Copy Link
Add to Bookmark
Report
Echo Magazine Issue 13 Phile 0x005
echo|zine, volume 4, issue 13
----------------[ Dilema Etika IT Security Professional ]-----------------
--------------------------------------------------------------------------
-------------------------------[ an0maly ]--------------------------------
-- -- -( Foreword )
Apa yang yang harus dilakukan oleh para professional di bidang
keamanan jaringan komputer apabila mereka menghadapi beberapa masalah
terutama yang menyangkut dengan nilai etis dari pekerjaan mereka? Saya akan
mencoba membahas beberapa hal yang mungkin terjadi dan bahkan sedang anda
alami saat ini dengan mencoba memberi solusi dari 2 sudut pandang yang
berbeda.
Terkadang kita untuk menyelesaikan suatu masalah yang terjadi pada
pekerjaan harus terbentur dengan nilai etis dari profesi kita sendiri yang
membuat kita menghadapi suatu dilema, disatu sisi kita mau pekerjaan kita
cepat selesai sedangkan dilain sisi kita harus mempertimbangkan nilai etis
tersebut dalam menyelesaikannya. Anda bisa saja "kejam" untuk dapat segera
menyelesaikannya atau anda bisa menggunakan "perasaan" untuk mencari solusi
yang terbaik. Semuanya tergantung anda untuk memilih mana yang terbaik untuk
anda.
-- -- -( Hacking )
Hacking sebuah komputer adalah bentuk dari serangan yang dilakukan
oleh seseorang yang dikenal sebagai "hacker" untuk mencoba masuk/menyusupi
kedalam sebuah system komputer yang tidak dimiliki nya. Termasuk didalamnya
adalah "melewati" mekanisme yang sudah dibangun dari sebuah system atau
jaringan dengan tujuan untuk mengambil data yang tersedia dan juga "resources"
yang dimiliki oleh system tersebut.
Pada bagian ini kita akan berhadapan dengan dilema yang akan dihadapi
apabila anda adalah seorang yang bertanggung jawab akan keamanan dan
kelangsungan jaringan komputer tersebut dengan harus harus melakukan "perlawan"
terhadap para "penyusup" tersebut. Kita akan bersinggungan dnegan dimana
situasi yang memungkinkan untuk mencoba menyusup kedalam system yang tujuannya
untuk keperluan bisnis atau edukasi (proof-of-concept). Kita juga akan mencoba
mendiskusikan beberapa type dari metode "hacking" yang saling berhubungan
satu dnegan yang lain. Ini meliputi masalah pada serangan terhadap system
operasi (OS), membongkar "password" dan "spoofing".
--| Hacking for Business Warfare - apakah ini juga termasuk bagian dari
bisnis?
Pimpinan anda memberi pernyataan bahwa dia berpikir situs saingan
perusahaan anda dapat ditebak "URL"-nya (Uniform Resource Locator) dan
menunjukkan kepada anda beberapa contoh. Dia lalu bertanya kepada anda apakah
anda mampu mendapatkan informasi yang lebih banyak dari situs saingan
perusahaan anda. Apakah anda akan melakukan "hacking" untuk pimpinan anda
sehingga dapat bersaing atau sebuah keterpaksaan untuk dapat mempertahankan
pekerjaan anda ?
Konservatif: melakukan "hacking" terhadap situs saingan perusahaan
adalah suatu sikap yang tidak dapat diterima. Aksi ini sudah menjurus kepada
perbuatan yang melanggar hukum. Beritahu kepada pimpinan anda bahwa anda
tidak mau untuk melakukan "hacking" terhadap situs saingan perusahaan anda
untuk alasan apapun.
Liberal: bisnis adalah perang dan memanfaatkan teknologi yang ada
untuk dapat berhasil atau mampu bersaing adalah hal yang wajar-wajar saja.
Bila anda tetap berpegang pada hukum teknologi informasi (IT), anda tidak
melakukan sesuatu yang salah. Anda dapat dengan yakin bahwa saingan perusahaan
anda juga melakukan hal yang sama pada perusahaan tempat anda bekerja.
saran
-------------------
Ketika pejabat senior meminta untuk melakukan tindakan ilegal tersebut,
jangan langsung dikerjakan. Selalu pertimbangkan hasil atau akibat yang akan
ditimbulkan apabila anda melakukannya dan tetap berpegang teguh pada prinsip
kerja anda. Jangan menempatkan diri anda atau perusahaan anda dalam bahaya
atau "membunuh" nilai etis untuk bisa tetap bekerja ditempat anda.
-------------------
--| Giving in to Distributed Denial of Service "Hacktortionist" - apakah
anda membayarnya?
Seorang hacker menghubungi "Chief Executive Officer" (CEO) dari
perusahaan anda dan meminta untuk melakukan pembayaran dengan jumlah yang
lumayan besar atau dia aakan melakukan penghancuran total terhadap jaringan
system komputasi diperusahaan anda bekerja. Jika perusahaan anda tidak
membayar, maka "hacker" tersebut akan melakukan serangan "Distributed Denial
of Service" (DDoS). Serangan ini akan membuat kerugian yang jauh lebih besar
daripada perusahaan anda memberikan jumlah uang yang diminta oleh "hacktortionist"
tersebut jika berhasil. CEO perusahaan anda menanyakan kepada anda, sebagai
orang yang bertanggung jawab atas kelangsungan system komputasi beserta
jaringan diperusahaan anda, apa yang akan anda rekomendasikan untuk merespon
ancaman tersebut. Apa yang akan anda katakan kepadanya ?
Konservatif: sebagai orang yang bertanggung jawab atas kelangsungan
system dan jaringannya diperusahaan anda. Sebuah serangan DDoS akan membuat
system menjadi "down" dan biaya yang dikeluarkan dari permintaan si
"hacktortionist" jauh lebih besar. Kemungkinan besar kerusakan pada
"peripheral" juga terjadi sewaktu dalam proses DDoS. Walaupun ini kedengaran
tidak etis, sarankan kepada CEO untuk membayar permintaan si "hacker" dan
segera hubungi pihak yang berwenang untuk melacak keberadaan mereka untuk
diproses secara hukum.
Liberal: jangan dibayar !!. Orang yang mengaku-ngaku (copycat)
dari "hacker" yang mempunyai "nama besar" akan terus mencoba untuk mengambil
keuntungan dari perbuatan "hacker" yang pertama. Berhubung anda telah
diperingatkan oleh "hacker" tersebut, segera saja amankan system dan minta
bantuan tambahan untuk proses penyelamatan system dan juga untuk melacak
dan mengejar si "hacker" tersebut. Segera laporkan ancaman ini kepada pihak
yang berwajib.
saran
-------------------
Perusahaan menyerah kepada "hacktortionist" dikarenakan 2 alasan
utama. Alasan pertama, biaya untuk perbaikan system dan jaringan dari proses
DDoS jauh lebih lebih besar daripada yang harus dibayar kepada si
"hacktortionist" tersebut. Alasan kedua, reputasi bisnis perusahaan anda akan
hancur didepan media massa apabila hasil dari serangan tersebut disampaikan
kepada publik. Ini terutama menyangkut data pribadi yang disimpan oleh
perusahaan seperti data kartu kredit atau hal yang bersifat pribadi untuk
klien perusahaan.
-------------------
--| Hacking for Education - apakah ini benar hanya untuk pendidikan ?
Untuk beberapa "hacker", "hacking" adalah proses pembelajaran. Ini
tentang mempelajari system operasi (OS) dan kelemahannya, bukan untuk mencari
ketenaran untuk mereka atau melakukan aktifitas penghancuran seperti "Egomaniac
Hackers" yang ingin dikenali nama alias mereka di media massa. Apakah tipe
"hacking" ini dapat diterima daripada "hacker" yang ingin menjadi terkenal ??
Konservatif: tidak ada bentuk dari aktifitas hacking yang dapat
diterima. Masuk kedalam rumah seseorang untuk menguji keahlian membuka jendela
atau pintu anda dan melihat seberapa cepat atau "halus" anda melakukannya.
Ini juga sama dengan "hacking". Motif tidak dapat dijadikan alasan untuk
melakukannya.
Liberal: pada dasarnya "hacking" untuk pendidikan tidak dapat
diterima. Tapi bagaimanapun juga, jika anda tidak mempunyai tujuan negatif
ini secara etis dapat dimaafkan dari pada seseorang dengan tujuan yang jelek.
Bahkan jika anda melaporkan celah keamanan yang anda dapatkan untuk dapat
masuk kedalam system perusahaan itu, tetap saja perbuatan itu tidak benar
secara etis.
saran
-------------------
Tidak ada pembenaran secara etis untuk melakukan "hacking" terhadap
system orang/perusahaan lain. Hanya organisasi yang dipercaya yang dapat
mengijinkan pegawai mereka untuk melakukan "hacking" terhadap system di
pemerintahan maupun militer untuk kepentingan keamanan nasional. Didalam
kasus ini, aksi yang anda lakukan mungkin terhormat. Didalam kasus lain,
jauhi aktifitas "hacking" kecuali anda diberi wewenang untuk melakukan
"penetration test" terhadap perusahaan anda sendiri.
-------------------
--| OS Attacks - pelacakan terhadap penyusup ?
Hacker dan pembuat worm sering kali membuat serangan terhadap system
operasi (OS) Microsoft dikarenakan banyak hacker tidak simpati terhadap policy
Microsoft. Apakah benar untuk menyerang sebuah perusahaan dikarenakan mereka
mempunyai reputasi buruk di industri atau relasi mereka atau konsumen melihat
mereka bersikap tidak etis?
Konservatif: hacking terhadap sesuatu sangatlah tidak etis tergantung
pada perasaan yang membuat anda menyerang suatu perusahaan. Anda akan berhenti
untuk berusaha "menghukum" perusahaan yang anda tidak sukai.
Liberal: bisnis adalah perang dan kadangkala untuk menyeimbangkan
permainan dengan perusahaan yang tidak disenangi maka kita harus memainkan
permainan itu juga. Bagaimanapun juga, anda perlu mempertimbangkan orang
lain yang akan merasakan "efek"nya selain dari perusahaan tersebut. Hacking
juga berefek terhadap pengguna dari perangkat lunak dan kemungkinan besar
akan berakibat negatif terhadap mereka.
saran
-------------------
"Kerajaan" dari perangkat lunak microsoft sangatlah besar yang
menyebabkan banyak hacker berusaha untuk menyerang atau mencari celah untuk
menghancurkan mereka. Walaupun usaha hacking terhadap system komputasi
perusahaan lain merupakan tindakan yang tidak etis (tidak simpatik), beberapa
diantaranya akan mendapat penghormatan apabila mereka menyerang perusahaan
yang tidak simpatik. Anda harus memutuskan mana yang terbaik untuk anda sendiri
(which side you are standing against?).
-------------------
--| Cracking Screen Saver Password - haruskan atau tidak boleh ?
Anda harus melakukan patching terhadap sebuah komputer di jaringan
komputer internal perusahaan anda dan mereka sedang keluar untuk makan siang,
mereka menggunakan password pada screen saver mereka yang sangatlah mudah
untuk anda "jebol". Apakah anda melakukannya ?
Konservatif: hindari menjebol password pada screen saver orang lain
dan tunggu saja mereka kembali setelah jam makan siang usai. Ini akan memberi
contoh yang buruk terhadap pengguna. Walaupun anda adalah orang yang bertanggung
jawab untuk jaringan komputer internal perusahaan anda, yang lain mungkin
mempunyai cukup pengetahuan dan akses yang seperti anda akan mencoba melakukan
seperti yang anda lakukan saat ini.
Liberal: Menjebol password di screen saver bukan suatu masalah besar,
cukup masuk kedalam system dan segera selesaikan apa yang akan anda selesaikan.
Ini sering terjadi, sering kali anda harus melakukan proses update setelah
jam kerja, mau tidak mau anda harus melakukannya juga. Karyawan yang lain
harus memahami ini adalah bagian dari tugas anda.
saran
-------------------
Sebagai orang yang bertanggung jawab akan kelangsungan jaringan
komputer internal di perusahaan anda, anda harus dapat memberi suatu contoh
yang bagus untuk ditiru. Dalam banyak kasus, sangat bijak jika anda memberi
contoh yang bagus dikarenakan anda tidak menjebol password orang lain.
Bagaimanapun juga, ketika anda harus menyelesaikan pekerjaan anda, anda
harus melakukannya saat itu juga.
-------------------
--| Spoofing - apakah ini mempunyai tujuan ?
Spoofing terhadap IP sering kali terjadi didalam system yang aman oleh
super hackers yang mempunyai tujuan tidak untuk merusak system tersebut.
Mereka hanya mencoba untuk menjadi "security zen". Apakah tipe spoofing
seperti ini dapat diterima dikarenakan mereka tidak berencana untuk merusak
system yang anda dan bahkan menunjukkan kelemahan system yang ada pada
anda supaya anda dapat segera memperbaikinya?
Konservatif: Spoofing dalam segala bentuk adalah aktifitas tidak
dapat ditoleransi. Bahkan jika tidak untuk merusak. Ini bukan tempat anda
untuk menunjukkan dimana celah keamanan didalam system orang lain. Terlebih
lagi jika untuk dikenali sebagai seorang "security zen".
Liberal: Ada sesuatu yang baik tentang spoofing untuk dikenali
sebagai "security zen". Tipe aktifitas ini akan membantu para pengembang
untuk mengenali secara dini kelemahan keamanan system. Selama tidak terjadi
kerusakan, ini akan mencegah kemungkinan terjadinya kerusakan pada masa
yang akan datang.
saran
-------------------
Para "zen" senang untuk dapat lebih pintar dari sesama "zen", ini
adalah suatu permainan bagi mereka. Terkadang permainan ini dapat menolong
mengenali kelemahan system terhadap system perusahaan yang mereka pegang.
Aktifitas ini juga terkadang mengkonsumsi terlalu banyak sumber daya dan
energi yang ada, yang dimana pada titik paling buruk, akan menyebabkan
kerusakan secara tidak disengaja.
-------------------
-- -- -( Penetration Test )-
"Penetration testings" secara etis adalah proses hacking yang legal
dan melakukan "probing" terhadap suatu system informasi perusahaan dan
jaringannya untuk meliha apakah terdapat potensi terhadap kelemahan keamanan
atau celah keamanan yang dapat di eksploitasi oleh "penyusup". Metode "penetration
testing" melibatkan sebuah investigasi di semua fitur keamanan dari sebuah
system. "Penetration tester" akan mencoba untuk mengelabui keamanan dari
mencoba untuk memasuki system dan jairngan. Tester akan mensimulasikan seorang
hacker dengan menggunakan cara menyerang, metode dan alat yang sama dengan
untuk sebuah simulasi serangan nyata. Setelah selesai, penetration tester
akan membuat sebuah laporan akan celah keamanan dan menyarankan prosedur
untuk implementasi agar dapat membuat system menjadi lebih aman.
--| Testing Security Vulnerability - bersediakah anda membantu ?
Seorang karyawan di departemen IT mau melakukan pengecekan terhadap
tingkat celah keamanan komputasi perusah. Didalam proses, dia mendapatkan
celah keamanan yang cukup besar. Dia tidak mau untuk mendapat masalah
dikarenakan aktifitas "hacking" terhadap system komputasi perusahaan, maka
dia membuat "malicious script" dengan tujuan agar orang yang bertanggung
jawab atas system komputasi perusahaan segera menyadari bahwa terdapat celah
keamanan. Apakah sikap seperti ini dapat dianggap etis?
Konservatif: melakukan pengecekan terhadap keamanan system tanpa
izin sangatlah tidak dapat ditoleransi. Membuat "malicious script" untuk
menunjukkan celah keamanan adalah sesuatu yang gila. Dia tidak hanya
membahayakan perusahaan tetapi juga tidak bersedia untuk memberitahu kepada
yang bertanggung jawab akan apa yang telah ditemukannya. Ini dapat berdampak
pada prospek karir dia dan masa depan perusahaan.
Liberal: walaupun melakukan sebuah pengecekan system tanpa disertai
izin telah menyalahi aturan perusahaan, tapi dalam kasus ini itu sangat
informatif dan menjukkan inisiatif. Dia harus berhenti pada poin itu dan
mempresentasikan hasil temuannya kepada yang bertanggung jawab. Dia telah
menyalahi aturan dikarenakan membuat "malicious script" untuk menunjukkan
akan celah keamanan yang ada.
saran
-------------------
Berusaha membantu staff yang bertanggung jawab untuk menemukan kelemahan
pada system perusahaan dapat menimbulkan bahaya yang lebih besar dari pada
untuk pencegahannya. Sangat dianjurkan untuk menghindari membantu staff
yang bertanggung jawab. Dikarenakan mereka adalah ahli dan anda bukan. Jika
anda menemukan celah keamanan, segera laporkan kepada staff yang bertanggung
jawab. Jangan pernah eksekusi "malicious script" terhadap perusahaan anda
sendiri dengan alasan apapun, walaupun tujuan anda adalah baik.
-------------------
############################
Don't Be Affraid to Attack Your Own Network (or Products).
As a security professional, you should encourage the security analysis
of hardware and software technologies that you use on your network or in
your organization. Of course, it must be clearly defined that such activities
should only take place on test and development systems and products,
not live network components.
Set up test networks and product configurations in your laboratory
and allow employees to look for security vulnerabilities. Reward them for
their success. It will strengthen the security of the organization and at the
same time foster creativity, education, open-mindedness, and competitive
spirit.
Incorporating third-party security audits of your network configuration
or product development lifecycle can also help to discover previously
overlooked vulnerabilities. Having a fresh set of eyes can go a long way.
Its frustrating, but typical, to watch corporations introduce new
technologies onto their live network without testing them. They dont
understand exactly what threats they are protecting against and why.
Do not be afraid to explore. Try to break your product, software, or
networktheres no harm in that. Fix the problems and try again. Be proactive.
Dont wait for a malicious attacker to find the problems for you.
-- Joe Grand
President & CEO
Grand Idea Studio, Inc.
############################
--| Appropriate Hacking to Determine Weakness - mengerti apa yang anda lakukan
Anda baru saja menyelesaikan sebuah training tentang hacking, melatih
kemampuan dengan materi training yang baru saja anda selesaikan, anda memulai
untuk mencoba "memasuki" keamanan system komputasi perusahaan anda untuk
melihat apakah terdapat celah keamanan. Apakah tindakan ini dapat diterima
jika anda adalah staff yang bertanggung jawab atas keamanan komputasi dan
jaringan komputasi perusahaan anda ?
Konservatif: walaupun tujuan anda adalah untuk melakukan pengecekan
terhadap integritas dari system, yang dimana ada didalam pengawasan anda, hacking
dapat membuat kerusakan. Sejak anda anda hanya mengambil training, anda
mungkin saja belum memenuhi standard untuk dapat melakukan sebuah pengecekan
celah keamanan tanpa harus menyebabkan kerusakan yang tidak perlu pada system
yang seharusnya anda lindungi. Jika anda ingin melakukannya, sewalah seorang
konsultan yang mempunyai pengalaman dan mampu untuk melakukannya.
Liberal: sebagian dari tugas anda sebagai staff yang bertanggung
jawab atas keamanan system komputasi dan jaringan komputasi perusahaan
anda adalah melakukan pengecekan celah keamanan dari system yang anda lindungi.
Mulailah dengan pengecekan yang mudah yang anda tahu "recovery" nya apabila
terjadi sesuatu yang tdiak diinginkan. Lalu mulailah dengan perlahan dari
situ sehingga anda mampu untuk melakukan pengecekan celah keamanan yang
sesungguhnya.
saran
-------------------
Melakukan pengecekan keamanan system yang dimana anda bertanggung
jawab untuk melindunginya adalah sebuah pekerjaan yang menantang. Pastikan
anda tahu dengan pasti apa yang anda lakukan ketika melakukan hacking terhadap
system. Jika anda adalah pemula, mulailah dengan perlahan atau biarkan
pekerjaan itu kepada orang yang mampu melakukannya tanpa menempatkan system
itu sendiri kedalam bahaya. Bila anda merasa pengetahuan anda sudah cukup,
lakukan beberapa test dasar pada lab. Komputasi perusahaan anda dan bukan
terhadap system perusahaan anda yang sedang berjalan.
-------------------
--| Failure of Penetration testing Software - salah siapa ?
Perangkat lunak yang anda beli untuk melakukan sebuah pengecekan
celah keamanan dari system anda kelihatannya berhasil sampai sebuah serangan
membuat system komputasi perusahaan anda menjadi tidak berfungsi. Produk ini
tidak dapat mencari kelemahan dari yang dilancarkan oleh "penyusup". Apakah
ini salah dari vendor ataukah salah dari sumber daya manusianya sendiri
untuk melakukan pengecekan keamanan system.
Konservatif: anda harus melakukan minimal dua tipe pengecekan keamanan
system untuk dapat memastikan integritas dari system tersebut. Latihan yang
paling baik adalah melakukannya dengan orang yang mampu melakukannya dengan
baik (professional) juga dengan menggunakan aplikasi yang dibuat khusus untuk
melakukan test penetrasi.
Liberal: mintalah kembali uang anda ditempat anda membeli aplikasi
tersebut. Itu sudah sangat jelas bahwa aplikasi itu tidak melakukan tugasnya
dengan baik. Sekarang anda harus memulai semuanya dari awal lagi dan belilah
sebuah aplikasi atau menyewa jasa dari orang yang mempunyai pekerjaan sebagai
"specialized security professional" untuk melakukan test penetrasi tersebut.
saran
-------------------
Percaya sepenuhnya terhadap satu aplikasi adalah sebuah resep menuju
bencana. Tidak semua aplikasi dapat memenuhi standard tersebut. Pastikan
anda telah melakukan penelitian sebelum membelinya. Jangan letakkan keamanan
system anda ditangan para marketing. Ambillah beberapa waktu dan cobalah
untuk bertanya, melihat referensi dan benar-benar tahu apa yang anda beli
sehingga anda dapat mempunyai asumsi bahwa ini adalah solusi yang efektif
untuk keperluan keamanan informasi yang dibutuhkan perusahaan anda. Akan
selalu baik jika anda menggabungkan penggunakaan aplikasi dan sumber daya
manusia, terutama didalam kasus test penetrasi.
-------------------
-- -- -( Viruses and Worms )-
Virus dan "worms" adalah perwujudan dari "compiled malicious script"
yang dirancang untuk membuat system tidak berdaya atau bahkan menghancurkannya.
Ada banyak tipe dari virus dan "worms" itu sendiri. Programmer membuat
satu jenisnya setiap hari. Beberapa, sebagai contoh "Code Red", sangat brutal.
Sedangkan yang lain mungkin hanya sekedar "penggembira". Spam juga
merupakan sebuah bentuk dari "malicious action" yang dimana berkembang
sangat cepat dikarenakan potensi marketing yang didapatkan.
--| Virus Development for Profit - apakah ini dapat diterima ?
Pembuat worm dan virus mengambil keuntungan dari "compiled malicious
code" mereka melalui spam, beberapa ahli mengatakan bahwa ada hubungan antara
para pembuat virus tersebut dengan spammer. Apakah secara etis dapat ditolerir
untuk mendapatkan keuntungan dengan membuat "compiled malicious script" untuk
pendistribusian spam?
Konservatif: pengembangan spam atau semacam virus untuk keuntungan
dari sesuatu yang jelas sekali salah. Dan itu juga ilegal dan seharusnya
tidak dapat ditoleransi dalam keadaan apapun juga.
Liberal: membuat virus untuk kepentingan marketing seperti spam
merusak reputasi programmer tersebut; bagaimanapun juga, tindakan itu tidak
etis. Terdapat beberapa aturan hukum dibeberapa negara untuk mengatur e-mail
yang tidak diinginkan, jika programmer "spam" mengikuti aturan hukum yang
berlaku, maka tindakan mereka tidak dapat dilarang tapi juga dapat diterima.
saran
-------------------
Membuat "malicious code" yang membuat spam memenuhi kotak e-mail
bukanlah suatu pekerjaan yang membanggakan, tapi tidak juga melanggar nilai
etis, kecuali itu dapat menyebabkan kerusakan terhadap system penerimanya.
Bagaimapun juga, kita hidup dengan sales yang mendatangi rumah ke rumah
untuk menawarkan produk mereka dan itu juga termasuk spam. Hukum juga
bervariasi dibeberapa negara, sehingga spam mungkin suatu hal yang dapat
diterima didalam keperluan bisnis, dan tidak seorangpun mempunyai hak untuk
menghentikannya.
-------------------
--| System Chrashes - haruskah anda melakukan format kembali terhadap Hard Drive ?
Sebuah virus membuat komputer menjadi tidak berfungsi pada ruangan
salah seorang pejabat senior di kantor anda dan mereka memberitahu bahwa anda
dapat melakukan apa saja untuk membuat komputer itu kembali bisa digunakan.
Kerusakan itu jelas dan tidak ada yang dapat anda lakukan untuk memperbaikinya
pada saat itu. Anda tidak dapat melakukan "backup"" sehingga anda tidak mempunyai
pilihan lain lagi selain melakukan format kembali hard drive-nya. Ketika
pejabat senior itu kembali, mereka menyalahkan anda dan berkata bahwa anda
tidak berhak untuk menghapus semua data yang ada didalam hard drive tersebut
dan akan berusaha membuat anda untuk dipecat. Apakah ini kesalahan anda?
Konservatif: ketika melakukan format kembali sebuah "hard drive"
untuk seorang pejabat senior atau siapapun juga untuk alasan apapun juga,
anda seharusnya menunggu mereka untuk kembali sehingga anda bisa menjelaskan
apa yang terjadi dan tidak berakhir menjadi "kambing hitam". Sejak system
di komputer itu benar-benar tidak dapat berfungsi lagi, tidak ada yang dapat
anda lakukan untuk merubahnya. Bagaimanapun juga anda tetap salah dikarenakan
telah melakukan format kembali hard drive tersebut tanpa melakukan konsultasi
terlebih dahulu dengan pejabat senior tersebut. Walaupun kegagalan system
bukan kesalahan anda, tetapi anda telah menempatkan diri untuk menjadi
seorang "kambing hitam".
Liberal: anda bukanlah orang yang patut disalahkan. Pejabat senior
itu tentu akan membuat anda dipecat. Dia mempunyai "kuasa" untuk melakukannya,
mungkin saja dia tidak dapat mengerti apa yang terjadi secara teknis. Dan
tetap saja anda akan disalahkan walaupun anda tidak melakukan suatu kesalahan.
saran
-------------------
Mengantisipasi kesalahan adalah sesuatu yang rumit ketika itu berhubungan
dengan teknologi. Sangat sedikit orang yang mengerti dari kerumitan teknologi
dan bagaimana seorang "penyerang" dapat "mempengaruhi" komputer. Bila anda
berusaha untuk menjelaskan keadaan ini sejak mereka memang tidak mengertinya,
mereka mungkin tidak dapat memahami apa yang terjadi maka mereka akan berasumsi
bahwa anda telah bertindak ceroboh. Sejak anda yang membuat kesalahan dengan
melakukan format kembali tanpa konsultasi terlebih dahulu maka anda sendiri
yang membuat diri anda berada dalam bahaya. Pejabat senior membuat banyak
kesalahan; "mengambil" virus itu dan menyalahkan anda.
Bila anda masih tetap bekerja dikantor itu, buatlah prosedur yang
formal pada form pengunduran diri ketika anda harus melakukan format kembali
hard drive seseorang. Pada masa yang akan datang ini akan membantu anda
untuk menghindari konsekuensi yang buruk.
-------------------
--| Attacking Attackers - haruskah anda melakukan penyerangan ?
Anda menemukan dan berhasil mengidentifikasikan seseorang yang telah
melakukan hacking terhadap system anda. Apakah benar bahwa anda harus memberi
mereka "pelajaran" dan melakukan hacking terhadap mereka, atau mengirimkan
mereka virus yang sangat brutal?
Konservatif: sangatlah tidak benar untuk menggunakan "kekerasan"
untuk membalas pada seseorang yang menyerang system anda. Ini hanya akan
berakibat pada saling serang yang tidak akan pernah berakhir. Hubungi mereka
di telepon atau hampiri mereka dan coba untk menangani keadaan ini dengan
cara yang benar, yang dimana tidak akan berakibat serangan lanjutan pada
system dimana anda bertanggung jawab atasnya. Dokumentasikan semua penemuan
anda jika dalam suatu kasus anda akan melanjutkan ke pengadilan untuk
memproses secara hukum kasus tersebut.
Liberal: terkadang satu-satunya cara agar "hacker" bisa mengerti
keadaan ini, berikan mereka sebuah "pukulan" telah dengan sebuah virus
yang sangat merusak dan berusaha untuk menghancurkan system mereka. Maka,
dia tidakakan dapat lagi menyerang anda.
saran
-------------------
Seorang staff IT dapat menggunakan banyak taktik ketika harus
berhadapan dengan penyusupan keamanan. Dalam banyak kasus, bertindak menyerang
bukan merupakan suatu ide yang bagus karena anda kemungkinan akan mendapatkan
masalah lain. Bagaimanapun juga, mungkin dalam beberapa pertimbangan penyerangan
merupakan satu-satunya pilihan yang ada
-------------------
--| Bypassing Alerts - bukan suatu ide yang bagus.
Perangkat lunak yang anda gunakan untuk melihat integritas dan keamanan
dari system yang membuat terlalu banyak peringatan, sehingga anda dengan
segera melihat laporannya setiap hari dan berusaha menangani apakah itu
peringatan yang benar atau salah. Jika itu memang peringatan yang benar dan
sebuah virus menyerang system. Apakah anda anda salah dikarenakan tidak
melakukan pengecekan dengan teliti, ataukah perusahaan perangkat lunak yang
anda gunakan membuat terlalu banyak kesalahan sehingga sangatlah sulit untuk
anda menentukan mana peringatan yang salah dan mana peringatan yang benar?
Konservatif: anda memang salah pada keadaan ini, walaupun peringatan
itu kadang bersifat acak, dengan hanya melihat mereka semuanya sangatlah
sia-sia dikarenakan anda tidak memperhatikan dengan teliti dan mengasumsikan
bahwa mereka tidak tentu. Beberapa peringatan akan menjadi peringatan yang
salah. Sudah merupakan kewajiban anda untuk melakukan pengecekan dengan
teliti untuk mengantisipasi peringatan mana yang harus direspon dan mana
yang harus tidak diperhatikan. Anda secara dasar telah salah dikarenakan
tidak memperdulikannya dan sewaktu virus datang menyerang maka sudah pasti
itu kesalahan anda.
Liberal: anda tidak salah, tetapi perusahaan perangkat lunak tersebut
yang salah. Membuat suatu produk yang sulit dan tidak menentu untuk digunakan
sangatlah tidak menolong dalam mengamankan suatu system. Peringatan seharusnya
lebih terfokus dan tidak secara umum dan dapat membantu staff untuk melakukan
pekerjaan mereka dan bukan mempersulitnya.
saran
-------------------
Kasus diatas merupakan suatu dilema, keduanya (vendor dan staff) salah.
Vendor salah dikarenakan alat mereka tidak dapat mengantisipasi secara pasti
dan terlalu umum, sedangkan staff salah dikarenakan mereka sangatlah malas.
-------------------
-- -- -( Encryption )-
Enkripsi adalah proses dari enkoding atau pengacakan data teks yang
membuatnya susah buat seseorang untuk melihat isi asli dari data tersebut
ketika dikirimkan dengan pengecualian penerima yang sebenarnya, sebuah
algoritma enkripsi secara rumit menggunakan level dari proteksi yang
disediakan oleh enkripsi. Enkripsi melindungi email, mengamankan transaksi
"on-line", situs "File Transfer Protocol" (FTP), dan banyak lagi.
--| Sending Unencrypted Documents - haruskah itu terjadi ?
Anda mengerti bahwa itu melanggar peraturan perusahaan untuk
mengirim dokumen rahasia yang tidak di enkripsi terleih dahulu keluar dari
jaringan perusahaan. Bagaimanapun juga, anda dibawah "deadline" yang ketat
dan memerlukan dengan segera mengirimkan dokumen tersebut kepada asisten
anda yang dimana bekerja dirumah anda. Ini mungkin bukan suatu masalah yang
besar, benarkan?
Konservatif: anda seharusnya dengan alasan apapun juga mengirimkan
dokumen yang tidak dienkripsi terlebih dahulu keluar dari jaringan
perusahaan. Anda salah pada poin ini. Anda tentunya tidak menunjukkan contoh
yang bagus pada perusahaan akan nilai etis dari "secure code & secure
environment".
Liberal: kasus ini mungkin berlaku untuk orang yang belum paham
benar dengan "secure code & secure environment" tapi itu tidak berlaku untuk
anda yang bertanggung jawab akan kerahasiaan pengiriman data perusahaan.
saran
-------------------
anda mungkin menyaksikan pegawai lain membuat kesalahan ini tapi itu
bukan suatu toleransi untuk staff IT seperti anda.
-------------------
--| Victim of Industrial Espionage - tanggung jawab siapa ?
Seorang kompetitor berhasil "menyadap" sebuah "e-mail" antara "CEO"
perusahaan anda dan mitra kerja perusahaan anda, yang dimana memuat
informasi yang sangat rahasia. "CEO" gagal untuk melakukan enkripsi walaupun
tersedia aplikasi enkripsi di komputernya. Apakah ini salah anda?
Konservatif: jika "CEO" tidak melakukan enkripsi pada "e-mail" yang
memuat data rahasia, anda tidak melakukan pekerjaan anda dengan benar
sebagai pemahaman akan keamanan data maka semua kesalahan akan dialamatkan
kepada anda . Tugas dari staff yang bertanggung jawab adalah mengamankan
data perusahaan dan system beserta jaringannya. Ini termasuk mengajarkan dan
melatih pegawai dan pejabat akan apa yang harus mereka lakukan untuk
memastikan akan privasi dan keamanan.
Liberal: sejak "CEO" sudah mempunyai aplikasi enkripsi di
komputernya sendiri, ini bukan kesalahan anda sepenuhnya jika dia gagal atau
tidak mampu menggunakannya. Kegagalan ini bagian dari yang dihasilkan "CEO"
sehingga kompetitor sekarang mempunyai akses ke data yang paling sensitif di
perusahaan anda.
saran
-------------------
Konsultasikanlah terlebih dahulu akan pentinganya persiapan,
pemahaman dan implementasi privasi dan keamanan data kepada seluruh karyawan
dan pejabat di perusahaan anda sebelum mulai menggunakan aplikasi nekripsi
dan mengirimkan data kepada mitra kerja perusahaan.
-------------------
--| In Industrial Espionage Ethical? - biasakah dilakukan ?
Seperti contoh diatas, apakah kompetitor yang "menyadap" "e-mail"
telah bertindak etis ?
Konservatif: tidak!. "menyadap" "e-mail" dan mencuri data sensitif
perusahaan lain sangatlah tidak etis dan merupakan kegiatan yang jelek.
Sangatlah tidak perlu untuk mengambil "keuntungan" agar dapat lebih maju
dari yang lain.
Liberal: "all is fair in love and war", kompetitor lebih tahu
perusahaan anda daripada anda mengetahui diri anda sendiri dan mengawasi
kelemahan keamanan. Anda harus mengantisipasi tipe dari aksi ini didalam
dunia perindustrian dan harus bersiap sedia untuk keadaan itu.
saran
-------------------
Pengintaian industri adalah kegiatan dimana mencuri data dan ide
dari perusahaan lain, yang dimana biasa dilakukan. Semua bisnis perlu untuk
menjaga komputer, dokumen penting, personil dan kantor dari kegiatan seperti
ini.
-------------------
-- -- -( Handling Network Security Information )-
Keamanan informasi dalam jaringan komputasi adalah untuk melaporkan
apabila terdapat kelemahan atau tidak berfungsinya dan penyusupan yang
mempengaruhi keamanan dari sebuah jaringan komputasi.
--| Software Malfunctions - haruskah anda melaporkannya ?
Seorang pegawai dari perusahaan anda gagal dalam melaporkan bahwa
sebuah perangkat lunak mengalami kegagalan system, yang dimana menyebabkan
data terekspos keluar ke internet. Apakah kegagalan untuk melaporkan insiden
tersebut tidak etis ?
Konservatif: kegagalan dalam melaporkan tidak berfungsinya keamanan
system sama burukna dengan membuat itu sendiri. Jika staff IT tidak waspada
pada masalah yang terjadi di system, mereka secara tidak langsung tidak
mampu untuk melindungi sumber daya system beserta informasi
didalamnya.
Liberal: pegawai tersebut mungkin tidak mengerti lebih jauh
mengenai masalah itu dan gagal dalam melaporkan insiden itu dikarenakan
mereka tidak mengerti resiko yang dihadapi yang menyangkut secara
keseluruhan dari keamanan informasi. Dia tidak melakukan sesuatu yang tidak
etis.
saran
-------------------
Staff IT menyediakan perhatian yang lumayan akan kewaspadaan
terhadap keamanan sehingga masalah diatas tidak akan pernah muncul. Jika
pegawai telah mepersiapkan sedikit perhatian dan tetap gagal dalam
menyediakan laporan insiden, maka mereka sudah memasuki batas dari lemahnya
tanggung jawab kepada perusahaan.
-------------------
--| Stealth Sniffer - meningkatkan keamanan.
Anda menemukan sebuah aplikasi pengendus (sniffer) yang sedang
mengawasi jaringan anda. Apakah seseorang mempunyai hak untuk aktifitas ini?
Konservatif: tidak ada seorangpun yang berhak untuk mengawasi
jaringan anda. Aktifitas ini sangat tidak etis dan harus ditindak lanjuti,
apakah orang ini adalah pegawai dari perusahaan tempat anda bekerja atau
seorang kompetitor perusahaan yang terlibat dalam pengintaian industri
(industry espionage).
Liberal: bila jaringan komputasi anda tidak aman, maka
anda mengundang sebuah serangan dan pengintai. Perhatikan masalah yang
ditimbulkan dari orang ini apa bila dia menjalankan "sniffer" dan mengawasi
jaringan komputasi anda.
saran
-------------------
Staff IT harus memastikan tanggung jawab pada semua aspek dari
penyusupan jaringan komputasi. Mereka harus segera meningkatkan keamanan
system untuk menghindari aktifitas tersebut; bagaimanapun juga, anda sebagai
orang yang bertanggung jawab akan keamanan jaringan komputasi, telah gagal
bertindak sebagaimana seharusnya jika anda tidak melakukan sesuatu untuk
menanggulanginya.
-------------------
-- -- -( Ensuring Information Security on the Personnel Level )-
Staff IT juga bertanggung jawab pada tinkat personil. Masalah
seperti berbohon kepada klien akan integritas dari keamanan informasi pada
jaringan komputasi merupakan tanggung jawab anda.
--| Lying to Clients Regarding Corporate Security - apakah ini ide bagus ?
Pimpinan anda meminta untuk memberitahu kepada klien bahwa keamanan
jaringan komputasi perusahaan sangat bagus, yang dimana mustahil untuk
disusupi. Anda, sebegai orang yang bertanggung jawab atas keamanan jaringan
komputasi perusahaan ini bukan intinya. System akan aman sebagaimana
seharusnya, tapi tidak ada suatu system yang benar-benar aman dari serangan.
Bagaimanapun juga, kebanyakan dari marketing kompetitor melakukan propaganda
yang mengatakan bahwa mereka mempunyai system yang tidak dapat disusupi.
Dapatkah anda dengan bangga mengeluarkan pernyataan ini kepada klien untuk
pimpinan anda?
Konservatif: sebegai orang yang bertanggung jawab, anda harus
menjaga ketingkat yang paling tinggi dari integritas. Jangan pernah katakan
apapun apabila itu tidak benar. Jika pimpinan anda atau staff dari marketing
sedang membuat pernyataan palsu tentang keamanan system, segera diralat pada
ketidak akuratan pernyataan itu. Menjanjikan sesuatu yang benar-benar aman
pada perlindungan system sangatlah tidak mungkin dan kemungkinan besar
adalah bohong besar.
Liberal: anda dapat membuat pernyataan kepada klien bahwa indikasi
infrastruktur seaman yang anda bisa implementasikan dari segenap kemampuan
anda. Katakan itu dengan cara yang dapat membuat mereka merasa percaya
terhadap keamanan system perusahaan tanpa harus membuat sebuah pernyataan
palsu akan garansi pada keamanan absolut, yang dimana itu merupakan
mustahil.
saran
-------------------
Kegairahan marketing sering menimbulkan kesamaran pada system
informasi. Seorang staff IT perlu untuk menjadi "kuat" terhadap pengaruh
mereka akan komunikasi yang di distribusikan oleh marketing dan departemen
lain. Seorang staff IT harus memastikan bahwa tidak ada yang dikatakan akan
dibalikkan untuk menjatuhkan perusahaan apabila pernyataan itu ternyata
tidak akurat atau salah.
-------------------
############################
Doing the Right Thing Under the Pressure of Sales
Some time ago I headed security efforts for a company that provided
Web-based financial services as an Application Service Provider (ASP). My
responsibilities included interacting with potential clients and explaining
the safeguards we had in place to ensure confidentiality and availability
of our service. My first sales engagement was a meeting with one of the
companys earliest prospective customers.
One of the clients concerns was our lack of a disaster recovery
facility that would forestall service interruption if the primary site
became inaccessible. Our sales associate reassured the representatives, The
secondary data center will be operational by the end of the month. They
looked at me for confirmation.
I hesitated for a moment, knowing that my colleague was exaggerating
our preparedness. By correcting him, I might jeopardize this critical
deal. On the other hand, with a simple nod I would be supporting a
commitmentwe probably could not keep. I wanted to say yes, realizing how
important the disaster recovery site was to closing this deal, and how much
we needed this client.
Our company considered this engagement a cornerstone in our
development, a way of demonstrating to other prospects the markets
acceptance of our product. There was a good chance of closing the deal at
that meeting if I could commit to having the site ready in time. The
secondary data center was being built, but we were unlikely to finish it by
the end of the month. I would be misleading the client by promising to have
the site ready so quickly.
We are in the process of setting up the secondary data center, I
explained. I will check the estimated completion date, but there is a chance
the site will not be ready by the end of the month. Although we did not
close the sale that afternoon, the client did sign up for our service once
the disaster recovery site was completed in the following month. When the
sales pressure is on, it may be tough to do the right thing. Sometimes it is
tough to determine what the right thing is.
- Mark Markevitch
Independent Consultant
############################
-- -- -( Conclusion )-
Saat ini kita telah melihat beberpa pertimbangan etis pada peran
teknologi dari seorang staff IT. Kita telah melihat nilai etis dari
"hacking", yang dimana disertakan apakah ada keadaan ketika "hacking"
menjadi sesuatu yang secara etis benar. Sekarang anda telah belajar pada
tingkat toleransi pada system yang sedang anda tangani dan bagaimana cara
yang secara etis benar untuk menyelesaikan apabila suatu masalah pada
akhirnya muncul juga ke permukaan. Sehingga pada saat ini anda lebih paham
akan pengetahuan mengenai tanggung jawab secara etis dari seorang staff IT.
-- -- -( FAQ (Frequently Asked Questions) )-
Q: Apakah benar secara etis untuk melakukan "hacking" terhadap sebuah system
yang bukan kepunyaan anda sendiri ?
A: Dalam banyak kasus anda harus menghindari aktifitas "hacking" terhadap
system komputasi yang tidak anda miliki atau anda bertanggung jawab atasnya,
ini akan menempatkan karir anda pada bahaya. Bahkan jika staff senior
meminta anda untuk melakukan "hacking" terhadap system kompetitor. Keadaan
yang melegalkan anda untuk melakukan hacking adalah untuk kepentingan
pemerintah dan militer yang dimana anda bertanggung jawab untuk melindungi
orang yang tidak berdosa (patriotism).
Q: Apakah benar untuk melakukan test penetrasi yang tidak diizinkan terhadap
system yang berada dibawah tanggung jawab anda ?
A: Lagi, dalam banyak kasus, jawabannya adalah tidak!. Melakukan tes
penetrasi yang tidak diizinkan dapat menyebabkan system anda berada dalam
bahaya. Bagaimanapun juga, apabila anda melakukannya didalam lab komputasi
perusahaan ini mungkin dapat diterima dalam peran anda sebagai staff IT yang
bertanggung jawab atas keamanan dan kerahasiaan jaringan komputasi
perusahaan tempat anda bekerja.
Q: Apakah anda, staff IT, bersalah jika system yang anda lindungi sering
diserang oleh virus ?
A: Jawabannya adalah... YA!, anda bertanggung jawab untuk melindungi system
dari serangan virus. Mungkin ada dibeberapa keadaan dimana tidak ada yang
dapat anda lakukan ataupun perusahaan untuk melindungi tipe serangan seperti
ini. Setidaknya, anda harus bisa secara signifikan dapat melindungi system
dari kebanyakan tipe serangan ini jika anda mempunyai sumber daya dan
kemampuan untuk melakukannya.
Q: Apakah benar untuk mengirimkan data rahasia lewat e-mail tanpa dilakukan
enkripsi terlebih dahulu ?
A: Mengirimkan data rahasia tanpa di enkripsi terlebih dahulu tidak dapat
diterima. Dapat dimaafkan jika pengirim tidak waspada akan keamanan data dan
kerahasiaannya. Bagaimanapun juga, ini merupakan kesalahan staff IT
dikarenakan tidak mengkomunikasikan secara benar akan keamanan untuk
kepentingan perusahaan.
Q: Bagaimana seharusnya anda menghadapi permintaan untuk berbohong kepada
kompetitor peusahaan akan keamanan dari system, yang dimana merupakan
tanggung jawab anda sebagai staff IT.
A: Jangan pernah bohong tentang keamanan dari system yang anda tangani. Anda
dapat mengaris bawahi beberapa poin penting tapi jangan pernah mengatakan
bahwa system anda tidak dapat disusupi demi kepentingan marketing.
-- -- -( Reference )-
[+] IT Ethics Handbook: Right and Wrong for IT Professionals,
Syngress Publishing.
[+] Related Material on Internet (forum, web board, articles, white papers,
etc.)
[+] www.google.co.id
-- -- -( Praise )-
+ JC for wealthy life.
+ Jim G. For the conversation after hours. (ussualy midnite on IM).
+ Friends who I'cant mentioned here one by one, you guys are great.
+ fuzk3 (where's the iPod dude?), SJ (where's my order...??), and many other.
+ 1stlink, aikmel, e-c-h-o and other covert channel. :)
+ the muse and the rasmus for accompany me late at night.
+ My future wife, eGLa & for her understanding all these years.