Aspek Hukum dan Web Security

Sumber Gambar

Berbicara tentang aspek hukum, internet memiliki undang-undang yang dinamakan UU-ITE. UU-ITE kepanjangan dari “Undang-Undang Informasi dan Transaksi Elektronik”. UU ITE berisi hanya 54 pasal dimana berisi tentang informasi elektronik dan transaksi elektronik. Internet sebagai sarana informasi memiliki asas dan tujuan dalam pemanfaatannya sebagai mana disebutkan dalam Pasal 3 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) asasnya yaitu Pemanfaatan Teknologi Informasi dan Transaksi Elektronik dilaksanakan berdasarkan asas kepastian hukum, manfaat, kehati-hatian, itikad baik, dan kebebasan memilih teknologi atau netral teknologi. Penjelasan pada Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) tidak dapat menjangkau semua aspek hukum dalam kegiatan atau perbuatan hukum yang dilakukan dalam internet, tetapi dapat didukung oleh peraturan perundang-undangan lainnya sehingga tidak akan terjadi kekosongan hukum dalam setiap peristiwa hukum yang terjadi sebagai jalan keluar dalam penegakan hukumnya.

Oleh karena keberadaan UU-ITE ini merupakan produk hukum baru yang layak mendapat perhatian masyarakat pada umumnya, maka catatan ini lebih memotret aspek-aspek penting yang berdampak langsung pada penegakan hukumnya di kemudian hari. Mengingat objek kajian ini merupakan sebuah produk hukum, maka catatan yang diberikan di sana-sini tidak dapat dilepaskan dari tinjauan aspek legal yang menyertainya.

Aspek/Servis dari Web Security

Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation.

      a.      Privacy / Confidentiality

Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP).

Untuk mendapatkan kartu kredit, biasanya ditanyakan data-data pribadi. Jika saya mengetahui data-data pribadi anda, termasuk nama ibu anda, maka saya dapat melaporkan melalui telepon (dengan berpura-pura sebagai anda) bahwa kartu kredit anda hilang dan mohon penggunaannya diblokir. Institusi (bank) yang mengeluarkan kartu kredit anda akan percaya bahwa saya adalah anda dan akan menutup kartu kredit anda. Masih banyak lagi kekacauan yang dapat ditimbulkan bila data-data pribadi ini digunakan oleh orang yang tidak berhak.

Serangan terhadap aspek privacy misalnya adalah usaha untuk melakukan penyadapan (dengan program sniffer). Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi (dengan enkripsi dan dekripsi).

      b.      Integrity

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.

Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda. Informasi ini berasal dari CERT Advisory, “CA- 99-01 Trojan-TCP-Wrappers” yang didistribusikan 21 Januari 1999. Contoh serangan lain adalah yang disebut “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

      c.       Authentication

Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.

Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat.

Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia:

ü  What you have (misalnya kartu ATM)

ü  What you know (misalnya PIN atau password)

ü  What you are (misalnya sidik jari, biometric)

Penggunaan teknologi smart card, saat ini kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi authentication dapat menggunakan digital certificates. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data (informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)

      d.      Availability

Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan yang sering disebut dengan “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon). Bayangkan apabila anda dikirimi 5000 email dan anda harus mengambil (download) email tersebut melalui telepon dari rumah.

Serangan terhadap availability dalam bentuk DoS attack merupakan yang terpopuler pada saat naskah ini ditulis. Pada bagian lain akan dibahas tentang serangan DoS ini secara lebih rinci.

      e.      Access Control

Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & user (guest, admin, top manager, dsb.), mekanisme authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain (seperti kartu, biometrics).

      f.        Non-repudiation

Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal. Hal ini akan dibahas lebih rinci pada bagian tersendiri.

CyberLaw

Sumber Gambar

Cyber Law adalah aspek hukum yang istilahnya berasal dari Cyberspace Law, yang ruang lingkupnya meliputi setiap aspek yang berhubungan dengan orang perorangan atau subyek hukum yang menggunakan dan memanfaatkan teknologi internet/elektronik yang dimulai pada saat mulai "online" dan memasuki dunia cyber atau maya. Pada negara yang telah maju dalam penggunaan internet/elektronik sebagai alat untuk memfasilitasi setiap aspek kehidupan mereka, perkembangan hukum dunia maya sudah sangat maju.

Berikut ini adalah ruang lingkup atau area yang harus dicover oleh cyberlaw. Ruang lingkup cyberlaw ini akan terus berkembang seiring dengan perkembangan yang terjadi pada pemanfaatan Internet dikemudian hari :

      1.      Electronic Commerce

Pada awalnya electronic commerce (E-Commerce) bergerak dalam bidang retail seperti perdagangan CD atau buku lewat situs dalam World Wide Web (www). Tapi saat ini Ecommerce sudah melangkah jauh menjangkau aktivitas-aktivitas di bidang perbankan dan jasa asuransi yang meliputi antara lain ”account inquiries”, ”loan transaction”, dan sebagainya. Sampai saat ini belum ada pengertian yang tunggal mengenai E-Commerce.

Hal ini disebabkan karena hampir setiap saat muncul bentuk- bentuk baru dari Ecommerce dan tampaknya E-Commerce ini merupakan salah satu aktivitas cyberspace yang berkembang sangat pesat dan agresif. Sebagai pegangan (sementara) kita lihat definisi E-Commerce dari ECEG-Australia (Electronic Cornmerce Expert Group) sebagai berikut: “Electronic commerce is a broad concept that covers any commercial transaction that is effected via electronic means and would include such means as facsimile, telex, EDI, Internet and the telephone”.

Persoalan tersebut antara lain menyangkut masalah mekanisme pembayaran (payment mechanism) dan jaminan keamanan dalam bertransaksi (security risk). Mekanisme pembayaran dalam Ecommerce dapat dilakukan dengan cepat oleh konsumen dengan menggunakan ”electronic payment”. Pada umumnya mekanisme pembayaran dalam E-Commerce menggunakan credit card. Karena sifat dari operasi Internet itu sendiri, ada masalah apabila data credit card itu dikirimkan lewat server yang kurang terjamin keamanannya. Selain itu, credit card tidak ”acceptable” untuk semua jenis transaksi. Juga ada masalah apabila melibatkan harga dalam bentuk mata uang asing.

Persoalan jaminan keamanan dalam E-Commerce pada umumnya menyangkut transfer informasi seperti informasi mengenai data-data credit card dan data-data individual konsumen. Dalam area ini ada dua masalah utama yang harus diantisipasi yaitu (1) ”identification integrity” yang menyangkut identitas si pengirim yang dikuatkan lewat ”digital signature”, dan (2) adalah ”message integrity” yang menyangkut apakah pesan yang dikirimkan oleh si pengirim itu benar-benar diterima oleh si penerima yang dikehendaki (intended recipient). Dalam kaitan ini pula para konsumen memiliki kekhawatiran adanya ”identity theft”’atau ”misuse of information” dari data-data yang diberikan pihak konsumen kepada perusahaan.

      2.      Domain Name

Domain name dalam Internet secara sederhana dapat diumpamakan seperti nomor telepon atau sebuah alamat. Contoh, domain name untuk Monash University Law School, Australia adalah ”law.monash.edu.au”. Domain name dibaca dari kanan ke kiri yang menunjukkan tingkat spesifikasinya, dari yang paling umum ke yang paling khusus. Untuk contoh di atas, ”au” menunjuk kepada Australia sebagai geographical region, sedangkan ”edu” artinya pendidikan (education) sebagai Top-level Domain name (TLD) yang menjelaskan mengenai tujuan dari institusi tersebut. Elemen seIanjutnya adalah ”monash” yang merupakan ”the Second-Level Domain name” (SLD) yang dipilih oleh pendaftar domain name, sedangkan elemen yang terakhir ”law” adalah ”subdomain” dari monash Gabungan antara SLD dan TLD dengan berbagai pilihan subdomain disebut ”domain name”.

Domain names diberikan kepada organisasi, perusahaan atau individu oleh InterNIC (the Internet Network Information Centre) berdasark an kontrak dengan the National Science Foundation (Amerika) melalui Network Solutions, Inc. (NSI). Untuk mendaftarkankan sebuah domain name melalui NSI seseorang cukup membuka situs InterNIC dan mengisi sejumlah form InterNIC akan melayani para pendaftar berdasarkan prinsip ”first come first served”. InterNIC tidak akan memverifikasi mengenai ’hak’ pendaftar untuk memilih satu nama tertentu, tapi pendaftar harus menyetujui ketentuan-ketentuan yang tercantum dalam ”NSI’s domain name dispute resolution policy”. Berdasarkan ketentuan tersebut, NSI akan menangguhkan pemakaian sebuah domain name yang diklaim oleh salah satu pihak sebagai telah memakai merk dagang yang sudah terkenal.

Referensi :

• Setiawan, Deris. 2006. Sistem Keamanan Komputer. Jakarta: PT Elex Media Komputindo.
• Adriansyah, A. Afriandi dan Wicaksono, N. 2005. Keamanan Web Service. Bandung Institut Teknologi Bandung.

• Rahardjo, Budi. September 2002. “Keamanan Sistem Informasi Berbasis Internet”. http://mirror.unej.ac.id/iso/dokumen/ikc/budirahardjo-keamanan.pdf. 9 April 2016.
• Ega. “CyberLaw”. ega.staff.gunadarma.ac.id/Downloads/files/34342/Bab+V+Cyberlaw. pdf. 9 April 2016.