Monday, April 20, 2015

Threats



THREAT
Pengertian Theats
Threat adalah seseorang atau pihak-pihak yang memiliki kemampuan dan keinginan untuk mengeksploitasi vulnerability yang ada dalam sebuah asset, Asset adalah segala sesuatu yang memiliki nilai, contoh dalam konteks security misalnya informasi, hardware, properti intelektual, gengsi, dan reputasi. Resiko harus didefinisikan secara eksplisit, misalnya "resiko adanya compromise terhadap integritas dari database customer kita" atau "resiko adanya denial of service terhadap portal banking kita." Resiko sering diungkapkan dengan risk equation (persamaan resiko), yaitu:
risk = threat x vulnerability x asset value
Definisi threat semacam ini merupakan definisi yang sudah ada sejak puluhan tahun lalu dan hampir disamakan dengan istilah istilah teroris. Threat bisa terstruktur maupun tidak terstruktur. Berikut adalah konsepnya:
1.      Threat terstruktur adalah "musuh-musuh" dengan metodologi formal, sponsor finansial, dan tujuan yang jelas. Beberapa contoh diantaranya adalah mata-mata ekonomi, organisasi kriminal, teroris, agen intelejen asing, dan pihak yang menamakan diri mereka information warriors.
2.      Threat tidak terstruktur tidak memiliki metodologi, finansial, dan tujuan seperti pada kategori terstruktur. Para pelaku biasanya hanya melakukan serangan karena rasa penasaran, atau mungkin hanya script code otomatis berjalan. Threat tidak terstruktur termasuk "cracker musiman", malware yang disebarkan tanpa tujuan yang pasti dan user internal yang tidak berwenang.

Jenis-Jenis Threats
Botnet
Botnet terdiri dari dua kata, yaitu BOT (program yang otomatis) dan Net Networking). Jadi botnet merupakan program yang secara otomatis, bekerja dalam network tertentu yang bertujuan untuk mendapatkan “sesuatu” secara brutal, karena semua komputer yang terhubung dalam jaringan akan diserang semuanya secara otomatis.
Contoh: conficker.vmx. Botnet ini sulit sekali dihilangkan, karena mempunyai fitur autoupdate ke server yang ditunjuk, sehingga conficker ini sulit dilacak dan dihilangkan.

Memaksa masuk (Brute Force) dan kamus password (Dictionary)
Jenis penyerangan database atau penyerangan login prompt yang sedang aktif.
Brute Force: upaya menemukan password dari account user dengan cara sistematis, mencoba berbagai kombinasi angka, huruf dan simbol.
Dictionary: upaya menemukan password dengan mencoba berbagai kemungkinan password yang dipakai user dengan kamus password yang sudah didefinisikan sebelumnya.Cara mengatasinya salah dengan membuatan password yang kuat, misalnya tidak boleh menggunakan tanggal lahir, nama, password dengan kombinasi huruf dana angka. Contoh: 4p4s1k4mu?.
Denial of Service (DoS)

Membuat layanan jaringan jadi mampet, berbentuk pengiriman paket data yang besar terhadap suatu server dan memanfaatkan celah yang rentan dari sistem operasi, layanan-2 atau aplikasi-2, yang mengakibatkan serangan: sitem crash atau pemakaian CPU 100 %.
Jenis-jenis DoS: Distributed Denial of Service (DSoS), Distributed Reflective Denial of Service (DRDoS).
Contoh akibat serangan: layanan pemesanan selalu gagal atau username tidak bisa login, daftar barang tidak bisa muncul atau sudah muncul. 
 
Identity Teft
Pencurian informasi tentang identitas kita yang dilakukan melalui komputer offline, jaringan LAN, internet maupun melalui transaksi-transaksi dalam kehidupan sehari-hari.

Smurf Attack
Membanjiri komputer client dengan sampah, dan mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket broadcast.
Ada yang menggolongkan sebagai DoS.

Ping of Death
Menggunakan tool khusus dengan mengirimkan paket ping oversized yang banyak sekali kepada korbannya yang mengakibatkan sistem crash, freeze atau reboot.
Ada yang menggolongkan sebagai DoS.

Stream Attack
Mengirim jumlah paket besar menuju port pada sistem korban menggunakan sumber nomor yang random.
Ada yang menggolongkan sebagai DoS.

Spoofing
Seni untuk menjelma menjadi sesuatu yang lain. Misalnya IP address atau node source yang asli diganti IP address atau node source yang lain. Contoh: pemalsuan web Paypal.

Serangan Pembajakan (Man in the Middle)
Mengkomposisikan dua titik link komunikasi dengan jalan: menyusup antara dua party dan para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme store and forward, yang akan mengkibatkan para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi.



Spamming
Spam merupakan email/newsgroup/pesan diskusi forum yang tak diundang, yang menganggu ketika browsing pada website tertentu. Berikur karakteristiknya.
·         Berupa iklan dari vendor atau bisa berisi kuda Trojan.
·         Biasanya datang bertubi-tubi tanpa diminta dan sering kali tidak dikehendaki oleh penerimanya.
·         Mirip dengan DoS.
Cara kerja: pembuat spam akan membuat mailing list dari alamat-alamat email yang ditemukan dari situs-situs terkenal seperti Facebook, Multiply, Friendster dll. Setelah itu file-file akan disebarkan melalui email-email tersebut.

Sniffer (Snooping Attact)
Kegiatan user perusak yang ingin mendapatkan informasi atau traffic melalui jaringan, yan merupakan program penangkap paket data yang bisa di duplikasikan isi paket yang melalui media jaringan ke dalam file. Threats ini berfokus untuk mendapatkan logon credensial, kunci rahasia, password dan lainnya. Contoh: menyadap suatu pengiriman program saat memasukkan password dengan tujuan mendapatkan password pengguna atau menduplikasikan program yang dikirimi program.

Crackers
User yang ingin merusak system atau aplikasi yang mengakibatkan kegiatan pencurian data/ide, disable system, kompromi keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan, kehilangan produktivitas. Contoh: seorang pencopy software seperti microsoft.
Keahlian minimal cracker: bisa membuat program C, C++, atau Perl, memiliki pengetahuan TCP/IP, menguasai sistem operasi UNIX atau VMS, suka mengkoleksi software dan hardware lama.

Hacker
Seseorang atau beberapa orang yang ahli dan mengetahui seluk beluk komputer, baik, software, hardware, keamanan atau jaringannya. Sesungguhnya tidak semua hacker melakukan kejahatan, ada hacker yang berfungsi sebagai peneliti dan pengembang dengan cara menelusuri lubang-lubang keamanan sebuah software atau jaringan komputer.

Back Door
Serangan dengan sengaja membuka suatu “pintu belakang” bagi pengunjung tertentu, tanpa disadari oleh orang yang menginstall software. Contoh: E-bay untuk mengizinkan pengembang tersebut memperoleh informasi mengenai transaksi yang terjadi antara pembeli dan penjual, termasuk kartu kredit.

Social Engineering
Bentuk serangan yang memanfaatkan sisi kelemahan manusia, misalnya dengan merekayasa perasaan user sehingga user bersedia mengirim informasi kepada hacker untuk selanjutnya digunakan untuk merusak sistem.
Misalnya: email yang meminta target untuk membuak attachment yang disisipi worm/trojan horse untuk merusak jaringan.

DNS Poisoning
Usaha merubah atau merusak isi DNS sehingga semua akses yang memakai DNS akan disalurkan ke alamat yang salah atau alamat yang dituju tidak bisa diakses.
User melakukan login ada rekening internetnya. Karena sudah dialihkan, maka ia mengakses ke suatu situs palsu yang serupa dan telah dipersiapkan oleh hacker.

Phising Mail
Email yang seolah-olah dikirim dari bank tempat kita menyimpan uang, dari situs tempat kita membeli barang secara online. Bila kita log ini ke dalam situs gadungan tersebut maka situs itu akan mencuri username dan password yang akan merugikan kita. Berasal dari bahasa Inggris yang berari pengelabuhan. Phishing berupa webpage yang alamatnya mirip dengan web aslinya.
Misalnya: www.klikbca.com diubah menjadi www.clickbca.com atau www.klikkbca.com. Jika dilihat ketiganya memiliki pelafalan yang sama, tetapi tujuannya berbeda. Klik BCA bertujuan untuk mengakses suatu alamat bank swasta di Indonesia, tetapi click BCA bertujuan ke suatu komputer dimana pemiliknya mengetahui username dan password Anda jika Anda memasuki web tersebut.

Adware
Kependekan dari advertising software, yaitu sebuah program untuk mengiklankan sesuatu yang dapat secara otomatis tampil dalam web browser atau pop up.
Adware bisa terdownload tanpa sengaja bila kita tidak teliti saat mengeklik iklan yang tampil dalam sebuah pop-up. Ada yang menyamakan dengan spyware.

Virus dan Worm
Program komputer aktif yang tersembunyi dan membahayakan, karena bersifatt merusak sistem komputer. Virus dapat menginfeksi program komputer lain atau file data serta dapat terdistribusi ke komputer lain dengan membonceng pendistribusian file/program lain.

Spyware
Merupakan program komputer yang biasanya tanpa sengaja terinstall untuk melakukan perusakan, penyalinan dan/atau pengintipan aktifitas sebuah komputer, sehingga segala aktifitas saat menggunakan komputer dapat dipantau, dicopy dari tempat lain. Spyware biasanya terinstall karena ketidaktelitian pengguna komputer saat menegklik suatu pop-up atau browsing internet
  
Remote Attack
Segala bentuk serangan terhadap suatu sistem dimana penyerangannya tidak memiliki kendali terhadap mesin tersebut karena dilakukan dari jarak jaruh di luar sistem jaringan atau media transmisi.

Hole
Kondisi dari software atau hardware yang bisa diakses oleh pemakai yang memiliki otoritas atau meningkatnya tingkat pengaksesan tanpa melalui proses otoritasi.

Phreaking
Perilaku menjadikan pengamanan telepon melemah.

Wireless Attack
Biasanya berbentuk pencurian bandwidth
HTTPD Attack
Memanfaatkan kerawanan webserver, misalnya: buffer, overflows, httpd bypasses, cross scripting, web code vulnerabilities, URL floods.
Contoh: melalui cross XSS seorang attacker bisa mengeksploitasi pertukaran cookies antara browser dan webserver. Fasilitas ini dapat mengaktifkan script untuk merubah tampilan web dll. Script ini bisa menjalankan malware, membca informasi penting dan mengexpose data sensitive seperti nomor credit card dan password.

Pencurian Cookie
Cookie adalah kumpulan data yang dikirimkan oleh server atau admin sebuah website kepada web browser yang digunakan. Kemudian web browser akan mengembalikan lagi data tersebut untuk mengakses website tanpa ada perubahan sedikitpun.
Kenapa berbahaya ? Untuk mengakses sebuah situs dibutuhkan transfer cookie dari user ke server dan sebaliknya, sebagai proses authentifikasi dan enkripsi data sekaligus konfirmasi identitas user. Sehingga jika cookie dicuri, maka pencuri dapat menggunakan cookie tersebut untuk mengakses situs ilegal maupun memalsukan identitasnya, pencurian cookie dapat menggunakan script.

Sumber:
http://rizki18.blogspot.com/2010/03/jenis-jenis-ancaman-threats-melalui-it.html
http://sudutpandangpupil.blogspot.com/2013/02/apa-itu-resiko.html


Perbedaan Sistem Kliring Dan RTGS

Pengertian Kliring
Kliring adalah suatu tata cara perhitungan utang piutang dalam bentuk surat-surat dagang dan surat-surat berharga dari suatu bank terhadap bank lainnya, dengan maksud agar penyelesaiannya dapat terselenggara dengan mudah dan aman, serta untuk memperluas dan memperlancar lalu lintas pembayaran giral.
Lalu lintas pembayaran giral adalah, suatu proses kegiatan bayar membayar dengan waktat atau nota kliring, yang dilakukan dengan cara saling memperhitungkan diantara bank-bank, baik atas beban maupun untuk keuntungan nasabah ybs.
Giral adalah simpanan dari pihak ketiga kepada bank yang penarikannya dapat dilakukan setiap saat dengan menggunakan cek, surat perintah pembayaran lainnya, atau dengan cara pemindah bukuan.
Peserta Kliring
Peserta kliring dapat dibedakan menjadi dua macam :
·         Peserta langsung, yaitu : bank-bank yang sudah tercatat sebagai peserta kliring dan dapat memperhitungkan warkat atau notanya secara langsung dengan B I atau melalui PT Trans Warkat sebagai perantara dengan B I.
Contoh : Bank Retail, Bank Devisa
·         Peserta tidak langsung, yaitu : bank-bank yang belum terdaftar sebagai peserta kliring akan tetapi mengikuti kegiatan kliring melaui bank yang telah terdaftar sebagai peserta kliring.
Contoh : BPR 
  
Warkat / Nota kliring
Warkat adalah alat atau sarana yang digunakan dalam lalu lintas pembayaran giral, yaitu surat berharga atau surat dagang seperti :
·         cek,
·         bilyet giro,
·         wesel bank untuk trasfer atau wesel unjuk,
·         bukti-bukti penerimaan transfer dari bank-bank,
·         nota kredit, dan
·         surat-surat lainnya yang disetujui oleh penyelenggara ( B I )

Syarat-syarat warkat yang dapat dikliringkan :
·         Ber valuta Rupiah
·         Bernilai nominal penuh
·         Telah jatuh tempo pada saat dikliringkan dan
·         Telah dibubuhi cap kliring

Jenis – jenis warkat kliring :
·         Warkat debet keluar, yaitu : warkat bank lain yang disetorkan oleh nasabah sendiri untuk keuntungan rekening nasabah yang bersangkutan.
Contoh :
Dari nasabah bank Permata Semarang menerima pembayaran dari Sigit nasasbah bank Niaga Semarang berupa cek. Cek tersebut disetorkan oleh Ndari ke bank Permata, maka cek tersebut dapat dikatakan sebagai warkat debet keluar.
·         Warkat debet masuk, yaitu : warkat yang diterima oleh suatu bank dari bank lain melalui B I atas warkat atau cek bank sendiri yang ditarik oleh nasabah sendiri dan atas beban nasabah yang bersangkutan.

Jenis-Jenis Kliring
·         Kliring umum, adalah : sarana perhitungan warkat-warkat antar bank yang pelaksanaannya diatur oleh B I.
·         Kliring lokal, adalah : sarana perhitungan warkat-warkat antar bank yang berada dalam suatu wilayah kliring (wilayah yang ditentukan).
·         Kliring antar cabang, adalah : sarana perhitungan warkat antar kantor cabang suatu bank peserta yang biasanya berada dalam satu wilayah kota. KLiring ini dilakukan dengan cara mengumpulkan seluruh perhitungan dari sauatu kantor cabang untuk kantor cabang lainnya yang bersangkutan pada kantor induk yang bersangkutan.

RTGS (Real-Time Gross Settlement).
Sistem RTGS adalah proses penyelesaian akhir transaksi (settlement) pembayaran yang dilakukan per transaksi (individually processed / gross settlement) dan bersifat Real-time (electronically processed), di mana rekening peserta dapat di-debit / di-kredit berkali-kali dalam sehari sesuai dengan perintah pembayaran dan penerimaan pembayaran.
Dengan sistem RTGS, peserta pengirim melalui terminal RTGS di tempatnya mentransmisikan transaksi pembayaran ke pusat pengolahan sistem RTGS (RTGS Central Computer /RCC) di Bank Sentral (dalam hal ini Bank Indonesia untuk proses settlement. Jika proses settlement berhasil, transaksi pembayaran akan diteruskan secara otomatis dan elektronis kepada peserta penerima. Keberhasilan proses settlement tergantung dari kecukupan saldo peserta pengirim karena dalam sistem BI-RTGS peserta hanya diperbolehkan untuk mengkredit peserta lain. Dengan kata lain, peserta RTGS harus meyakinkan bahwa saldo rekeningnya di Bank cukup sebelum peserta tersebut melaksanakan transfer ke peserta RTGS lainnya

Contoh Kasus
Penggunaan transfer dana dengan menggunakan BI-RTGS (Real Time Gross Settelement) masih lebih dominan dibandingkan SKNBI (Sistem Kliring Nasional Bank Indonesia). Padahal, penggunaan kliring dinilai jauh lebih efektif, efisien, dan dengan biaya yang lebih rendah.
Berdasarkan data Bank Indonesia Wilayah VI Jawa Barat dan Banten, per Februari 2012 tercatat ada 370.000 transaksi kliring di wilayah tersebut, dengan total nominal Rp 10,42 triliun. Sementara transaksi RTGS sebanyak 35.462 dengan nominal Rp 17,54 triliun.
Sementara itu, sepanjang 2011 transaksi kliring mencapai Rp 146 triliun, sedangkan RTGS mendekati angka Rp 300 triliun. Pada tahun sebelumnya, transaksi kliring mencapai Rp 130,8 triliun, tidak sampai separuh RTGS, yang sepanjang tahun tersebut mencapai Rp 288 triliun.
“Harapannya, untuk transaksi di bawah Rp 100 juta, masyarakat mulai beralih ke kliring. Biayanya pun lebih murah,” kata Kepala Kantor Perwakilan Bank Indonesia Wilayah VI Lucky Fathul Azis, usai meresmikan kliring online di Kantor BI Bandung, Jln. Braga, Bandung, Kamis (26/4)
Untuk RTGS, menurut dia, biasanya masyarakat dikenakan biaya Rp 20.000-Rp 30.000 per transaksi oleh perbankan, sementara untuk kliring sekitar Rp 5.000 per transaksi. Biaya RTGS yang dibayar bank ke BI, menurut dia, Rp 7.000 per transaksi, sedangkan kliring Rp 1.000 per transaksi.
“Bukan hanya biaya yang jauh lebih murah, saat ini settlement (penyelesaian transaksi) kliring juga sudah dilakukan empat kali, pukul 10.00, 12.00, 14.00, dan 16.00,” ujarnya.

Tabel Perbedaan: 

Item
Kliring (LLG)
RTGS
Eksekutor
BI
BI                   
Settlement (penyelesaian akhir)
Jam 10, 12, 14, 16, secara bersamaan,
Hari kerja
Setiap saat,
Hari kerja
Sarana / prasarana
Kantor cabang,
Mobile banking,
internet banking,
Kantor cabang,
Mobile banking,
Internet banking
Minimum Rp
(tergantung bank)
100 juta
Maksimal Rp
(tergantung bank)
(tergantung bank)
Biaya Rp
5000
25.000 - 50.000