Jack Stanfield (Harrison Ford) bekerja sebagai Computer Security Specialist di Seattle-based Landrock Pacific Bank. Karirnya yang tergolong cemerlang membuatnya menjadi salah satu orang penting di kantornya. Kehidupan keluarga bersama istri dan dua anaknya juga berjalan lancar-lancar saja hingga suatu hari terjadi hal yang tidak diduga.
Setelah seharian sumpek dengan rapat kantor soal rencana merger dengan bank lain, Jack dikejutkan oleh seseorang bernama Bill Cox (Paul Bettany) yang mengklaim telah berhasil menyekap istri dan anak-anak Jack di rumah mereka sendiri. Padahal baru saja Jack mengenal Bill sebagai seorang calon investor. Tanpa disadari oleh Jack, ternyata aktivitasnya dan keluarganya telah diawasi dan disadap berbulan-bulan sebelumnya oleh komplotan Bill.
Bisa ditebak, ini adalah cerita penyanderaan bermotif uang. Ya, target mereka adalah uang sejumlah $100 juta. Lucunya, walaupun Bill sesumbar kalau komplotannya berhasil menyusup ke server kantornya Jack dan menginstal program jahat di dalamnya namun mereka tetap saja masih butuh bantuan Jack untuk mensortir 10.000 rekening nasabah dengan saldo terbesar yang akan menjadi sasaran pembobolan. Bill juga ikut panik saat tahu kalau server yang berisi data-data itu baru saja pindah ke kantor lain
Berada di bawah ancaman dan tekanan, apalagi usaha keluarganya untuk meloloskan diri gagal, membuat Jack harus berpikir keras. Tak disangka, Jack mendapat ide memanfaatkan salah satu bagian dari mesin fax dan iPod milik anaknya untuk melaksanakan rencana itu. Gabungan kedua alat itu ternyata membuahkan hasil. Usai beraksi, agar tidak meninggalkan jejak, disebarkanlah virus dalam jaringan komputer di kantornya yang menggunakan Win XP!
Minggu, 02 Desember 2007
SOCIAL ENGINEERING
Definisi
Bernz 2
“seni dan ilmu memaksa orang untuk memenuhi harapan anda”.
Palumbo
“suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari sebuah sistem komputer” atau
Berg
“mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem” .
Dalam kenyataannya, social engineering bisa menjadi berbagai dan semua hal-hal yang disebutkan di atas, tergantung dimana anda duduk atau mengambil posisi. Satu hal yang kelihatan disetujui semua orang adalah bahwa social engineering umumnya suatu manipulasi cerdas tentang tendensi kemanusiaan natural yang dipercaya dari seorang. Tujuan hacker adalah untuk mendapatkan informasi yang akan mengizinkan dia untuk mendapatkan akses yang tak terotorisasi (tak legal) pada sistem yang diinginkan dan informasi yang berlokasi pada sistem itu. Security adalah segala hal yang berkaitan dengan kepercayaan. Kepercayaan adalah perlindungan dan otentisitas. Umumnya disetujui sebagai jalinan paling lemah dalam alur keamanan, kemauan manusia yang natural untuk menerima kata-kata seseorang meninggalkan hal-hal yang rentan diserang. Banyak ahli security yang berpengalaman menekankan fakta ini.
Tak jadi soal banyaknya artikel yang telah diterbitkan tentang firewall, belang (patches), dan lubang-lubang jaringan, kita hanya bisa mengurangi ancaman sebanyak mungkin dan kemudian terserah pada Maggie dalam menilai temannya, Will menelponnya dari suatu tempat terpencil untuk mempertahankan agar jaringan keseluruhan benar-benar aman.
Target dan Serangan
Tujuan dasar social engineering sama seperti umumnya hacking : mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan. Target-target tipikal termasuk perusahaan telepon ddan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit. Boom internet memiliki andil dalam serangan-serangan rekayasa industri sejak awal, namun umumnya serangan terfokus pada entitas-entitas yang lebih besar.
Menemukan teladan yang baik dan nyata dari serangan-serangan social engineering adalah sulit. Organisasi-organisasi yang dijadikan sasaran tidak mau mengijinkan bahwa mereka dikorbankan (lebih-lebih, mengijinkan suatu terobosan security fundamental tidak hanya memalukan, ia mungkin merusak reputasi organisasi) dan/atau serangan-serangan tidak terdokumentasi dengan baik sehingga tak seorangpun yang benar-benar yakin apakah ada suatu serangan social engineering atau tidak. Katakan saja mengapa organisasi dijadikan sasaran melalui social engineering baiklah, ini seringkalil merupakan suatu cara yang lebih mudah untuk mendapatkan akses melanggar hukum daripada berbagai macam bentuk hacking teknis. Bahkan untuk orang-orang teknis, hal ini seringkali jauh lebih sederhana untuk sekedar mengangkat telepon dan meminta password seseorang. Dan yang paling sering, persis seperti itulah yang akan dilakukan oleh seorang hacker.
Bernz 2
“seni dan ilmu memaksa orang untuk memenuhi harapan anda”.
Palumbo
“suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari sebuah sistem komputer” atau
Berg
“mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem” .
Dalam kenyataannya, social engineering bisa menjadi berbagai dan semua hal-hal yang disebutkan di atas, tergantung dimana anda duduk atau mengambil posisi. Satu hal yang kelihatan disetujui semua orang adalah bahwa social engineering umumnya suatu manipulasi cerdas tentang tendensi kemanusiaan natural yang dipercaya dari seorang. Tujuan hacker adalah untuk mendapatkan informasi yang akan mengizinkan dia untuk mendapatkan akses yang tak terotorisasi (tak legal) pada sistem yang diinginkan dan informasi yang berlokasi pada sistem itu. Security adalah segala hal yang berkaitan dengan kepercayaan. Kepercayaan adalah perlindungan dan otentisitas. Umumnya disetujui sebagai jalinan paling lemah dalam alur keamanan, kemauan manusia yang natural untuk menerima kata-kata seseorang meninggalkan hal-hal yang rentan diserang. Banyak ahli security yang berpengalaman menekankan fakta ini.
Tak jadi soal banyaknya artikel yang telah diterbitkan tentang firewall, belang (patches), dan lubang-lubang jaringan, kita hanya bisa mengurangi ancaman sebanyak mungkin dan kemudian terserah pada Maggie dalam menilai temannya, Will menelponnya dari suatu tempat terpencil untuk mempertahankan agar jaringan keseluruhan benar-benar aman.
Target dan Serangan
Tujuan dasar social engineering sama seperti umumnya hacking : mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan. Target-target tipikal termasuk perusahaan telepon ddan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit. Boom internet memiliki andil dalam serangan-serangan rekayasa industri sejak awal, namun umumnya serangan terfokus pada entitas-entitas yang lebih besar.
Menemukan teladan yang baik dan nyata dari serangan-serangan social engineering adalah sulit. Organisasi-organisasi yang dijadikan sasaran tidak mau mengijinkan bahwa mereka dikorbankan (lebih-lebih, mengijinkan suatu terobosan security fundamental tidak hanya memalukan, ia mungkin merusak reputasi organisasi) dan/atau serangan-serangan tidak terdokumentasi dengan baik sehingga tak seorangpun yang benar-benar yakin apakah ada suatu serangan social engineering atau tidak. Katakan saja mengapa organisasi dijadikan sasaran melalui social engineering baiklah, ini seringkalil merupakan suatu cara yang lebih mudah untuk mendapatkan akses melanggar hukum daripada berbagai macam bentuk hacking teknis. Bahkan untuk orang-orang teknis, hal ini seringkali jauh lebih sederhana untuk sekedar mengangkat telepon dan meminta password seseorang. Dan yang paling sering, persis seperti itulah yang akan dilakukan oleh seorang hacker.
2 Level Serangan Social Engineering
- Fisik
Pertama, kita memfokuskan pada setting fisik untuk serangan ini: tempat kerja, telepon, tempat sampah, dan bahkan on-line. Di tempat kerja, hacker bisa dengan mudah melewati pintu, seperti di dalam bioskop, dan berpura-pura menjadi seorang pekerja pemeliharaan atau konsultan yang memiliki akses pada organisasi. - Psikologis
Kemudian seorang penyusup menyelundup melalui kantor sampai dia menemukan suatu password baru yang tergeletak dan keluar dari bangunan dengan informasi di tangan lebih dari cukup untuk mengeksploitasi jaringan dari rumah setelah malam itu. Teknik lain untuk mendapatkan informasi adalah dengan berdiri di sana dan mengamati pekerja yang lalai mengetikkan password.
Metode Social Engineering
- Social engineering dengan telepon
Jenis yang paling lazim dari serangan-serangan social engineering dilakukan dengan telepon. Seorang hacker akan menelpon dan meniru seseorang dalam suatu kedudukan berwenang atau yang relevan dan secara gradual menarik informasi dari user. Kursi bantuan secara partikuler condong pada tipe serangan ini. Hacker mampu berpura-pura mereka sedang menelpon dari dalam perusahaan dengan memainkan tipuan atau trik pada PBX atau operator perusahaan, sehingga pemanggil ID tidak selalu menjadi pertahanan terbaik. - Diving Dumpster
Dumpster diving, juga dikenal sebagai sampah, adalah metode populer lain dari social engineering. Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company Dumpster. The LAN Times mendaftar daftar- daftar berikut sebagai potensi kebocoran keamanan dalam trash kita: “Buku telepon perusahaan, grafik organisasi, memo, panduan kerja kebijakan perusahaan, kalender pertemuan, peristiwa-peristiwa dan peletakan jabatan, panduan kerja sistem, printout data yang sensitif atau nama login dan password, printout kode, disket dan tape sumber, kepala surat perusahaan dan formulir memo, dan perangkat keras lama. - Social engineering on-line
Internet adalah lahan subur bagi para teknisi sosiaal yang ingin mendapatkan password. Kelemahan utamanya adalah banyaknya user yang sering mengulangi pemanfaatan sebuah password sederhana pada setiap tranksaksi: Yahoo, Travelocity, Gap.com, dan sebagainya. Maka sekali seorang hacker memiliki satu password, dia mungkin bisa masuk ke dalam berbagai transaksi. Satu cara dimana seorang hacker diketahui mendapatkan jenis password ini adalah melalui uatu formulir on-line: mereka bisa mengirimkan beberapa bentuk informasi perjudian kuda dan meminta user untuk menempatkan namanya(termasuk alamat e-mail cara itu, dia bahkan mungkin mendapatkan password transaksi keseluruhan seseorang) dan passwordnya. Formulir ini bisa dikirimkan lewat e-mail atau melalui US Mail.
Reverse Social Engineering
Suatu metode yang maju dan final dalam mendapatkan informasi yang melanggar hukum ini dikenal sebagai “reverse social engineering”. Hal ini terjadi ketika seorang hacker menciptakan suatu persona yang muncul dan berada dalam suatu posisis kewenangan sehingga pekerja akan memintanya informasi dibandingkan dengan cara lainnya. Jika diteliti, direncanakan dan dilakukan dengan baik, serangan reverse social engineering mungkin menawarkan suatu kesempatan yang lebih baik bagi hacker untuk mendapatkan data yang berharga dari pekerja; namun, hal ini mensyaratkan suatu bentuk persiapan, penelitian, dan pra-hacking yang besar agar berhasil. Berdasarkan pada Methods of Hacking: Social Engineering, suatu makalah yang ditulis oleh Rick Nelson, tig bagian serangan-serangan reverse social engineering adalah sabotase, iklan, dan assisting. Hacker menyabotase suatu jaringan, menyebabkan suatu masalah muncul. Hacker itu kemudian mengiklankan bahwa dia adalah orang yang tepat untuk mengatasi
permasalahan, dan kemumdian, ketika dia datang untuk mengatasi masalah, dia mensyaratkan jumlah tertentu informasi dari para pekerja dan mendapatkan apa yang benar-benar ia inginkan. Mereka tidak pernah tahu bahwa tu adalah hacker, karena permasalahan jaringan mereka telah selesai diperbaiki dan setiap orang menjadi bahagia.
Referensi :
http://www.obscure.org/betha/docs/
Senin, 26 November 2007
COTS "Commercial Off the Shelf"
COTS”Commercial Off the shelf”
Adalah paket software atau solusi yang dibeli untuk mendukung satu atau lebih fungsi bisnis dan system informasi. Solusi software COTS yang paling terbaru adalah Enterprise Resource Planning (ERP) yang terintegrasi atas system informasi yang membentangkan sebagian besar dasar fungsi bisnis yang dibutuhkan perusahaan besar. Contoh dari software ERP adalah SAP, peoplesoft, dan aplikasi Oracle.
Ide dasar dari COTS software adalah :
1. Solusi paket software harus dipilih secara hati-hati untuk memenuhi kebutuhan bisnis.
2. Solusi paket software tidak hanya mahal untuk dibeli, tetapi juga berharga untuk digunakan.
3. Software bisa digunakan untuk mengintegrasikan bisnis.
4. Software harus sering bisa memenuhi semua permintaan bisnis untuk kepuasan para pelanggan.
COTS menawarkan beberapa keuntungan, diantaranya :
1. Waktu pengembangan dan implementasi relatif lebih cepat, karena komponen solusi COTS yang sudah jadi dan siap ada di pasaran.
2. Dengan adanya contract specification agreements (interface definitions) yang sudah terstandarisasi dengan jelas akan mempercepat proses testing integrasi dan sangat membantu dalam plug and play operation.
3. Secara dinamis dapat melakukan perubahan proses bisnis dengan adanya pemanfaatan external workflow engine, hal ini juga dikaitkan dengan adanya kebutuhan untuk merubah regulasi dan policy terhadap system aplikasi sehingga sistem dapat lebih mudah dan cepat untuk direkonfigurasi.
4. Kehandalan sistem sudah teruji dengan skala implementasi yang besar, yang tentunya dengan persyaratan adanya proses seleksi ketat terhadap kualitas produk dari vendor aplikasi COTS yang akan diikutsertakan.
5. Efisien dalam pemanfaatan resource SDM, pengguna hanya dikonsentrasikan/ fokus untuk operasi dan pemeliharaan aplikasi saja.
6. Resiko proyek lebih kecil dari sisi operator, karena adanya risk sharing/mitigation dengan pihak-pihak yang lebih kompeten dan berpengalaman di bidangnya yaitu para vendor penyedia solusi COTS dan system integrator.
Sedangkan kekurangannya adalah :
1. Pelaksanaan COTS yang sukses bergantung dari sukses jangka panjang dan kepedulian dari penjual COTS sendiri.
2. Biaya sudah jelas pasti jauh lebih mahal, karena sebagian besar proses pengembangan dilakukan oleh pihak vendor atau system integrator. Selain itupula akan melibatkan multi party yang akan menyediakan berbagai aplikasi COTS sesuai framework eTOM.
3. Ketergantungan terhadap vendor tertentu yang juga akan membawa konsekuensi biaya untuk setiap kebutuhan pengguna dalam hal upgradability, modularity, expandability, dan flexibility.
4. Proses integrasi terkadang tidak dapat berjalan lancar, terutama bila disebabkan dengan belum adanya standarisasi untuk contract specification agreement (interface definition) yang harus diacu oleh pihak-pihak yang produk aplikasinya akan diintegrasikan.
5. Kelemahan pendefinisian requirement system dari user akan mengakibatkan salah dalam pemilihan COTS, sehingga kemampuan COTS tidak sesuai dengan yang diharapkan
referensi :
167.205.18.193/.../TUGAS%201%20APSI/CHAPTER%203%20(II).doc
www.ristinet.com/index.phplang=ind&s=77129ec9289464a580f0bd469e106247&ch=8&n=359 - 77k -
Adalah paket software atau solusi yang dibeli untuk mendukung satu atau lebih fungsi bisnis dan system informasi. Solusi software COTS yang paling terbaru adalah Enterprise Resource Planning (ERP) yang terintegrasi atas system informasi yang membentangkan sebagian besar dasar fungsi bisnis yang dibutuhkan perusahaan besar. Contoh dari software ERP adalah SAP, peoplesoft, dan aplikasi Oracle.
Ide dasar dari COTS software adalah :
1. Solusi paket software harus dipilih secara hati-hati untuk memenuhi kebutuhan bisnis.
2. Solusi paket software tidak hanya mahal untuk dibeli, tetapi juga berharga untuk digunakan.
3. Software bisa digunakan untuk mengintegrasikan bisnis.
4. Software harus sering bisa memenuhi semua permintaan bisnis untuk kepuasan para pelanggan.
COTS menawarkan beberapa keuntungan, diantaranya :
1. Waktu pengembangan dan implementasi relatif lebih cepat, karena komponen solusi COTS yang sudah jadi dan siap ada di pasaran.
2. Dengan adanya contract specification agreements (interface definitions) yang sudah terstandarisasi dengan jelas akan mempercepat proses testing integrasi dan sangat membantu dalam plug and play operation.
3. Secara dinamis dapat melakukan perubahan proses bisnis dengan adanya pemanfaatan external workflow engine, hal ini juga dikaitkan dengan adanya kebutuhan untuk merubah regulasi dan policy terhadap system aplikasi sehingga sistem dapat lebih mudah dan cepat untuk direkonfigurasi.
4. Kehandalan sistem sudah teruji dengan skala implementasi yang besar, yang tentunya dengan persyaratan adanya proses seleksi ketat terhadap kualitas produk dari vendor aplikasi COTS yang akan diikutsertakan.
5. Efisien dalam pemanfaatan resource SDM, pengguna hanya dikonsentrasikan/ fokus untuk operasi dan pemeliharaan aplikasi saja.
6. Resiko proyek lebih kecil dari sisi operator, karena adanya risk sharing/mitigation dengan pihak-pihak yang lebih kompeten dan berpengalaman di bidangnya yaitu para vendor penyedia solusi COTS dan system integrator.
Sedangkan kekurangannya adalah :
1. Pelaksanaan COTS yang sukses bergantung dari sukses jangka panjang dan kepedulian dari penjual COTS sendiri.
2. Biaya sudah jelas pasti jauh lebih mahal, karena sebagian besar proses pengembangan dilakukan oleh pihak vendor atau system integrator. Selain itupula akan melibatkan multi party yang akan menyediakan berbagai aplikasi COTS sesuai framework eTOM.
3. Ketergantungan terhadap vendor tertentu yang juga akan membawa konsekuensi biaya untuk setiap kebutuhan pengguna dalam hal upgradability, modularity, expandability, dan flexibility.
4. Proses integrasi terkadang tidak dapat berjalan lancar, terutama bila disebabkan dengan belum adanya standarisasi untuk contract specification agreement (interface definition) yang harus diacu oleh pihak-pihak yang produk aplikasinya akan diintegrasikan.
5. Kelemahan pendefinisian requirement system dari user akan mengakibatkan salah dalam pemilihan COTS, sehingga kemampuan COTS tidak sesuai dengan yang diharapkan
referensi :
167.205.18.193/.../TUGAS%201%20APSI/CHAPTER%203%20(II).doc
www.ristinet.com/index.phplang=ind&s=77129ec9289464a580f0bd469e106247&ch=8&n=359 - 77k -
Jumat, 23 November 2007
CURRICULUM VITAE
Nama Lengkap : Puspita Sari
Nama Panggilan : Puspita
Tempat Lahir : Klaten
Tanggal Lahir : 22-Oktober-1987
Alamat : Jl. Solo Km 19, Keden, Sanggrahan, Prambanan, Klaten.
Email : poez_meoow@yahoo.com
Nama Panggilan : Puspita
Tempat Lahir : Klaten
Tanggal Lahir : 22-Oktober-1987
Alamat : Jl. Solo Km 19, Keden, Sanggrahan, Prambanan, Klaten.
Email : poez_meoow@yahoo.com
Pendidikan Formal :
1993-1999 SD Sanggrahan 1 Prambanan
1999-2002 SMP N 1 Prambanan
2002-2005 SMA N 1 Klaten
2005-sekarang Fakultas Ekonomi Manajemen Universitas Atmajaya Yogyakarta
Pengalaman Organisasi :
1999-2002 Pengurus OSIS SMP N 1 Prambanan
2002-2004 Pengurus OSIS SMA N 1 Klaten
Langganan:
Postingan (Atom)