Kejahatan internet

Apabila ada orang yang tidak dikenal datang ke rumah anda dan mulai melihat-lihat jendela, lubang kunci, apa yang anda lakukan? Membiarkannya atau melaporkannya kepada aparat keamanan? Atau malah, main hakim sendiri? Bagaimana jika dia melakukannya tengah malam? Ketika ditangkap, sang orang ini mengatakan bahwa dia tidak berbuat salah. Toh tidak ada bukti dia mencuri. Di dunia maya hal yang serupa juga terjadi. Apabila ada orang melakukan “port scanning” atau “probing” terhadap server anda, apa yang anda lakukan? Kegiatan scanning dan probing ini sama lugunya dengan kegiatan “melihat-lihat” jendela rumah anda.

Ada lagi kejahatan yang tidak melakukan pencurian atau pemalsuan data, akan tetapi “hanya” mematikan server anda. Kegiatan ini sering disebut “Denial of Service attack” (DoS attack). Caranya adalah penjahat ini mengirimkan data-data atau paket-paket sampah secara bertubi-tubi sehingga server anda kewalahan menangani permintaan palsu ini. Akibatnya, server tidak dapat melayani permintaan pelanggan sesungguhnya karena terlalu sibuk itu. Apakah pelaku ini melakukan kejahatan Internet? Masalahnya, dia tidak mencuri data atau memalsukan data. Masuk ke dalam perbuatan yang tidak menyenangkan, mungkin. Namun jangan lupa bahwa ada aspek finansial terhadap serangan jenis ini. Bayangkan bagaimana akibatnya jika saya dapat melakukan serangan DoS ini terhadap seluruh mesin ATM dari sebuah bank sehingga seluruh mesin ATM tidak berfungsi. Meskipun saya tidak mencuri uang, tentunya bank tersebut akan mengalami kerugian karena tidak dapat melakukan transaksi.

Cara sebaliknya yang masih jarang dilakukan orang adalah dengan membuat connection ke server akan tetapi tidak melakukan apa-apa sehingga layanan dari penyelenggara jasa tersebut menjadi terhambat. Bayangkan jika anda membayar 20 orang untuk datang secara bersama-sama ke McDonald. Kemudian ketika sampai di depan tempat pemesanan dia pura-pura bingung dan membutuhkan waktu untuk memilih makanan yang akan dipesan. Hal ini berlangsung lama sampai pelayan marah dan mengusir calon pembeli (yang nakal ini). Namun, di belakang calon pembeli yang nakal ini ada calon pembeli lagi yang nakal juga dan “telmi” (telat mikir) juga. Akibatnya akan terjadi antrian yang sangat panjang. Nah, hal ini dapat dilakukan dengan mengirimkan banyak connection ke server anda akan tetapi tidak melakukan apa-apa.

Kenakalan lain yang juga umum dilakukan oleh orang yang frustasi adalah mengirimkan permintaan yang bertubi-tubi. Misalnya, dia meminta halaman depan dari web anda secara berulang-ulang. (Seolah-olah menekan tombol refresh pada web browser anda.) Apakah yang bersangkutan salah? Tidak ada larangan untuk melihat halaman web anda secara berulang-ulang kan? Namun, jika hal ini dilakukan satu juta kali, tentu menjadi lain.

Permasalahan menjadi semakin kompleks bila kegiatan tersebut dilakukan dari jarak jauh oleh orang dengan kewarganegaraan lain. Bagaimana jika terjadi serangan terhadap server kita dari seorang pengguna di Rusia? Apakah anda akan terbang ke Rusia untuk menangkap cracker ini? Biaya yang anda keluarkan untuk melakukan hal itu mungkin lebih mahal daripada melakukan perbaikan terhadap server anda. Penyidikan juga akan lebih sulit jika cracker ini melakukan penyerangan dari tempat lain. Misalnya cracker Rusia ini masuk ke server di Jerman, kemudian masuk ke server di Romania, baru melakukan penyerangan ke server di Indonesia.

Hal-hal di atas dapat dilakukan dengan menggunakan berbagai software (tools) yang dapat diperoleh secara gratis dari berbagai tempat di Internet. Mengerikan memang. Namun sebenarnya ada hal-hal yang dapat anda lakukan untuk memproteksi situs anda.

Bagaimana memproteksi server anda?

Banyak cara untuk memproteksi server atau situs perusahaan anda. Hal yang umum saat ini adalah dengan menggunakan firewall, Intrusion Detection System (IDS), dan kebijakan (policy). Firewall digunakan untuk memisahkan jaringan yang berisi server-server kita dengan Internet. Analoginya dia seperti pagar rumah kita yang memisahkan rumah dengan jalan di depan. Firewall ini dapat dikonfigurasi untuk melewatkan data-data dengan karakteristik tertentu. Misalnya, akses ke web server diperkenankan dari semua tempat di dunia akan tetapi akses kepada mail server hanya diperkenankan kepada komputer-komputer yang berada di dalam jaringan internal perusahaan.

Intrusion Detection System (IDS) merupakan sebuah sistem untuk mendeteksi adanya tamu yang tak diundang (intruder). Dia memonitor anomali yang terjadi di sistem. Misalnya jika web anda biasanya hanya dikunjungi 100 orang dan kali ini tiba-tiba ada permintaan yang bertubi-tubi, maka dia dapat memberikan peringatan (warning) atau melakukan sesuatu (seperti menutup akses). Kalau dalam kehidupan sehari-hari, dia dianalogikan dengan alarm.

Kebijakan (policy) merupakan sebuah perangkat yang ujudnya tidak terlihat. Namun dia dibutuhkan untuk menjalankan keamanan. Sebagai contoh, bolehkah administrator atau pengelola jaringan di kantor anda memonitor semua email atau kegiatan anda? Apakah hal ini tidak melanggar privacy? Ada yang berpendapat bahwa semua yang anda lakukan di kantor merupakan milik dari kantor sehingga administrator atau atasan anda berhak memonitor kegiatan anda. Jika anda ingin melakukan hal-hal untuk kepentingan pribadi, lakukan di rumah. Namun ada kubu lain yang mengatakan kegiatan memata-matai pegawai tidak produktif dan melanggar privacy. “Big brother is watching you”, demikian ungkapan yang sangat terkenal dari karya George Orwell yang berjudul 1984. Serikat pekerja dapat memojokkan anda jika anda tidak memiliki kebijakan yang jelas. Tanpa adanya kebijakan ini akan sangat sulit menerapkan keamanan. Pengamanan-pengamanan lain masih banyak lagi dan dapat dilihat dari situs http://www.indocisc.com

Kejahatan-kejahatan Internet lain

Selain kegiatan yang di atas, masih ada kegiatan lain yang dapat dikatakan kejahatan. Mengirim email palsu, mengirim email secara bertubi-tubi (mailbomb), menyisipkan virus secara sadar semestinya dapat dikategorikan kejahatan Internet. Bagaimana dengan menyebarkan fitnah atau surat kaleng? Belum lagi kegiatan spamming, mengirimkan email yang berisi iklan-iklan yang membebani mail kita. Email-email sampah ini membuat kita lebih lama dalam mengambil (men-download) email-email kita. Biaya penggunaan Internet dan telepon akan semakin meningkat. Apalagi jika biaya pulsa telepon jadi dinaikkan. Jadi jelas email-email sampah ini merugikan kita secara finansial.

Keamanan tanggung jawab kita bersama

Ketika seseorang berhasil menjebol atau menggagahi sebuah situs, atau melakukan kejahatan Internet lainnya, maka banyak orang yang menjadikannya idola. Dia dielu-elu bak pahlawan. Mengherankan. Apakah kita melakukan hal yang sama terhadap maling, tukang congkel mobil, koruptor, atau pemerkosa? Tentunya tidak. Mereka melakukan kejahatan dan sudah sepantasnya menerima hukum. Oleh sebab itulah mari kita terapkan hal yang sama terhadap dunia Internet kita.

Alam nyata (real world) Indonesia ramai diwarnai dengan kekacauan yang tak ada henti-hentinya dan tidak kita mengerti. Tugas kita sebagai warga komunitas Internet Indonesia, Indonesian Netizen, untuk menjaga ketertiban dunia virtual kita, Indonesian cyberspace. Mumpung komunitas Internet kita masih kecil, mari kita jaga bersama-sama. Kalau sudah terlalu besar dan sudah kacau di sana sini, akan susah lah kita semua. Seperti yang kita alami di alam nyata di Republik ini.

About the author:

Budi Rahardjo, Staf pengajar Sekolah Teknik Elektro dan Informatika ITB, peneliti di Pusat Mikroelektronika ITB, founder dari beberapa startup companies (INDOCISC), anggota Tim Rancngan Undang-Undang Tentang Informasi dan Transaksi Elektronik (2005). E-mail : br@paume.itb.ac.id