Kali ini akan dibahas mengenai UU No.36 mengenai telekomunikasi. Undang-undang ini berisikan asas dan tujuan telekomunikasi, penyidikan, penyelenggaraan telekomunikasi, sangsi administrasi dan ketentuan pidana. Khususnya akan dibahas Pasal 28 yang berbunyi : "Besaran tarif penyelenggaraan jaringan telekomunikasi dan atau jasa telekomunikasi ditetapkan oleh penyelenggara jaringan telekomunikasi dan atau jasa telekomunikasi dengan berdasarkan formula yang ditetapkan oleh Pemerintah."
Dalam hal ini menurut saya pribadi, pasal ini hanya mencakup peraturan umum saja, tidak mendetail menngenai formulanya. Kemudian peraturan tentang ketransparansian operator telekomunikasi memberitahukan calon konsumen tentang tarif yang mereka bebankan kepada konsumen pun tidak ada.
Sumber : http://www.tempo.co.id/hg/peraturan/2004/03/29/prn,20040329-17,id.html
Senin, 21 Maret 2011
Peraturan dan regulasi cyberlaw di berbagai negara
Sebelumnya kita haru mengetahui terlebih dahulu apa itu cyber law.
CYBER LAW
Cyber Law adalah aspek hukum yang mengatur pengesahan penggunaan internet dalam hal komunikasi , transaksi dan yang berhubungan dengan distribusi dari alat penyedia informasi bagi jaringan dan teknologi. Pada negara yang telah maju dalam penggunaan internet sebagai alat untuk memfasilitasi setiap aspek kehidupan mereka, perkembangan hukum dunia maya sudah sangat maju. Sebagai kiblat dari perkembangan aspek hukum ini, Amerika Serikat merupakan negara yang telah memiliki banyak perangkat hukum yang mengatur dan menentukan perkembangan Cyber Law.
Cyber Law di Amerika Serikat
Pertama-tama akan kita mulai dengan Amerika Serikat. Seperti diketahui internet berasal dari negara ini. Hukum yang mengatur transaksi elektronik dikenal dengan
– Electronic Signatures in Global and National Commerce Act
– Uniform Electronic Transaction Act
– Uniform Computer Information Transaction Act
– Government Paperwork Elimination Act
– Electronic Communication Privacy Act
– Privacy Protection Act
– Fair Credit Reporting Act
– Right to Financial Privacy Act
– Computer Fraud and Abuse Act
– Anti-cyber squatting consumer protection Act
– Child online protection Act
– Children’s online privacy protection Act
– Economic espionage Act
– “No Electronic Theft” Act
•Electronic Transaction Act
• IPR Act
• Computer Misuse Act
• Broadcasting Authority Act
• Public Entertainment Act
• Banking Act
• Internet Code of Practice
• Evidence Act (Amendment)
• Unfair Contract Terms Act
Cyber Law di Malaysia
– Digital Signature Act
– Computer Crimes Act
– Communications and Multimedia Act
– Telemedicine Act
– Copyright Amendment Act
– Personal Data Protection Legislation (Proposed)
– Internal security Act (ISA)
Films censorship Act
The Computer Crime Act mencakup, sbb:
•Mengakses material komputer tanpa ijin
•Mengakses material komputer tanpa ijin
•Menggunakan komputer untuk fungsi yang lain
•Memasuki program rahasia orang lain melalui komputernya
•Mengubah / menghapus program atau data orang lain
•Menyalahgunakan program / data orang lain demi kepentingan pribadi
•Memasuki program rahasia orang lain melalui komputernya
•Mengubah / menghapus program atau data orang lain
•Menyalahgunakan program / data orang lain demi kepentingan pribadi
Indonesia telah resmi mempunyai undang-undang untuk mengatur orang-orang yang tidak bertanggung jawab dalam dunia maya. Cyber Law-nya Indonesia yaitu undang–undang tentang Informasi dan Transaksi Elektronik (UU ITE).
Di berlakukannya undang-undang ini, membuat oknum-oknum nakal ketakutan karena denda yang diberikan apabila melanggar tidak sedikit kira-kira 1 miliar rupiah karena melanggar pasal 27 ayat 1 tentang muatan yang melanggar kesusilaan. sebenarnya UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) tidak hanya membahas situs porno atau masalah asusila. Total ada 13 Bab dan 54 Pasal yang mengupas secara mendetail bagaimana aturan hidup di dunia maya dan transaksi yang terjadi didalamnya. Sebagian orang menolak adanya undang-undang ini, tapi tidak sedikit yang mendukung undang-undang ini.
Dibandingkan dengan negara-negara di atas, indonesia termasuk negara yang tertinggal dalam hal pengaturan undang-undang ite. Secara garis besar UU ITE mengatur hal-hal sebagai berikut :
•Tanda tangan elektronik memiliki kekuatan hukum yang sama dengan tanda tangan konvensional (tinta basah dan bermaterai). Sesuai dengan e-ASEAN Framework Guidelines (pengakuan tanda tangan digital lintas batas).• Alat bukti elektronik diakui seperti alat bukti lainnya yang diatur dalam KUHP.
• UU ITE berlaku untuk setiap orang yang melakukan perbuatan hukum, baik yang berada di wilayah Indonesia maupun di luar Indonesia yang memiliki akibat hukum di Indonesia.
• Pengaturan Nama domain dan Hak Kekayaan Intelektual.
• Perbuatan yang dilarang (cybercrime) dijelaskan pada Bab VII (pasal 27-37):
o Pasal 27 (Asusila, Perjudian, Penghinaan, Pemerasan)
o Pasal 28 (Berita Bohong dan Menyesatkan, Berita Kebencian dan Permusuhan)
o Pasal 29 (Ancaman Kekerasan dan Menakut-nakuti)
o Pasal 30 (Akses Komputer Pihak Lain Tanpa Izin, Cracking)
o Pasal 31 (Penyadapan, Perubahan, Penghilangan Informasi)
o Pasal 32 (Pemindahan, Perusakan dan Membuka Informasi Rahasia)
o Pasal 33 (Virus?, Membuat Sistem Tidak Bekerja (DOS?))
o Pasal 35 (Menjadikan Seolah Dokumen Otentik (phising?))
Sumber : http://blogkublogku.blogspot.com/2011/03/keterbatasan-undang-undang.html
http://en.wikipedia.org/wiki/Cyberlaw
http://en.wikipedia.org/wiki/Cyberlaw
Kamis, 17 Maret 2011
Contoh prosedur dan lembar kerja IT audit + tools yang digunakan untuk IT audit dan forensik
IT AUDIT DAN FORENSIK
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf
Dengan semakin berkembanganya dunia IT semakin banyak pula oknum-oknum yang tidak bertanggungjawab menyalahgunakan IT untuk kepentingan diri sendiri dan merugikan banyak pihak.
IT Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan dalam dunia computer/internet. Komputer forensik yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu foreksik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.
IT forensic Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.
Contoh Prosedur dan Lembar Kerja Audit
PROSEDUR IT AUDIT:
●Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices
CONTOH METODOLOGI AUDIT IT
BSI (Bundesamt für Sicherheit in der Informationstechnik)
● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
Tools yang digunakan untuk Audit IT dan Audit Forensik
● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
Sumber : http://adedirgasaputra.blogspot.com/2010/04/it-forensik.html– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf
Rabu, 02 Maret 2011
Contoh kasus cybercrime 3 : Virus
Virus .
Seperti halnya di tempat lain, virus komputer pun menyebar di Indonesia . Penyebaran umumnya dilakukan dengan menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal ini. Dengan polosnya, korban menuruti apa-apa saja yang diperintahkan. Virus ini kemudian dikirimkan ke tempat lain melalui emailnya. Kemudian korban lain pun melakukan sama seperti yang dilakukan korban pertama. Menyebarlah virus ini dengan memanfaatkan kepolosan sang korban. Kasus virus ini sudah cukup banyak seperti virus Mellisa, I love you, dan SirCam. Untuk orang yang terkena virus, kemungkinan tidak banyak yang dapat kita lakukan. Akan tetapi, bagaimana jika ada orang Indonesia yang membuat virus (seperti kasus di Filipina)? Apakah diperbolehkan membuat virus komputer?
Solusi : Hati-hati jika menerima email dari orang yang tidak kita kenal. Untungnya provider email gratisan sudah mengantisipasi ini dengan membuat folder Junk. Akan tetapi ada baiknya bila kita meningkatkan kewaspadaan masing-masing.
Sumber : http://andriksupriadi.wordpress.com/2010/04/29/kasus-cybercrime-di-indonesia/
Seperti halnya di tempat lain, virus komputer pun menyebar di Indonesia . Penyebaran umumnya dilakukan dengan menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal ini. Dengan polosnya, korban menuruti apa-apa saja yang diperintahkan. Virus ini kemudian dikirimkan ke tempat lain melalui emailnya. Kemudian korban lain pun melakukan sama seperti yang dilakukan korban pertama. Menyebarlah virus ini dengan memanfaatkan kepolosan sang korban. Kasus virus ini sudah cukup banyak seperti virus Mellisa, I love you, dan SirCam. Untuk orang yang terkena virus, kemungkinan tidak banyak yang dapat kita lakukan. Akan tetapi, bagaimana jika ada orang Indonesia yang membuat virus (seperti kasus di Filipina)? Apakah diperbolehkan membuat virus komputer?
Solusi : Hati-hati jika menerima email dari orang yang tidak kita kenal. Untungnya provider email gratisan sudah mengantisipasi ini dengan membuat folder Junk. Akan tetapi ada baiknya bila kita meningkatkan kewaspadaan masing-masing.
Sumber : http://andriksupriadi.wordpress.com/2010/04/29/kasus-cybercrime-di-indonesia/
Jenis-jenis cybercrime
Berikut ini adalah jenis-jenis cybercrime yang marak terjadi:
Sumber : http://yogyacarding.tvheaven.com/cyber_crime_tugas_besar_dunia_ti_indonesia.htm
1. Penipuan Lelang On-line
a) Cirinya harga sangat rendah (hingga sering sulit dipercayai) untuk produk - produk yang diminati, penjual tidak menyediakan nomor telepon, tidak ada respon terhadap pertanyaan melalui email, menjanjikan produk yang sedang tidak tersedia. Pada beberapa kasus, harga yang ditawarkan cukup tinggi tetapi skema pelelangan sangat mencurigakan.
b) Resiko Terburuk adalah pemenang lelang mengirimkan cek atau uang, dan tidak memperoleh produk atau berbeda dengan produk yang diiklankan dan diinginkan.
c) Teknik Pengamanan yang disarankan adalah menggunakan agen penampungan pembayaran (escrow accounts services) seperti www.escrow.com dengan biaya sekitar 5% dari harga produk. Agen ini akan menyimpan uang Pembeli terlebih dahulu dan mengirimkannya ke Penjual hanya setelah ada konfirmasi dari Pembeli bahwa barang telah diterima dalam kondisi yang memuaskan. Untuk para pengguna jasa Forum Jual Beli Kaskus dapat menggunakan jasa RekBer.
2. Penipuan Saham On-line
a) Cirinya tiba - tiba Saham Perusahaan meroket tanpa info pendukung yang cukup.
b) Resiko Terburuk adalah tidak ada nilai riil yang mendekati harga saham tersebut, kehilangan seluruh jumlah investasi dengan sedikit atau tanpa kesempatan untuk menutup kerugian yang terjadi.
c) Teknik Pengamanan antara lain www.stockdetective.com punya daftar negatif saham - saham.
3. Penipuan Pemasaran Berjenjang On-line
a) Berciri mencari keuntungan dari merekrut anggota, menjual produk atau layanan secara fiktif.
b) Resiko Terburuk adalah ternyata 98% dari investor yang gagal.
c) Teknik Pengamanan yang disarankan adalah jika menerima junk mail dengan janji yang bombastis, lupakan saja dan hapuslah pesan itu.
4. Penipuan Kartu Kredit (kini sudah menular di Indonesia)
a) Berciri, terjadinya biaya misterius pada tagihan kartu kredit untuk produk atau layanan Internet yang tidak pernah dipesan oleh kita.
b) Resiko Terburuk adalah korban bisa perlu waktu yang lama untuk melunasinya.
c) Teknik Pengamanan yang disarankan antara lain gunakan mata uang Beenz untuk transaksi online, atau jasa Escrow, atau jasa Transfer Antar Bank, atau jasa Kirim Uang Western Union, atau pilih hanya situs - situs terkemuka saja yang telah menggunakan Payment Security seperti VeriSign.
Sumber : http://yogyacarding.tvheaven.com/cyber_crime_tugas_besar_dunia_ti_indonesia.htm
Hukum tak mampu sentuh pelaku CyberCrime?
Kapanlagi.com - Kepala Kepolisian Daerah Kalimantan Barat, Brigadir Jenderal Polisi Raden Nata Kesuma mengakui banyak kasus kejahatan dunia maya (cyber crime) yang lolos dari jeratan Undang-Undang No. 11/2009 tentang Informasi dan Transaksi Elektronik, karena kurangnya pemahaman terhadap UU ini."Sebenarnya, banyak kejahatan dunia maya yang dapat dijerat UU ini, tetapi karena ketidakpahaman penegak hukum, tidak sedikit yang lolos dari UU tersebut," kata Raden Nata Kesuma, dalam jumpa pers seusai seminar Sosialisasi dan Implementasi UU ITE, di Pontianak, Kamis (24/7).
Ia mengatakan, untuk menjerat pelaku kejahatan dunia maya harus ada persamaan persepsi dari ketiga aparatur hukum, antara penyidik, penuntut umum, dan hakim sehingga pelaku tidak bisa bebas begitu saja ketika diajukan ke pengadilan."Semoga dengan persamaan persepsi tentang kejahatan dunia maya, kejahatan yang sangat berbahaya tersebut bisa lebih ditekan karena pelaku dapat dijerat dengan UU ITE dengan ancaman maksimal kurungan penjara 10 tahun dan denda maksimal Rp10 miliar," kata Nata Kesuma. Sementara itu, Sekretaris Direktur Jenderal Aplikasi Telematika Departemen Komunikasi dan Informatika, Amsal Assagiri mengatakan, perlu adanya persamaan persepsi agar tindak kejahatan dunia maya bisa dijerat UU ITE. "Karena kalau tidak ada persamaan antara penyidik, penuntut umum, dan hakim, pelaku tidak bisa dijerat UU tersebut," ujarnya. Ia mengatakan, sejak diterbitkannya UU ITE kepercayaan dunia terhadap Indonesia menjadi besar karena sebelumnya tidak ada kepastian hukum mengenai kejahatan dunia maya. Kalaupun ada hanya ditindak menurut Kitab Undang-undang Hukum Pidana yang ancaman hukumnya masih ringan. "Dunia saat ini mengakui keseriusan kita dalam menekan seminimal mungkin kejahatan dunia maya dengan diterbitkannya UU ITE, meskipun terkesan terlambat," ujarnya. Amsal Assagiri menjelaskan, pemerintah saat ini mempersiapkan perangkat lunak untuk memblok situs-situs porno maupun lainnya yang dianggap dapat mengancam akhlak generasi muda dan bisnis perbankan. "Akan tetapi perangkat lunak tersebut tidak bisa 100% memblok karena seiring kemajuan zaman selalu ada penemuan yang lebih canggih sehingga bisa membuka situs-situs maupun pengamanan bank," katanya. Iwan Setiawan, salah seorang narasumber dari Bank Indonesia mengatakan, pihak bank saat ini lebih memperketat pengambilan uang melalui ATM (anjungan tunai mandiri) karena bisa saja dipergunakan oleh orang-orang yang tidak bertanggung jawab. Ia mencontohkan, kalau ada salah satu nasabah yang mengambil uang di Indonesia tetapi dalam waktu bersamaan kembali nasabah tersebut mengambil uang di China, pihaknya akan langsung memblok kemudian menelepon nasabah yang bersangkutan apakah benar dia telah melakukannya. Hal ini dilakukan untuk mencegah hal-hal terburuk. (kpl/rif)
Implementasi yang sekarang terjadi di lapangan adalah kejahatan internet sangat sulit untuk dibendung. Lebih setiap individu mampu memproteksi dirinya sendiri akan bahaya ini. Masyarakat sekarang diharapkan lebih mau belajar untuk tidak hanya memakai, tetapi juga menjaga dan merawatnya.
Sumber http://berita.kapanlagi.com/hukum-kriminal/banyak-kasus-cyber-crime-lolos-dari-hukum-iej29id.html
Rabu, 23 Februari 2011
Contoh kasus cybercrime 2 : Pembajakan situs web
Membajak situs web. Salah satu kegiatan yang sering dilakukan oleh cracker adalah mengubah halaman web, yang dikenal dengan istilah deface. Pembajakan dapat dilakukan dengan mengeksploitasi lubang keamanan. Sekitar 4 bulan yang lalu, statistik di Indonesia menunjukkan satu (1) situs web dibajak setiap harinya. Hukum apa yang dapat digunakan untuk menjerat cracker ini?
Menurut pengakuan salah seorang hacker, Anda harus mengerti secanggih apapun sistem yang dibuat untuk mengamankan sistem yang mereka punya, seorang hacker pasti mempunyai berbagai macam cara untuk bisa masuk ke dalam. Cara yang digunakan pun kadang sangat direct hit, langsung menuju firewall. Kebanyakan hacker manggunakan cara yang lebih tidak kentara.
Mata-mata Online
Hacker bisa secara diam-diam mengumpulkan informasi dari komputer selama berbulan-bulan tanpa terdeteksi. Dengan menggunakan program Trojan, seorang hacker bisa log-on ke sebuah komputer (untuk mendapatkan password pengguna) atau menggunakan program "sniffing" untuk mengumpulkan data penting selagi ia memasuki satu komputer ke komputer lain.
Software sniffer mirip sebuah radio yang bisa mendengarkan lalu-lintas yang melewati kabel jaringan. Sniffer tidak bisa dideteksi oleh pengguna maupun (biasanya) administrator sistem.
Tak Ada Tempat Sembunyi
Mungkin tampaknya dengan semua cara yang dilakukan hacker untuk menyusup ke sistem Anda, tidak ada lagi tempat aman untuk menyembunyikan data.
Disarankan, sebagai tambahan menggunakan tool-tool yang telah disebutkan di atas, setiap pengguna sebaiknya meng-install patch sekuriti terbaru pada software-software penting mereka, termasuk sistem operasi dan aplikasi yang biasa mereka gunakan. Satu-satunya cara melindungi diri Anda sendiri adalah menambal "lubang-lubang keamanan."
Modus yang biasanya ada dibelakang aktivitas hacker menbajak web ini adalah adanya rasa ingin pamer kemampuan, ingin balas dendam, mengungkapkan rasa kesal, menguji kemampuan, dan lain-lain.
Sumber : http://esrt2000.50megs.com/bagaimana_cara_hacker_membajak__.htm
Menurut pengakuan salah seorang hacker, Anda harus mengerti secanggih apapun sistem yang dibuat untuk mengamankan sistem yang mereka punya, seorang hacker pasti mempunyai berbagai macam cara untuk bisa masuk ke dalam. Cara yang digunakan pun kadang sangat direct hit, langsung menuju firewall. Kebanyakan hacker manggunakan cara yang lebih tidak kentara.
Metode yang digunakan hacker untuk menyerang sistem atau jaringan Anda sebenarnya cukup sederhana. Seorang hacker men-scan sistem yang rapuh menggunakan "daemon dialer" (yang akan me-redial sebuah nomor berulang-ulang sampai koneksi tercipta) atau "wardialer" (aplikasi yang menggunakan modem untuk men-dial ribuan nomor telepon untuk menemukan modem lain yang terhubung ke komputer).
Pendekatan lain yang gunakan untuk menunjuk komputer yang mempunyai koneksi DSL atau kabel, adalah dengan program scanner yang secara berurut mem-ping IP address sistem jaringan untuk melihat apakah sistem itu bekerja.
Dimana seorang hacker bisa menemukan tool-tool semacam itu? Di internet, tentu saja.
Hacker juga menggunakan internet untuk mempertukarkan daftar IP address(lokasi khusus dari tiap komputer yang terhubung ke internet), yang rapuh dan tidak memiliki patch lubang keamanan. Alamat komputer yang telah diambil dengan Trojan, terbuka bagi siapa saja (pada kebanyakan kasus, pemilik komputer bahkan tidak mengetahuinya).
Jika hacker telah menemukan sebuah komputer, ia menggunakan tool seperti "Whisker" untuk mengidentifikasi sistem operasi apa yang digunakan komputer itu dan apakah ada lubang keamanan, hanya dalam satu detik. Whisker, salah satu tool legal yang digunakan administrator sistem untuk menguji keamanan sistem, juga menyediakan daftar eksploitasi yang bisa digunakan hacker untuk mengambil keuntungan sebanyak-banyaknya dari lubang ini.
Pendekatan lain yang gunakan untuk menunjuk komputer yang mempunyai koneksi DSL atau kabel, adalah dengan program scanner yang secara berurut mem-ping IP address sistem jaringan untuk melihat apakah sistem itu bekerja.
Dimana seorang hacker bisa menemukan tool-tool semacam itu? Di internet, tentu saja.
Hacker juga menggunakan internet untuk mempertukarkan daftar IP address(lokasi khusus dari tiap komputer yang terhubung ke internet), yang rapuh dan tidak memiliki patch lubang keamanan. Alamat komputer yang telah diambil dengan Trojan, terbuka bagi siapa saja (pada kebanyakan kasus, pemilik komputer bahkan tidak mengetahuinya).
Jika hacker telah menemukan sebuah komputer, ia menggunakan tool seperti "Whisker" untuk mengidentifikasi sistem operasi apa yang digunakan komputer itu dan apakah ada lubang keamanan, hanya dalam satu detik. Whisker, salah satu tool legal yang digunakan administrator sistem untuk menguji keamanan sistem, juga menyediakan daftar eksploitasi yang bisa digunakan hacker untuk mengambil keuntungan sebanyak-banyaknya dari lubang ini.
Software Sekuriti Saja Tidak Cukup
Beberapa kondisi yang membuat mereka lebih mudah membajak sebuah sistem. Kurangnya keamanan merupakan salah satunya. Misalnya, suatu perusahaan tidak menggunakan password pada sistemnya atau tidak mengganti password default Windows.
Oktober 2000, sekelompok hacker mebobol sistem Microsoft dan melihat source code Windows dan Office versi terbaru setelah menemukan password default yang tidak pernah diganti oleh seorang karyawan.
Kesalahan lain: jika administrator sistem tidak meng-update software dengan patch sekuriti, mereka menyebabkan port yang rentan terbuka untuk diserang. Atau jika mereka meng-install sistem pendeteksian serangan yang mahal, tapi sebagian luput mengawasi alarm yang memperingatkan mereka jika ada penyusup masuk.
Sasaran empuk hacker lainnya adalah firewall atau router yang salah konfigurasi, sehingga hacker dengan mudah "mengendus" data, berupa password, e-mail, atau file, yang melewati jaringan itu.
Beberapa kondisi yang membuat mereka lebih mudah membajak sebuah sistem. Kurangnya keamanan merupakan salah satunya. Misalnya, suatu perusahaan tidak menggunakan password pada sistemnya atau tidak mengganti password default Windows.
Oktober 2000, sekelompok hacker mebobol sistem Microsoft dan melihat source code Windows dan Office versi terbaru setelah menemukan password default yang tidak pernah diganti oleh seorang karyawan.
Kesalahan lain: jika administrator sistem tidak meng-update software dengan patch sekuriti, mereka menyebabkan port yang rentan terbuka untuk diserang. Atau jika mereka meng-install sistem pendeteksian serangan yang mahal, tapi sebagian luput mengawasi alarm yang memperingatkan mereka jika ada penyusup masuk.
Sasaran empuk hacker lainnya adalah firewall atau router yang salah konfigurasi, sehingga hacker dengan mudah "mengendus" data, berupa password, e-mail, atau file, yang melewati jaringan itu.
Sampai ke Akar-akarnya
Sekali hacker membajak sistem, tujuan berikutnya adalah mendapatkan root, atau mengusahakan akses lebih dalam lagi ke komputer tersebut. Seorang hacker bisa menggunakan perintah yang jarang diketahui untuk mendapatkan root, atau bisa mencari dokumen pada hard drive sistem, berupa e-mail atau file yang berisi password administrator sistem.
Dengan root di tangan, ia bisa menciptakan account yang tampaknya legal dan log-in kapanpun ia mau tanpa menarik perhatian. Ia juga bisa mengubah atau menghapus log sistem untuk menghapus semua jejak (misalnya baris-baris perintah) yang menunjukkan bahwa ia pernah masuk ke sistem tersebut.
Tetapi hacker tidak memerlukan akses root untuk mempengaruhi sistem. Ia bisa membelokkan lalu-lintas yang semestinya ke server perusahaan, ke tempat lain. Atau dengan membongkar bug (bagi situs-situs yang belum menambal lubang keamanannya), seorang hacker bisa mengganti halaman web dengan kata-katanya sendiri menggunakan seperangkat perintah UNIX yang diketikkan pada kotak alamat browser.
Dengan root di tangan, ia bisa menciptakan account yang tampaknya legal dan log-in kapanpun ia mau tanpa menarik perhatian. Ia juga bisa mengubah atau menghapus log sistem untuk menghapus semua jejak (misalnya baris-baris perintah) yang menunjukkan bahwa ia pernah masuk ke sistem tersebut.
Tetapi hacker tidak memerlukan akses root untuk mempengaruhi sistem. Ia bisa membelokkan lalu-lintas yang semestinya ke server perusahaan, ke tempat lain. Atau dengan membongkar bug (bagi situs-situs yang belum menambal lubang keamanannya), seorang hacker bisa mengganti halaman web dengan kata-katanya sendiri menggunakan seperangkat perintah UNIX yang diketikkan pada kotak alamat browser.
Denial of Sevice
Ancaman yang lebih serius berasal dari hacker-hacker jempolan yang meluncurkan serangan denial-of-service (DoS), yang membanjiri server web dengan banyak sekali permintaan sehingga ia tidak bisa menjawabnya.
Walaupun merupakan salah satu serangan yang paling umum, serangan DoS lebih sulit dilakukan. Perusahaan internet besar biasanya memiliki saluran internet yang lebih lebar, yang lebih sulit disesaki data sampah yang dikirim hacker. Semakin besar bandwith yang dimiliki perusahaan, semakin panjang jalan yang harus ditempuh hacker untuk membuat gangguan yang cukup terasa.
Para hacker dengan cepat mengetahui bahwa satu komputer tidak cukup untuk menimbulkan serangan DoS. Jadi mereka mengusahakan pendekatan cerdas lain yang menggunakan puluhan komputer yang dibajak untuk berkerjasama melakukan serangan DoS.
Serangan DoS biasanya menggunakan komputer sebanyak yang bisa dikontrol seorang hacker (disebut "zombie") untuk mengirimkan banyak sekali permintaan data ke server yang dituju. Untuk meluncurkan serangan, seorang hacker hanya mengirimkan sebuah perintah, yang diteruskan kepada semua zombie dan melumpuhkan server web dengan sangat cepat.
Sistem di Universitas biasanya menjadi target tindakan semacan itu, karena administrator sistem seringkali membiarkan account mahasiswa aktif sampai mahasiswa tersebut lulus. Seorang hacker bisa mengambil alih account tersebut dan menggunakannya sebagai pintu gerbang untuk menyerang sistem lain.
Desember 2000 lalu beberapa hacker membobol sisten Angkatan Udara AS di Virginia dan men-download kode untuk mengontrol komunikasi dan satelit mata-mata ke sebuah komputer di Swedia. Perusahaan Swedia yang memiliki sistem tempat data tersebut berada, tidak sadar bahwa hacker telah menggunakan komputer mereka.
Dari Swedia, aktivitas tersebut dilacak hingga ke sebuah komputer Universitas di Jerman, yang diyakini telah digunakan oleh hacker.
Ancaman yang lebih serius berasal dari hacker-hacker jempolan yang meluncurkan serangan denial-of-service (DoS), yang membanjiri server web dengan banyak sekali permintaan sehingga ia tidak bisa menjawabnya.
Walaupun merupakan salah satu serangan yang paling umum, serangan DoS lebih sulit dilakukan. Perusahaan internet besar biasanya memiliki saluran internet yang lebih lebar, yang lebih sulit disesaki data sampah yang dikirim hacker. Semakin besar bandwith yang dimiliki perusahaan, semakin panjang jalan yang harus ditempuh hacker untuk membuat gangguan yang cukup terasa.
Para hacker dengan cepat mengetahui bahwa satu komputer tidak cukup untuk menimbulkan serangan DoS. Jadi mereka mengusahakan pendekatan cerdas lain yang menggunakan puluhan komputer yang dibajak untuk berkerjasama melakukan serangan DoS.
Serangan DoS biasanya menggunakan komputer sebanyak yang bisa dikontrol seorang hacker (disebut "zombie") untuk mengirimkan banyak sekali permintaan data ke server yang dituju. Untuk meluncurkan serangan, seorang hacker hanya mengirimkan sebuah perintah, yang diteruskan kepada semua zombie dan melumpuhkan server web dengan sangat cepat.
Sistem di Universitas biasanya menjadi target tindakan semacan itu, karena administrator sistem seringkali membiarkan account mahasiswa aktif sampai mahasiswa tersebut lulus. Seorang hacker bisa mengambil alih account tersebut dan menggunakannya sebagai pintu gerbang untuk menyerang sistem lain.
Desember 2000 lalu beberapa hacker membobol sisten Angkatan Udara AS di Virginia dan men-download kode untuk mengontrol komunikasi dan satelit mata-mata ke sebuah komputer di Swedia. Perusahaan Swedia yang memiliki sistem tempat data tersebut berada, tidak sadar bahwa hacker telah menggunakan komputer mereka.
Dari Swedia, aktivitas tersebut dilacak hingga ke sebuah komputer Universitas di Jerman, yang diyakini telah digunakan oleh hacker.
Hacker bisa secara diam-diam mengumpulkan informasi dari komputer selama berbulan-bulan tanpa terdeteksi. Dengan menggunakan program Trojan, seorang hacker bisa log-on ke sebuah komputer (untuk mendapatkan password pengguna) atau menggunakan program "sniffing" untuk mengumpulkan data penting selagi ia memasuki satu komputer ke komputer lain.
Software sniffer mirip sebuah radio yang bisa mendengarkan lalu-lintas yang melewati kabel jaringan. Sniffer tidak bisa dideteksi oleh pengguna maupun (biasanya) administrator sistem.
Tak Ada Tempat Sembunyi
Mungkin tampaknya dengan semua cara yang dilakukan hacker untuk menyusup ke sistem Anda, tidak ada lagi tempat aman untuk menyembunyikan data.
Disarankan, sebagai tambahan menggunakan tool-tool yang telah disebutkan di atas, setiap pengguna sebaiknya meng-install patch sekuriti terbaru pada software-software penting mereka, termasuk sistem operasi dan aplikasi yang biasa mereka gunakan. Satu-satunya cara melindungi diri Anda sendiri adalah menambal "lubang-lubang keamanan."
Modus yang biasanya ada dibelakang aktivitas hacker menbajak web ini adalah adanya rasa ingin pamer kemampuan, ingin balas dendam, mengungkapkan rasa kesal, menguji kemampuan, dan lain-lain.
Sumber : http://esrt2000.50megs.com/bagaimana_cara_hacker_membajak__.htm
Contoh kasus cybercrime 1 : Pencurian dan penggunaan account Internet
Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang “dicuri” dan digunakan secara tidak sah. Berbeda dengan pencurian yang dilakukan secara fisik “pencurian” account cukup menangkap “userid” dan “password” saja. Hanya informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan hilangnya “benda” yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut. Kasus ini banyak terjadi di ISP. Namun yang pernah diangkat adalah penggunaan account curian oleh dua Warnet di Bandung.
Salah satu modusnya adalah dengan menggunakan email Phising yang bertujuan untuk menjerat si pemilik akun agar memberikan user ID dan password secara tidak disengaja.
Berikut beberapa ciri-ciri email yang merupakan phising:
1. Judul subjek email berjenis "Verify Your Account"
Jika isi emailnya meminta UserID dan password, harap mewaspadainya.
2. If you don’t respond within 48 hours, your account will be closed
”jika anda ttidak merespon dalam waktu 48 jam, maka akon anda akan dituup”. Tulisan di atas wajib anda waspadai karena umumnya hanya “propaganda” agar pembaca semakin panik.
3. Dear Valued Customer
Karena e-mail phising biasanya targetnya menggunakan random, maka e-mail tersebut bisa menggunakan kata-kata ini. Tapi suatu saat mungkin akan menggunakan nama kita langsung, jadi anda harus waspada.
4. Click the Link Below to gain access to your account
Metode lain yang digunakan hacker yaitu dengan menampilkan URL Address atau alamat yang palsu. Walaupun wajah webnya bisa jadi sangat menyerupai atau sama, tapi kalau diminta registrasi ulang atau mengisi informasi sensitif, itu patut diwaspadai. misalnya halaman login hotmail. Disana Anda akan disuruh memasukkan username dan password email Anda untuk login. Ketika Anda mengklik tombol login maka informasi username dan password Anda akan terkirim ke alamat pengirim email. Jadi email tersebut merupakan jebakan dari pengirim email yang tujuannya untuk mendapatkan password email Anda.
”jika anda ttidak merespon dalam waktu 48 jam, maka akon anda akan dituup”. Tulisan di atas wajib anda waspadai karena umumnya hanya “propaganda” agar pembaca semakin panik.
3. Dear Valued Customer
Karena e-mail phising biasanya targetnya menggunakan random, maka e-mail tersebut bisa menggunakan kata-kata ini. Tapi suatu saat mungkin akan menggunakan nama kita langsung, jadi anda harus waspada.
4. Click the Link Below to gain access to your account
Metode lain yang digunakan hacker yaitu dengan menampilkan URL Address atau alamat yang palsu. Walaupun wajah webnya bisa jadi sangat menyerupai atau sama, tapi kalau diminta registrasi ulang atau mengisi informasi sensitif, itu patut diwaspadai. misalnya halaman login hotmail. Disana Anda akan disuruh memasukkan username dan password email Anda untuk login. Ketika Anda mengklik tombol login maka informasi username dan password Anda akan terkirim ke alamat pengirim email. Jadi email tersebut merupakan jebakan dari pengirim email yang tujuannya untuk mendapatkan password email Anda.
Yang lebih runyam lagi, sekarang sudah ada beberapa e-book yang berkeliaran di internet untuk menawarkan teknik menjebol password. Seperti diketahui Password merupakan serangkaian karakter, baik berupa huruf, string, angka atau kombinasinya untuk melindungi dokumen penting. Anda bisa bayangkan jika password email anda Jebol ? yang terjadi adalah seluruh data-data akan dapat diketahui, termasuk password Account Internet Banking anda yang verifikasinya biasa masuk melalui email. Wah, bisa-bisa seluruh uang anda di Account tersebut bisa dikuras habis oleh para Hackers.
Penyelesaiannya: Anda dapat menggunakan fitur Email sampah yang tersedia hampir di semua layanan email gratis. Dengan adanya folder ini, anda dapat memfilter email mana saja yang merupakan email phising dan mana yang bukan.
Sumber:http://www.flobamor.com/forum/gado-gado-informasi/27753-hati-hati-pencurian-id-di-internet-[phising].html
Cybercrime dalam pengertian
Perkembangan Internet dan umumnya dunia cyber tidak selamanya menghasilkan hal-hal yang postif. Salah satu hal negatif yang merupakan efek sampingannya antara lain adalah kejahatan di dunia cyber atau, cybercrime. Cybercrime adalah istilah yang mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatan (Wikipedia).
Walaupun cybercrime umumnya diasosiasikan kepada kejahatan dengan komputer atau jaringan komputer sebagai unsure utamanya, istilah ini juga digunakan untuk kegiatan yang memudahkan kejahatan itu terjadi.
Hilangnya batas ruang dan waktu di Internet mengubah banyak hal. Seseorang cracker di Rusia dapat masuk ke sebuah server di Pentagon tanpa ijin. Salahkah dia bila sistem di Pentagon terlalu lemah sehingga mudah ditembus? Apakah batasan dari sebuah cybercrime? Seorang yang baru “mengetuk pintu” (port scanning) komputer , apakah sudah dapat dikategorikan sebagai kejahatan? Apakah ini masih dalam batas ketidak-nyamanan (inconvenience) saja? Bagaimana dengan penyebar virus dan bahkan pembuat virus? Bagaimana menghadapi cybercrime ini? Bagaimana aturan / hukum yang cocok untuk mengatasi atau menanggulangi masalah cybercrime ?
Kategori cybercrime ini yang sering kita temui adalah:
- Penipuan finansial melalui perangkat komputer dan media komunikasi digital.
- Sabotase terhadap perangkat-perangkat digital, data-data milik orang lain, dan jaringan komunikasi data. Biasanya untuk tujuan tertentu yang mewakili kepentingan sang hacker.
- Pencurian informasi pribadi seseorang maupun organisasi tertentu.
- Penetrasi terhadap sistem komputer dan jaringan, sehingga menyebabkan privasi terganggu atau gangguan pada fungsi komputer yang anda gunakan (denial of service).
- Para pengguna internal sebuah organisasi melakukan akses-akses ke server tertentu atau ke internet yang tidak diizinkan oleh peraturan organisasi.
- Menyebarkan virus worm, backdoor, trojan, pada perangkat komputer sebuah organisasi yang mengakibatkan terbukanya akses-akses bagi orang-orang yang tidak berhak.
Sumber : Kamus Online, Budi rahardjo
Langganan:
Postingan (Atom)