SECURITY DAN ETIKA
Sekuriti dan Etika
Prosedur-prosedur technological & managerial yang diterapkan pada sistem komputer untuk menjaga ketersesiaan (availability), integritas (integrity) & kerahasiaan (confidentiality ) informasi yang dikelola. Taksonomi pokok
Confidentiality - penjaminan bahwa informasi tidak dapat diakses oleh orang yang tidak berhak (unauthorized persons).
– Integrity - penjaminan bahwa informasi tidak diubah oleh unauthorized persons kecuali oleh authorized users.
– Authentication - penjaminan bahwa users adalah persons they claim to be (yang berhak).
– Access control - penjaminan bahwa users hanya akses ke sumber-sumber dan pelayanan – pelayanan yang telah ditentukan & user yang qualified tidak ditolak akses ke layanan yang sah diharapkan untuk diterima.
– Nonrepudiation - penjaminan bahwa pengirim messages tidak dapat menyangkal fakta.
– Availability - penjaminan bahwa sebuah sistem operational & functional tiap saat [redundancy], loss of availability disebut "denial-of-service”(penolakan layanan).
– Privacy - penjaminan bahwa individu mempertahankan hak untuk mengontrol informasi apa yang dikumpulkan tentang mereka, bagaimana ia digunakan, siapa yang menggunakan, siapa yang mempertahankan, dan tujuan apa untuk digunakan.
• Accidental
– Information overload, karena kiriman data /email yang banyak/besar & tidak relevan.
– Rumour & accidental misinformation, gosip.
– Negligent defamation, sebaran fitnah krn ceroboh.
– Persistence, anggota milis keluar lupa dihapus.
– Minor plagiarism, info dari situs diakui hasil sendiri.
– Inadequate care with data, me-reply email dengan tambahan info sensitif/rahasia.
– Trawling / Spidering, pengomentari dengan hal-hal yang sifatnya rahasia.
• Socially Aggressive
o Intentional misinformation, penyebaran fitnah.
o Flaming, kirim email berbahasa kasar/kotor (foul /abusive).
o Intentional defamation, sebaran fitnah.
o Harassment, progam / email untuk pengacauan trafik.
o Mail-bombing, pengiriman banyak email ke suatu mailbox.
o Obscenity, penyediaan material yang asusila di situs.
o Incitement, berita hasutan melalui bulletin board.
o Impersonation, pemalsuan identitas gender di milis.
o Surveillance, ngintip isi email-email banyak orang.
• Economically Aggressive
o Spamming, sebaran iklan ke banyak milis dengan banyak jawaban sehingga mailbox overflow.
o Advertising, promotion, & soliciting, sebaran iklan ke banyak milis tapi intruder, dll. merugikan terkirim.
o Secondary use of data, pemakaian transaksi jaringan tanpa modal.
o Serious plagiarism, penjiplakan karya tulis dari situs.
o Abuse of intellectual property rights, pengambilan bahan dari situs tanpa menyebut sumber.
o Hacking, pembobolan keamanan sistem.
o Viruses & worms, ngirim program perusak melalui jar.
o Security breach, penyebaran program SATAN (Security Administrator Tool for Analyzing Networks).
Avoidance
o Circumvention , pengelakan[menghindari, contoh:Seseorang menetapkan web-server di pajak yg dimiliki, dan menawarkan layanan dimana pedagang bersih difasilitasi penjualan secara hukum dibuat di lokasi itu, sehingga menghindari membayar pajak di mana pembeli dan / atau penjual beroperasi. ]
o Anonymisation [A yang disebut 'anonim remailer' menerima email yang ditujukan kepada pihak ketiga, menghapus identifikasi pengirim, dan meneruskannya ke penerima yang dimaksud.]
o Obscuration, pengaburan [penyamaran, contoh: pengirim mengenkripsi pesan mereka A, tapi register berbagai bagian dari kunci enkripsi dengan orang yang berbeda dan organisasi, sehingga pesan dapat didekripsi disediakan bahwa beberapa dari mereka berkolaborasi. ]
o Compound cases [Seseorang membawa cerita untuk perhatian ke korbannya
Computer Crimes
• Apa Computer Crime ? [www.hyperdictionary.com]
o Melanggar hukum pidana dengan menggunakan komputer
o Setiap kegiatan kriminal yang melibatkan salinan, penggunaan, penghapusan, gangguan, akses, manipulasi sistem komputer, dan / atau fungsi-fungsi terkait, untuk data atau program
• Pelaku ?
o Hacker, mereka yang berwatak arogan [bangga diri ?] (proud of ) dengan apa yang mereka dilakukan dan publish their achievement.
o Cracker, person which hacking for profit.
• Apa motif penyusup/pembobol ?
o – Kesombongan / ego [ingin menguji kemampuan yang lain] / mpo.
o – Politik (hactivism).
o – Iri / ingin merugikan perusahaan.
• Konsekuensi perusahaan
o – Kredibilitas turun
o – Kemajuan terhambat
o – Menyesatkan pelanggan
o – Kehilangan peluang bisnis
• Attacks yang sering ?
o Password sniffing, misalnya dengan TCP Grab atau Passfinder.
o CGI PHF (packet handling function) dapat dipakai untuk extract password file.
o Holes in public commercial & domain software (sendmail, flexlm, ftpd, …)
o Hostile [musuh ?] Java Applets.
o Invasion of privacy, access & modification to private data.
o Viruses.
• Attacks “favorit” ?
o – Pencurian data dan sumberdaya
o – Penolakan layanan serangan.
o – Kode berbahaya dan virus.
o – Malfeasance/ penyimpangan [penyalah-gunaan jabatan] by Computer.
• Jenis pencurian data ?
o – Menyusup ke sebuah komputer, mencuri private files.
o – Seseorang memakai computer account yang lain.
o – Pencurian fisik [Laptops, PC, dll.].
o – Penyerangan melalui email/internet.
• DoS attack
o – Caranya ?
o • Mengunci komputer / website sehingga tidak berfungsi, bahkan mungkin sampai crash.
o • Menjaga Anda dari melakukan pekerjaan apapun, menerima surat apapun, mendapatkan apapun pesanan online
o – Akibatnya ?
o • Pekerjaan terhambat
o • Menghalangi komunikasi melalui e-mail
o • e-activity [eCommerce, eLearning, ..] terganggu / mati.
o – Contoh ?
o • Web sit-ins [protes, demo], e-mail bombs, ……
• Apa Malfeasance by Computer ? [= "gray" areas of computer abuse]
o Perilaku yang berkaitan dengan komputer membentang batas-batas legalitas dan dapat dipandang sebagai hanya teknis salah, meskipun dampaknya luas, yang berpotensi negatif
• Apa yang mungkin jadi penyebabnya ?
o – Memakai /membeli SW bajakan.
o – Pegawai secara rahasia membangun DB sebagai usaha sampingan.
o – Seseorang memakai account number & password orang lain untuk melihat isi sebuah DB.
o – Pelanggan memberi unlisted telephone number di swalayan.
o – Pemrogram sebuah Univ. membuat program jadwal kuliah lalu pindah ke universitas lain dengan membawa kopi program untuk dipakai di tempat baru.
• Apa Malicious Program ?
Program ganas/jahat penyebab kerugian (harm) ekstensif, tiap insiden harus dihadapi konsekwensi legal [penerapan hukum bagi pembuat program.
• Untuk apa tahu Malicious Program ?
o Bila tahu kerusakan terjadi, agar tiap pemilik komputer selalu memproteksinya dari tiap attacks mendatang.
o Hukum yang ada hanya bereaksi pada kerusakan yang terakhir, bila ada Malicious Program baru [dan mungkin lebih ganas] maka hukum perlu diperbaru.
o Agar penegak hukum mengganjar pembuat Malicious Program seberat mungkin.
• Apakah ini juga malicious program ?
o – Virus ~
o • Program yang dapat mereproduksi dengan mengubah program lain untuk menyertakan salinan dari dirinya sendiri. Ini adalah program parasit, memerlukan program lain untuk bertahan hidup.
• Program yang dirancang untuk menyembunyikan di latar belakang dan mereplikasi dirinya sendiri dari satu komputer ke komputer lain dengan melampirkan sendiri ke program yang ada atau bagian dari sistem operasi.
– Hoax ~ sesuatu yang dimaksudkan untuk menipu [bohong];
trik yang disengaja dimaksudkan untuk mendapatkan keuntungan.
• Apakah ini juga malicious program ?
o – Worm ~ Program yang menyebarkan diri sendiri dari sistem ke sistem sepanjang jaringan.
o – Trojan Horse ~ Program yang menyamar (masquerade) sebagai sesuatu yang useful or amusing, tetapi melakukan sesuatu yang tak terduga.
• Pencurian passwords, credit card numbers, files, ..dsb.
• Penyebaran DoS attacks or worms/viruses.
• Sabotage, especially by insiders (time bombs).
• Biasanya dikirimkan di dalam sebuah game
• Beberapa jenis Malicious Program
o Brain virus, virus untuk MS DOS dibuat 1986 berisi [unencrypted text] nama, adres, & nomor telefon Brain Computer Services (BCS) - swalayan di Lahore, Pakistan. Virus menginfeksi boot sector disket 5¼ . Robert Slade, ahli virus yakin virus dibuat sebagai bentuk iklan BCS.
o Lehigh Virus, Nov. 1987, virus yang menginfeksi file COMMAND.COM pada disket DOS di Lehigh Univ.
o Christma Worm, worm dalam bahasa REXX dibuat mahasiswa di Jerman Desember 1987 di jaringan IBM mainframe di Eropa. Worm memunculkan suatu citra pohon conifer di monitor, sambil mencari 2 files pada user's account to collect e-mail addresses kemudian secara otomatis sent itself ke adres-adres tersebut.
• Beberapa jenis Malicious Program
o Morris Worm, 2 November 1988 - Robert Tappan Morris, first-year CS graduate student Cornell Univ., worm yang secara efectif shut down Internet untuk beberapa hari.
o MBDF Virus, 1992 - 4 undergraduate students [Blumenthal, Pilgrim, Doe, ?] di Cornell Univ. created and released virus MBDF, attacks Apple Mac., berupa 3 shareware programs:
• Obnoxious Tetris [game]
• Ten Tile Puzzle [game]
• Tetriscycle [Trojan Horse berisi encrypted copy dari MBDF.
o Komputer yang terinfeksi MBDF Virus ada di seluruh wilayah USA, Japan, Europe, Australia, and Canada.
• Beberapa jenis Malicious Program
o Pathogen Virus, April 1994 di-release di UK oleh Christopher Pile [“Black Baron”, pemrogram] yang uploading infected file ke computer bulletin board, di mana korban dapat download a copy of the file.
o Melissa virus, released on 26 March 1999 di-design to infect macros in wordprocessing documents used by the Microsoft Word 97 and Word 2000 programs.
o ILOVEYOU worm, pertama ditemukan di Hong Kong 4 - 5 - 2000 menyerang ³ 1/2 perusahaan di USA dan ³ 105 mail servers di Eropa.[Internal e-mail systems at U.S. Senate & Britain's House of Commons were shut down.]
• General Security
o R-1: Keamanan melalui ketidakjelasan [Samar] tidak bekerja [X-Files: ". Ada selalu menyaksikan seseorang"].
o R-2: pengungkapan Penuh lubang keamanan bug & manfaat. [Lebih baik jika vendor mengumumkan bersama dengan perbaikan].
o R-3: [Hukum Petani, disebar-luaskan diumumkan] oleh komputer peneliti keamanan Dan Farmer:] ". Para Keamanan Sistem Komputer degradasi dalam Proporsi langsung ke Jumlah Penggunaan Sistem Menerima“
o R-4: Lakukan sebelum seseorang melakukan kesalahan pada Anda. [Keamanan komputer tidak pernah dapat diimplementasikan dalam ruang hampa.]
o R-5: Rasa takut mendapatkan cought adalah awal dari kebijaksanaan. [Jangan meremehkan nilai pencegahan / rintangan.]
o R-6: Selalu ada seseorang di luar sana lebih cerdas, lebih berpengetahuan, atau lebih baik dari Anda eqquiped [Hati-hati tentang asumsi yang Anda buat mengenai ancaman sistem wajah Anda.].
o R-7: Tidak ada turnkey solusi keamanan. [Tidak ada daftar yang akan menghitung untuk semua kerentanan.]
o R-8: Campuran Baik & Jahat menjadi abu-abu [Ada "orang baik" dan "orang jahat" di luar sana, atau "topi putih" dan "topi hitam."].
o R-9: Berpikir seperti musuh [Akibat R-8].
o R-10: Kepercayaan adalah konsep relatif ["Kepercayaan tidak ada" adalah kebijakan yang kuat].
• Apa etiket = etika ?
o Ethic [etika] ~ prinsip-prinsip benar dan salah yang diterima oleh individu atau kelompok sosial; "etika Puritan"; "seseorang dengan nilai-nilai kuno".
o Etiket [etiket] ~ aturan yang mengatur perilaku sosial dapat diterima.
o Netiquette ~
• Internet/network etiquette, panduan etiket untuk posting pesan-pesan layanan online [newsgoups], mencakup segala aturan, cara diskusi, format sederhana, ..
• Sebuah panduan yang komprehensif untuk semua aspek elektronik [perintah dan larangan online] komunikasi, termasuk Telnet dan FTP.
• Prinsip umum etika [www.ccis.edu/Departments/TechnologyServices]
o Menghormati pekerja intelektual dan kreativitas untuk wacana akademis dan perusahaan. Ini berlaku untuk semua karya-karya penulis dan penerbit di semua media. Ini mencakup menghormati hak untuk pengakuan, hak atas privasi, dan hak untuk menentukan bentuk, cara dan hal publikasi dan distribusi.
o Karena informasi elektronik yang begitu rapuh dan mudah direproduksi, menghormati pekerjaan dan ekspresi pribadi orang lain adalah sangat penting dalam lingkungan komputer. Pelanggaran integritas kepenulisan, termasuk plagiarisme, invasi privasi, akses yang tidak sah, dan rahasia perdagangan dan pelanggaran hak cipta, mungkin alasan untuk sanksi terhadap anggota masyarakat akademik
• Bagaimana cara Ethical and Responsible Use of Computers ?
o Ingat bahwa semua fasilitas & perangkat komputasi adalah for purposes of work [business, instruction, & research].
o Taati semua aturan dan prosedur yang berlau.
o Jaringan komputer & telekomunikasi untuk pertukaran bebas ide dan informasi, so meningkatkan pengajaran dan penelitian, serta memungkinkan karyawan untuk bekerja lebih efisien dan produktif.
• Bagaimana cara Ethical and Responsible Use of Computers ?
o Ingat bahwa semua fasilitas & perangkat komputasi adalah for purposes of work [business, instruction, & research].
o Taati semua aturan dan prosedur yang berlau.
o Jaringan komputer & telekomunikasi untuk pertukaran bebas ide dan informasi, so meningkatkan pengajaran dan penelitian, serta memungkinkan karyawan untuk bekerja lebih efisien dan produktif.
o Pengguna tidak harus menggunakan sistem apapun untuk mengirim materi yang cabul, ilegal, diskriminasi, atau dimaksudkan untuk mencemarkan atau melecehkan orang lain, atau mengganggu pekerjaan mereka pada komputer.
• Bagaimana cara Ethical and Responsible Use of Computers ?
o Ingat bahwa semua fasilitas & perangkat komputasi adalah for purposes of work [business, instruction, & research].
o Taati semua aturan dan prosedur yang berlau.
o Jaringan komputer & telekomunikasi untuk pertukaran bebas ide dan informasi, so meningkatkan pengajaran dan penelitian, serta memungkinkan karyawan untuk bekerja lebih efisien dan produktif.
o Pengguna tidak harus menggunakan sistem apapun untuk mengirim materi yang cabul, ilegal, diskriminasi, atau dimaksudkan untuk mencemarkan atau melecehkan orang lain, atau mengganggu pekerjaan mereka pada komputer.
• Bagaimana ….. ?
o Setiap orang yang menggunakan komputer memiliki hak untuk keamanan program komputer dan data mereka.
o Keamanan sistem untuk komputer ada untuk memastikan bahwa hanya pengguna yang berwenang memiliki akses ke sumber daya komputer
o Abusers (Korban) Penyalahgunaan hak istimewa komputasi akan dikenakan tindakan disipliner.
o Perjanjian lisensi perangkat lunak berfungsi untuk meningkatkan kepatuhan terhadap hukum hak cipta dan paten, dan untuk membantu memastikan penerbit, penulis dan pengembang pengembalian atas investasi mereka.
• RFC 1855, Netiquette Guidelines
– Komunikasi 1 - 1 • Email [kepemilikan, mail pada internet tidak aman, menghormati hak cipta, jika forwarding / re-posting tidak mengubah kata-kata, tidak pernah mengirim surat berantai melalui surat elektronik, tidak mengirim pesan dipanaskan / "api", periksa semua subjek email Anda sebelum menanggapi, membuat hal-hal mudah bagi penerima, dll]
• Talk adalah seperangkat protokol yang memungkinkan dua orang untuk memiliki dialog interaktif melalui komputer [menggunakan kasus campuran dan tanda baca yang tepat, menulis tidak lebih dari 70 karakter, dan tidak lebih dari 12 baris, meninggalkan marjin beberapa, ingat pembicaraan yang gangguan kepada orang la
• RFC 1855
o – Komunikasi 1 - N
• General [Baca baik milis dan newsgroup selama satu sampai dua bulan sebelum Anda memposting apapun, Jangan salahkan sistem administrator untuk perilaku pengguna sistem, Pertimbangkan bahwa khalayak yang besar akan melihat posting Anda, Asumsikan bahwa individu berbicara sendiri, pesan dan artikel harus singkat dan to the point, dll].
• Mailing list [Kirim berlangganan dan berhenti berlangganan pesan ke alamat yang tepat, Simpan pesan berlangganan untuk setiap daftar Anda bergabung, itu tidak mungkin untuk mengambil pesan setelah Anda mengirim mereka, auto reply fitur mailer banyak berguna untuk di-rumah komunikasi , Jangan mengirim file besar ke mailing-list saat Uniform Resource Locators (URL) atau pointer ke ftp-bisa akan melakukan v
• RFC 1855
o Information services [layanan milik orang lain, mulailah dengan memeriksa pemecahan masalah lokal, layanan informasi juga menggunakan konvensi seperti www.xyz.com, TIDAK menganggap bahwa APAPUN informasi yang Anda temukan adalah up-to-date dan / atau akurat, Ingat bahwa kecuali jika Anda pastikan bahwa keamanan dan otentikasi teknologi digunakan, bahwa setiap informasi yang Anda kirimkan ke sistem sedang dikirim melalui Internet "di jelas", dengan tidak ada perlindungan dari "sniffer" atau pemalsu ].
o • Gopher
o • Wais
o • World Wide Web (WWW)
o • Multi-User Dimensions (MUDs)
o • Multi-User Dimensions which are Object Oriented (MOOs)
No comments:
Post a Comment