Keamanan E-Comerce adalah satu set dinamis teknologi,
aplikasi dan proses yang menghubungkan perusahaan, konsumen dan komunitas
tertentu melaui transaksi elektronik dan perdagangan barang, pelayanan dan
informasi yang dilakukan secara electronik misalnya transaksijual beli dan jasa
secara online.
Jenis e-commerce yaitu :
— Business to business
(B2B)
— Business to consumer (B2C)
— Consumer to consumer (C2C)
Tujuan utama dengan adanya keamanan adalah
untuk membatasi akses informasi
dan sesumber hanya untuk pemakai yang memiliki hak akses.
Ancaman keamanan:
- Leakage (Kebocoran) : pengambilan informasi oleh penerima yang tidak berhak
- Tampering : pengubahan informasi yang tidak legal
- Vandalism (perusakan) : gangguan operasi sistem tertentu.
Ancaman keamanan:
- Leakage (Kebocoran) : pengambilan informasi oleh penerima yang tidak berhak
- Tampering : pengubahan informasi yang tidak legal
- Vandalism (perusakan) : gangguan operasi sistem tertentu.
Faktor Keamanan
— Pengelolaan dan penjagaan
keamanan secara fisik.
Penambahan perangkat-perangkat
elektronik (perangkat lunak dan perangkat keras) untuk melindungi data, sarana
komunikasi serta transaksi
Pilar Keamanan Sistem E-Commerce
— Authentication (keabsahan
pengirim)
— Identitas pengguna/pengirim data
teridentifikasi (tidak ada kemungkinan penipuan)
— Confidentiality (kerahasiaan
data)
— data tidak dapat dibaca oleh
pihak yang tidak berhak
— Integrity (keaslian
data)
— data tidak dapat diubah secara
tidak sah
— Non-Repudiation (anti-penyangkalan)
— tidak ada penyangkalan
pengiriman data (dari pihak penerima terhadap pihak pengirim)
Ancaman Keamanan dan
Solusi
·
Pencegatan data , pembacaan dan modifikasi data secara
tidak sah
·
Kecurangan (fraud) yang dilakukan oleh orang-orang
yang identitasnya tidak diketahui
·
Akses yang tidak sah oleh seseorang terhadap data
milik orang lain.
Solusi
·
Enkripsi (Menyandikan data)
·
Otentifikasi (Melakukan verifikasi terhadap
identitas pengirim dan penerima)
·
Firewall ( Menyaring serta Melindungi lalu
lintas data di jaringan atau server)
Meningkatkan keamanan
(sisi bisnis)
— Risk analysis untuk menentukan aset dan resiko
— Bagaimana dampak lubang keamanan terhadap bisnis?
— Buat rencana (plan) dan alokasikan dana (budget)
— Tentukan kebijakan
Meningkatkan keamanan
(sisi teknis)
Penggunaan teknologi kriptografi, enkripsi
Penggunaan kunci publik (public key)
Kebutuhan Infrastruktur Kunci Publik (IKP)/ [Public
Key Infrastructure – PKI]
Certification Authority (CA)
Public key server,
Certificate Repository
Certificate Revocation Lists
(CRL)
Penggunaan smartcard dapat membantu
1. Masalah keamanan online
Pentingnya keamanan dan kerahasiaan
transaksi perniagaan ini bukan saja dengan media internet, namun juga pada
media komunikasi lainnya. Jika wireless network (jaringan komunikasi udara
tanpa kabel) ingin digunakan untuk transaksi perdagangan, maka tentu harus
dilakukan pengamanan komunikasi yang memadai. Lagipula sebaiknya setiap
transaksi perdagangan perlu diamankan? Artinya, dengan menggunakan jaringan
privatpun, sebaiknya ada langkah-langkah pengamanan data (terutama jika tidak
mempercayai keamanan penyedia jaringan privat itu)
Ada beberapa transaksi yang perlu
diamankan, sebagai contoh : transaksi penjualan online, transaksi keuangan,
e-mail, file transer, tanda tangan suatu kontrak dalam bentuk digital,
informasi dari perusahaan untuk publik (sehingga tidak bisa diubah-ubah orang
lain), dan transaksi bisnis lainnya.
Teknologi dasar yang dipergunakan
dalam pengamanan data untuk e-commerce, yakni kriptografi dengan fokus pada
cryptography (kriptografi).
1.
Kriptografi, sebagai
batu bata utama untuk keamanan e-commerce : ilmu yang mempelajari bagaimana membuat
suatu pesan yang dikirim pengirim dapat disampaikan kepada penerima dengan aman.
Dalam kriptografi, ada dua proses utama :
1.
Enkripsi (encryption) : yakni proses untuk mengubah pesan asli (plain text)
menjadi pesan yang tersandikan atau pesan yang terrahasiakan (cipher text)
2.
Dekripsi (decryption) : yakni proses mengubah pesan yang tersandikan
(cipher text) kembali menjadi pesan pada bentuk aslinya (plain text).
·
Key
·
Plain text
·
Cipher text
·
Plain text
2. Kriptografi Kunci Simetrik adalah jenis kriptografi yang paling umum
dipergunakan. Kunci untuk membuat pesan yang disandikan sama dengan kunci untuk
membuka pesan yang disandikan itu. Jadi pengirim pesan dan penerima pesan harus
memiliki kunci yang sama persis . Siapapun yang memiliki kunci tersebut
termasuk pihak-pihak yang tidak diinginkan dapat membuat dan membongkar rahasia
cipher text . Problem yang paling jelas disini terkadang bukanlan masalah
Encryption dan Decryption pengiriman ciphertextnya , melainkan masalah bagaimana
meyampaikan kunci simetris rahasia tersebut kepada pihak yang diinginkan.
Dengan kata lain ada masalah pendistribusian kunci rahasia.
Contoh : algoritma kunci Simetris yang terkenal adalah DES (data encryption
standart), TripleDES, IDEA, Blowfish, Twofish, AES (advanced encryption
standard ) dan RC-4.
3. Kriptografi kunci publik /
kunci asimetrik
Teknik kriptografi kunci publik mencoba menjawab permasalahan
pendistribusian kunci pada teknologi kriptografi kunci simetrik. Dalam
kriptografi kunci publik, setiap pihak memiliki sepasang kunci :
1.
Sebuah kunci publik yang didistribusikan kepada umum/ khalayak ramai.
2.
Sebuah kunci privat yang harus disimpan dengan rahasia dan tidak boleh
diketahui orang lain.
Dalam ilustrasi yang akan dijabarkan nanti, guna mempermudah penjelasan
kita akan menggunakan beberapa nama ganti orang yakni Anto, Badu, Chandra dan
Deni untuk mempresentasikan pihak-pihak yang melakukan transaksi.
4. Fungsi Hash Satu Arah
Fungsi hash berguna untuk menjaga keutuhan (integrity) dari pesan yang dikirimkan.
Bagaimana jika Anto mengirimkan surat pembayaran kepada Badu sebesar 1 juta
rupiah, namun ditengah jalan Maman (yang ternyata berhasil membobol sandi entah
dengan cara apa) membubuhkan angka 0 lagi dibelakangnya sehingga menjadi 10
juta rupiah ? Dimana dari pesan tersebut harus utuh, tidak diubah-ubah oleh
siapapun, bahkan bukan hanya oleh Maman , namun juga termasuk oleh Anto, Badu
dan gangguan pada transmisi pesan (noise). Hal ini dapat dilakukan dengan
fungsi hash satu arah (one way hash function ), yang terkadang disebut sidik
jari (fingerprint), hash, message integrity check , atau manipulation detection
code.
5. Membuat sidik jari pesan
Untuk membuat sidik jari tersebut tidak dapat diketahui oleh siapapun,
sehingga siapapun tidak dapat memeriksa keutuhan dokumen atau pesan tertentu.
Tak ada algoritma rahasia dan umumnya tak ada pula kunci rahasia. Jaminan dari
keamanan sidik jari berangkat dari kenyataan bahwa hampir tidak ada dua
pre-image yang memiliki hash value yang sama. Inilah yang disebut dengan sifat
collision free dari suatu fungsi hash yang baik. Selain itu , sangat sulit
untuk membuat suatu pre-image jika hanya diketahui hash valuenya saja.
2. Keamanan untuk komputer klien
Dalam lingkup jaringan, server dapat terdiri dari beberapa devoce seperti
disk server, file server, database server dan masih banyak lagi. Server akan
bertugas menyediakan reseource seperti sebuah aplikasi untuk dapat di akses oleh seluruh komputer
client, sehingga pada saat komputer client merequest data maka komputer server
akan merespon permintaan tersebut dan kemudian akan mengatur pengiriman data pada client.
Jaringan
Client-Server
Tipe jaringan ini sering di katakan sebagai jaringan berbasis server. Mengacu pada konsep kerja yang melibatkan komputer klien dan komputer server. Pada model jaringan tipe Clien-serverkoneksi yang terjadi sebenarnya bukan antara komputer melainkan antara prgram dengan program.
Program aplikasi yang berjalan pada komputer client akan melakukan permintaan/request layanan kepada program lainnya yang dianggap sebagai server.
Kelebihan jaringan client-server
a. Memberikan keamanan yang lebih baik.
b. Lebih mudah mengatur walupun jaringan berskala besar, karena control nya terpusat.
c. Semua data maupun fasilitas terletak pada lokasi yang sentral.
Kekurangan jaringan client-server
a. Butuh spesifikasi lebih/khusus untuk digunakan pada komputer server.
b. Butuh seorang administrator yang handal dan profesional.
c. Sangat bergantung pada komputer server.
Tipe jaringan ini sering di katakan sebagai jaringan berbasis server. Mengacu pada konsep kerja yang melibatkan komputer klien dan komputer server. Pada model jaringan tipe Clien-serverkoneksi yang terjadi sebenarnya bukan antara komputer melainkan antara prgram dengan program.
Program aplikasi yang berjalan pada komputer client akan melakukan permintaan/request layanan kepada program lainnya yang dianggap sebagai server.
Kelebihan jaringan client-server
a. Memberikan keamanan yang lebih baik.
b. Lebih mudah mengatur walupun jaringan berskala besar, karena control nya terpusat.
c. Semua data maupun fasilitas terletak pada lokasi yang sentral.
Kekurangan jaringan client-server
a. Butuh spesifikasi lebih/khusus untuk digunakan pada komputer server.
b. Butuh seorang administrator yang handal dan profesional.
c. Sangat bergantung pada komputer server.
3. Keamanan untuk saluran
komunikasi antar komputer
Aspek dari Keamanan Jaringan
Garfinkel mengemukakan bahwa keamanan computer (computer
security) melingkupi beberapa aspek, yaitu :
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha
untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih
ke arah data-data yang sifatnya privat sedangkan confidentiality biasanya
berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu
(misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya
diperbolehkan untuk keperluan tertentu tersebut.
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah
tanpa seijin pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain
yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi. Sebuah email dapat saja “ditangkap” (intercept) di tengah jalan,
diubah isinya (altered, tampered, modified), kemudian diterukan ke alamat yang
dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga.
Penggunaan enkripsi dan digital signature, misalnya dapat mengatasi masalah ini.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa
informasi betul-betul asli, orang yang mengakses atau memberikan informasi
adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli. Untuk membuktikan keaslian dokumen dapat dilakukan
dengan teknologi watermarking dan digital signature. Sedangkan untuk menguji
keaslian orang atau server yang dimaksud bisa dilakukan dengan menggunakan
password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang
dapat ditanyakan kepada orang untuk menguji siapa dia :
* What you have (misalnya kartu identitas ~KTP,SIM,dll~)
* What you know (misalnya PIN atau password)
* What you are (misalnya sidik jari, biometric)
4. Availability
Aspek availability atau ketersedia hubungan dengan
ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang dapat
menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan
yang sering disebut dengan “Denial of Service attack” (DoS attack), dimana
server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan
diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai
down, hang, crash. Contoh lain adanya mailbomb, dimana seorang pemakai dikirimi
email bertubi-tubi dengan ukuran yang besar sehingga sang pemakai tidak dapat
membuka emailnya atau kesulitan mengakses emailnya.
5. Akses Kontrol
5. Akses Kontrol
Aspek kontrol merupakan fitur-fitur keamanan yang
mengontrol bagaimana user dan sistem berkomunikasi dan berinteraksi dengan
system dan sumberdaya yang lainnya. Akses kontrol melindungi sistem dan
sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat
otorisasi setelah prosedur otentikasi berhasil dilengkapi.
Kontrol akses adalah sebuah term luas yang
mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses
pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting
karena menjadi satu dari garis pertahanan pertama yang digunakan untuk
menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan.
6. Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal
telah melakukan sebuah transaksi. Penggunaan digital signature, certificates,
dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal
ini masih harus didukung oleh hukum sehingga status dari digital signature itu
jelas legal.
1.
Keamanan
untuk server komputer
Ancaman dalam Internet
Pada dasarnya ancaman
datang dari seseorang yang mempuyai keinginan memperoleh akses ilegal ke dalam
suatu jaringan komputer. Oleh karena itu, harus ditentukan siapa saja yang diperbolehkan mempunyai akses legal ke dalam sistem, dan ancaman-ancaman yang
dapat mereka timbulkan. Ada beberapa tujuan yang ingin dicapai oleh menyusup
dan sangat berguna apabila dapat membedakan tujuan-tujuan tersebut pada saat
merencanakan sistem keamanan jaringan komputer.
Beberapa tujuan para penyusup adalah:
- Pada dasarnya
hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer yang
dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut dengan The
Curius.
- Membuat sistem
jaringan menjadi down, atau mengubah tampilan situs web. Penyusup yang
mempunyai tujuan seperti ini sering disebut sebagaiThe Malicious.
- Berusaha untuk
sumber daya di dalam sistem jaringan komputer untuk memperoleh popularitas. Penyusup seperti ini sering disebut sebagai The Profile Intruder.
- Ingin tahu
data apa saja yang ada di dalam jaringan komputer untuk selanjutnya
dimanfaatkan untuk mendapat uang. Penyusup seperti ini sering disebut sebagai The
Competition.
S secara umum hubungan antara pengguna Internet sebuah website (Web Server)
dapat dilihat pada gambar di bawah ini :
Pengguna terhubung ke Internet melalui layanan Internet Service Provider
(ISP), baik dengan menggunakan modem, DSL, cable modem, wireless, maupun dengan
menggunakan leased line. ISP ini kemudian terhubung ke Internet melalui network
provider (atau upstream). Di sisi Web Server, terjadi hal yang serupa. Server
Internet terhubung ke Internet melalui ISP atau network
provider lainnya. Gambar tersebut juga menunjukkan beberapa potensi lubang
keamanan (security hole).
Di sisi pengguna, komputer milik pengguna dapat disusupi virus dan trojan
horse sehingga data-data yang berada di komputer pengguna (seperti nomor PIN,
nomor kartu kredit, dan kunci rahasia lainnya) dapat disadap, diubah, dihapus,
dan dipalsukan. Jalur antara pengguna dan ISP dapat juga di sadap.
Sebagai contoh, seorang pengguna yang menggunakan komputer di lingkungan umum
(public facilities) seperti di Warung Internet (warnet) dapat disadap
informasinya oleh sesame pengguna warnet tersebut (atau pemilik warnet yang
tidak bertanggung jawab) ketika dia mengetikkan data-data rahasia melalui web.
Di sisi ISP, informasi dapat juga disadap dan dipalsukan. Sebagai contoh
bila sistem keamanan dari sang ISP ternyata rentan, dan dia kebobolan, maka
mungkin saja seorang cracker memasang program penyadap (sniffer) yang menyadap
atau mengambil informasi tentang pelanggan ISP tersebut.
Di sisi penyedia jasa, dalam hal Web Server yang menyediakan layanan
Internet.ada juga potensi lubang keamanan. Berbagai kasus tentang keamanan dan
institusi finansial sudah dilaporkan. Misalnya, ada kasus di Amerika serikat
dimana seorang cracker berhasil masuk ke sebuah institusi finansial dan
mengambil data-data nasabah dari berbagai bank yang berada dalam naungan
institusi finansial tersebut. Di Indonesia sendiri ada “kasus” domain
“plesetan” klikbca.com yang sempat membuat heboh.
1.
Organisasi
yang mempromosikan komputer, jaringan, dan keamanan Internet
Secara umum,
organisasi-organisasi dalam jaringan komputer dunia terbagi menjadi 7 bagian,
antara lain :
- IANA
(Internet Assigned Numbers Authority)
- ISOC
(Internet Society International)
- IETF
(Internet Engineering Task Force)
- IRTF
(Internet Research Task Force)
- IEEE
(Institute of Electrical and Electronics Engineers)
- APNIC (
Asia Pacific Network Information Centre)
- IAB
(Internet Architecture Board)
Organisasi yang
mempromosikan jaringan
Internet Society International (ISOC) adalah organisasi
intenasional yang mempromosikan penggunaan Internet dan
aksesnya. Keanggotaanya terbuka kepada siapa saja, baik pribadi, perusahaan,
universitas maupun pemerintah.
ISOC adalah asosiasi professional
Internet yang terdiri dari 17.000 anggota individual dan 130 anggota organisasi
di seluruh dunia. Ia adalah organisasi non-pemerintah berskala
internasional yang bertujuan untuk bekerjasama dan berkoordinasi secara global
dalam bidang aplikasi dan teknologi internet serta internetworking.
ISOC juga adalah organisasi induk
bagi Internet Engineering Task Force , Internet
Engineering Steering Group , dan Internet Architecture Board ,
ketiganya merupakan organisasi yang bertanggungjawab terhadap pengembangan
teknikal internet dan segala hal yang berkaitan dengannya.
ISOC bertujuan untuk menjamin pengembangan yang terbuka,
evolusi dan penggunaan internet agar bermanfaat bagi seluruh umat manusia di
muka bumi.
Organisasi yang
mempromosikan keamanan internet
Internet Engineering Task Force (IETF) merupakan organisasi
paling teratas yang berfungsi untuk mempromosikan internet dan menyetujui
protocol-protocol yang akan digunakan sebagai standard protocol di internet dan
bertanggung jawab dalam teknologi internetworking beserta aplikasi-aplikasinya.
Internet Research Task Force (IRTF) adalah unit kerja yang
berada di bawah IAB yang bertugas untuk melalukan penelitian-penelitian
terhadap protocol internet, aplikasi, arsitektur dan teknologi internet, baik
untuk jangka pendek maupun jangka panjang serta mempromosikan hasil-hasil
penelitian tersebut. Internet Engineering Task Force
adalah unit kerja yang berada di bawah IAB yang terdiri dari orang-orang yang
berkonsentrasi untuk mengembangkan aplikasi dan arsitektur internet kedepannya.
Salah satu tugasnya adalah menerbitkan RFC (request for comment) atas suatu
protocol atau standard yang diusulkan oleh seseorang untuk dikomentari oleh
publik atas persetujuan dari IAB. Websitenya adalah Badan Pengatur Internet
Ada 4 Badan yang bertanggung jawab dalam mengatur, mengontrol
serta melakukan standarisasi protokol yang digunakan di Internet, yaitu
Internet Society (ISOC), Internet Architecture Board (IAB), Internet
Engineering Task Force (IETF), dan Internet Research Task Force (IRTF).
1. Internet Society
(ISOC) adalah badan personal yang mendukung, memfasilitasi, serta mempromosikan
pertumbuhan internet. Sebagai Infrastruktur komunikasi global untuk riset,
badan ini juga berurusan dengan aspek sosial dan politik dari jaringan
internet.
2. Internet
Architecture Board (IAB) adalah badan koordinasi dan penasehat teknis bagi
Internet Society (ISOC). Badan ini bertindak sebagai review teknik dan
editorial akhir semua standar internet. Badan ini memiliki otoritas untuk menerbitkan
dokumen standar internet yang dikenal dengan Request For Comment (RFC). Tugas
lain dari badan ini ialah mengatur angka-angka dan konstanta yang digunakan
dalam protokol internet seperti nomor port, tipe hardware, ARP (Address
Resolution Protocol), dll. Tugas ini dilegalasikan ke lembaga yang disebut IANA
(Internet Assigned Numbers Authority).
3. Internet Engineering Task Force (IETF) ialah badan yang berorientasi untuk membentuk standar Internet. Badan ini dibagi menjadi sembilan kelompok kerja (misalnya aplikasi, routing dan addressing, keamanan komputer) dan bertugas menghasilkan standar-standar internet. Untuk mengarur kerja badan ini, dibentuk badan Internet Engineering Steering Group (ISEG).
4. Internet Research Task Force (IRTF) memiliki orientasi pada riset-riset
jangka panjang.
