Sistem Keamanan Website

Oleh

Bagus Winarko,S.Kom

Pada Era yang serba digital ini, penyebaran informasi melalui melalui sarana internet atau website merupakan sarana paling murah dan cepat. Murah karena setiap penyampaian suatu informasi tidak harus mengeluarkan biaya seperti iklan. Cepat karena informasi melalui website apat diakses oleh seluruh manusia didunia. Informasi yang terdapat di website tidak serta merta kita percaya kebenaran sepenuhnya dikarenakan siapa saja bisa menyampaikan informasi atau pendapat lewat internet lewat internetatau website tanpa sensor dan tanpa ijin siapapun. Informasi-informasi yang dapat dipercaya bisa diperoleh melalui website-website milik pemerintah atau lembaga negara, perusahaan-perusahaan yang terkenal akan kredibilitasnya, dan website lainnya yang memang kita mengetahui bahwa sumbernya dapat dipercaya.

Tentu saja website-website tersebut tidak sepenuhnya aman dari gangguan dari pihak luar atau pihak yang tidak bertangung jawab.Pada masa sekarang ini, perkembangan teknologi yang semakin canggih dibarengi dengan perkembangan teknik-teknik dalam menembus suatu website (hack). Sering kita saksikan dan dengar pada media cetak, media elektronik dan media online begoitu banyak berita berita yang memuat tentang penyerangan atau penyusupan terhadap suatu website yang dilakukan oleh orang yang tidak bertanggung jawab. Biasanya website-website yang diserang atau disusupi merupakan milik pemerintah, bank, dan partai politik tertentu. Motif penyerangan atau penyusupan juga berbeda beda, bisa karena protes, menjatuhkan pihak-pihak tertentu, mendapatkan keuntungan materill atau bahkan hanya sekefar untuk iseng saja.

Faktor penyebab sebuah website dapat disusupi

Untuk menjaga supaya suatu website tidak dimasuki oleh pihak-pihak yang tidak bertanggung jawab sebenarnya cukup rumit, banyak sekali faktor yang menyebablkan suatu website dapat dimasuki atau disusupi oleh pihak yang tidak bertanggungjawab, diantaranya adalah :

1. Pengetahuan pembuat website. untuk membuat suatu websiteterkadang si pembuat atau programmer hanya memikirkan bahwa yang penting website tersebut jadi dan proyek selesai tanpa harus memikirkan lubang-lubang yang harus ditutp sehingga orang lain tidak bisa menembusnya. seorang web programmer harus selalu meng-update pengetahuannya tentang keamanan websiteatau internet sehingga bisa diaplikasikan pada website yang dirancangnya.
2. kesalahan Script. Kesalahn dalam scripting pembuatan suatu websitemerupakan hal yang sering dimanfaatkan oleh para attacker (hacker/Cracker) sehingga attacker sering menyerang suatu website pada lubang ini. kelemahan ini biasanya sring ditemukan pada proses vulnerabilities scanning seperti SQL Injection, PHP Injection, HTML Injection dan lainnya. Begiu pula dengan CMS seperti Mambo, Joomla,Wordpress dan lainnya.Kesalahan script memang biasa terjadi dikarenakan juga karena kebanyakan script yang harus diketik hingga ratusan atau ribuan baris program sehingga terkadang pembuat program lupa untuk menambal bagian-bagian yang lubang yang bisa dimasuki penyusup.
3. Username dan Password. Terkadang seorang administrator suatu website memberikan username dan password yang standar. Standar disini berarti username dan password yang selalu digunakan oleh umum dikarenakan supaya username dan password tersebut mudah diingat, seperti pemberian user name dan password dengan nama, tanggal lahir, kota asal administrator dan hal-hal lainnyayang mudah diingat oleh administrator. Terkadang username dan password tidak pernah diubah-ubah oleh seorang administrator website dalam jangka waktu lama.
4. Webserver. terkadang seseorang mendaftarkan atau menempatkan website pada webserver yang belum terkenal karena fasilitas keamanannya. Hal itu bisa dikarenakan terbatasnya pengetahuantentang webserver-webserver yang menyediakan kemananan website yang dikelolanya.Terkadang pula pengelola webserver jarang meng-update software Sistem Operasi dan keamanannyasehingga penyusup bisa lebih mudah untuk menembus suatu webserverdikarenakan dia sudah mengetahui kelemahan dari suatu sistem opersi tertentu.
5. Anggaran. Suatu Website yang aman dari penyusupan tentu saja beriml;ikasi pada sek=makin mahalnya harga website tersebut. Semakin murah harga suatu website maka semakin rentan website tersebut untuk disusupi oleh pihak yang tidak bertanggungjawab.Untuk selalu membuat suatu website aman dari penyusupan, sebuah perusahaan pembuat website tentunya akan akan selalu meng-update tool-tool yang digunakan dalam websitenya.proses tersebut membutuhklan biaya yang tidak sedikit sehingga apabila suatu lembaga atau perusahaan jika ingin membuat websitenya selalu aman maka harus menyediakan anggaran biaya yang tidak sedikit.
6. Software hacking. Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer. banyak tempat di internet yang menyediakan software yang langsung dapat diambil 9Download) dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah digunakan.Beberapa program , seperti SATAN, bahkan hanya membutuhakan sebuah web browser, untuk menjalankannya. Sehingga, seseorang yang dapat menggunakan web browser dapat menjalankan program penyerang (attack).
7. konfigurasi aplikasi website yang masih default.Konfigurasi aplikasi website yang ada.Sehingga, masih banyak celah keamanan yang belum terkostuminasi dengan baik.
8. Updating. Proses update aplikasi website harus selalu dilakukan, hal ini untuk mencegah penyusup masuk.Aplikasi website yang telah berumur satu tahunharus segera di-update karena kemungkinan besar aplikasi website tersebut memiliki kelemahan pada sisi keamanannya.
9. Sumber Daya Manusia (SDM) penyusup . Meningkatnya kemampuan pemakai di bidang komputersehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkarsistem yang digunakannya ( atau sistem milik orang lain). Jika dahulu akses ke komputer sangat sukar, makasekarang komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah serta rumah-rumah.

Dari faktor-faktor yang telah disebutkan tesebut saling ada keterkaitan antara satu dengan yang lainnya. dalam membangun website, kita tidak bisa hanya mementingkansalah satu faktor saja tetapi seluruh faktor harus diperhatikan.Dapat kita gambarkan seperti kalau kita mau membangun sebuah rumah. Kita tidak bisa asal membangun rumah asal jadi. Kita harus memperhatikan dimanarumah kita akan dibangun, seperti tingkat keamanan rumah yang ada di perumahan elit tentu lebih aman daripada rumah yang yang ada diperkampungan.Untuk tambah pengawasannya, kita bisa menambahkan kamera pengawas, pagar dan alarm pada rumah kita.sama seperti dalam membangun sebuah website, kita harus tahu dimana website kita tersebut diletakkan,komponen atau toolskeamanan apa saja yang ada dalam website tersebut.

menurut pengamaan penulis, semnjak disahkannya Undang-undang Informasi dan Elektronik (UU ITE) oleh Dewan Perwakilan Rakyat (DPR) pada hari selasa tanggal 25 Maret 2008, semakin banyak pula kegiatan-kegiatanpenyusupan terhadap website yang ada di Indonesia.Penyusupan tersebut tidak hanya terjadi pada website milik pemerintah sebagai tindakan protes disahkannya UU ITE, tetapi juga terjadi pada website milik perbankan, Universitas/Perguruan Tinggi, partai politik bahkan website milik Tentara Nasional Indonesia (TNI) tidak luput dari penyusupan. Rata-rata penyusupan tersebut berupa mengubah penampilan halaman website tertentu saja.Pada tahun 2007, sebuah organisasi luar negeri non profit yang bernama Open Web Application Securuty Project (OWASP) merilis 10 dafter teratas celah yang mengancam website, diantaranya :

1. Cross Site Scripting, Celah ini mengakibatkan penyusup dapat menjalankan ptongan kode program(script) miliknya pada browser target. Hal ini dapat memungkinkan pnyusup dapat mencuri user session milik target atau bahklan dapat menciptakan worm.
2. Injection Flaws, injeksi ini umumnya dilakukan terhadap SQL (database) dari suatu aplikasi website.Hal tersebut dapat terjadi apabila pengguna mamaukkan data sebagai bagian dariperintah (querry) yang menipu interpreter untuk menjalankan perintah tersebut atau untuk merubah suatu data.
3. Malicius File Execution, Pada celah ini , penyusup dapat mengontrol pembuatan file yang berisikan kode program dan data supaya dapat dieksekusi. salah satu contohnya adalah Remote File Inclucion(RFI).
4. Insecure Direct Object Reference, celah ini dapat memaksabrowser targetyang sudah log-in untuk mengirimkan "pre-aunhenticated request" terhadap suatu aplikasi website dan memaksa browser target untuk melakukan perintah penyusup.
5. Information Leakage and Improper Error Handling, Celah yang berupa pesan kesalahan (error) dan konfigurasi yang dapat dilihatpada jendela browser biasanya sering digunakan penyusupuntuk mendapatkan informasi yang bisa digunakan untuk menyusup ke website tersebut.
6. broken Aunthentication and Sessin Management, Celah ini dapat tibul dikarenakan buruknya penangananproses otentikasi dan manajemen sese, sehingga penyusup dapat dengan mudah mendapatkan password yang digunakan untuk otentikasi.
7. Insecure Criptographic Storage, suatu aplikasi webite biasanya jarang mengunakan terknik kriptigrafiuntuk melindungi data-data yang ada didalamnya. Atau menggunkan teknik kriptografi tetapi telah diketahui kelemahan dari kriptografi tersebut.
8. Insecure Communications, Sedikit sekali aplikasi website yang mengamankan jalur komunikasinya sehingga hal tersebut dimanfaatkan oleh penyusup untuk mendapatkan informasi yang berharga.
9. Failure to Restrict URL Access, beberapa aplikasi website hanya menghilangkan tampilan link (URL) dari pengguna yang tidak berhak, tetapi haldapat dengan caramengakses URL tersebutsecara langsung.

Pada saat ini kejahatan dalam dunia Cyber semakin meningkat, Menrut data dari Federal Bureau of Investigation (FBI) yang dikutip dari detikINET, Kamis( 16/10/2008) yang menyatakan bahwa mata-mata komputer serta pencurian data personal di internet telah menunjukkan peningkatan dalam setahun belakangan , dengan kerugian yang dialami sedikitnya 10 Juta dollar Amerika Serikat (AS). Kejahatan paling umum dilakukan adalah dengan botnet, yaitu sebuah program jahat yang menyebarkan virus, yang tanpa disadari akan mempengaruhi komputer atau jaringan dan kemudian digunakan untuk mencuri data atau mematikan seluruh sistem komputer.Bahkan dikatakan, InternetCrime Complaint Center atau ICCC (pusat keluhan kejahatan internet) yang bekerja sama dengan FBI, menerima sekitar 18.000 singga 20.000 keluhan setiap bulannya. Lebih lanjut dijelaskan, ICCC juga telah menerima keluhan lebih dari 1 juta kali dalam satu tahun terakhir.