My Facebook

Profil Facebook Yudo Yurist

Senin, 12 April 2010

Cybercrime

Cybercrime
Budi Rahardjo
PPAU Mikroelektronika ITB
IDCERT – Indonesia Computer Emergency Response Team
br@paume.itb.ac.id – budi@cert.or.id
2001-07-28

Perkembangan Internet dan umumny dunia cyber tidak selamanya menghasilkan hal-hal yang postif. Salah satu hal negatif yang merupakan efek sampingannya antara lain adalah kejahatan di dunia cyber atau, cybercrime. Hilangnya batas ruang dan waktu di Internet mengubah banyak hal. Seseorang cracker di Rusia dapat masuk ke sebuah server di Pentagon tanpa ijin. Salahkah dia bila sistem di Pentagon terlalu lemah sehingga mudah ditembus? Apakah batasan dari sebuah cybercrime? Seorang yang baru “mengetuk pintu” (port scanning) komputer anda, apakah sudah dapat dikategorikan sebagai kejahatan? Apakah ini masih dalam batas ketidak-nyamanan (inconvenience) saja? Bagaimana pendapat anda tentang penyebar virus dan bahkan pembuat virus? Bagaimana kita menghadapi cybercrime ini? Bagaimana aturan / hukum yang cocok untuk mengatasi atau menanggulangi masalah cybercrime di Indonesia? Banyak sekali pertanyaan yang harus kita jawab.
Contoh kasus di Indonesia
Pencurian dan penggunaan account Internet milik orang lain. Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang “dicuri” dan digunakan secara tidak sah. Berbeda dengan pencurian yang dilakukan secara fisik, “pencurian” account cukup menangkap “userid” dan “password” saja. Hanya informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan hilangnya “benda” yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut. Kasus ini banyak terjadi di ISP. Namun yang pernah diangkat adalah penggunaan account curian oleh dua Warnet di Bandung.
Membajak situs web. Salah satu kegiatan yang sering dilakukan oleh cracker adalah mengubah halaman web, yang dikenal dengan istilah deface. Pembajakan dapat dilakukan dengan mengeksploitasi lubang keamanan. Sekitar 4 bulan yang lalu, statistik di Indonesia menunjukkan satu (1) situs web dibajak setiap harinya. Hukum apa yang dapat digunakan untuk menjerat cracker ini?
Probing dan port scanning. Salah satu langkah yang dilakukan cracker sebelum masuk ke server yang ditargetkan adalah melakukan pengintaian. Cara yang dilakukan adalah dengan melakukan “port scanning” atau “probing” untuk melihat servis-servis apa saja yang tersedia di server target. Sebagai contoh, hasil scanning dapat menunjukkan bahwa server target menjalankan program web server Apache, mail server Sendmail, dan seterusnya. Analogi hal ini dengan dunia nyata adalah dengan melihat-lihat apakah pintu rumah anda terkunci, merek kunci yang digunakan, jendela mana yang terbuka, apakah pagar terkunci (menggunakan firewall atau tidak) dan seterusnya. Yang bersangkutan memang belum melakukan kegiatan pencurian atau penyerangan, akan tetapi kegiatan yang dilakukan sudah mencurigakan. Apakah hal ini dapat ditolerir (dikatakan sebagai tidak bersahabat atau unfriendly saja) ataukah sudah dalam batas yang tidak dapat dibenarkan sehingga dapat dianggap sebagai kejahatan?
Berbagai program yang digunakan untuk melakukan probing atau portscanning ini dapat diperoleh secara gratis di Internet. Salah satu program yang paling populer adalah “nmap” (untuk sistem yang berbasis UNIX, Linux) dan “Superscan” (untuk sistem yang berbasis Microsoft Windows). Selain mengidentifikasi port, nmap juga bahkan dapat mengidentifikasi jenis operating system yang digunakan.


budi@router:~$ nmap localhost

Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on localhost (127.0.0.1):
Port State Protocol Service
21 open tcp ftp
22 open tcp ssh
25 open tcp smtp
53 open tcp domain
80 open tcp http
110 open tcp pop-3
111 open tcp sunrpc
143 open tcp imap2
1008 open tcp ufsd
3128 open tcp squid-http

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second



Apa yang harus dilakukan apabila server anda mendapat port scanning seperti contoh di atas? Kemana anda harus melaporkan keluhan (complaint) anda?
Virus. Seperti halnya di tempat lain, virus komputer pun menyebar di Indonesia. Penyebaran umumnya dilakukan dengan menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal ini. Virus ini kemudian dikirimkan ke tempat lain melalui emailnya. Kasus virus ini sudah cukup banyak seperti virus Mellisa, I love you, dan SirCam. Untuk orang yang terkena virus, kemungkinan tidak banyak yang dapat kita lakukan. Akan tetapi, bagaimana jika ada orang Indonesia yang membuat virus (seperti kasus di Filipina)? Apakah diperbolehkan membuat virus komputer?
Denial of Service (DoS) dan Distributed DoS (DDos) attack. DoS attack merupakan serangan yang bertujuan untuk melumpuhkan target (hang, crash) sehingga dia tidak dapat memberikan layanan. Serangan ini tidak melakukan pencurian, penyadapan, ataupun pemalsuan data. Akan tetapi dengan hilangnya layanan maka target tidak dapat memberikan servis sehingga ada kerugian finansial. Bagaimana status dari DoS attack ini? Bayangkan bila seseorang dapat membuat ATM bank menjadi tidak berfungsi. Akibatnya nasabah bank tidak dapat melakukan transaksi dan bank (serta nasabah) dapat mengalami kerugian finansial. DoS attack dapat ditujukan kepada server (komputer) dan juga dapat ditargetkan kepada jaringan (menghabiskan bandwidth). Tools untuk melakukan hal ini banyak tersebar di Internet. DDoS attack meningkatkan serangan ini dengan melakukannya dari berberapa (puluhan, ratusan, dan bahkan ribuan) komputer secara serentak. Efek yang dihasilkan lebih dahsyat dari DoS attack saja.
Kejahatan yang berhubungan dengan nama domain. Nama domain (domain name) digunakan untuk mengidentifikasi perusahaan dan merek dagang. Namun banyak orang yang mencoba menarik keuntungan dengan mendaftarkan domain nama perusahaan orang lain dan kemudian berusaha menjualnya dengan harga yang lebih mahal. Pekerjaan ini mirip dengan calo karcis. Istilah yang sering digunakan adalah cybersquatting. Masalah lain adalah menggunakan nama domain saingan perusahaan untuk merugikan perusahaan lain. (Kasus: mustika-ratu.com) Kejahatan lain yang berhubungan dengan nama domain adalah membuat “domain plesetan”, yaitu domain yang mirip dengan nama domain orang lain. (Seperti kasus klikbca.com) Istilah yang digunakan saat ini adalah typosquatting.
IDCERT (Indonesia Computer Emergency Response Team) . Salah satu cara untuk mempermudah penanganan masalah keamanan adalah dengan membuat sebuah unit untuk melaporkan kasus keamanan. Masalah keamanan ini di luar negeri mulai dikenali dengan munculnya “sendmail worm” (sekitar tahun 1988) yang menghentikan sistem email Internet kala itu. Kemudian dibentuk sebuah Computer Emergency Response Team (CERT) . Semenjak itu di negara lain mulai juga dibentuk CERT untuk menjadi point of contact bagi orang untuk melaporkan masalah kemanan. IDCERT merupakan CERT Indonesia.
Sertifikasi perangkat security. Perangkat yang digunakan untuk menanggulangi keamanan semestinya memiliki peringkat kualitas. Perangkat yang digunakan untuk keperluan pribadi tentunya berbeda dengan perangkat yang digunakan untuk keperluan militer. Namun sampai saat ini belum ada institusi yang menangani masalah evaluasi perangkat keamanan di Indonesia. Di Korea hal ini ditangani oleh Korea Information Security Agency.
Bagaimana di Luar Negeri?
Berikut ini adalah beberapa contoh pendekatan terhadap cybercrime (khususnya) dan security (umumnya) di luar negeri.
• Amerika Serikat memiliki Computer Crime and Intellectual Property Section (CCIPS) of the Criminal Division of the U.S. Departement of Justice. Institusi ini memiliki situs web yang memberikan informasi tentang cybercrime. Namun banyak informasi yang masih terfokus kepada computer crime.
• National Infrastructure Protection Center (NIPC) merupakan sebuah institusi pemerintah Amerika Serikat yang menangani masalah yang berhubungan dengan infrastruktur. Institusi ini mengidentifikasi bagian infrastruktur yang penting (critical) bagi negara (khususnya bagi Amerika Serikat). Situs web: . Internet atau jaringan komputer sudah dianggap sebagai infrastruktur yang perlu mendapat perhatian khusus. Institusi ini memberikan advisory
• The National Information Infrastructure Protection Act of 1996
• CERT yang memberikan advisory tentang adanya lubang keamanan (Security holes).
• Korea memiliki Korea Information Security Agency yang bertugas untuk melakukan evaluasi perangkat keamanan komputer & Internet, khususnya yang akan digunakan oleh pemerintah.
Penutup
Tulisan ini hanya menampilkan sedikit permasalahan yang terkait dengan cybercrime. Tentunya masih banyak permasalahan lain yang belum dibahas pada tulisan singkat ini.

Ciri-ciri profesionalisme di bidang IT dan kode etik profesional yang harus dipunyai oleh seorang IT

Ciri-ciri seorang profesional di bidang IT adalah :

*
o Memiliki pengetahuan yang tinggi di bidang TI
o Memiliki ketrampilan yang tinggi di bidang TI
o Memiliki pengetahuan yang luas tentang manusia dan masyarakat, budaya, seni, sejarah dan komunikasi
o Tanggap thd masalah client, faham thd isyu-isyu etis serta tata nilai kilen-nya
o Mampu melakukan pendekatan multidispliner
o Mampu bekerja sama
o Bekerja dibawah disiplin etika
o Mampu mengambil keputusan didasarkan kepada kode etik, bila dihadapkan pada situasi dimana pengambilan keputusan berakibat luas terhadap masyarakat

Kode Etik IT Profesional :

Idealnya, setiap bidang profesi memiliki rambu-rambu yang mengatur bagaimana seorang profesional berfikir dan bertindak. Dalam beberapa bidang profesi, seperti kedokteran, jurnalistik, dan hukum, rambu-rambu ini telah disepakati bersama para profesionalnya dan dituangkan ke dalam Kode Etik. Seseorang yang melanggar Kode Etik dinyatakan melakukan malpraktek dan bisa mendapatkan sangsi tergantung kepada kekuatan Kode Etik itu di mata hukum. Sangsi yang dikenakan adalah mulai dari yang paling ringan, yaitu sekedar mendapat sebutan “tidak profesional” sampai pada pencabutan ijin praktek, bahkan hukuman pidana.

Sebagai salah satu bidang profesi, Information Technology (IT) bukan pengecualian, diperlukan rambu-rambu tersebut yang mengatur bagaimana para IT profesional ini melakukan kegiatannya. Sejauh yang saya ketahui, belum ada Kode Etik khusus yang ditujukan kepada IT Profesional di Indonesia. Memang sudah ada beberapa kegiatan yang mengarah ke terbentuknya Kode Etik ini, namun usahanya belum sampai menghasilkan suatu kesepakatan. Dalam tulisan ini, saya ingin memusatkan perhatian kepada Kode Etik yang dibuat oleh IEEE Computer Society dan ACM yang ditujukan khusus kepada Software Engineer sebagai salah satu bidang yang perannya makin meningkat di IT.

Kode Etik Software Engineering yang dikeluarkan oleh joint team IEEE Computer Society dan ACM terdiri dari dua bentuk, versi singkat dan versi panjang. Versi singkatnya dapat dilihat pada gambar di samping, sedangkan versi panjangnya dapat di-download di sini.

Kode Etik ini menekankan agar software engineer (IT profesional) memiliki komitmen yang tinggi untuk menjaga agar profesinya adalah profesi yang bermanfaat bagi masyarakat dan merupakan profesi yang terhormat. Komitmen ini tercermin pada saat seorang software engineer melakukan kegiatannya dalam membangun software, mulai dari melakukan analisa, membuat spesifikasi, membuat design, melakukan coding, testing maupun pemeliharaan software.

Pada setiap kegiatan tersebut, peran software engineer sangat penting, karena ia turut menentukan hasil akhir dari suatu pengembangan system. Dengan kata lain, dia berada dalam posisi untuk berbuat kebaikan atau berbuat yang merugikan orang lain. Untuk itulah pentingnya Kode Etik ini diterapkan oleh setiap individu software engineer.

Kalau kita melihat Kode Etik seperti yang disebutkan di atas, ada lima aktor yang perlu diperhatikan:

1. Publik
2. Client
3. Perusahaan
4. Rekan Kerja
5. Diri Sendiri

Kepentingan publik (public interest) mendapat perhatian cukup besar dalam kode etik ini dan di berbagai tempat dalam Kode Etik, kepentingan publik itu disebut-sebut. Dalam melakukan kegiatannya, seorang software engineer dituntut untuk konsisten dengan kepentingan publik. Bahkan dalam rangka memenuhi kewajiban kepada client dan perusahaan pun kita dituntut untuk juga memikirkan kepentingan publik.

Untuk software yang menyangkut hajat hidup orang banyak, misalnya software flight control untuk pesawat terbang, kepentingan publik sangat kentara, yaitu salah satunya adalah safety. Definisi konsisten dengan kepentingan publik dalam kasus ini adalah agar kita membangun suatu software flight control yang reliable dan sesuai dengan fungsinya.

Lantas, bagaimana dengan software-software sederhana yang tidak mempengaruhi kehidupan publik? Misalnya sistem kepegawaian dalam suatu instansi pemerintah? Walaupun dalam derajat yang mungkin lebih rendah dibandingkan nyawa manusia, masih banyak kepentingan publik yang perlu diperhatikan, misalnya kemudahan masyarakat, transparansi, akuntabilitas, masalah uang publik, dll. Kode Etik tersebut meminta agar dalam setiap tindakannya, seorang software engineer memperhatikan kepentingan publik tersebut.

Terhadap client dan perusahaan tempatnya bekerja, software engineer dituntut agar dalam menimbang dan melakukan kegiatannya selalu berorientasi yang terbaik bagi client dan perusahaan. Yang terbaik bagi client adalah apabila kita menghasilkan suatu software yang berkualitas dengan delivery waktu yang sesuai. Bagi perusahaan, yang terbaik adalah apabila pengembangan software tersebut dilakukan dengan se-efisien mungkin sehingga biaya produksi dapat ditekan serendah mungkin. Dalam hal ini, kepentingan kedua aktor tersebut dapat dipenuhi sekaligus dengan melakukan pekerjaan yang efektif dan efisien.

Dalam prakteknya, seorang profesional IT bisa dihadapkan pada suatu kondisi yang bertolak belakang antara kepentingan satu aktor dengan kepentingan aktor lainnya. Misalnya, situasi di mana antara kepentingan Perusahaan dengan kepentingan Client bertolak belakang. Perusahaan ingin memotong biaya dengan mengurangi fitur-fitur, sedangkan Client ingin terus menambah fitur-fitur. Bagaimana kita harus bersikap? Siapa yang akan kita menangkan dalam hal ini?

Atau ada kasus sebagai berikut, sebuah instansi pemerintah dalam rangka ”menghabiskan” sisa anggarannya meminta anda untuk membuat suatu system yang anda tahu tidak akan digunakan dan hanya akan membuang uang saja. Sementara Client (dalam hal ini instansi pemerintah) dan Perusahaan anda telah setuju dengan proyek tersebut. Client anda tidak mempermasalahkan apakah software yang dihasilkan akan digunakan atau tidak, begitu pula Perusahaan tempat anda bekerja, tetapi anda tahu bahwa software yang anda buat tidak akan digunakan semestinya dan hal tersebut berarti hanya membuang-buang uang saja. Bagaimana anda bersikap?

Kode Etik tidak berdiri sendiri, perangkat hukum lainnya seperti kontrak kerja harus sama-sama dipenuhi. Dalam kasus pertama dimana terjadi konflik antara Client dan Perusahaan, kita mesti lihat kontraknya. Dokumen kontrak memiliki konsekuensi hukum yang jelas. Tentunya kita ingin memenuhi kontrak tersebut agar tidak kena sangsi hukum.

Kembali ke kasus ”menghabiskan” sisa anggaran tadi, bagaimana kita sebagai IT profesional bertindak apabila kita tahun bahwa proyek yang kita sedang kerjakan adalah sebetulnya proyek main-main untuk menghabiskan anggaran saja? Dari ketiga kemungkinan di bawah ini, mana yang anda pilih?

1. Minta transfer ke proyek lain yang lebih ”benar”. Atau, kalau tidak memungkinkan untuk minta transfer ke proyek lain, cari saja kerja di perusahaan yang lain.
2. Kerja secara profesional, menghasilkan software yang terbaik, tidak usah ambil pusing dengan urusan publik.
3. Kerja setengah hati sambil ngedumel ke rekan kerja bahwa yang dikerjakannya akan hanya buang-buang uang saja.

Dari ketiga pilihan ini pilihan ketiga yang paling tidak konsisten dengan kode etik.

Kode Etik juga mengatur hubungan kita dengan rekan kerja. Bahwa kita harus selalu fair dengan rekan kerja kita. Tidak bolehlah kita sengaja menjerumuskan rekan kerja kita dengan memberi data atau informasi yang keliru. Persaingan yang tidak sehat ini akan merusak profesi secara umum apabila dibiarkan berkembang.

Karyawan IT di client mestinya juga mengadopsi Kode Etik tersebut, sehingga bisa terjalin hubungan profesional antara konsultan dengan client. Bertindak fair terhadap kolega juga berlaku bagi karyawan IT di organisasi client dalam memperlakukan vendornya. Apabila dua perusahaan telah sepakat untuk bekerja sama membangun suatu software, maka para profesional IT di kedua perusahaan tersebut harus dapat bekerja sama dengan fair sebagai sesama profesional IT .

Beberapa perlakuan yang tidak fair terhadap kolega, antara lain:

1. Menganggap kita lebih baik dari rekan kita karena tools yang digunakan. Misalnya, kita yang menggunakan bahasa JAVA lebih baik daripada orang lain yang pakai Visual BASIC.
2. Kita merasa lebih senior dari orang lain, oleh karena itu kita boleh menganggap yang dikerjakan orang lain lebih jelek dari kita, bahkan tanpa melihat hasil kerjanya terlebih dahulu.
3. Seorang profesional IT di client merasa lebih tinggi derajatnya daripada profesional IT si vendor sehingga apapun yang disampaikan olehnya lebih benar daripada pendapat profesional IT vendor.

Persaingan yang tidak sehat akan menghasilkan zero-sum game, yaitu kondisi dimana seorang dapat maju dengan cara membuat orang lain mundur. Dengan bertindak fair, dapat dimungkinan dua pihak yang berkompetisi dapat sama-sama maju.

Walaupun Kode Etik di atas belum secara resmi diadopsi oleh asosiasi profesi di Indonesia, namun tidak ada salahnya apabila kita para profesional di bidang Software Engineering mengadopsinya secara pribadi. Selain hal tersebut merupakan bentuk pertanggung-jawaban moral sebagai profesional di bidangnya, mengadopsi kode etik akan mengangkat citra kita ke tingkat yang lebih tinggi.

Sumber :http://www.blog.simetri.co.id