8

Bab 2 Tinjauan Pustaka

2.1 Penelitian Sebelumnya

Pada penelitian yang berjudul “Sistem Deteksi Dan Penanganan Intruisi Menggunakan Snort dan Base Implementasi Pada PT. O asys Solusi Teknologi” telah mengimplementasikan Intrusion Detection System IDS berbasis Snort yang mampu mendeteksi adanya serangan dan menampilkan alerts serangan tersebut melalui web BASE Kuswardani, dkk, 2011. Pada penelitian yang telah dilakukan, ada dua macam pengujian sistem yaitu dengan simulasi serangan ICMP flooding dan Port Scanning . Pada simulasi ICMP flooding , attacker melakukan ping dengan bytes besar agar memenuhi bandwidth dan membanjiri jaringan dengan request pengiriman paket besar-besaran sekaligus. Ping yang diberikan adalah 1001 bytes , berbeda dengan ping normal yang hanya 56 bytes sehingga Snort akan menganggap ping tersebut sebagai suatu intrusion . Gambar 2.1 Ping Normal Kuswardani, dkk, 2011 9 Gambar 2.1 menjelaskan ping dalam jumlah kecil yang akan dibaca Snort bukan sebagai intrusion karena tidak sesuai dengan pola yang ada pada rules Snort. Gambar 2.2 Ping dengan 1001 Bytes Kuswardani, dkk, 2011 Gambar 2.2 menjelaskan ping dengan 1001 bytes yang akan dianggap sebagai intrusion karena pola yang ada sesuai dengan pola pada rules Snort Kuswardani, dkk, 2011. Pada penelitian yang berjudul “ Effective SQL Injection Attack Reconstruction Using Network Recording ” membahas tentang bagaimana pola serangan SQL Injection itu terjadi. Selain itu juga dibahas bagaimana rekonstruksi yang dilakukan agar dapat mengetahui sumber dari serangan SQL Injection Pomeroy, 2010. Beberapa penelitian di atas telah memberikan beberapa pengetahuan yang sangat berguna. Maka dari itu, selanjutnya dapat digunakan sebagai pendukung dalam proyek tugas akhir ini, yaitu untuk membangun sebuah Intrusion Detection System IDS berbasis Snort yang bertujuan untuk mendeteksi adanya serangan atau penyusupan. Dari hasil deteksi tersebut, kemudian akan dilakukan proses rekonstruksi guna menemukan sumber serangan. 10 2.2 Network Forensic Network Forensic forensik jaringan adalah proses menangkap, mencatat dan menganalisa aktifitas jaringan guna menemukan bukti digital digital evidence dari suatu serangan atau kejahatan yang dijalankan menggunakan jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku Sadimin, 2011. Bukti digital digital evidence dapat diidentifikasi dari pola serangan yang dikenali, penyimpangan dari perilaku normal jaringan ataupun penyimpangan dari kebijakan keamanan yang diterapkan pada jaringan. Adapun fokus utama dari forensik jaringan adalah mengidentifikasi semua kemungkinan yang dapat menyebabkan pelanggaran keamanan sistem dan membuat mekanisme pendeteksian dan pencegahan yang dapat meminimalisir kerugian yang lebih banyak. Forensik jaringan merupakan bagian dari forensik digital, dimana bukti ditangkap dari jaringan dan diinterpretasikan berdasarkan pengetahuan dari serangan. Forensik jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya seperti cybercrime yaitu dengan melakukan rekonstruksi serangan berdasarkan analisis bukti penyusupan. Misalnya saja seorang a dministrator jaringan tidak bisa seluruhnya bergantung pada IDS untuk menjaga jaringannya. Administrator juga memerlukan proses investigasi dan alat audit untuk melakukan investigasi kejadian secara lengkap dan memulihkan jaringan dari ancaman atau serangan yang terjadi. Adapun dalam melakukan proses forensik jaringan terdiri dari beberapa tahap antara lain: 11 1. Akuisisi dan Pengintaian Reconnaissance Tahap awal proses forensik merupakan hal yang kritis karena tahap ini akan menentukan keberhasilan dalam proses forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian, baik data volatil jika bekerja pada sistem online maupun data non- volatil disk terkait. Pada proses ini terdiri dari beberapa tahap yaitu:  Pengumpulan Data Volatil Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden.  Melakukan Trap dan Trace Trap dan trace merupakan proses untuk memonitor header dari trafik internet tanpa memonitor isinya tidaklah legal untuk memonitor isi dari suatu komunikasi data. Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCPIP dan bukan isinya. 2. Analisis Data Pada tahap ini meliputi proses menganalisa data yang diperoleh dari proses sebelumnya, seperti analisa real-time dari data volatil, analisa file log, korelasi data dari berbagai device pada 12 jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh. Pada proses ini terdiri dari beberapa tahap yaitu:  File log sebagai sumber informasi File log dapat merupakan sumber informasi yang penting bagi proses forensik. File log mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktifitas pengguna.  Interpretasi trafik jaringan Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan harus dapat mengenali dengan baik pola trafik jaringan yang normal. Jika pola trafik tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim palsu karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat misalnya dengan NAT dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan, source port dan nomor urut yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal. Paket ini menjadi SYN flood , suatu jenis DoS denial of service atau suatu serangan terhadap server.  Pembuatan time lining MAC Modified Access Creation time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian. M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses 13 terakhir membaca atau mengeksekusi dan C-times berisi waktu terakhir status file diubah. 3. Recovery Tahap ini meliputi proses untuk mendapatkanmemulihkan kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa file atau direktori. 2.3 Cybercrime 2.3.1 Pengertian Cybercrime Seiring dengan perkembangan teknologi, menyebabkan munculnya kejahatan yang disebut dengan Cybercrime atau kejahatan melalui jaringan internet. Munculnya beberapa kasus cybercrime di Indonesia, seperti pencurian kartu kredit, hacking beberapa situs, menyadap transmisi data orang lain, misalnya email, dan memanipulasi data dengan cara menyiapkan perintah yang tidak dikehendaki ke dalam program komputer. Dengan adanya cybercrime ini telah menjadi ancaman stabilitas, sehingga pemerintah sulit mengimbangi teknik kejahatan yang dilakukan dengan teknologi komputer, khususnya jaringan internet. Cybercrime dapat diartikan sebagai bentuk-bentuk kejahatan yang timbul karena pemanfaatan teknologi internet . Cybercrime sering diidentikkan dengan computer cryme . Menurut The U.S. Department of Justice, computer cryme diartikan sebagai “…any illegal act requiring knowledge of computer technology for its perpetration, investigation, or prosecution”. Adapun menurut Andi Hamzah mengartikan kejahatan komputer sebagai “Kejahatan di 14 bidang komputer secara umum dapat diartikan sebagai penggunaan k omputer secara ilegal”. Jadi secara ringkas cybercrime dapat didefinisikan sebagai perbuatan melawan hukum yang dilakukan dengan menggunakan internet yang berbasis pada kecanggihan teknologi komputer dan telekomunikasi. 2.3.2 Motif Kegiatan Cybercrime Berdasarkan motif kegiatan yang dilakukannya, cybercrime dapat digolongkan menjadi dua jenis, yaitu: 1. Cybercrime sebagai tindakan murni kriminal Kejahatan yang murni merupakan tindak kriminal merupakan kejahatan yang dilakukan karena motif kriminalitas. Kejahatan jenis ini biasanya menggunakan internet hanya sebagai sarana kejahatan. Contoh kejahatan semacam ini adalah Carding, yaitu pencurian nomor kartu kredit milik orang lain untuk digunakan dalam transaksi perdagangan di internet. 2. Cybercrime sebagai kejahatan “abu-abu” Pada jenis kejahatan di internet yang masuk dalam wilayah “abu-abu” cukup sulit menentukan apakah itu merupakan tindak kriminal atau bukan mengingat motif kegiatannya terkadang bukan untuk kejahatan. Salah satu contohnya adalah probing atau portscanning. Ini adalah sebutan untuk semacam tindakan pengintaian terhadap sistem milik orang lain dengan mengumpulkan informasi sebanyak-banyaknya dari sistem yang diintai, termasuk sistem operasi yang digunakan, port-port yang ada, baik yang terbuka maupun tertutup dan sebagainya. 15 2.3.3 Sasaran Kejahatan Cybercrime Berdasarkan sasaran kejahatan, cybercrime dapat dikelompokan menjadi beberapa kategori, yaitu: 1. Cybercrime yang menyerang individu Against Person Jenis kejahatan ini, sasaran serangannya ditujukan kepada perorangan atau individu yang memiliki sifat atau kriteria tertentu sesuai tujuan penyerangan tersebut. Beberapa contoh kejahatan ini antara lain:  Pornografi yaitu kegiatan yang dilakukan dengan membuat, memasang, mendistribusikan, dan menyebarkan material yang berbau pornografi, cabul, serta mengekspos hal-hal yang tidak pantas.  Cyberstalking yaitu kegiatan yang dilakukan untuk mengganggu atau melecehkan seseorang dengan memanfaatkan komputer, misalnya dengan menggunakan e- mail yang dilakukan secara berulang-ulang seperti halnya teror di dunia cyber. Gangguan tersebut bisa saja berbau seksual, religius, dan lain sebagainya.  Cyber-Tresspass yaitu kegiatan yang dilakukan melanggar area privasi orang lain seperti misalnya web hacking , probing, port scanning dan lain sebagainya. 2. Cybercrime yang menyerang hak milik Against Property Cybercrime yang dilakukan untuk menggangu atau menyerang hak milik orang lain. Beberapa contoh kejahatan jenis ini misalnya pengaksesan komputer secara tidak sah melalui dunia cyber , pemilikan informasi elektronik secara tidak sahpencurian informasi, 16 carding, cybersquating, hijacking, data forgery dan segala kegiatan yang bersifat merugikan hak milik orang lain. 3. Cybercrime yang menyerang pemerintah Against Government Cybercrime Againts Government dilakukan dengan tujuan khusus penyerangan terhadap pemerintah. Kegiatan tersebut misalnya cyber terorism sebagai tindakan yang mengancam pemerintah termasuk juga cracking ke situs resmi pemerintah atau situs militer. 2.3.4 Jenis Cybercrime Berdasarkan jenis aktifitas yang dilakukannya, cybercrime dapat digolongkan menjadi beberapa jenis, yaitu: 1. Unauthorized Access Merupakan kejahatan yang terjadi ketika seseorang memasuki atau menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin, atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. 2. Illegal Contents Merupakan kejahatan yang dilakukan dengan memasukkan data atau informasi ke internet tentang suatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau menggangu ketertiban umum, contohnya adalah penyebaran pornografi. 3. Data Forgery Kejahatan jenis ini dilakukan dengan tujuan memalsukan data pada dokumen-dokumen penting yang ada di internet. Dokumen- 17 dokumen ini biasanya dimiliki oleh institusi atau lembaga yang memiliki situs berbasis web database. 4. Cyber Espionage, sabotase dan Extortion Cyber Espionage merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer pihak sasaran. Adapun sabotage and extortion merupakan jenis kejahatan yang dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet. 5. Hacking, cracker dan Carding Istilah hacker biasanya mengacu pada seseorang yang punya minat besar untuk mempelajari sistem komputer secara detail dan bagaimana meningkatkan kapabilitasnya. Adapun mereka yang sering melakukan aksi-aksi perusakan di internet lazimnya disebut cracker. Boleh dibilang cracker ini sebenarnya adalah hacker yang yang memanfaatkan kemampuannya untuk hal-hal yang negatif. Aktivitas cracking di internet memiliki lingkup yang sangat luas, mulai dari pembajakan account milik orang lain, pembajakan situs web, probing, menyebarkan virus, hingga pelumpuhan target sasaran. Tindakan yang terakhir disebut sebagai DoS Denial Of Service . 2.3.5 Penanggulanggan Cybercrime Aktifitas pokok dari cybercrime adalah penyerangan terhadap content, computer system dan communication system milik orang lain atau umum di dalam cyberspace. Fenomena cybercrime 18 memang harus diwaspadai karena kejahatan ini agak berbeda dengan kejahatan lain pada umumnya. Cybercrime dapat dilakukan tanpa mengenal batas teritorial dan tidak memerlukan interaksi langsung antara pelaku dengan korban kejahatan. Mengamankan sistem merupakan salah satu cara dalam menanggulangi cybercrime. Pengamanan sistem secara terintegrasi sangat diperlukan untuk meminimalisasikan kemungkinan perusakan tersebut. Membangun sebuah keamanan sistem harus sesuai dengan langkah-langkah yang terintegrasi pada keseluruhan subsistemnya, dengan tujuan dapat mempersempit atau bahkan menutup adanya celah-celah unauthorized actions yang merugikan. Pengamanan secara personal dapat dilakukan mulai dari tahap instalasi sistem sampai akhirnya menuju ke tahap pengamanan fisik dan pengamanan data. Pengaman akan adanya penyerangan sistem melaui jaringan juga dapat dilakukan dengan melakukan pengamanan FTP, SMTP, Telnet dan pengamanan Web Server.

2.4 SQL