Menyoal Rasa Aman di Era Teknologi Informasi

Rasa aman, dalam dunia teknologi informasi biasanya berkutat dalam dua istilah yaitu keamanan dan pengamanan. Keamanan, dalam hal ini adalah keamanan informasi atau lebih umum lagi adalah keamanan data didefinisikan sebagai suatu kondisi yang menyatakan bahwa data yang disimpan bebas dari segala gangguan yang ditakuti (definisi yang sangat paranoid). Gangguan dapat berupa hilang atau rusak sehingga tidak lagi dapat dipergunakan, diakses oleh pihak yang tidak berkepentingan sehingga disalahgunakan. Mungkin ada lagi gangguan lain selain dari yang saya sebutkan di sini. Sementara pengamanan merupakan tindakan-tindakan yang bertujuan untuk menjaga kondisi aman tersebut. Kedua hal ini merupakan isu panas yang tidak jarang menarik begitu banyak perhatian mulai dari para pakar, praktisi, pengamat, hingga orang-orang yang masih awam di bidang teknologi informasi dan komunikasi. Penyebabnya ada berbagai hal, mulai dari yang inspiratif seperti dalam cerita-cerita seputar hacker, yang bersifat sosio-kultural seperti karakter orang Indonesia yang mungkin bisa dibilang ‘super kreatif’, dan lainnya.

Dahulu, saya pernah membuat tulisan yang ketika sekarang saya baca lagi. Saya merasa sangat cupu (baik dari segi isi tulisan maupun gaya penulisan). Mungkin tulisan ini pun juga tidak mungkin tidak dinilai cupu karena tiba-tiba saja tulisan saya muncul tentang topik ini. Kalau untuk hal ini saya serahkan kepada pembaca saja deh, bagaimana menilainya..


Keamanan

Oke, kembali lagi membahas tentang rasa aman. Ide yang ingin saya sampaikan lewat tulisan ini sebenarnya hanyalah sebuah perspektif pribadi perihal menganalisis rasa aman. Dari hal pertama yang berkaitan dengan rasa aman yaitu keamanan, yang menjadi inti masalahnya adalah sumber gangguan dan proses (serta dampak) gangguan. Sumber gangguan bisa berasal dari orang (natural intelligent entity), mesin (artificially-crafted intelligent entity), atau proses lain (proses alam a.k.a fisis-kimiawi-biologis). Proses gangguan adalah mekanisme terjadinya perubahan yang menyebabkan data tidak aman. efek gangguan adalah hal-hal yang mungkin terjadi setelah data tidak lagi dalam kondisi aman. Hal tersebut tentunya bisa bervariasi tergantung dari konteks (domain) penerapan keamanan. Sebagai contoh, jika saya seorang penulis blog, maka yang disebut gangguan bisa jadi adalah komentar yang tidak diinginkan secara objektif (spam), tindakan penjiplakan (plagiarisme) terhadap tulisan yang telah dibuat, impersonation terhadap diri saya dalam mengomentari tulisan lain, ataupun akses (authorization) untuk melakukan pengubahan terhadap koleksi tulisan saya.

Sekarang, mari kita coba analisis bersama-sama kasus keamanan blog tersebut.

  • komentar spam
    sumber : orang, mesin*
    proses/efek : ‘ada’ komentar ‘tertentu’ yang ‘tidak sesuai’ dengan tulisan atau blog secara keseluruhan.
  • plagiarisme
    sumber : orang*, mesin
    proses/efek : sebagian atau seluruh tulisan yang telah dibuat, dimuat dalam blog lain tanpa ijin/mencantumkan sumber
  • impersonation
    sumber : orang*, mesin
    proses/efek : ada komentar di tulisan orang lain dengan identitas saya (padahal bukan saya yang memberi komentar)
  • authorization
    sumber : orang, mesin
    proses/efek : pihak lain bisa mengubah tulisan saya. salah satu jalannya adalah melalui pencurian identitas. bisa juga berdampak impersonation

Definisi persoalannya menjadi agak sederhana, yaitu “Bagaimana agar tidak begini?”. Solusi spesifiknya bisa jadi tidak sesederhana itu. Pertama, siapa yang harus di-lawan? Bagaimana karakteristiknya? Jika sumbernya adalah orang, maka karakteristiknya adalah entitas tersebut cukup cerdas dalam hal pemilihan strategi yang kapasitasnya ditentukan oleh pengetahuan orang tersebut, kemampuan komputasi dan penyimpanannya tidak perlu mengkhawatirkan (untuk melakukan exhaustive search). Jika sumbernya adalah mesin, maka karakteristiknya adalah entitas tersebut cukup terbatas dalam hal pemilihan strategi, tetapi kemampuan komputasi dan penyimpanan informasinya cukup mengkhawatirkan. Kedua hal inilah yang menjadi pokok bahasan tulisan saya terdahulu [1]. Yaitu, bahwa masalah keamanan di dunia teknologi informasi itu intinya merupakan perang kecerdasan (intelligence war).

Kedua, bagaimana karakteristik proses pengganggu tersebut. Misalkan untuk kasus komentar spam, dicirikan dengan kemunculan istilah-istilah tertentu, mengandung banyak link, banyak kata yang salah ketik (untuk menerobos sistem penyaringan tekstual). Karakteristik ini dimanfaatkan semaksimal mungkin untuk menghindari resiko atau meminimalkan resiko dari gangguan tersebut jika tidak dapat dihindari. Pemanfaatannya karakteristik pengganggu ini lebih tepat dibahas dalam bagian selanjutnya yaitu mengenai (tindakan-tindakan) Pengamanan.

Pengamanan

Tindakan yang bertujuan untuk mengamankan data dari gangguan bisa diturunkan dari proses terjadinya gangguan yang sudah dianalisis sebelumnya. Dari analisis terhadap contoh kasus di atas kita bisa memikirkan langkah-langkah pengamanannya sebagai berikut :

  • komentar spam
    teknik pencegahan : penyaringan tekstual, manual verfication (mis. captcha)
    <keterangan : proses penyaringan dapat dilakukan dengan memeriksa setiap kata dan membandingkan (string matching) dengan kamus kata yang termasuk dalam “daftar hitam”. pengenalan berbasis kaidah terhadap pola spam (mis. banyak berisi link, gramatika kalimat). Implementasi yang dilakukan bisa dilakukan mulai dari yang sederhana (berbasis kamus), atau berbasis intelijensia buatan (memanfaatkan teknik klasifikasi dokumen).
  • plagiarisme
    analisis proses/efek : muncul tulisan di situs (blog) lain yang serupa. biasanya pelaku dari plagiarisme merupakan sesama manusia. perubahan yang dilakukan tidak signifikan (mengganti judul).
    teknik pencegahan : plagiarisme tidak dapat dicegah. plagiarisme hanya bisa dideteksi untuk kemudian ditindaklanjuti (entah dengan melakukan bombing komentar atau teknik lain).
    keterangan : pendeteksian dapat dilakukan dengan kombinasi teknik manual dan otomatis. teknik manual adalah dengan menggunakan kalimat tertentu sebagai “tanda tangan” atau watermark yang bersifat unik namun menyatu dengan isi (sekilas tidak dapat dibedakan). keunikan dari kalimat ini akan digunakan pada teknik otomatis yaitu menggunakan mesin pencari (search engine). dengan menggunakan pola (susunan kata dalam) kalimat yang unik, pencarian dengan mesin pencari dapat dipermudah dengan memperkecil/menyedikitkan hasil pencarian yang relevan. sistem pembanding (diff) dapat dimanfaatkan untuk memeriksa perbedaan dengan dokumen aslinya untuk mengetahui porsi kemiripan sehingga dapat ditindak lebih lanjut (mengingatkan pengutip).
  • impersonation
    analisis proses/efek : muncul komentar di situs (blog) lain dengan identitas saya (walau bukan saya yang memberi komentar). biasanya pelaku aksi ini merupakan sesama manusia. pendekatan yang dilakukan adalah social engineering misal dengan memberikan atribut yang sama (alamat e-mail, URI)
    teknik pencegahan : hal ini kemungkinan besar terjadi pada situs yang dikelola secara pribadi tanpa ada pengaturan hak untuk memberi komentar (misal dengan hanya mengijinkan user yang terdaftar untuk memberi komentar)
    keterangan : ini sepertinya adalah isu tentang Digital Identity. kasus ini kemungkinan terjadi pada situs penyedia blog yang dikelola secara terpusat seperti wordpress, blogger, blogsome, dll.
  • authorization
    analisis proses/efek : biasanya dilakukan dengan pencurian identitas sebelum masuk ke sistem (login). melalui coba-coba menebak sandi lewat (password). atau memanfaatkan kelemahan/vulnerability dari sistem.
    teknik pencegahan : gunakan strong password (Hercules? hehe.. becanda). gunakan kombinasi huruf dan angka dengan panjang minimal 5-6 huruf.
    keterangan : jika anda kesulitan untuk mengingat banyak password, gunakanlah password manager yang dikunci dengan sebuah “Master Password“. tetapi sebaik-baiknya sistem buatan, kunci utama terletak di anda untuk membuat sandi lewat tersebut tetap menjadi rahasia pribadi.

Pembahasan

Paparan di atas masih berupa opini yang didukung oleh contoh kasus (itupun hanya satu kasus). Pada kenyataannya walaupun prinsip di atas berlaku (basically), selama masih ada yang bisa keluar-masuk (informasi), maka tidak ada sesuatu yang aman untuk selamanya. Kesementaraan dari keamanan ini disebabkan karena pengamanan biasanya juga diterapkan terhadap asumsi ‘kapasitas’ dan kapabilitas dari penyebab gangguan pada masa itu. oleh sebab itu, pengamanan tidak hanya merupakan proses monitoring tetapi juga adaptasi infrastruktur pengamanan terhadap kondisi sekarang dan masa depan. Pembahasan mengenai penyebab gangguan lain seperti proses alam atau infrastruktur informasi secara lebih mendalam bisa dibaca lebih lanjut pada [2], [3].

..Waspadalah!.. Waspadalah!..
Bang Napi

Referensi

  1. Information Security : Natural vs Artificial Intelligence. Buletin eXPressIF, HMIF (Himpunan Mahasiswa Informatika) ITB. Oktober 2005.
  2. hadiwibowo.wordpress.com
  3. Zulidamel. Pengamanan System Data.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s