral
Mengganti dimulainya kembali dengan PSK dan tiket
Mendukung 1- jabat tangan RTT dan dukungan awal untuk 0- RTT
Mengamanatkan kerahasiaan ke depan yang sempurna , dengan menggunakan kunci
singkat selama perjanjian kunci (EC) DH
Menurunkan dukungan untuk banyak fitur yang tidak aman atau usang termasuk
kompresi , negosiasi ulang, cipher non- AEAD , pertukaran kunci non- PFS (di antaranya
adalah RSA statis dan pertukaran kunci DH statis ), grup DHE kustom , negosiasi format
•
•
•
•
•
•
•
•
•
titik EC, protokol Ubah Spesifikasi Cipher, Halo pesan waktu UNIX, dan input AD bidang
panjang ke cipher AEAD
Melarang negosiasi SSL atau RC4 untuk kompatibilitas ke belakang
Mengintegrasikan penggunaan hash sesi
Menghentikan penggunaan nomor versi lapisan rekaman dan membekukan nomor untuk
meningkatkan kompatibilitas mundur
Memindahkan beberapa detail algoritme terkait keamanan dari apendiks ke spesifikasi
dan menurunkan ClientKeyShare ke apendiks
Menambahkan ChaCha20 stream cipher dengan Poly1305 pesan kode otentikasi
Menambahkan Ed25519 dan Ed448 algoritma tanda tangan digital
Menambahkan x25519 dan x448 protokol pertukaran kunci
Menambahkan dukungan untuk mengirim beberapa tanggapan OCSP
Mengenkripsi semua pesan jabat tangan setelah ServerHello
Layanan Keamanan Jaringan (NSS), pustaka kriptografi yang dikembangkan oleh Mozilla
dan digunakan oleh peramban webnya Firefox , mengaktifkan TLS 1.3 secara default pada
Februari 2017. [29] Dukungan TLS 1.3 kemudian ditambahkan - tetapi karena masalah
kompatibilitas untuk sejumlah kecil pengguna, tidak diaktifkan secara otomatis [30] - ke
Firefox 52.0 , yang dirilis pada Maret 2017. TLS 1.3 diaktifkan secara default pada Mei
2018 dengan rilis Firefox 60.0 . [31]
Google Chrome menyetel TLS 1.3 sebagai versi default untuk waktu yang singkat pada
tahun 2017. Kemudian menghapusnya sebagai default, karena middlebox yang tidak
kompatibel seperti proxy web Blue Coat . [32]
Selama IETF 100 Hackathon yang berlangsung di Singapura pada tahun 2017, TLS Group
berupaya mengadaptasi aplikasi sumber terbuka untuk menggunakan TLS 1.3. [33] [34] Grup
TLS terdiri dari individu-individu dari Jepang , Inggris , dan Mauritius melalui tim
cyberstorm.mu. [34] Pekerjaan ini dilanjutkan pada IETF 101 Hackathon di London , [35]
dan IETF 102 Hackathon di Montreal. [36]
wolfSSL mengaktifkan penggunaan TLS 1.3 pada versi 3.11.1, dirilis pada Mei 2017. [37]
Sebagai implementasi TLS 1.3 komersial pertama, wolfSSL 3.11.1 mendukung Draf 18
dan sekarang mendukung Draf 28, [38] versi final, serta banyak versi lama. Serangkaian
blog diterbitkan tentang perbedaan kinerja antara TLS 1.2 dan 1.3. [39]
Di September 2018, proyek OpenSSL yang populer merilis versi 1.1.1 dari pustaka, di
mana dukungan untuk TLS 1.3 adalah "fitur baru utama". [40]
Keamanan Transportasi Perusahaan
The Electronic Frontier Foundation memuji TLS 1.3 dan menyatakan keprihatinan tentang
protokol varian Perusahaan Transportasi Security ( ETS ) yang sengaja menonaktifkan
langkah-langkah keamanan penting dalam TLS 1.3. [41] ETS adalah standar terbitan yang
dikenal sebagai ETSI TS103523-3 , "Middlebox Security Protocol, Part3: Enterprise
Transport Security", dan dimaksudkan untuk digunakan sepenuhnya dalam jaringan
berpemilik seperti sistem perbankan untuk memungkinkan deteksi penempatan malware,
eksfiltrasi data yang melanggar hukum , dan kepatuhan dengan mandat audit regulasi.
101
Sertifikat digital
Artikel utama: Sertifikat kunci publik
Contoh situs web dengan sertifikat digital
Sertifikat digital mengesahkan kepemilikan kunci publik dengan subjek bernama sertifikat,
dan menunjukkan penggunaan tertentu yang diharapkan dari kunci tersebut. Hal ini
memungkinkan orang lain (pihak yang bergantung) untuk mengandalkan tanda tangan atau
pernyataan yang dibuat oleh kunci pribadi yang sesuai dengan kunci publik bersertifikat.
Otoritas sertifikat
Artikel utama: Otoritas sertifikat
TLS biasanya mengandalkan sekumpulan otoritas sertifikat pihak ketiga tepercaya untuk
menetapkan keaslian sertifikat. Kepercayaan biasanya berlabuh dalam daftar sertifikat
yang didistribusikan dengan perangkat lunak agen pengguna, [42] dan dapat dimodifikasi
oleh pihak yang mengandalkan.
Menurut Netcraft , yang memantau sertifikat TLS aktif, otoritas sertifikat (CA) yang
memimpin pasar telah menjadi Symantec sejak awal survei mereka (atau VeriSign sebelum
unit bisnis layanan otentikasi dibeli oleh Symantec). Pada 2015, Symantec menyumbang
hanya di bawah sepertiga dari semua sertifikat dan 44% dari sertifikat valid yang
digunakan oleh 1 juta situs web tersibuk, seperti yang dihitung oleh Netcraft. [43] Pada
2017, Symantec menjual bisnis TLS / SSL-nya ke DigiCert. [44] Dalam laporan terbaru,
ditunjukkan bahwa IdenTrust , DigiCert , dan Sectigo adalah 3 otoritas sertifikat teratas
dalam hal pangsa pasar sejak Mei 2019.[45]
Sebagai konsekuensi dari pemilihan sertifikat X.509 , otoritas sertifikat dan infrastruktur
kunci publik diperlukan untuk memverifikasi hubungan antara sertifikat dan pemiliknya,
serta untuk menghasilkan, menandatangani, dan mengelola validitas sertifikat. Meskipun
ini bisa lebih mudah daripada memverifikasi identitas melalui web kepercayaan ,
pengungkapan pengawasan massal 2013 membuatnya lebih dikenal luas bahwa otoritas
sertifikat adalah titik lemah dari sudut pandang keamanan, memungkinkan serangan manin-the-middle (MITM) jika otoritas sertifikat bekerja sama (atau dikompromikan). [46] [47]
Mitigations against known attacks are not enough yet:
102
•
•
•
103
Mitigations against POODLE attack: some browsers already prevent fallback to SSL 3.0;
however, this mitigation needs to be supported by not only clients but also servers.
Disabling SSL 3.0 itself, implementation of "anti-POODLE record splitting", or denying CBC
ciphers in SSL 3.0 is required.
o Google Chrome: complete (TLS_FALLBACK_SCSV is implemented since version 33,
fallback to SSL 3.0 is disabled since version 39, SSL 3.0 itself is disabled by default
since version 40. Support of SSL 3.0 itself was dropped since version 44.)
o Mozilla Firefox: complete (support of SSL 3.0 itself is dropped since version 39.
SSL 3.0 itself is disabled by default and fallback to SSL 3.0 are disabled since
version 34, TLS_FALLBACK_SCSV is implemented since version 35. In ESR, SSL 3.0
itself is disabled by default and TLS_FALLBACK_SCSV is implemented since ESR
31.3.)
o Internet Explorer: partial (only in version 11, SSL 3.0 is disabled by default since
April 2015. Version 10 and older are still vulnerable against POODLE.)
o Opera : lengkap (TLS_FALLBACK_SCSV diimplementasikan sejak versi 20, "antiPOODLE record splitting", yang hanya efektif dengan implementasi sisi klien,
diimplementasikan sejak versi 25, SSL 3.0 sendiri dinonaktifkan secara default
sejak versi 27. Dukungan SSL 3.0 sendiri akan dihapus sejak versi 31.)
o Safari: selesai (hanya di OS X 10.8 dan yang lebih baru dan iOS 8, cipher CBC
selama fallback ke SSL 3.0 ditolak, tetapi ini berarti ia akan menggunakan RC4,
yang juga tidak disarankan. Dukungan SSL 3.0 sendiri dihentikan di OS X 10.11 dan
yang lebih baru dan iOS 9.)
Mitigasi terhadap serangan RC4 :
o Google Chrome menonaktifkan RC4 kecuali sebagai fallback sejak versi 43. RC4
dinonaktifkan sejak Chrome 48.
o Firefox menonaktifkan RC4 kecuali sebagai fallback sejak versi 36. Firefox 44
menonaktifkan RC4 secara default.
o Opera menonaktifkan RC4 kecuali sebagai fallback sejak versi 30. RC4
dinonaktifkan sejak Opera 35.
o Internet Explorer untuk Windows 7 / Server 2008 R2 dan untuk Windows 8 /
Server 2012 telah menetapkan prioritas RC4 ke terendah dan juga dapat
menonaktifkan RC4 kecuali sebagai fallback melalui pengaturan registri. Internet
Explorer 11 Mobile 11 untuk Windows Phone 8.1 menonaktifkan RC4 kecuali
sebagai cadangan jika tidak ada algoritme aktif lainnya yang berfungsi. Edge dan
IE 11 menonaktifkan RC4 sepenuhnya pada Agustus 2016.
Mitigasi terhadap serangan FREAK :
o Browser Android yang disertakan dengan Android 4.0 dan yang lebih lama masih
rentan terhadap serangan FREAK.
o Internet Explorer 11 Mobile masih rentan terhadap serangan FREAK.
o Google Chrome, Internet Explorer (desktop), Safari (desktop & seluler), dan Opera
(seluler) telah menerapkan mitigasi FREAK.
o Mozilla Firefox di semua platform dan Google Chrome di Windows tidak
terpengaruh oleh FREAK.
12. Keamanan Wireless
Ada beberapa jenis keamanan nirkabel yang akan Anda temukan - berikut adalah ikhtisar
singkatnya.
WEP
Wired Equivalent Privacy, alias WEP, adalah cikal bakal dari jenis keamanan nirkabel,
sejak 1999. Saat klien tersambung ke jaringan yang dilindungi WEP, kunci WEP
ditambahkan ke beberapa data untuk membuat "vektor inisialisasi", atau "IV " Singkatnya.
Misalnya, kunci heksadesimal 128-bit terdiri dari 26 karakter dari keyboard (total 104 bit)
yang dikombinasikan dengan IV 24-bit. Ketika klien pergi untuk terhubung ke AP, itu
mengirimkan permintaan untuk otentikasi, yang bertemu dengan balasan tantangan dari
AP. Klien mengenkripsi tantangan dengan kunci, AP mendekripsinya, dan jika tantangan
yang diterimanya cocok dengan yang asli yang dikirim, AP akan mengautentikasi klien.
Pelajaran WiFi Lanjutan
1.
2.
3.
4.
5.
6.
7.
Keamanan WiFi
Merancang Jaringan Dual-Band
Tarif Data Lama
Zigbee & WiFi
Interferensi Berdekatan dan Co-Channel
Contoh Interferensi WiFi dan non-WiFi
Serangan Man-in-the-Middle
Ini mungkin terdengar aman, tetapi ada ruang dalam skema ini untuk mengeksploitasi
ditemukan. Risiko muncul dengan sendirinya ketika klien mengirimkan permintaannya ke
104
titik akses - bagian yang berisi IV ditransmisikan secara nirkabel dalam teks yang jelas
(tidak dienkripsi). Selain itu, IV lebih sederhana dibandingkan dengan kunci, dan ketika
ada beberapa klien yang menggunakan kunci WEP yang sama di jaringan, IV memiliki
kemungkinan pengulangan yang lebih tinggi. Dalam lingkungan yang sibuk, pengguna
jahat yang ingin mendapatkan akses ke jaringan yang menggunakan keamanan WEP dapat
secara pasif menguping dan mengumpulkan IV dengan cepat. Ketika cukup IV telah
dikumpulkan, kuncinya menjadi sepele untuk didekripsi.
Jelas, WEP bukanlah pilihan yang tepat untuk mengamankan jaringan Anda, dan oleh
karena itu, jenis keamanan nirkabel lainnya telah dibuat.
WPA
WiFi Protected Access (WPA) diratifikasi oleh WiFi Alliance pada tahun 2003 sebagai
tanggapan atas ketidakamanan yang ditemukan di WEP. Standar keamanan baru ini,
Protokol Integritas Kunci Sementara (TKIP), mencakup beberapa penyempurnaan melalui
WEP, termasuk pemeriksaan integritas pesan baru yang diberi nama "Michael".
Sementara Michael menawarkan banyak perbaikan dibandingkan cara lama mengamankan
jaringan, masih ada beberapa kekhawatiran tentang beberapa masalah keamanan dengan
menggunakan implementasi serupa (meskipun lebih kuat).
WPA2
Kekhawatiran tentang Michael menyebabkan pengenalan WPA2 pada tahun 2004. Di
pusat WPA2 adalah penggunaan protokol keamanan berdasarkan Advanced Encryption
Standard (AES), pilihan enkripsi yang disukai Pemerintah AS.
Saat ini, satu-satunya orang yang masih harus menggunakan TKIP pada jaringan nirkabel
adalah mereka yang berurusan dengan perangkat keras yang memiliki rating hanya
802.11g.
WPS
Pada tahun 2007, metode keamanan baru - WiFi Protected Setup (WPS) - mulai muncul di
titik akses nirkabel. Dengan jenis keamanan ini, pengguna dapat menambahkan perangkat
baru ke jaringan mereka hanya dengan menekan sebuah tombol (dalam perangkat lunak
administrasi atau secara fisik pada router) dan kemudian mengetikkan nomor PIN 8 digit
pada perangkat klien. Fitur PIN bertindak sebagai semacam pintasan untuk memasukkan
kunci WPA (WiFi Protected Access) yang lebih panjang. Ide dasar di balik WPS adalah
memiliki akses fisik ke AP untuk menekan tombol dan membaca stiker akan memberikan
implementasi otentikasi WiFi yang lebih aman. Semuanya baik-baik saja di dunia WPS,
hingga musim dingin yang lalu, ketika seorang peneliti keamanan menemukan Achilles
Heel dalam implementasinya.
Begini cara kerjanya:
105
Digit kedelapan dan terakhir dari nomor PIN adalah checksum, yang digunakan untuk
memastikan 7 digit yang penting tidak rusak. Dari 7 digit tersebut, kita dapat melihat
bahwa terdapat 10.000.000 kemungkinan (karena masing-masing dari 7 digit tersebut bisa
0-9, dengan pengulangan diperbolehkan). Ini masih kemungkinan yang cukup besar, dan
saja bisa dibilang masih dianggap cukup aman - tetapi ada kekurangan dalam proses
pemeriksaan. Saat PIN sedang diperiksa oleh AP, 4 digit pertama (10.000 kemungkinan)
diperiksa secara terpisah dari 3 digit terakhir (1.000 kemungkinan). Ini berarti pengguna
jahat hanya perlu membuat paling banyak 11.000 tebakan, yang dapat ditangani komputer
dalam hitungan jam!
Seperti yang Anda lihat, jika Anda atau seseorang yang Anda kenal saat ini menggunakan
WPS pada titik akses, Anda harus menonaktifkan fitur secepatnya.
Rekomendasi Kami
Jika titik akses atau klien Anda hanya mampu menggunakan WEP, inilah saatnya bagi
Anda untuk melihat peningkatan teknologi Anda, demi peningkatan keamanan - belum lagi
peningkatan kecepatan throughput pada perangkat yang lebih baru.
Saat ini, keamanan terbaik untuk jaringan WiFi Anda adalah WPA2 dengan WPS
dinonaktifkan . Menggunakan kombinasi keamanan ini memberikan jaringan WiFi yang
paling aman saat ini, dan memberi Anda ketenangan pikiran yang Anda butuhkan untuk
"menyetelnya dan melupakannya".
Selain itu, apakah Anda benar-benar ingin mempercayai satu tombol untuk memberikan
semua keamanan untuk jaringan Anda? Jika WPA2 dengan WPS yang dinonaktifkan
menjadi rentan, kami akan memastikan dan terus mengabari Anda tentang penyesuaian
yang harus Anda buat agar tetap aman.
13. Keamanan Web
Keamanan aplikasi web
Keamanan aplikasi web adalah cabang dari keamanan informasi yang secara khusus
menangani keamanan situs web , aplikasi web , dan layanan web . Pada tingkat tinggi,
keamanan aplikasi web mengacu pada prinsip-prinsip keamanan aplikasi tetapi
menerapkannya secara khusus pada sistem internet dan web . [1]
106
Isi
Ancaman keamanan
Mayoritas serangan aplikasi web terjadi melalui cross-site scripting (XSS) dan serangan
injeksi SQL [2] yang biasanya dimungkinkan oleh pengkodean yang salah dan kegagalan
untuk membersihkan masukan dan keluaran aplikasi. Serangan-serangan ini diperingkat
dalam 25 Kesalahan Pemrograman Paling Berbahaya CWE / SANS 2009 . [3]
Menurut vendor keamanan Cenzic, kerentanan teratas pada Maret 2012 meliputi: [4]
37% Pembuatan skrip lintas situs
16% Injeksi SQL
5% Pengungkapan jalur
5% Serangan Denial-of-service
4% Eksekusi kode arbitrer
4% Kerusakan memori
4% Pemalsuan permintaan lintas situs
3% Pelanggaran data (pengungkapan informasi)
3% Penyertaan file sewenang-wenang
2% Penyertaan file lokal
1% Inklusi file jarak jauh
1% Buffer overflow
15% Lainnya, termasuk injeksi kode (PHP / JavaScript), dll.
Proyek Keamanan Aplikasi Web Terbuka ( OWASP ) menyediakan sumber daya gratis
dan terbuka. Itu dipimpin oleh sebuah organisasi nirlaba bernama The OWASP
Foundation. OWASP Top 10 - 2017 adalah hasil publikasi penelitian terbaru berdasarkan
data komprehensif yang dikumpulkan dari lebih dari 40 organisasi mitra. Dari data ini,
sekitar 2,3 juta kerentanan ditemukan di lebih dari 50.000 aplikasi. [5] Menurut OWASP
Top 10 - 2017, sepuluh risiko keamanan aplikasi web yang paling kritis meliputi: [6]
•
•
107
Injeksi
Otentikasi rusak
•
•
•
•
•
•
•
•
Eksposur data sensitif
Entitas eksternal XML (XXE)
Kontrol akses rusak
Kesalahan konfigurasi keamanan
Pembuatan skrip lintas situs (XSS)
Deserialisasi tidak aman
Menggunakan komponen dengan kerentanan yang diketahui
Pencatatan dan pemantauan tidak memadai
Rekomendasi praktik terbaik
Pengembangan aplikasi web yang aman harus ditingkatkan dengan menerapkan pos
pemeriksaan keamanan dan teknik pada tahap awal pengembangan serta sepanjang siklus
pengembangan perangkat lunak . Penekanan khusus harus diterapkan pada fase
pengkodean pengembangan. Mekanisme keamanan yang harus digunakan antara lain,
pemodelan ancaman, analisis risiko , analisis statis , tanda tangan digital , dan lain-lain. [7]
Standar keamanan
OWASP adalah badan standar yang muncul untuk keamanan aplikasi web. Secara khusus
mereka telah menerbitkan OWASP Top 10, [8] yang menjelaskan secara rinci ancaman
utama terhadap aplikasi web. Konsorsium Keamanan Aplikasi Web (WASC) telah
membuat Basis Data Insiden Peretasan Web (WHID) dan juga menghasilkan dokumen
praktik terbaik sumber terbuka tentang keamanan aplikasi web. WHID menjadi proyek
OWASP pada Februari 2014. [9]
Teknologi keamanan
Meskipun keamanan pada dasarnya didasarkan pada orang dan proses, ada sejumlah solusi
teknis yang perlu dipertimbangkan saat merancang, membangun, dan menguji aplikasi web
yang aman. Di tingkat tinggi, solusi ini mencakup:
•
•
•
•
•
•
Alat pengujian kotak hitam seperti pemindai keamanan aplikasi Web , [10] pemindai
kerentanan, dan perangkat lunak pengujian penetrasi [11]
Alat pengujian kotak putih seperti penganalisis kode sumber statis [12]
Fuzzing , [13] alat yang digunakan untuk pengujian input
Pemindai keamanan aplikasi web (pemindai kerentanan)
Firewall aplikasi web (WAF), [14] digunakan untuk memberikan proteksi jenis firewall pada
lapisan aplikasi web
Password cracking alat untuk menguji kekuatan password dan implementasi
14. Malware
108
Malware
Malware (a portmanteau untuk perangkat lunak berbahaya ) adalah setiap perangkat
lunak sengaja dirancang untuk menyebabkan kerusakan pada komputer , server yang ,
klien, atau jaringan komputer [1] [2] (Sebaliknya, software yang menyebabkan tidak
disengaja bahaya karena beberapa kekurangan biasanya digambarkan sebagai a bug
software ). [3] Ada berbagai jenis malware, termasuk virus komputer , worm , trojan horse ,
ransomware , spyware , adware ,perangkat lunak jahat , dan scareware .
Hex dari worm Blaster , menunjukkan pesan tersisa untuk Microsoft co-founder Bill Gates oleh
programmer cacing
Program juga dianggap malware jika secara diam-diam bertindak melawan kepentingan
pengguna komputer. Misalnya, pada satu titik Sony music Compact disc memasang rootkit
secara diam-diam di komputer pembeli dengan tujuan mencegah penyalinan ilegal, tetapi
juga melaporkan kebiasaan mendengarkan pengguna, dan secara tidak sengaja
menciptakan kerentanan keamanan ekstra. [4]
Berbagai perangkat lunak antivirus , firewall , dan strategi lain digunakan untuk membantu
melindungi dari masuknya malware, untuk membantu mendeteksinya jika sudah ada, dan
untuk memulihkan dari aktivitas dan serangan berbahaya terkait malware. [5]
109
Isi
Tujuan
Banyak program infeksius awal, termasuk Worm Internet pertama , ditulis sebagai
percobaan atau lelucon. [6] Saat ini, perangkat lunak perusak digunakan oleh peretas black
hat dan pemerintah, untuk mencuri informasi pribadi, keuangan, atau bisnis. [7] [8]
Malware is sometimes used broadly against government or corporate websites to gather
guarded information,[9] or to disrupt their operation in general. However, malware can be
used against individuals to gain information such as personal identification numbers or
details, bank or credit card numbers, and passwords.
Since the rise of widespread broadband Internet access, malicious software has more
frequently been designed for profit. Since 2003, the majority of widespread viruses and
worms have been designed to take control of users' computers for illicit purposes. [10]
Infected "zombie computers" can be used to send email spam, to host contraband data such
as child pornography,[11] or to engage in distributed denial-of-service attacks as a form of
extortion.[12]
Programs designed to monitor users' web browsing, display unsolicited advertisements, or
redirect affiliate marketing revenues are called spyware. Spyware programs do not spread
like viruses; instead they are generally installed by exploiting security holes. They can also
be hidden and packaged together with unrelated user-installed software.[13] The Sony BMG
rootkit was intended to prevent illicit copying; but also reported on users' listening habits,
and unintentionally created extra security vulnerabilities. [4]
Ransomware affects an infected computer system in some way, and demands payment to
bring it back to its normal state. There are two variations of ransomware, being crypto
ransomware and locker ransomware.[14] With the locker ransomware just locking down a
computer system without encrypting its contents. Whereas the traditional ransomware is
one that locks down a system and encrypts its contents. For example, programs such as
110
CryptoLocker encrypt files securely, and only decrypt them on payment of a substantial
sum of money.[15]
Some malware is used to generate money by click fraud, making it appear that the
computer user has clicked an advertising link on a site, generating a payment from the
advertiser. It was estimated in 2012 that about 60 to 70% of all active malware used some
kind of click fraud, and 22% of all ad-clicks were fraudulent.[16]
Selain menghasilkan uang kriminal, malware dapat digunakan untuk sabotase, seringkali
untuk motif politik. Stuxnet , misalnya, dirancang untuk mengganggu peralatan industri
yang sangat spesifik. Ada serangan bermotif politik yang menyebar dan mematikan
jaringan komputer besar, termasuk penghapusan file secara besar-besaran dan korupsi
master boot record , yang disebut sebagai "mematikan komputer". Serangan semacam itu
dilakukan di Sony Pictures Entertainment (25 November 2014, menggunakan malware
yang dikenal sebagai Shamoon atau W32.Disttrack) dan Saudi Aramco (Agustus 2012). [17]
[18]
Malware menular
Artikel utama: Virus komputer dan Worm komputer
Jenis malware, virus, dan worm yang paling terkenal, dikenal karena cara penyebarannya,
bukan jenis perilaku tertentu. Virus komputer adalah perangkat lunak yang menyematkan
dirinya di beberapa perangkat lunak lain yang dapat dijalankan (termasuk sistem operasi
itu sendiri) pada sistem target tanpa sepengetahuan dan persetujuan pengguna dan ketika
dijalankan, virus menyebar ke file yang dapat dijalankan lainnya. Di sisi lain, worm adalah
perangkat lunak malware yang berdiri sendiri yang secara aktif mentransmisikan dirinya
sendiri melalui jaringan untuk menginfeksi komputer lain. Definisi ini mengarah pada
pengamatan bahwa virus mengharuskan pengguna untuk menjalankan perangkat lunak
atau sistem operasi yang terinfeksi agar virus menyebar, sedangkan worm menyebar
sendiri. [19]
Penyembunyian
Kategori ini tidak saling eksklusif, jadi malware dapat menggunakan beberapa teknik. [20]
Bagian ini hanya berlaku untuk malware yang dirancang untuk beroperasi tanpa terdeteksi,
bukan sabotase dan ransomware.
Lihat juga: Pengemas polimorfik
Virus
Artikel utama: Virus komputer
Virus komputer adalah perangkat lunak yang biasanya tersembunyi di dalam program lain
yang tampaknya tidak berbahaya yang dapat menghasilkan salinan dirinya sendiri dan
memasukkannya ke dalam program atau file lain, dan yang biasanya melakukan tindakan
berbahaya (seperti menghancurkan data). [21] Contohnya adalah infeksi PE, teknik,
biasanya digunakan untuk menyebarkan malware, yang memasukkan data ekstra atau kode
yang dapat dieksekusi ke dalam file PE . [22]
111
Ransomware pengunci layar
Artikel utama: Ransomware
'Lock-screen', atau pengunci layar adalah jenis ransomware “polisi siber” yang memblokir
layar pada perangkat Windows atau Android dengan tuduhan palsu dalam memanen
konten ilegal, mencoba menakut-nakuti para korban agar membayar biaya. [23] Jisut dan
SLocker memengaruhi perangkat Android lebih dari layar kunci lainnya, dengan Jisut
membuat hampir 60 persen dari semua deteksi ransomware Android. [24]
Kuda Troya
Artikel utama: Kuda Troya (komputasi)
Kuda Troya adalah program berbahaya yang salah mengartikan dirinya dengan menyamar
sebagai program atau utilitas biasa dan jinak untuk membujuk korban agar menginstalnya.
Kuda Troya biasanya membawa fungsi perusak tersembunyi yang diaktifkan saat aplikasi
dimulai. Istilah ini berasal dari cerita Yunani Kuno tentang kuda Troya yang digunakan
untuk menyerang kota Troy secara sembunyi-sembunyi. [25] [26] [27] [28] [29]
Kuda troya umumnya disebarkan oleh beberapa bentuk rekayasa sosial , misalnya, di mana
pengguna ditipu untuk menjalankan lampiran email yang disamarkan menjadi tidak
mencurigakan, (misalnya, formulir rutin yang harus diisi), atau dengan mengunduh driveby . Meskipun muatan mereka bisa apa saja, banyak bentuk modern bertindak sebagai
pintu belakang , menghubungi pengontrol ( menelepon ke rumah ) yang kemudian dapat
memiliki akses tidak sah ke komputer yang terpengaruh, berpotensi menginstal perangkat
lunak tambahan seperti keylogger untuk mencuri informasi rahasia, perangkat lunak
cryptomining atau adware untuk menghasilkan pendapatan bagi operator trojan. [30]
Meskipun kuda Troya dan pintu belakang tidak mudah dideteksi sendiri, komputer
mungkin tampak berjalan lebih lambat, mengeluarkan lebih banyak panas atau suara kipas
karena penggunaan prosesor atau jaringan yang berat, seperti yang mungkin terjadi saat
perangkat lunak cryptomining diinstal.
Tidak seperti virus dan worm komputer, Trojan horse umumnya tidak mencoba untuk
menyuntikkan dirinya ke dalam file lain atau menyebarkan dirinya sendiri. [31]
Pada musim semi 2017, pengguna Mac terkena serangan versi baru Proton Remote Access
Trojan (RAT) [32] yang dilatih untuk mengekstrak data sandi dari berbagai sumber, seperti
data pengisian otomatis browser, rantai kunci Mac-OS, dan brankas sandi. [33]
Rootkit
Artikel utama: Rootkit
Setelah perangkat lunak berbahaya diinstal pada sistem, penting untuk
menyembunyikannya, untuk menghindari deteksi. Paket perangkat lunak yang dikenal
sebagai rootkit memungkinkan penyembunyian ini, dengan memodifikasi sistem operasi
host sehingga malware disembunyikan dari pengguna. Rootkit dapat mencegah proses
berbahaya agar tidak terlihat di daftar proses sistem , atau membuat file-nya tidak dapat
dibaca. [34]
112
Beberapa jenis perangkat lunak berbahaya berisi rutinitas untuk menghindari upaya
identifikasi dan / atau penghapusan, tidak hanya untuk menyembunyikan diri. Contoh awal
dari perilaku ini dicatat dalam kisah File Jargon dari sepasang program yang menginfestasi
sistem berbagi waktu Xerox CP-V :
Setiap pekerjaan hantu akan mendeteksi fakta bahwa yang lain telah terbunuh, dan akan
memulai salinan baru dari program yang baru saja dihentikan dalam beberapa milidetik.
Satu-satunya cara untuk membunuh kedua hantu tersebut adalah dengan membunuh
mereka secara bersamaan (sangat sulit) atau dengan sengaja merusak sistem. [35]
Pintu Belakang
Artikel utama: Backdoor (komputasi)
Pintu belakang adalah metode untuk melewati prosedur otentikasi normal , biasanya
melalui koneksi ke jaringan seperti Internet. Setelah sistem dikompromikan, satu atau lebih
pintu belakang dapat dipasang untuk memungkinkan akses di masa mendatang, [36] tanpa
terlihat oleh pengguna.
Gagasan tersebut sering kali dikemukakan bahwa produsen komputer melakukan prainstal
pintu belakang pada sistem mereka untuk memberikan dukungan teknis bagi pelanggan,
tetapi ini tidak pernah diverifikasi dengan andal. Dilaporkan pada tahun 2014 bahwa
lembaga pemerintah AS telah mengalihkan komputer yang dibeli oleh mereka yang
dianggap sebagai "target" ke bengkel rahasia di mana perangkat lunak atau perangkat keras
yang mengizinkan akses jarak jauh oleh badan tersebut dipasang, dianggap sebagai salah
satu operasi paling produktif untuk mendapatkan akses ke jaringan di sekitarnya. Dunia.
[37]
Pintu belakang dapat dipasang dengan kuda Troya, worm , implan , atau metode
lainnya. [38] [39]
Penghindaran
Sejak awal 2015, sebagian besar malware telah menggunakan kombinasi dari banyak
teknik yang dirancang untuk menghindari deteksi dan analisis. [40] Dari yang lebih umum,
hingga yang paling tidak umum:
1. penghindaran analisis dan deteksi dengan sidik jari lingkungan saat dijalankan. [41]
2. metode deteksi alat otomatis yang membingungkan. Hal ini memungkinkan malware
menghindari deteksi oleh teknologi seperti perangkat lunak antivirus berbasis tanda
tangan dengan mengubah server yang digunakan oleh malware. [42]
3. penghindaran berbasis waktu. Ini adalah saat malware berjalan pada waktu tertentu atau
mengikuti tindakan tertentu yang diambil oleh pengguna, sehingga dijalankan selama
periode rentan tertentu, seperti selama proses boot, sementara sisanya tidak aktif.
4. mengaburkan data internal sehingga alat otomatis tidak mendeteksi malware. [43]
Teknik yang semakin umum (2015) adalah adware yang menggunakan sertifikat curian
untuk menonaktifkan perlindungan anti-malware dan virus; solusi teknis tersedia untuk
menangani adware. [44]
113
Saat ini, salah satu cara penghindaran yang paling canggih dan tersembunyi adalah dengan
menggunakan teknik penyembunyian informasi, yaitu stegomalware . Sebuah survei
tentang stegomalware diterbitkan oleh Cabaj et al. pada 2018. [45]
Jenis teknik penghindaran lainnya adalah Fileless malware atau Advanced Volatile Threats
(AVTs). Malware tanpa file tidak membutuhkan file untuk beroperasi. Ini berjalan di
dalam memori dan menggunakan alat sistem yang ada untuk melakukan tindakan jahat.
Karena tidak ada file di sistem, tidak ada file yang dapat dijalankan untuk dianalisis oleh
antivirus dan alat forensik, membuat malware semacam itu hampir tidak mungkin
dideteksi. Satu-satunya cara untuk mendeteksi malware tanpa file adalah menangkapnya
beroperasi secara real time. Baru-baru ini serangan jenis ini menjadi lebih sering dengan
peningkatan 432% di tahun 2017 dan 35% dari serangan di tahun 2018. Serangan semacam
itu tidak mudah dilakukan tetapi menjadi lebih umum dengan bantuan exploit-kits. [46] [47]
Kerentanan
Artikel utama: Kerentanan (komputasi)
•
•
Dalam konteks ini, dan secara keseluruhan, apa yang disebut "sistem" yang diserang
dapat berupa apa saja dari satu aplikasi, melalui komputer lengkap dan sistem operasi,
hingga jaringan besar .
Berbagai faktor membuat sistem lebih rentan terhadap malware:
Cacat keamanan dalam perangkat lunak
Malware mengeksploitasi cacat keamanan ( bug atau kerentanan keamanan ) dalam desain
sistem operasi, dalam aplikasi (seperti browser, misalnya versi Microsoft Internet Explorer
yang lebih lama yang didukung oleh Windows XP [48] ), atau dalam versi plugin browser
yang rentan seperti Adobe Flash Player , Adobe Acrobat atau Reader , atau Java SE . [49]
[50]
Kadang-kadang bahkan menginstal versi baru dari plugin tersebut tidak secara otomatis
menghapus versi lama. Nasihat keamanan dari penyedia plug-in mengumumkan
pembaruan terkait keamanan. [51] Kerentanan umum ditetapkan dengan ID CVEdan
terdaftar dalam Basis Data Kerentanan Nasional AS . Secunia PSI [52] adalah contoh
perangkat lunak, gratis untuk penggunaan pribadi, yang akan memeriksa PC untuk
perangkat lunak usang yang rentan, dan mencoba untuk memperbaruinya.
Pembuat malware menargetkan bug , atau celah, untuk dieksploitasi. Metode umum adalah
eksploitasi kerentanan buffer overrun , di mana perangkat lunak yang dirancang untuk
menyimpan data di wilayah memori tertentu tidak mencegah lebih banyak data daripada
yang dapat diakomodasi buffer yang disediakan. Malware dapat memberikan data yang
meluap-luap buffer, dengan kode yang dapat dieksekusi atau data berbahaya setelah akhir;
ketika muatan ini diakses, ia melakukan apa yang ditentukan oleh penyerang, bukan
perangkat lunak yang sah.
Desain tidak aman atau kesalahan pengguna
PC awal harus di-boot dari floppy disk . Ketika hard drive built-in menjadi umum, sistem
operasi biasanya dimulai dari mereka, tetapi dimungkinkan untuk melakukan boot dari
perangkat boot lain jika tersedia, seperti floppy disk, CD-ROM , DVD-ROM, USB flash
drive atau jaringan . Merupakan hal yang umum untuk mengkonfigurasi komputer untuk
114
melakukan booting dari salah satu perangkat ini jika tersedia. Biasanya tidak ada yang
tersedia; pengguna sengaja memasukkan, katakanlah, CD ke dalam drive optik untuk
mem-boot komputer dengan cara khusus, misalnya, untuk menginstal sistem operasi.
Bahkan tanpa booting, komputer dapat dikonfigurasi untuk menjalankan perangkat lunak
pada beberapa media segera setelah tersedia, misalnya untuk menjalankan CD atau
perangkat USB secara otomatis saat dimasukkan.
Distributor malware akan mengelabui pengguna agar melakukan booting atau menjalankan
dari perangkat atau media yang terinfeksi. Misalnya, virus dapat membuat komputer yang
terinfeksi menambahkan kode autorunnable ke stik USB apa pun yang dicolokkan ke
dalamnya. Siapapun yang kemudian memasang stik ke komputer lain yang disetel ke
autorun dari USB pada gilirannya akan terinfeksi, dan juga menularkan infeksi dengan cara
yang sama. [53] Secara umum, perangkat apa pun yang dihubungkan ke port USB - bahkan
lampu, kipas, speaker, mainan, atau periferal seperti mikroskop digital - dapat digunakan
untuk menyebarkan malware. Perangkat dapat terinfeksi selama produksi atau pasokan jika
kontrol kualitas tidak memadai. [53]
Bentuk infeksi ini sebagian besar dapat dihindari dengan mengatur komputer secara default
untuk boot dari hard drive internal, jika tersedia, dan tidak untuk menjalankan otomatis
dari perangkat. [53] Booting yang disengaja dari perangkat lain selalu dimungkinkan dengan
menekan tombol tertentu selama boot.
Perangkat lunak email yang lebih lama akan secara otomatis membuka email HTML yang
berisi kode JavaScript yang berpotensi berbahaya . Pengguna juga dapat mengeksekusi
lampiran email berbahaya yang tersamar. The 2018 data Breach Investigasi Laporan oleh
Verizon , dikutip oleh CSO online , menyatakan bahwa email adalah metode utama
pengiriman malware, akuntansi untuk 92% dari pengiriman malware di seluruh dunia. [54]
[55]
Pengguna yang memiliki hak istimewa dan kode yang memiliki hak istimewa
Artikel utama: prinsip hak istimewa paling rendah
Dalam komputasi, hak istimewa mengacu pada seberapa banyak pengguna atau program
diizinkan untuk memodifikasi sistem. Dalam sistem komputer yang dirancang dengan
buruk, pengguna dan program dapat diberi lebih banyak hak istimewa daripada yang
seharusnya, dan malware dapat memanfaatkan ini. Dua cara malware melakukan ini adalah
melalui pengguna yang memiliki hak istimewa dan kode yang memiliki hak istimewa. [
butuh rujukan ]
Beberapa sistem mengizinkan semua pengguna untuk mengubah struktur internal mereka,
dan pengguna seperti itu sekarang akan dianggap sebagai pengguna yang memiliki hak
istimewa . Ini adalah prosedur operasi standar untuk komputer mikro awal dan sistem
komputer rumah, di mana tidak ada perbedaan antara administrator atau root , dan
pengguna reguler sistem. Dalam beberapa sistem, pengguna non-administrator memiliki
hak istimewa yang berlebihan berdasarkan desain, dalam arti bahwa mereka diizinkan
untuk mengubah struktur internal sistem. Di beberapa lingkungan, pengguna memiliki hak
istimewa yang berlebihan karena mereka telah diberikan administrator atau status yang
setara secara tidak tepat. [ butuh rujukan ]
115
Beberapa sistem mengizinkan kode yang dieksekusi oleh pengguna untuk mengakses
semua hak pengguna tersebut, yang dikenal sebagai kode yang memiliki hak istimewa. Ini
juga merupakan prosedur operasi standar untuk komputer mikro awal dan sistem komputer
rumah. Malware, berjalan sebagai kode yang memiliki hak istimewa, dapat menggunakan
hak istimewa ini untuk menumbangkan sistem. Hampir semua sistem operasi populer saat
ini, dan juga banyak aplikasi skrip mengizinkan kode terlalu banyak hak istimewa,
biasanya dalam arti bahwa ketika pengguna mengeksekusi kode, sistem mengizinkan kode
itu semua hak pengguna itu. Hal ini membuat pengguna rentan terhadap malware dalam
bentuk lampiran email , yang mungkin disamarkan atau tidak. [ butuh rujukan ]
Penggunaan sistem operasi yang sama
•
Homogenitas bisa menjadi kerentanan. Misalnya, ketika semua komputer dalam jaringan
menjalankan sistem operasi yang sama, setelah mengeksploitasinya, satu worm dapat
mengeksploitasi semuanya: [56] Secara khusus, Microsoft Windows atau Mac OS X
memiliki pangsa pasar yang begitu besar sehingga kerentanan yang dieksploitasi
berkonsentrasi pada salah satu sistem operasi dapat menumbangkan sejumlah besar
sistem. Memperkenalkan keragaman semata-mata demi ketahanan, seperti
menambahkan komputer Linux, dapat meningkatkan biaya jangka pendek untuk pelatihan
dan pemeliharaan. Namun, selama semua node bukan bagian dari layanan direktori yang
sama untuk otentikasi, memiliki beberapa node yang beragam dapat mencegah
pemadaman totaljaringan dan memungkinkan node tersebut untuk membantu pemulihan
node yang terinfeksi. Redundansi fungsional yang terpisah seperti itu dapat menghindari
biaya penghentian total, dengan biaya peningkatan kompleksitas dan berkurangnya
kegunaan dalam hal otentikasi sistem masuk tunggal . [ butuh rujukan ]
Strategi anti-malware
Artikel utama: Perangkat lunak antivirus
Karena serangan malware menjadi lebih sering, perhatian mulai bergeser dari perlindungan
virus dan spyware, ke perlindungan malware, dan program yang telah dikembangkan
secara khusus untuk memerangi malware. (Tindakan pencegahan dan pemulihan lainnya,
seperti metode pencadangan dan pemulihan, disebutkan dalam artikel virus komputer ).
Perangkat lunak anti-virus dan anti-malware
Komponen tertentu dari perangkat lunak anti-virus dan anti-malware, biasanya disebut
sebagai pemindai yang dapat diakses atau real-time, menghubungkan jauh ke inti atau
kernel sistem operasi dan berfungsi dengan cara yang mirip dengan cara malware tertentu
itu sendiri berusaha untuk melakukannya. beroperasi, meskipun dengan izin pengguna
untuk melindungi sistem. Setiap kali sistem operasi mengakses file, pemindai saat
mengakses memeriksa apakah file tersebut adalah file 'sah' atau bukan. Jika file
diidentifikasi sebagai malware oleh pemindai, operasi akses akan dihentikan, file akan
ditangani oleh pemindai dengan cara yang telah ditentukan sebelumnya (bagaimana
program anti-virus dikonfigurasi selama / pasca instalasi), dan pengguna akan diberitahu. [
butuh rujukan ]Ini mungkin memiliki pengaruh kinerja yang cukup besar pada sistem operasi,
meskipun tingkat dampaknya tergantung pada seberapa baik pemindai diprogram.
Tujuannya adalah untuk menghentikan operasi apa pun yang mungkin dicoba oleh
116
malware pada sistem sebelum terjadi, termasuk aktivitas yang mungkin mengeksploitasi
bug atau memicu perilaku sistem operasi yang tidak terduga.
Program anti-malware dapat memerangi malware dengan dua cara:
1. Mereka dapat memberikan perlindungan waktu nyata terhadap pemasangan perangkat
lunak perusak di komputer. Jenis perlindungan malware ini bekerja dengan cara yang
sama seperti perlindungan antivirus di mana perangkat lunak anti-malware memindai
semua data jaringan yang masuk untuk mencari malware dan memblokir semua ancaman
yang datang.
2. Program perangkat lunak anti-malware hanya dapat digunakan untuk mendeteksi dan
menghapus perangkat lunak malware yang telah diinstal ke komputer. Jenis perangkat
lunak anti-malware ini memindai konten registri Windows, file sistem operasi, dan
program yang diinstal di komputer dan akan memberikan daftar ancaman yang
ditemukan, memungkinkan pengguna untuk memilih file mana yang akan dihapus atau
disimpan, atau untuk membandingkan daftar ini ke daftar komponen malware yang
dikenal, menghapus file yang cocok. [57]
Perlindungan waktu nyata dari malware bekerja sama dengan perlindungan antivirus
waktu-nyata: perangkat lunak memindai file disk pada waktu pengunduhan, dan
memblokir aktivitas komponen yang diketahui mewakili malware. Dalam beberapa kasus,
ini juga dapat menghalangi upaya untuk menginstal item start-up atau untuk mengubah
pengaturan browser. Karena banyak komponen malware yang dipasang sebagai akibat dari
eksploitasi browser atau kesalahan pengguna, menggunakan perangkat lunak keamanan
(beberapa di antaranya adalah anti-malware, meskipun banyak yang tidak) ke browser
"kotak pasir" (pada dasarnya mengisolasi browser dari komputer dan karenanya malware
apa pun) perubahan yang diinduksi) juga dapat efektif dalam membantu membatasi
kerusakan yang terjadi. [58]
Contoh perangkat lunak antivirus dan anti-malware Microsoft Windows termasuk
Microsoft Security Essentials opsional [59] (untuk Windows XP, Vista, dan Windows 7)
untuk perlindungan waktu nyata, Alat Penghapus Perangkat Lunak Berbahaya Windows
[60]
(sekarang disertakan dengan Windows (Keamanan) Pembaruan pada " Patch Tuesday ",
Selasa kedua setiap bulan), dan Windows Defender (unduhan opsional untuk Windows
XP, yang menggabungkan fungsionalitas MSE untuk Windows 8 dan yang lebih baru). [61]
Selain itu, beberapa program perangkat lunak antivirus yang mampu tersedia untuk
diunduh gratis dari Internet (biasanya terbatas untuk penggunaan non-komersial).[62]
Pengujian menemukan beberapa program gratis bersaing dengan program komersial. [62] [63]
[64]
Pemeriksa Berkas Sistem Microsoftdapat digunakan untuk memeriksa dan
memperbaiki berkas sistem yang rusak.
Beberapa virus menonaktifkan System Restore dan alat Windows penting lainnya seperti
Task Manager dan Command Prompt . Banyak virus semacam itu dapat dihapus dengan
me - reboot komputer, memasuki mode aman Windows dengan jaringan, [65] dan kemudian
menggunakan peralatan sistem atau Microsoft Safety Scanner . [66]
Jenis implan perangkat keras dapat berupa apa saja, sehingga tidak ada cara umum untuk
mendeteksinya.
117
Pemindaian keamanan situs web
Karena malware juga merusak situs web yang disusupi (dengan merusak reputasi,
memasukkan daftar hitam di mesin pencari, dll.), Beberapa situs web menawarkan
pemindaian kerentanan. [67] [68] [69] [70] Pemindaian semacam itu memeriksa situs web,
mendeteksi malware [71] , mungkin mencatat perangkat lunak usang, dan mungkin
melaporkan masalah keamanan yang diketahui.
Isolasi "celah udara" atau "jaringan paralel"
Sebagai upaya terakhir, komputer dapat dilindungi dari malware, dan komputer yang
terinfeksi dapat dicegah untuk menyebarkan informasi tepercaya, dengan menerapkan
"celah udara" (yaitu memutuskan sama sekali dari semua jaringan lain). Namun, malware
masih dapat melewati celah udara dalam beberapa situasi. Misalnya, media yang dapat
dilepas dapat membawa malware melintasi celah tersebut. [ butuh rujukan ]
"AirHopper", [72] "BitWhisper", [73] "GSMem" [74] dan "Fansmitter" [75] adalah empat teknik
yang diperkenalkan oleh para peneliti yang dapat membocorkan data dari komputer yang
memiliki celah udara menggunakan emisi elektromagnetik, termal dan akustik.
Grayware
Lihat juga: Perangkat lunak yang melanggar privasi dan Program yang mungkin tidak diinginkan
Grayware adalah istilah yang diterapkan pada aplikasi atau file yang tidak diinginkan yang
tidak diklasifikasikan sebagai malware, tetapi dapat memperburuk kinerja komputer dan
dapat menyebabkan risiko keamanan. [76]
Ini mendeskripsikan aplikasi yang berperilaku mengganggu atau tidak diinginkan, namun
tidak terlalu serius atau merepotkan daripada malware. Grayware mencakup spyware ,
adware , pemanggil palsu , program lelucon, alat akses jarak jauh , dan program tak
diinginkan lainnya yang dapat merusak kinerja komputer atau menyebabkan
ketidaknyamanan. Istilah ini mulai digunakan sekitar tahun 2004. [77]
Istilah lain, program yang mungkin tidak diinginkan (PUP) atau aplikasi yang mungkin
tidak diinginkan (PUA), [78] mengacu pada aplikasi yang akan dianggap tidak diinginkan
meskipun sering diunduh oleh pengguna, mungkin setelah gagal membaca perjanjian
unduhan. PUP termasuk spyware, adware, dan dialer curang. Banyak produk keamanan
yang mengklasifikasikan generator kunci yang tidak sah sebagai perangkat lunak abu-abu,
meskipun mereka sering kali membawa malware asli selain untuk tujuan nyata mereka.
Pembuat perangkat lunak Malwarebytes mencantumkan beberapa kriteria untuk
mengklasifikasikan program sebagai PUP. [79] Beberapa jenis adware (menggunakan
sertifikat curian) mematikan anti-malware dan perlindungan virus; solusi teknis tersedia.
[44]
118
Sejarah virus dan worm
Sebelum akses Internet tersebar luas, virus menyebar ke komputer pribadi dengan
menginfeksi program yang dapat dijalankan atau sektor boot dari floppy disk. Dengan
memasukkan salinan dirinya sendiri ke dalam instruksi kode mesin di program atau sektor
boot ini , virus menyebabkan dirinya sendiri untuk dijalankan setiap kali program
dijalankan atau disk di-boot. Virus komputer awal ditulis untuk Apple II dan Macintosh ,
tetapi menjadi lebih luas dengan dominasi sistem IBM PC dan MS-DOS . Virus IBM PC
pertama di "liar" adalah virus boot sector yang dijuluki (c) Brain , [80]dibuat pada tahun
1986 oleh Farooq Alvi bersaudara di Pakistan. [81] executable virus -infecting tergantung
pada pengguna bertukar software atau boot-bisa disket dan thumb drive sehingga mereka
menyebar dengan cepat di kalangan penghobi komputer. [ butuh rujukan ]
Worm pertama, program infeksi yang ditularkan melalui jaringan , tidak berasal dari
komputer pribadi, tetapi pada sistem Unix multitasking . Worm terkenal pertama adalah
Worm Internet 1988, yang menginfeksi sistem SunOS dan VAX BSD . Tidak seperti virus,
worm ini tidak memasukkan dirinya ke dalam program lain. Sebaliknya, ia
mengeksploitasi lubang keamanan ( kerentanan ) di program server jaringan dan mulai
berjalan sendiri sebagai proses terpisah . [82] Perilaku yang sama ini digunakan oleh cacing
masa kini juga. [83] [84]
Dengan munculnya platform Microsoft Windows pada 1990-an, dan makro fleksibel dari
aplikasinya, menjadi mungkin untuk menulis kode infeksius dalam bahasa makro
Microsoft Word dan program serupa. Virus makro ini menginfeksi dokumen dan templat
daripada aplikasi ( dapat dijalankan ), tetapi bergantung pada fakta bahwa makro dalam
dokumen Word adalah bentuk kode yang dapat dijalankan . [85]
Penelitian akademis
Artikel utama: Riset malware
Gagasan tentang program komputer yang mereproduksi diri dapat ditelusuri kembali ke
teori awal tentang pengoperasian automata yang kompleks. [86] John von Neumann
menunjukkan bahwa secara teori sebuah program dapat mereproduksi dirinya sendiri. Ini
merupakan hasil yang masuk akal dalam teori komputasi . Fred Cohen bereksperimen
dengan virus komputer dan mengkonfirmasi dalil Neumann serta menyelidiki properti
malware lainnya seperti kemampuan mendeteksi dan penyamaran diri menggunakan
enkripsi yang belum sempurna. Disertasi doktoralnya tahun 1987 tentang topik virus
komputer. [87]Kombinasi teknologi kriptografi sebagai bagian dari muatan virus,
mengeksploitasinya untuk tujuan serangan, diinisialisasi dan diselidiki sejak pertengahan
1990-an, dan termasuk ransomware awal dan ide penghindaran. [88]
119
15. Social Engineering dan Pencegahannya
Dalam konteks keamanan informasi , rekayasa sosial adalah manipulasi psikologis dari
orang lain untuk melakukan tindakan atau membocorkan informasi rahasia . Ini berbeda
dengan rekayasa sosial dalam ilmu sosial, yang tidak berkenaan dengan pengungkapan
informasi rahasia. Jenis trik kepercayaan untuk tujuan pengumpulan informasi, penipuan,
atau akses sistem, ini berbeda dari "penipuan" tradisional karena sering kali merupakan
salah satu dari banyak langkah dalam skema penipuan yang lebih kompleks. [1]
Peringatan OPSEC
Ini juga telah didefinisikan sebagai "tindakan apa pun yang memengaruhi seseorang untuk
mengambil tindakan yang mungkin atau mungkin tidak untuk kepentingan terbaik
mereka". [2]
Isi
Budaya keamanan informasi
Perilaku karyawan dapat berdampak besar pada keamanan informasi dalam organisasi.
Konsep budaya dapat membantu berbagai segmen organisasi untuk bekerja secara efektif
atau melawan efektivitas menuju keamanan informasi dalam suatu organisasi.
"Menjelajahi Hubungan antara Budaya Organisasi dan Budaya Keamanan Informasi"
memberikan definisi budaya keamanan informasi berikut: "ISC adalah totalitas pola
perilaku dalam organisasi yang berkontribusi pada perlindungan informasi dari semua
jenis." [3]
Andersson dan Reimers (2014) menemukan bahwa karyawan sering kali tidak melihat diri
mereka sendiri sebagai bagian dari "upaya" Keamanan Informasi organisasi dan sering
mengambil tindakan yang mengabaikan kepentingan terbaik keamanan informasi
organisasi. [4] Penelitian menunjukkan budaya keamanan informasi perlu terus
ditingkatkan. Dalam "Budaya Keamanan Informasi dari Analisis hingga Perubahan,"
penulis berkomentar bahwa "ini adalah proses yang tidak pernah berakhir, siklus evaluasi
dan perubahan atau pemeliharaan." Mereka menyarankan bahwa untuk mengelola budaya
keamanan informasi, lima langkah harus diambil: Pra-evaluasi, perencanaan strategis,
perencanaan operasi, implementasi, dan pasca-evaluasi. [5]
•
120
Pra-Evaluasi: untuk mengidentifikasi kesadaran keamanan informasi dalam karyawan dan
untuk menganalisis kebijakan keamanan saat ini.
•
•
•
Perencanaan Strategis: untuk menghasilkan program kesadaran yang lebih baik, kita perlu
menetapkan target yang jelas. Mengelompokkan orang sangat membantu untuk
mencapainya.
Perencanaan Operatif: tetapkan budaya keamanan yang baik berdasarkan komunikasi
internal, dukungan manajemen, dan kesadaran keamanan dan program pelatihan. [5]
Implementasi: empat tahap harus digunakan untuk mengimplementasikan budaya
keamanan informasi. Itu adalah komitmen manajemen, komunikasi dengan anggota
organisasi, kursus untuk semua anggota organisasi, dan komitmen karyawan. [5]
Teknik dan istilah
Semua teknik rekayasa sosial didasarkan pada atribut khusus pengambilan keputusan
manusia yang dikenal sebagai bias kognitif . [6] Bias ini, kadang-kadang disebut "bug pada
perangkat keras manusia", dieksploitasi dalam berbagai kombinasi untuk membuat teknik
serangan, beberapa di antaranya tercantum di bawah ini. Serangan yang digunakan dalam
manipulasi psikologis dapat digunakan untuk mencuri informasi rahasia karyawan. Jenis
manipulasi psikologis yang paling umum terjadi melalui telepon. Contoh lain dari serangan
rekayasa sosial adalah penjahat yang menyamar sebagai pembasmi, petugas pemadam
kebakaran, dan teknisi yang tidak diketahui saat mereka mencuri rahasia perusahaan.
Salah satu contoh manipulasi psikologis adalah seseorang yang masuk ke dalam gedung
dan memposting pengumuman yang tampak resmi ke buletin perusahaan yang menyatakan
bahwa nomor meja bantuan telah berubah. Jadi, ketika karyawan meminta bantuan,
individu tersebut meminta kata sandi dan ID mereka sehingga memperoleh kemampuan
untuk mengakses informasi pribadi perusahaan. Contoh lain dari manipulasi psikologis
adalah peretas menghubungi target di situs jejaring sosial dan memulai percakapan dengan
target. Secara bertahap peretas mendapatkan kepercayaan dari target dan kemudian
menggunakan kepercayaan itu untuk mendapatkan akses ke informasi sensitif seperti kata
sandi atau detail rekening bank. [7]
Rekayasa sosial sangat bergantung pada enam prinsip pengaruh yang ditetapkan oleh
Robert Cialdini . Teori pengaruh Cialdini didasarkan pada enam prinsip utama: timbal
balik, komitmen dan konsistensi, bukti sosial, otoritas, kesukaan, kelangkaan.
Enam prinsip utama
1. Timbal balik - Orang-orang cenderung membalas budi, sehingga sampel gratis tersebar
luas dalam pemasaran. Dalam konferensi-konferensinya, ia sering menggunakan contoh
Ethiopia yang memberikan ribuan dolar dalam bantuan kemanusiaan ke Meksiko tepat
setelah gempa bumi tahun 1985, meskipun Ethiopia menderita kelaparan yang
melumpuhkan dan perang saudara pada saat itu. Ethiopia telah membalas dukungan
diplomatik yang diberikan Meksiko ketika Italia menginvasi Ethiopia pada tahun 1935.
Strategi polisi yang baik / polisi jahat juga didasarkan pada prinsip ini.
2. Komitmen dan konsistensi - Jika orang berkomitmen, secara lisan atau tertulis, pada suatu
ide atau tujuan, mereka lebih cenderung menghormati komitmen itu karena mereka telah
menyatakan bahwa ide atau tujuan tersebut sesuai dengan citra diri mereka . Bahkan jika
insentif atau motivasi awal dihapus setelah mereka setuju, mereka akan terus
menghormati kesepakatan tersebut. Cialdini mencatat pencucian otak orang China
terhadap tawanan perang Amerika untuk menulis ulang citra diri mereka dan
121
3.
4.
5.
6.
mendapatkan kepatuhan otomatis tanpa paksaan. Contoh lain adalah pemasar yang
membuat pengguna menutup popup dengan mengatakan "Saya akan mendaftar nanti"
atau "Tidak, terima kasih, saya lebih suka tidak menghasilkan uang".
Bukti sosial - Orang akan melakukan hal-hal yang mereka lihat dilakukan orang lain.
Misalnya, dalam satu percobaan, satu atau lebih sekutu akan melihat ke langit; pengamat
kemudian akan melihat ke langit untuk melihat apa yang mereka lewatkan. Pada satu
titik, eksperimen ini dibatalkan, karena begitu banyak orang yang mencari hingga
menghentikan lalu lintas. Lihat kesesuaian , dan eksperimen kesesuaian Asch .
Otoritas - Orang akan cenderung untuk mematuhi figur otoritas, meskipun mereka
diminta untuk melakukan tindakan yang tidak menyenangkan. Cialdini mengutip insiden
seperti eksperimen Milgram di awal 1960-an dan pembantaian My Lai .
Menyukai - Orang dengan mudah dibujuk oleh orang lain yang mereka sukai. Cialdini
mengutip pemasaran Tupperware dalam apa yang sekarang disebut pemasaran viral .
Orang lebih cenderung membeli jika mereka menyukai orang yang menjualnya kepada
mereka. Beberapa dari banyak bias yang mendukung orang yang lebih menarik dibahas.
Lihat stereotip daya tarik fisik .
Kelangkaan - Kelangkaan yang dirasakan akan menghasilkan permintaan . Misalnya,
mengatakan penawaran tersedia untuk "waktu terbatas saja" mendorong penjualan.
Empat vektor rekayasa sosial
Vishing
Vishing, atau dikenal sebagai " phishing suara ", adalah praktik kriminal menggunakan
manipulasi psikologis melalui sistem telepon untuk mendapatkan akses ke informasi
pribadi dan keuangan pribadi dari publik untuk tujuan imbalan finansial. Itu juga
digunakan oleh penyerang untuk tujuan pengintaian untuk mengumpulkan intelijen yang
lebih rinci tentang organisasi target.
Pengelabuan
Artikel utama: Phishing
Phishing adalah teknik mendapatkan informasi pribadi secara curang. Biasanya, phisher
mengirim email yang tampaknya berasal dari bisnis yang sah — bank, atau perusahaan
kartu kredit —meminta "verifikasi" informasi dan peringatan tentang beberapa
konsekuensi yang mengerikan jika tidak diberikan. E-mail biasanya berisi link ke halaman
web palsu yang tampaknya sah-dengan logo perusahaan dan konten-dan memiliki bentuk
yang meminta segala sesuatu dari alamat rumah ke kartu ATM 's PIN atau nomor kartu
kredit . Misalnya, pada tahun 2003, ada penipuan phishing di mana pengguna menerima
email yang diduga dari eBaymengklaim bahwa akun pengguna akan ditangguhkan kecuali
tautan yang disediakan diklik untuk memperbarui kartu kredit (informasi yang sudah
dimiliki eBay asli). Dengan meniru kode dan logo HTML organisasi yang sah, membuat
Situs Web palsu terlihat asli secara relatif mudah. Penipuan tersebut menipu beberapa
orang untuk berpikir bahwa eBay meminta mereka untuk memperbarui informasi akun
mereka dengan mengklik tautan yang disediakan. Dengan melakukan spamming kepada
sekelompok besar orang tanpa pandang bulu , "phisher" mengandalkan perolehan
informasi keuangan yang sensitif dari sebagian kecil (namun sejumlah besar) penerima
yang sudah memiliki akun eBay dan juga menjadi korban penipuan.
122
Smishing
Tindakan menggunakan pesan teks SMS untuk memikat korban ke dalam tindakan
tertentu. Seperti phishing, ia dapat mengklik tautan berbahaya atau membocorkan
informasi.
Peniruan
Berpura-pura atau berpura-pura menjadi orang lain dengan tujuan mendapatkan akses fisik
ke suatu sistem atau bangunan. Peniruan identitas digunakan dalam penipuan " SIM swap
scam ".
Konsep lainnya
Pretexting
"Blagger" dialihkan ke sini. Untuk video game, lihat Blagger (video game) .
Pretexting (adj. Pretextual ) adalah tindakan membuat dan menggunakan skenario yang
ditemukan ( dalih ) untuk melibatkan korban yang ditargetkan dengan cara yang
meningkatkan kemungkinan korban akan membocorkan informasi atau melakukan
tindakan yang tidak mungkin terjadi dalam keadaan biasa. [8] Kebohongan yang rumit , ini
paling sering melibatkan beberapa penelitian atau pengaturan sebelumnya dan penggunaan
informasi ini untuk peniruan identitas ( misalnya , tanggal lahir, nomor Jaminan Sosial ,
jumlah tagihan terakhir) untuk menetapkan legitimasi dalam benak target. [9]
Teknik ini dapat digunakan untuk menipu bisnis agar mengungkapkan informasi pelanggan
serta oleh penyelidik swasta untuk mendapatkan catatan telepon, catatan utilitas, catatan
perbankan, dan informasi lainnya langsung dari perwakilan layanan perusahaan. [10]
Informasi tersebut kemudian dapat digunakan untuk membangun legitimasi yang lebih
besar di bawah pertanyaan yang lebih ketat dengan manajer, misalnya , untuk membuat
perubahan akun, mendapatkan saldo tertentu, dll.
Pretexting juga dapat digunakan untuk menyamar sebagai rekan kerja, polisi, bank, otoritas
pajak, pendeta, penyelidik asuransi — atau individu lain yang mungkin memiliki persepsi
otoritas atau hak untuk tahu di benak korban yang ditargetkan. Pretexter harus menyiapkan
jawaban atas pertanyaan yang mungkin ditanyakan oleh korban. Dalam beberapa kasus,
yang dibutuhkan hanyalah suara yang terdengar berwibawa, nada yang tulus, dan
kemampuan untuk berpikir sendiri untuk menciptakan skenario pretextual.
Vishing
Artikel utama: Phishing suara
Phishing telepon (atau " vishing ") menggunakan sistem respons suara interaktif (IVR)
nakal untuk membuat ulang salinan sistem IVR bank atau lembaga lain yang terdengar sah.
Korban diminta (biasanya melalui email phishing) untuk menelepon ke "bank" melalui
nomor (idealnya bebas pulsa) yang disediakan untuk "memverifikasi" informasi. Sistem
"vishing" yang khas akan menolak login terus-menerus, memastikan korban memasukkan
PIN atau kata sandi beberapa kali, seringkali mengungkapkan beberapa kata sandi yang
123
berbeda. Sistem yang lebih maju mentransfer korban ke penyerang / penipu, yang berperan
sebagai agen layanan pelanggan atau pakar keamanan untuk menanyai korban lebih lanjut.
Phishing tombak
Artikel utama: Phishing tombak
Meskipun mirip dengan "phishing", spear phishing adalah teknik yang secara curang
mendapatkan informasi pribadi dengan mengirimkan email yang sangat disesuaikan ke
beberapa pengguna akhir. Ini adalah perbedaan utama antara serangan phishing karena
kampanye phishing berfokus pada pengiriman email umum dalam jumlah besar dengan
harapan hanya sedikit orang yang akan merespons. Di sisi lain, email spear phishing
mengharuskan penyerang melakukan penelitian tambahan pada target mereka untuk
"mengelabui" pengguna akhir agar melakukan aktivitas yang diminta. Tingkat keberhasilan
serangan spear-phishing jauh lebih tinggi daripada serangan phishing dengan orang-orang
yang membuka sekitar 3% email phishing jika dibandingkan dengan sekitar 70% upaya
potensial. Selanjutnya,ketika pengguna benar-benar membuka email, email phishing
memiliki tingkat keberhasilan 5% yang relatif sederhana untuk tautan atau lampiran diklik
jika dibandingkan dengan tingkat keberhasilan 50% serangan spear-phishing.[11]
Keberhasilan Spear Phishing sangat bergantung pada jumlah dan kualitas OSINT (Open
Source Intelligence) yang dapat diperoleh penyerang. Aktivitas akun media sosial adalah
salah satu contoh sumber OSINT.
Lubang air
Artikel utama: Serangan lubang penyiraman
Pengurungan air adalah strategi rekayasa sosial bertarget yang memanfaatkan kepercayaan
pengguna pada situs web yang sering mereka kunjungi. Korban merasa aman untuk
melakukan hal-hal yang tidak akan mereka lakukan dalam situasi yang berbeda. Orang
yang waspada mungkin, misalnya, sengaja menghindari mengklik link di email yang tidak
diinginkan, tetapi orang yang sama tidak akan ragu untuk mengikuti link di situs yang
sering mereka kunjungi. Jadi, penyerang menyiapkan jebakan untuk mangsa yang tidak
waspada di lubang berair yang disukai. Strategi ini telah berhasil digunakan untuk
mendapatkan akses ke beberapa (yang seharusnya) sistem yang sangat aman. [12]
Penyerang dapat menyerang dengan mengidentifikasi kelompok atau individu untuk
dijadikan target. Persiapan melibatkan pengumpulan informasi tentang situs web yang
sering dikunjungi target dari sistem aman. Pengumpulan informasi menegaskan bahwa
target mengunjungi situs web dan bahwa sistem mengizinkan kunjungan semacam itu.
Penyerang kemudian menguji situs web ini untuk mencari kerentanan guna memasukkan
kode yang dapat menginfeksi sistem pengunjung dengan perangkat lunak perusak .
Perangkap kode dan malware yang disuntikkan dapat disesuaikan dengan grup target
tertentu dan sistem spesifik yang mereka gunakan. Suatu saat, satu atau lebih anggota
kelompok sasaran akan terinfeksi dan penyerang dapat memperoleh akses ke sistem aman.
Umpan
Umpan ibarat kuda Troya di dunia nyata yang menggunakan media fisik dan
mengandalkan keingintahuan atau keserakahan korban. [13] Dalam serangan ini , penyerang
124
meninggalkan floppy disk , CD-ROM , atau USB flash drive yang terinfeksi malware di
lokasi yang akan ditemukan orang (kamar mandi, lift, trotoar, tempat parkir, dll.),
Memberikannya yang sah dan menimbulkan rasa ingin tahu label, dan menunggu korban.
Misalnya, penyerang dapat membuat disk yang menampilkan logo perusahaan, tersedia
dari situs web target, dan memberi label "Ringkasan Gaji Eksekutif Q2 2012". Penyerang
kemudian meninggalkan disk di lantai lift atau di suatu tempat di lobi perusahaan target.
Karyawan yang tidak mengetahui mungkin menemukannya dan memasukkan disk ke
komputer untuk memuaskan rasa ingin tahunya, atau orang Samaria yang baik mungkin
menemukannya dan mengembalikannya ke perusahaan. Bagaimanapun, hanya
memasukkan disk ke komputer menginstal malware, memberikan akses penyerang ke PC
korban dan, mungkin, jaringan komputer internal perusahaan target .
Kecuali kontrol komputer memblokir infeksi, penyisipan membahayakan media "berjalan
otomatis" PC. Perangkat yang tidak bersahabat juga dapat digunakan. [14] Misalnya,
"pemenang yang beruntung" dikirimi pemutar audio digital gratis yang membahayakan
komputer mana pun yang dicolokkan. Sebuah " apel jalan " (istilah sehari-hari untuk
kotoran kuda , menunjukkan sifat perangkat yang tidak diinginkan) adalah media yang
dapat dilepas dengan perangkat lunak berbahaya yang ditinggalkan di tempat yang
oportunistik atau mencolok. Bisa berupa CD, DVD, atau USB flash drive , di antara media
lainnya. Orang-orang yang penasaran mengambilnya dan menyambungkannya ke
komputer, menginfeksi host dan jaringan yang terpasang. Sekali lagi, peretas mungkin
memberi mereka label yang menarik, seperti "Gaji Karyawan" atau "Rahasia".[15]
Satu studi yang dilakukan pada tahun 2016 meminta para peneliti menjatuhkan 297 drive
USB di sekitar kampus University of Illinois. Drive tersebut berisi file di dalamnya yang
ditautkan ke halaman web milik para peneliti. Para peneliti dapat melihat berapa banyak
drive yang file-nya dibuka, tetapi tidak berapa banyak yang dimasukkan ke dalam
komputer tanpa file dibuka. Dari 297 drive yang dijatuhkan, 290 (98%) di antaranya
diambil dan 135 (45%) di antaranya "dipanggil ke rumah". [16]
Kompensasi
Quid pro quo berarti sesuatu untuk sesuatu :
•
•
Seorang penyerang memanggil nomor acak di sebuah perusahaan, mengaku menelepon
kembali dari dukungan teknis. Akhirnya orang ini akan memukul seseorang dengan
masalah yang sah, bersyukur bahwa seseorang menelepon kembali untuk membantu
mereka. Penyerang akan "membantu" memecahkan masalah dan, dalam prosesnya,
memiliki perintah jenis pengguna yang memberikan akses kepada penyerang atau
meluncurkan malware .
Dalam survei keamanan informasi tahun 2003 , 91% pekerja kantor memberi peneliti apa
yang mereka klaim sebagai kata sandi untuk menjawab pertanyaan survei dengan imbalan
pena murah . [17] Survei serupa di tahun-tahun berikutnya memperoleh hasil yang serupa
dengan menggunakan cokelat dan umpan murah lainnya, meskipun mereka tidak
berusaha untuk memvalidasi sandi. [18]
Tailgating
Artikel utama: Piggybacking (keamanan)
125
Seorang penyerang, mencari masuk ke area terlarang yang diamankan dengan kontrol
akses elektronik tanpa pengawasan , misalnya dengan kartu RFID , hanya berjalan di
belakang seseorang yang memiliki akses yang sah. Mengikuti kesopanan umum, orang
yang sah biasanya akan menahan pintu terbuka untuk penyerang atau penyerang itu sendiri
mungkin meminta karyawan untuk membukanya untuk mereka. Orang yang sah mungkin
gagal untuk meminta identifikasi karena beberapa alasan, atau mungkin menerima
pernyataan bahwa penyerang telah lupa atau kehilangan token identitas yang sesuai.
Penyerang juga dapat memalsukan tindakan memberikan token identitas.
Tipe yang lain
Penipu kepercayaan umum atau penipu juga dapat dianggap "insinyur sosial" dalam arti
yang lebih luas, karena mereka sengaja menipu dan memanipulasi orang, mengeksploitasi
kelemahan manusia untuk mendapatkan keuntungan pribadi. Mereka mungkin, misalnya,
menggunakan teknik rekayasa sosial sebagai bagian dari penipuan TI.
Yang paling baru [ kapan? ] Jenis teknik manipulasi psikologis termasuk spoofing atau
hacking ID dari orang yang memiliki ID email populer seperti Yahoo! , Gmail , Hotmail ,
dll. Di antara banyak motivasi penipuan adalah:
•
•
•
•
•
Nomor rekening kartu kredit phishing dan sandinya.
Memecahkan email pribadi dan riwayat obrolan, dan memanipulasinya dengan
menggunakan teknik pengeditan umum sebelum menggunakannya untuk memeras uang
dan menciptakan ketidakpercayaan di antara individu.
Meretas situs web perusahaan atau organisasi dan menghancurkan reputasi mereka.
Tipuan virus komputer
Meyakinkan pengguna untuk menjalankan kode berbahaya dalam browser web melalui
serangan XSS sendiri untuk mengizinkan akses ke akun web mereka
Penanggulangan
Organisasi mengurangi risiko keamanan mereka dengan:
Pelatihan untuk Karyawan Melatih karyawan tentang protokol keamanan yang relevan
dengan posisi mereka. (misalnya, dalam situasi seperti membuntuti, jika identitas
seseorang tidak dapat diverifikasi, maka karyawan harus dilatih untuk menolak dengan
sopan.)
Kerangka Standar Menetapkan kerangka kerja kepercayaan pada tingkat karyawan /
personel (yaitu, menentukan dan melatih personel kapan / di mana / mengapa / bagaimana
informasi sensitif harus ditangani)
Memeriksa Informasi Mengidentifikasi informasi mana yang sensitif dan mengevaluasi
paparannya terhadap rekayasa sosial dan kerusakan dalam sistem keamanan (gedung,
sistem komputer, dll.)
Protokol Keamanan Menetapkan protokol, kebijakan, dan prosedur keamanan untuk
menangani informasi sensitif.
126
Event Test Melakukan tes berkala kerangka keamanan tanpa pemberitahuan.
Inokulasi Mencegah rekayasa sosial dan trik curang atau jebakan lainnya dengan
menanamkan penolakan terhadap upaya persuasi melalui eksposur terhadap upaya serupa
atau terkait. [19]
Tinjau Meninjau langkah-langkah di atas secara teratur: tidak ada solusi untuk integritas
informasi yang sempurna. [20]
Pengelolaan Sampah Menggunakan layanan pengelolaan sampah yang memiliki tempat
sampah dengan kunci, dengan kuncinya dibatasi hanya untuk perusahaan pengelola
sampah dan staf kebersihan. Menemukan tempat sampah baik di hadapan karyawan
sehingga mencoba mengaksesnya berisiko terlihat atau tertangkap, atau di belakang
gerbang atau pagar yang terkunci di mana orang tersebut harus masuk tanpa izin sebelum
mereka dapat mencoba mengakses tempat sampah tersebut. [21]
Siklus manipulasi psikologis
1. Pengumpulan informasi - Pengumpulan informasi adalah yang pertama dan paling
langkah yang membutuhkan banyak kesabaran dan kebiasaan mengamati korban dengan
cermat. Langkah ini mengumpulkan data tentang kepentingan korban, informasi pribadi .
Itu menentukan tingkat keberhasilan serangan keseluruhan.
2. Terlibat dengan korban -Setelah mengumpulkan sejumlah informasi yang diperlukan,
penyerang membuka percakapan dengan korban dengan lancar tanpa korban
menemukan sesuatu yang tidak pantas.
3. Menyerang -Langkah ini biasanya terjadi setelah lama terlibat dengan target dan selama
ini informasi dari target diambil dengan menggunakan rekayasa sosial. Pada fase tersebut,
penyerang mendapatkan hasil dari target.
4. Menutup interaksi -Ini adalah langkah terakhir yang mencakup mematikan komunikasi
secara perlahan oleh penyerang tanpa menimbulkan kecurigaan pada korban. Dengan
cara demikian motif tersebut terpenuhi serta korban jarang mengetahui bahkan
penyerangan yang terjadi. [22]
Insinyur sosial terkemuka
Frank Abagnale Jr.
Frank Abagnale Jr. adalah konsultan keamanan Amerika yang dikenal karena latar
belakangnya sebagai mantan penipu, pemalsu cek, dan penipu saat berusia antara 15 dan
21. Ia menjadi salah satu penipu paling terkenal, [23] yang mengaku pernah diasumsikan tidak
kurang dari delapan identitas, termasuk seorang pilot maskapai penerbangan, seorang
dokter, seorang agen Biro Penjara AS, dan seorang pengacara. Abagnale melarikan diri
dari tahanan polisi dua kali (sekali dari pesawat taksi dan sekali dari penjara federal AS)
sebelum berusia 22 tahun. [24]
Kevin Mitnick
Kevin Mitnick adalah konsultan keamanan komputer , penulis dan peretas Amerika , yang
terkenal karena penangkapannya yang terkenal pada tahun 1995 dan kemudian hukuman
127
lima tahun atas berbagai kejahatan yang berhubungan dengan komputer dan komunikasi.
[25]
Susan Headley
Susan Headley adalah seorang peretas Amerika yang aktif selama akhir 1970-an dan awal
1980-an yang dihormati secara luas karena keahliannya dalam rekayasa sosial, preteks ,
dan subversi psikologis . [26] Dia dikenal karena keahliannya dalam membobol sistem
komputer militer, yang sering kali melibatkan pergi tidur dengan personel militer dan
memeriksa pakaian mereka untuk nama pengguna dan kata sandi saat mereka tidur. [27] Dia
menjadi sangat terlibat dalam phreaking dengan Kevin Mitnick dan Lewis de Payne di Los
Angeles, tetapi kemudian membingkainya untuk menghapus file sistem di US Leasing
setelah perselisihan, yang mengarah ke keyakinan pertama Mitnick. Dia pensiun ke poker
profesional. [28]
Badir Brothers
Saudara Ramy, Muzher, dan Shadde Badir — semuanya buta sejak lahir — berhasil
membuat skema penipuan telepon dan komputer yang ekstensif di Israel pada tahun 1990an dengan menggunakan rekayasa sosial, peniruan identitas, dan komputer layar Braille .
[29]
Christopher J. Hadnagy
Christopher J. Hadnagy adalah insinyur sosial dan konsultan keamanan teknologi
informasi Amerika. Ia terkenal sebagai penulis dari 4 buku tentang rekayasa sosial dan
keamanan dunia maya [30] [31] [32] [33] dan pendiri Innocent Lives Foundation, sebuah
organisasi yang membantu melacak dan mengidentifikasi perdagangan anak menggunakan
berbagai teknik keamanan seperti mencari bantuan spesialis keamanan informasi,
memanfaatkan data dari intelijen sumber terbuka (OSINT) dan bekerja sama dengan
penegak hukum. [34] [35]
Hukum
Dalam hukum umum , pretexting adalah pelanggaran privasi perampasan. [36]
Pretexting catatan telepon
Pada bulan Desember 2006, Kongres Amerika Serikat menyetujui RUU yang disponsori
Senat yang menjadikan pemalsuan catatan telepon sebagai tindak pidana federal dengan
denda hingga $ 250.000 dan sepuluh tahun penjara untuk individu (atau denda hingga $
500.000 untuk perusahaan). Itu ditandatangani oleh Presiden George W. Bush pada 12
Januari 2007. [37]
Legislasi federal
"GLBA" 1999 adalah undang-undang Federal AS yang secara khusus menangani
pemalsuan catatan perbankan sebagai tindakan ilegal yang dapat dihukum berdasarkan
128
undang-undang federal. Ketika entitas bisnis seperti penyelidik swasta, penyelidik asuransi
SIU, atau adjuster melakukan segala jenis penipuan, itu berada di bawah otoritas Federal
Trade Commission (FTC). Badan federal ini memiliki kewajiban dan wewenang untuk
memastikan bahwa konsumen tidak mengalami praktik bisnis yang tidak adil atau menipu.
Undang-Undang Komisi Perdagangan Federal AS, Bagian 5 FTCAmenyatakan, sebagian:
"Kapan pun Komisi memiliki alasan untuk meyakini bahwa orang, kemitraan, atau
korporasi semacam itu telah atau sedang menggunakan metode persaingan yang tidak adil
atau tindakan atau praktik yang tidak adil atau menipu dalam atau memengaruhi
perdagangan, dan jika hal itu akan muncul kepada Komisi bahwa suatu persidangan
sehubungan dengan itu akan menjadi kepentingan publik, ia akan mengeluarkan dan
melayani orang, kemitraan, atau perusahaan tersebut suatu pengaduan yang menyatakan
dakwaannya dalam hal itu. "
Undang-undang tersebut menyatakan bahwa ketika seseorang memperoleh informasi
pribadi non-publik dari lembaga keuangan atau konsumen, tindakan mereka tunduk pada
undang-undang tersebut. Ini berkaitan dengan hubungan konsumen dengan lembaga
keuangan. Misalnya, pretexter yang menggunakan alasan palsu untuk mendapatkan alamat
konsumen dari bank konsumen, atau meminta konsumen untuk mengungkapkan nama
bank mereka, akan dilindungi. Prinsip yang menentukan adalah pretexting hanya terjadi
ketika informasi diperoleh melalui kepura-puraan.
Sementara penjualan rekaman telepon seluler telah mendapatkan perhatian media yang
signifikan, dan arsip telekomunikasi menjadi fokus dari dua rancangan undang-undang
yang saat ini berada di hadapan Senat Amerika Serikat , banyak jenis arsip pribadi lainnya
yang dibeli dan dijual di pasar publik. Di samping banyak iklan untuk catatan telepon
seluler, catatan kabel dan catatan yang terkait dengan kartu panggil diiklankan. Saat
individu beralih ke telepon VoIP, aman untuk mengasumsikan bahwa rekaman tersebut
juga akan ditawarkan untuk dijual. Saat ini, menjual rekaman telepon adalah legal, tetapi
ilegal untuk mendapatkannya. [38]
Spesialis Informasi Sumber Pertama
Perwakilan AS Fred Upton (R- Kalamazoo , Michigan), ketua Sub-komite Energi dan
Perdagangan untuk Telekomunikasi dan Internet, menyatakan keprihatinannya atas akses
mudah ke catatan ponsel pribadi di Internet selama sidang House Energy & Commerce
Committee pada " Catatan Telepon Dijual: Mengapa Catatan Telepon Tidak Aman Dari
Pretexting? " Illinois menjadi negara bagian pertama yang menuntut broker catatan online
ketika Jaksa Agung Lisa Madigan menuntut 1st Source Information Specialists, Inc.
Seorang juru bicara kantor Madigan berkata. Perusahaan yang berbasis di Florida ini
mengoperasikan beberapa situs Web yang menjual rekaman telepon seluler, menurut
salinan gugatan tersebut. Jaksa Agung Florida dan Missouri dengan cepat mengikuti jejak
Madigan, mengajukan gugatan masing-masing, terhadap Spesialis Informasi Sumber
Pertama dan, dalam kasus Missouri, satu broker rekaman lainnya - First Data Solutions,
Inc.
Beberapa penyedia nirkabel, termasuk T-Mobile, Verizon, dan Cingular mengajukan
tuntutan hukum sebelumnya terhadap broker rekaman, dengan Cingular memenangkan
keputusan melawan First Data Solutions dan 1st Source Information Specialists. Senator
AS Charles Schumer (D-New York) memperkenalkan undang-undang pada Februari 2006
129
yang bertujuan untuk membatasi praktik tersebut. Undang-Undang Perlindungan Catatan
Telepon Konsumen tahun 2006 akan membuat hukuman pidana kejahatan berat karena
mencuri dan menjual catatan pelanggan telepon seluler, telepon rumah , dan Voice over
Internet Protocol (VoIP).
HP
Patricia Dunn , mantan ketua Hewlett Packard, melaporkan bahwa dewan HP menyewa
sebuah perusahaan investigasi swasta untuk menyelidiki siapa yang bertanggung jawab
atas kebocoran di dalam dewan tersebut. Dunn mengakui bahwa perusahaan menggunakan
praktik pretex untuk meminta catatan telepon anggota dewan dan jurnalis. Ketua Dunn
kemudian meminta maaf atas tindakan ini dan menawarkan untuk mundur dari dewan jika
diinginkan oleh anggota dewan. [39] Tidak seperti hukum Federal, hukum California secara
khusus melarang pretex seperti itu. Empat tuduhan kejahatan yang dibawa ke Dunn
dibatalkan. [40]
Tindakan pencegahan
Mengambil beberapa tindakan pencegahan mengurangi risiko menjadi korban penipuan
manipulasi psikologis. Tindakan pencegahan yang dapat dilakukan adalah sebagai berikut:
•
•
•
•
•
•
Waspadai tawaran yang tampak "Terlalu bagus untuk menjadi kenyataan".
Hindari mengklik lampiran dari sumber yang tidak dikenal.
Tidak memberikan informasi pribadi kepada siapa pun melalui email, telepon, atau pesan
teks.
Penggunaan perangkat lunak filter spam seperti kotak Spam.
Hindari berteman dengan orang yang tidak Anda kenal di kehidupan nyata.
Ajari anak-anak untuk menghubungi orang dewasa tepercaya seandainya mereka ditindas
melalui internet ( cyberbullying ) atau merasa terancam oleh apa pun secara online. [41]
Meskipun manipulasi psikologis tidak memiliki resep pasti untuk sukses dan mungkin sulit
digambarkan secara tertulis, konsep dan praktik manipulasi psikologis telah disesuaikan
dengan adegan di televisi dan film. Contoh-contoh ini menunjukkan bagaimana serangan
semacam itu dapat dilakukan.
•
•
•
•
130
Film Ocean's Eleven (1960/2001) tim menggunakan rekayasa sosial untuk merampok
kasino.
Film Mars Needs Women (1967) berisi contoh rekayasa sosial yang dilakukan oleh alien
yang diperlihatkan terlibat dan memanfaatkan teknik ini untuk mencapai tujuan mereka:
menangkap lima wanita Bumi untuk tujuan reproduksi untuk menanamkan kembali
planet perempuan mereka ke laki-laki perbandingan.
Dalam James Bond film Diamonds Are Forever (1971), Obligasi terlihat mendapatkan
masuk ke laboratorium Whyte dengan sistem kunci kemudian-state-of-the-art kartu-akses
oleh " Tailgating ". Dia hanya menunggu seorang karyawan datang untuk membuka pintu,
lalu menyamar sebagai pemula di lab, memalsukan memasukkan kartu yang tidak ada
sementara pintu tidak dikunci untuknya oleh karyawan tersebut.
Dalam acara televisi Rockford Files (1974), karakter Jim Rockford sering menggunakan
pretex dalam pekerjaan investigasi pribadinya .
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
131
Dalam film Sneakers (1992), salah satu karakter berperan sebagai atasan satpam tingkat
rendah untuk meyakinkannya bahwa pelanggaran keamanan hanyalah alarm palsu .
Dalam film Hackers (1995), protagonis menggunakan pretexting ketika ia meminta nomor
telepon ke modem stasiun TV kepada penjaga keamanan sambil menyamar sebagai
eksekutif penting perusahaan.
Dalam film The Thomas Crown Affair (1999), salah satu karakter berpose melalui telepon
sebagai atasan penjaga museum untuk menjauhkan penjaga dari posisinya.
Dalam film Catch Me If You Can (2002), tokoh utama menggunakan berbagai macam
taktik rekayasa sosial, berdasarkan kisah nyata.
Dalam buku Jeffrey Deaver The Blue Nowhere (2002), rekayasa sosial untuk memperoleh
informasi rahasia merupakan salah satu metode yang digunakan oleh pembunuh, Phate,
untuk mendekati korbannya.
Dalam acara TV Psych (2006), protagonis Shawn Spencer sering menggunakan pretexting
untuk mendapatkan akses ke lokasi yang seharusnya tidak diizinkan masuk tanpa
kredensial polisi.
Di dalam film Live Free or Die Hard (2007), Justin Long terlihat berpura-pura bahwa
ayahnya sekarat karena serangan jantung untuk meminta perwakilan On-Star Assist
memulai apa yang akan menjadi mobil curian .
Dalam acara TV Burn Notice (2007), banyak karakter terlihat menggunakan manipulasi
psikologis; Profil psikis Michael Westen menyatakan bahwa dia sangat ahli dalam
rekayasa sosial.
Dalam acara TV The Mentalist (2008), protagonis Patrick Jane sering menggunakan
pretexting untuk mengelabui penjahat agar mengakui kejahatan yang mereka lakukan.
Dalam acara TV Leverage (serial TV) (2008), banyak karakter yang terlihat menggunakan
manipulasi psikologis.
Dalam acara TV White Collar (2009), Matt Bomer berperan sebagai artis penipu yang
sangat cerdas dan multitalenta yang bekerja sebagai informan kriminal FBI.
Dalam novel Prancis dari Maxime Frantini [ Journal d'un hacker , L'ombre et la lumière , La
cavale , La détermination du fennec ] (2012), pahlawan hacker Ylian Estevez terutama
menggunakan rekayasa sosial untuk serangannya. [42]
Dalam film Identity Thief (2013), Melissa McCarthy berperan sebagai penipu yang
menggunakan pretex untuk mendapatkan nama, nomor kartu kredit, dan nomor Jaminan
Sosial seorang eksekutif (Jason Bateman), sehingga memungkinkannya untuk mencuri
identitasnya dan melakukan penipuan kartu kredit .
Di videogame Watch Dogs (2014), protagonis Aiden Pearce menyatakan bahwa ia
mempelajari rekayasa sosial ketika tumbuh menjadi kehidupan kriminal dan
menggunakan taktik rekayasa sosial untuk memanipulasi karakter lain di sepanjang
permainan untuk mendapatkan informasi yang diinginkannya.
Di dalam film Who Am I (2014), karakter utama terlihat menggunakan berbagai teknik
rekayasa sosial.
Dalam acara TV Mr. Robot (2015), Darlene menyebarkan flash drive USB (berisi malware)
di luar pintu masuk penjara, memancing seorang penjaga yang penasaran untuk
membahayakan jaringan internal penjara ketika dia mencolokkan salah satu drive ke
komputernya.
Di dalam film Focus (2015), karakter Nicky Spurgeon dan timnya menggunakan berbagai
metode rekayasa sosial untuk melakukan skema kepercayaan diri untuk mencuri uang.
Dalam film The Girl in the Spider's Web (2018), karakter Lisbeth Salander menggunakan
rekayasa sosial dalam beberapa situasi. [43]
IMPLEMENTASI KEAMANAN DATA
Untuk mempelajari topik-topik keamanan silakan merujuk pada buku dan penelitian saya
lainnya (Abdilana & Gunawan, 2022; Berliana dkk., 2022; Gunawan, 2014, 2019, 2020, 2021a,
2021b, 2021c, 2021d, 2021e, 2021f, 2021g; Gunawan dkk., 2018; Gunawan & Yelmi, 2021;
Huzaeni & Gunawan, 2022; Permatasari dkk., 2018; Pratama dkk., 2022; D. C. Purnomo &
Gunawan, 2022; D. Purnomo & Gunawan, 2021; Y dkk., 2022)
PUSTAKA
UU Informasi dan Transaksi Elektronik No 19 Tahun 2016
Yuri Diogenes. CyberSecurity Attack and Defense Strategies. Packt. Birmingham
Wiliam Stalling. Network Security Essentials: Application and Standards Fourth Edition.
Pearson. Lake Street.
Abdilana, R., & Gunawan, I. I. (2022). Implementasi Metode SAW dalam Sistem Pendukung
Keputusan Pemilihan Smartphone Menggunakan Scratch. JIIFKOM (Jurnal Ilmiah
Informatika dan Komputer), 1(1), 35–40.
Berliana, C. D., Saputra, T. A., & Gunawan, I. (2022). Analisis Serangan dan Keamanan pada
Denial of Service (DOS): Sebuah Review Sistematik. JIIFKOM (Jurnal Ilmiah
Informatika dan Komputer), 1(2), 33–38.
Gunawan, I. (2014). I-POLINK: Indonesian Police Link Model Knowledge Management
Investigasi Forensika Digital. https://doi.org/10.13140/RG.2.2.28996.32647
Gunawan, I. (2019). PEMROGRAMAN BAHASA ASSEMBLY MIKROPROSESOR 8086 (1 ed.).
Guepedia.
Gunawan, I. (2020). Optimasi Model Artificial Neural Network untuk Klasifikasi Paket
Jaringan. SIMETRIS, 14(2), 1–5. https://doi.org/10.51901/simetris.v14i2.135
Gunawan, I. (2021a). Keamanan Data: Teori dan Implementasi (1 ed.). Jejak.
132
Gunawan, I. (2021b). Analisis Malware Botnet Proteus Pendekatan Static dan Dinamic.
SIMETRIS, 15(1), 12–17. https://doi.org/10.51901/simetris.v15i01.172
Gunawan, I. (2021c). Analisis Keamanan Data Pada Website Dengan Wireshark. JES (Jurnal
Elektro Smart), 1(1), 16–19.
Gunawan, I. (2021d). Analisis Keamanan Jaringan Wifi Menggunakan Wireshark. JES (Jurnal
Elektro Smart), 1(1), 10–12.
Gunawan, I. (2021e). Analisis Keamanan Wifi Menggunakan Wireshark. JES (Jurnal Elektro
Smart), 1(1), 7–9.
Gunawan, I. (2021f). Analisis Layer Aplikasi (Protokol HTTP) menggunakan Wireshark. JES
(Jurnal Elektro Smart), 1(1), 13–15.
Gunawan, I. (2021g). Analisis Keamanan Aplikasi Android Non Playstore Dengan Metode
Digital Forensik Pendekatan Statis Dan Dinamis. SIMETRIS, 15(2), 29–34.
https://doi.org/10.51901/simetris.v15i2.225
Gunawan, I., Afrina, & Sofrawida, C. (2018). SISTEM PENDUKUNG KEPUTUSAN
PEMILIHAN KARYAWAN TERBAIK PADA LAMOIST LAYERS BATAM. JR :
Jurnal Responsive Teknik Informatika, 2(02), 39–61.
Gunawan, I., & Yelmi, Y. (2021). Rancang Bangun Robot Pengawas Dokumen Berbasis
Raspberry Pi2 dengan Pemrograman Python. Jurnal Ilmu Komputer Dan Bisnis, 12(1),
144–149.
Huzaeni, F., & Gunawan, I. I. (2022). Implementasi Metode SAW dalam Sistem Pendukung
Keputusan Pemilihan Laptop Menggunakan Scratch. JIIFKOM (Jurnal Ilmiah Informatika
dan Komputer), 1(1), 30–34.
Permatasari, R. D., Gunawan, I., & Syahputra, M. R. (2018). RANCANG BANGUN
APLIKASI PENANGANAN BAGASI BERBASIS MOBILE WEB PADA PT
133
SRIWIJAYA AIR. Jurnal Teknik Ibnu Sina (JT-IBSI), 3(1). https://doi.org/10.36352/jtibsi.v3i1.101
Pratama, T. I. M., Songida, M. D. F., & Gunawan, I. (2022). Analisis Serangan dan Keamanan
pada SQL Injection: Sebuah Review Sistematik. JIIFKOM (Jurnal Ilmiah Informatika dan
Komputer), 1(2), 27–32.
Purnomo, D. C., & Gunawan, I. I. (2022). Penerapan Metode Simple Additive Weighting
(SAW) Dalam Sistem Pemilihan Kamera Menggunakan Scratch. JIIFKOM (Jurnal Ilmiah
Informatika dan Komputer), 1(1), 16–21.
Purnomo, D., & Gunawan, I. (2021). Decision Support System for Determination of
Scholarship Using Scratch Programming Based on SAW Method. International Journal of
Business and Information Technology, 2, 72–29. https://doi.org/10.47927/ijobit.v2i2
Y, A. K., Alfaren, G., & Gunawan, I. (2022). Analisis Serangan Penetration Testing: Sebuah
Review Sistematik. JIIFKOM (Jurnal Ilmiah Informatika dan Komputer), 1(2), 21–26.
134