BAB I
PENDAHULUAN
A.
Latar
Belakang
Saat ini internet menjadi salah satu media utama pertukaran
informasi baik secara kabel maupun wireless. Teknologi internet mengalami
peningkatan cukup pesat, secara kuantitas maupun kualitas. Secara kuantitas
dapat di lihat dari pertumbuhan jaringan, peningkatan jumlah pelanggan dan
munculnya costumer-costumer baru. Sedangkan secara kualitas terlihat pada pertumbuhan
teknologi, pertambahan layanan-layanan baru oleh tuntutan-tuntutan dari pihak costumer. Internet merupakan jaringan
komputer yang bersifat publik, tetapi tidak semua informasi dapat di akses
secara publik. Tentuunya ada informasi-informasi yang bersifat pribadi. Oleh
karena itu diperlukan cara agar dapat menjaga kemananan informasi yang bersifat
publik tersebut.[1]
Pengantar penemuan kerentanan sistem dalam sistem perangkat
lunak dan operasi tak terelakkan dalam teknologi informasi (TI) industri. Terlepas
dari waktu yang di habiskan pengujian selama perkembangan produk. kurangnya
etika dalam industri tersebut adalah merupakan faktor utama yang mengakibatkan
kerentanaan sistem dan kelancaran dalam suatu usaha.
B.
Rumusan
Masalah
1. Apa
arti dari Vulnerability Disclosure?
2. Ada
berapa macam dilema Vulnerability Disclosure?
C.
Tujuan
Penelitian
1. Untuk
mengetahui arti dari Vulnerability Disclosure,
2. Untuk
mengetahui macam-macam dari Vulnerability
Disclosure.
BAB II
PEMBAHASAN
1.
Apa
arti dari Vulnerability Disclosure?
ENISA mendefinisikan kerentanan [2]sebagai:
Adanya kelemahan, desain, atau kesalahan implementasi yang dapat menyebabkan,
acara yang tidak diinginkan tak terduga mengorbankan keamanan sistem komputer,
jaringan, aplikasi, atau protokol yang terlibat.
National Information Assurance Training and Education Center
(NIATEC) mendefinisikan kerentanan sebagai sebuah kelemahan dalam prosedur
otomatis sistem keamanan, kontrol administratif, kontrol internal, dan
sebagainya, yang dapat dimanfaatkan oleh ancaman untuk mendapatkan akses tidak
sah ke informasi atau mengganggu proses kritis. 2. Sebuah kelemahan dalam
prosedur sistem keamanan, desain hardware,
kontrol internal, dll, yang dapat dimanfaatkan untuk mendapatkan akses tidak
sah ke informasi rahasia atau sensitif. 3. Kelemahan dalam tata letak fisik,
organisasi, prosedur, personel, manajemen, administrasi, perangkat keras, atau
perangkat lunak yang dapat dimanfaatkan untuk menyebabkan kerusakan pada sistem
atau kegiatan ADP. Kehadiran kerentanan tidak dengan sendirinya menyebabkan
kerusakan, kerentanan hanyalah suatu kondisi atau serangkaian kondisi yang
memungkinkan sistem atau kegiatan ADP yang akan dirugikan oleh serangan. 4. Sebuah
pernyataan terutama tentang badan dari lingkungan internal ( aset ), kami katakan
bahwa aset ( atau kelompok aktiva ) rentan ( dalam beberapa cara , mungkin
melibatkan agen atau kumpulan agen ) , kita menulis : V (i , e ) di mana : e mungkin
merupakan himpunan kosong. 5. Kerentanan terhadap berbagai ancaman. 6. Satu set
properti dari entitas internal yang khusus sehingga , dalam persatuan dengan
satu set properti dari entitas eksternal yang spesifik , menyiratkan risiko. 7.
Karakteristik dari sistem yang menyebabkan ia menderita degradasi pasti (
ketidakmampuan untuk melakukan misi yang ditunjuk ) sebagai akibat dari yang
telah mengalami tingkat tertentu efek dalam alami ( buatan manusia ) lingkungan
yang tidak bersahabat.[3]
Dan disclosure artinya adalah
penyinyingkapan. Jadi menurut kami Vulnerability
Disclosure adalah penyingkapan keadaan
dimana sesuatu yang dapat memungkinnya suatu objek dapat terkena suatu hal yang
beresiko yang disebabkan oleh faktor-faktor yang berkaitan. sebagai contoh :
kerentanan manusia terhadap waktu ideal untuk membuka laptop . contoh lainnya
adalah kerentanan dalam arsitek tentang rubuhnya sebuah bangunan karna kurang
kuatnya pondasi pada bangunan tersebut. Sedangkan Sistem itu
adalah sekumpulan benda yang memiliki hubungan di antara mereka. Sedangkan
Kerentanan itu sendiri adalah suatu keadaan yang menjadi kelemahan di dalam
suatu sistem. Setiap sistem pasti mempunyai kekurangan dan kelebihannya
masing-masing. Sistem informasi dalam bentuk elektronika sangat rentan terhadap
acaman yang akan timbul yang diakibatkan oleh faktor-faktor tertentu. Disini
saya mengambil contoh dari kerentanan sistem informasi dimana Sistem merupakan
suatu komponen- komponen yang kompleks, oleh karena itu suatu sistem pasti akan
terdapat suatu kerentanan atau gangguan di dalam sistem tersebut. Penggunaan
system informasi di organisasi bukannya tanpa risiko. Penggunaan atau akses
yang tidak sah, perangkat lunak yang tidak berfungsi, kerusakan pada perangkat
keras, gangguan dalam komunikasi, bencana alam, dan kesalahan yang dilakukan
oleh petugas merupakan beberapa contoh dari kerentanan dari sistem informasi.[4]
2.1
Vulnerability Nondisclosure
Vulnerability nondisclosure adalah
suatu kebijakan dari perusahaan penyedia layanan sistem untuk tidak mempublikasikan
adanya kerentanan sistem kepada publik. Hal ini dikarenakan adanya beberapa
alasan. Beberapa penyedia layanan sistem mencoba untuk memberikan kebijakan nondisclosure yang
maksudnya supaya hanya beberapa individu yang dipercaya saja yang berhak untuk
mengontrol informasi dari adanya kerentanan sistem. dalam tahap ini, perusahaan
percaya bahwa mereka bisa melindungi kerentanan sistem yang ada sampai
sistem patch pelengkapnya tersedia. Pertanyaannya adalah, bisakah kita mengontrol informasi? sehubungan
dengan kebijakan nondiclosure.
Dalam sebuah perusahaan penyedia layanan sistem,
kelemahan umum yang sering ditemukan sehubungan dengan kebijakan nondisclosure yang
diterapkan adalah kepercayaan bahwa seseorang bisa mengontrol informasi.
Padahal tak ada satu pun keyakinan bahwa seseorang bisa dipercaya untuk tidak
menggunakan informasi rahasia tentang kerentanan sistem bagi keuntungan mereka
sendiri. Lagipula beberapa individu yang dipekerjakan di firma keamanan sistem
ataupun penyedia layanan sistem memiliki reputasi karir sebelumnya yang
dipertanyakan. bisakah kita yakin bahwa seseorang dulunya sebagai komunitas
black hat atau bukan yang bisa bertanggungjawab untuk sebuah informasi rahasia
tentang adanya kerentanan sistem. ada 2 pihak yang berpendapat berbeda mengenai
kebijakan nondisclosure ini, yaitu:
1. Pihak yang berpandangan Konservatif, berpendapat bahwa
mengambil sebuah kebijakan nondisclosure memiliki baberapa
keuntungan. kebijakan nondisclosurememberikan kekuasaan kepada
manajemen dan IT Control untuk
mengontrol informasi dalam sebuah organisasi. sebagai tambahan, dalam
kasus disclosure, memberikan hak untuk mengontrol informasi dari
kerentanan sistem yang bisa menjaga kesalahan informasi sampai ke tangan
komunitas black hat atau organisasi kejahatan lainnya. Kegagalan akan
pengungkapan kerentanan sistem (Vulnerabilit disclosure) tidak akan
menjaga keutuhan reputasi perusahaan. Keutungan nyata dari nondisclosure adalah
bagi perusahaan penyedia layanan sistem itu sendiri. jika perusahaan penyedia
layanan sistem bisa menjaga kerentanan dari rahasia data sistem sampai suatu
saat bisa dilengkapi, mereka bisa menghindari tekanan negatif yang ada.
2. Pihak yang berpandangan Liberal, berpendapat bahwa sebuah
kebijakan vulnerabilty nondisclosure (tidak mengungkapakan
kerentanan sistem) lebih memiliki kerugian daripada keuntungan. tidak ada satu
keyakinan bahwa komunitas black hat atau penyerang sistem yang jahat belum atau
tidak akan memproses kerentanan informasi atau mereka tidak akan menjelajahinya
sebelum sebuah disclosure(pengungkapan kerentanan sistem) dibuat.
ada 4 alasan kenapa kebijakan vulnerability nondisclosure adalah ide yang buruk antara
lain :
pertama, jika kerentanan informasi bocor atau bisa
ditemukan secara terus menerus, komunitas black hat memiliki kesempatan untuk
secara aktif mengeksploitasi kerentanan sistem yang ada tanpa sepengetahuan
publik. sistem akan terekspos secara telanjang sampai produk update sistem dari
vendor (penyedia layanan sistem) tersedia.
kedua, oleh sebab kerentanan
sistem tidak diungkap kepada publik, administrator tidak memiliki kesempatan
untuk melindungi kerentanan sistem. Jika sebuah penyedia layanan gagal untuk
mengungkapkan kerentanan sistem yang serius, user mereka akan memutuskan bahwa
vendor tidak beretika dan tidak jujur.
ketiga, karena tidak ada tekanan
negatif untuk software penyedia
layanan sistem, mereka tidak termotivasi untuk memperbaiki kelemahan secara
tepat waktu.
keempat, sangat sulit untuk secara
jelas mendefinisikan individu terpilih yang dipercaya untuk bisa mengakses
informasi kerentanan sistem yang sensitif. Karena semua alasan ini,
kebijakan nondisclosure sangat jelas tidak direkomendasikan.
Sebagai
contoh Komunitas Black Hat, Isu Vulnerability
(Kerentanan Sistem) dan Organisasi-organisasinya. Komunitas black hat mempraktekkan
kebijakan nondisclosure. Ketika seorang black hat menemukan
kerentanan sistem, mereka menahan informasi atau secara hati-hati
mendistribusikannya kepada sebuah black hat grup. selanjutnya komunitas black
hat ini menggunakan kerentanan sistem ini untuk mempenetrasi sistem yang tidak
terlindungi untuk menutupi tujuan apapun yang mereka inginkan. Yang pada
akhirnya informasi kerentanan sistem bocor ke publik. Bagaimanapun juga,
sebelum waktunya expired, sistem dan administrator mereka tidak memiliki
pertahanan terhadap eksploitasi sistem.[6]
Full Disclosure adalah pengungkapan yang
menyajikan semua informasi yang relevan. Informasi yang diungkapkan adalah
informasi minimum yang diwajibkan ditambah dengan informasi lain yang
diungkapkan secara sukarela.
Full Disclosure memiliki 2 jenis yaitu :
1. Pengungkapan Wajib
(mandatory disclosure)
Merupakan
pengungkapan minimum yang harus diungkapkan atau disyaratkan oleh standar
akuntansi yang berlaku (kewajiban perusahaan). Perusahaan memperoleh manfaat
dari menyembunyikan, sementara yang lain dengan mengungkapkan informasi. Jika
perusahaan tidak bersedia untuk mengungkapkan secara sukarela maka pengungkapan
wajib akan memaksa perusahaan untuk mengungkapkannya. Pengungkapan wajib yang
diwajibkan oleh Bapepam memuat 79 item pengungkapan informasi laporan tahunan.
2.
Pengungkapan Sukarela (voluntary disclosure)
Merupakan
pengungkapan yang tidak diwajibkan peraturan, dimana perusahaan bebas memilih
jenis informasi yang akan diungkapkan yang sekiranya dapat mendukung dalam
pengambilan keputusan. Pengungkapan ini berupa butir-butir yang dilakukan
sukarela oleh perusahaan. Item pengungkapan sukarela terdiri dari item
informasi yang diungkap.
Full Disclosure dapat membantu mengurangi
terjadinya informasi asimetris, namun seringkali dinilai berlebihan. Perusahaan
yang menerapkan prinsip Full Disclosure dapat meningkatkan daya saing
terhadap perusahaan lain. Pengungkapan informasi dalam laporan keuangan dilakukan
untuk melindungi hak pemegang saham yang cenderung terabaikan akibat
terpisahnya pihak manajemen yang mengelola perusahaan dan pemegang saham yang
memiliki modal. Full Disclosure yang dikehendaki adalah
mengungkapkan informasi akntasi dengan benar dan tepat sesuai dengan prinsip
syariah, tidak saja pada sisi pertanggung jawaban social tetapi juga pada sisi
perlakuan terhadap pos-pos yang ada dalam informasi akuntansi.
Dengan demikian
laporan keuangan tidak lagi berorientasikan pada memaksimalkan laba, akan
tetapi laporan keuangan yang membawa pesan moral dan menstimulasi perilaku
etis, adil terhadap semua pihak dan memiliki keseimbangan laporan keuangan
sesuai konsep akuntasi. Kewajaran paling tepat dijabarkan dalam literatur dan
persyaratan-persyaratan akuntansi profesional sebagai pernyataan netralitas
dari akuntan dalam pembuatan laporan keuangan. Scott pada tahun 1941,
menyatakan: “Aturan, prosedur, dan teknik akuntansi hendaknya wajar, tidak bias
dan tidak memihak. Jadi salah satu dalil akuntansi dasar yang mendasari
prinsip-prinsip akuntansi dapat dinyatakan sebagai kewajaran-kewajaran bagi
seluruh segmen dari masyarakat bisnis (manajemen, tenaga kerja, pemegang saham,
kreditor, konsumen, dan publik), ditentukan dan kebiasaan dari semua segmen
tersebut sampai pada akhirnya semua prinsip-prinsip akuntansi yang didasarkan
atas dalil di atas akan menghsilkan akuntansi keuangan bagi hak-hak dan
kepentingan-kepentingan ekonomi yang telah diterbitkan secara resmi menjadi
wajar untuk semua segmen.
Menurut sejarahnya,
kewajaran atau doktrin kewajaran mengalami evolusi dari penerapan kosep
konservatisme. Konsep tersebut berangkat dari perhatian yang berhubungan dengan
masalah likuiditas dan pemberian kredit, yang umumnya dikaitkan dengan
konservatisme, menuju kearah pemikiran bahwa penyajian laporan keuangan
seharusnya wajar bagi semua pengguna. Kewajaran umumnya dihubungkan dengan
pengukuran dan pelaporan informasi melalui cara yang objektif dan netral.
Informasi adalah wajar jika informasi tersebut objektif dan netral. Kewajaran
akan lebih dapat tercapai dalam akuntansi manajerial atau akuntansi biaya
dimana adanya tanda-tanda keberpihakan atau bias dapat mendistorsikan proses
pengambilan keputusan yang sangat bergantung pada data akuntansi manajerial.
kewajaran menjadi kriteria informasi yang dibutuhkan dalam akuntansi manajerial
untuk memastikan integrasi dan akurasi dari pengambilan keputusan.
Pada dasarnya Public
Disclosure memiliki kesamaan proses
dengan Full Disclosure hanya saja yang membedakan adalah public disclosure tidak
menyertai pengkodean suatu program atau sistem yang dapat disalah gunakan.
Tujuan dari public disclosure adalah memberikan informasi
yang cukup kepada administrator dan programmer untuk melakukan tindakan
perlindungan terhadap kelemahan sistem itu namun tidak dapat dimanfaatkan
oleh script kiddie untuk melakukan penyerangan. Script
kiddie adalah seorang yang menggunakan script atau program yang
dikembangkan oleh orang lain untuk menyerang sebuah sistem komputer, jaringan
komputer dan website. Pemilihan waktu untuk melakukan public disclosure harus
bersamaan dengan ketersediaan patch dari vendor.
Contoh kasus yang pernah terjadi pada semester akhir
di tahun 2002, Intenet Security Systems (ISS) menerima banyak kritikan tentang
cara mereka menangani public disclosure. ISS menemukan suatu
kekurangan pada Internet Software
Consortium BIND software, Apache
Web server software dan Sun
Microsystems Solaris X Window. Pada ketiga kasus diatas, ISS telah memberitahu
kepada vendor dan bekoordinasi dengan mereka untuk melakukan public disclosure dilengkapi dengan ketersediaan patch. Namun
prosedur yang mereka lakukan tidak dapat diterima dengan baik oleh masyarakat.
Pada kasus ISC Bind, patch yang tersedia tidak didistribusikan
dengan cepat. Patch dari vendor Solaris Font memiliki
kekurangan dan harus ditarik kembali dari peredaran. Sementara patch dari
vendor Apache tidak didistribusikan sampai setelah public disclosure
dilakukan, walaupun black hat community mengetahui tentang
kelemahan sistem ini selama lebih dari 4 bulan.
Dikarenakan kejadian-kejadian diatas ISS mengeluarkan
kebijakan publik tentang apa yang akan mereka lakukan apabila menemui sebuah
kelemahan pada sistem. Kebijakan ini memiliki beberapa kunci mengenai konsep
dari disclosure yang bertanggung
jawab, namun dengan satu pengecualian, yaitu ISS menyatakan bahwa mereka akan
menginformasikan kepada pelanggan yang membayar layanan tersebut sehari setelah
ISS memberitahukan kepada vendor yang bersangkutan. Kedepannya mereka mungkin
akan menyertakan pengetesan dalam sistem keamanan yang mereka punya. Hal ini
menarik karena salah satu tujuan dari kunci disclosure
adalah menjaga agar informasi tentang kelemahan sistem itu tetap terjaga dalam
kalangan tertentu sampai patch yang diperlukan sudah dapat
dikembangkan dan dipublikasikan.
Menurut pandangan kelompok konservatif ISS tidak
mempublikasikan detail teknis tentang kelemahan sistem tersebut, tetapi black
hat community akan mengetahui jenis kelemahan apa yang ditemukan dan
bagian mana dari sistem yang rentan terhadap penyerangan. Informasi ini dapat
dimanfaatkan mereka untuk tujuan jahatnya sebelum patch dari
vendor tersedia. Sebagai tambahan tidaklah etis memanfaatkan hal ini untuk
menghasilkan uang. Hal ini menempatkan ISS pada posisi berbahaya karena mereka
tidak menghasilkan uang kecuali mereka di eksploitasi.
Sementara menurut pandangan kelompok liberal menghasilkan uang dari memberikan informasi ini adalah hal yang terhormat. Menurut mereka apabila informasi ini berharga bagi sebuah perusahaan atau organisasi mereka, mereka akan bersedia membayar untuk mendapatkan informasi tersebut. Memang diperlukan banyak waktu dan tenaga untuk mendapatkan hasil riset yang akurat mengenai suatu kelemahan sistem yang berpotensi dan juga untuk menanganinya secara baik. Organisasi Black Hat mungkin mendapatkan akses ke data tersebut, walaupun begitu, tidak ada yang tidak etis mengenai informasi tersebut.
Sementara menurut pandangan kelompok liberal menghasilkan uang dari memberikan informasi ini adalah hal yang terhormat. Menurut mereka apabila informasi ini berharga bagi sebuah perusahaan atau organisasi mereka, mereka akan bersedia membayar untuk mendapatkan informasi tersebut. Memang diperlukan banyak waktu dan tenaga untuk mendapatkan hasil riset yang akurat mengenai suatu kelemahan sistem yang berpotensi dan juga untuk menanganinya secara baik. Organisasi Black Hat mungkin mendapatkan akses ke data tersebut, walaupun begitu, tidak ada yang tidak etis mengenai informasi tersebut.
Berdasarkan penjelasan di atas, ketidak-tepatan dari
pemberitahuan kelemahan sistem ini dapat terjadi dan menyebabkan jatuhnya
reputasi dari vendor atau produk tertentu. Hal inilah yang menyebabkan
informasi tersebut menjadi tidak akurat. Bagaimanapun juga, semakin banyak
informasi yang dimiliki oleh system administrator, maka akan semakin baik pula
mereka dapat menjaga sistem informasinya.
Seseorang atau bisnis memiliki
"kewajiban untuk mengingatkan" jika pemanfaatan produk mereka dapat
menyebabkan kerusakan pada kewajiban bisnis pertama. User A 'adalah untuk
merancang ulang produk atau menerapkan potongan yang diperlukan untuk
menghilangkan bahaya. Jika untuk beberapa alasan yang tidak bisa terjadi, orang
atau bisnis harus menyediakan cara lain untuk melindungi pengguna dari bahaya
yang terkait dengan produk mereka. Jika masalah masih ada, mereka cukup harus
memperingatkan pengguna tentang hal itu. Jika bug atau kerentanan terbuka
dengan jelas, maka ada kewajiban untuk memperingatka. Ini berarti bahwa produk
dan solusi vendor harus menerapkan beberapa pertimbangan harapan konsumen dan
melakukan tes resiko yang tepat. Sejak produsen ahli gagal untuk memperingatkan
kerentanan oleh karyawan adalah perilaku yang tidak etis.
Pengungkapan terbatas adalah mirip dengan menjaga rahasia karena berbagi
kerentanan Informasi terjadi dalam kelompok kecil perbedaan yang unik dimana
bahwa masyarakat menjaga rahasia dalam organisasi dan pengungkapan yang
terbatas dapat mencakup individu di luar organisasi pada perbedaan organisasi.
Selama tahap awal pengungkapan terbatas, akses ke rincian lengkap tentang
kerentanan diberikan kepada sekelompok kecil dari kelompok individuals. Ini
terdiri dari berpotensi tiga yang berbeda pihak, Pengungkap, vendor, dan
mungkin koordinator pihak ketiga. Tidak seperti pengungkapan penuh, proses
pengungkapan yang terbatas tidak memberikan rincian teknis penuh dari
kerentanan pada saat pengungkapan akhir. Pelepasan detail-detail terjadi hanya
ketika vendor perbaikan sistem weaknesses. Alasan untuk ini batas pada data
teknis pendukung klaim pengungkapan terbatas yang pengguna, programmer, dan
administrator tidak memerlukan informasi teknis rinci untuk menambal atau
membela sistem. Selain itu, penggemar pengungkapan terbatas menegaskan bahwa
pengungkapan informasi teknis penuh hanya membantu topi hitam masyarakat.
Ada beberapa masalah dengan konsep pengungkapan yang terbatas. Seperti
menjaga rahasia, kita menghadapi dilema siapa yang harus percaya dengan
kerentanan awal Informasi. Ini akan sangat sulit untuk menegakkan perilaku etis
di kalangan mereka yang dapat berdiri untuk mendapatkan dari pengungkapan atau
eksploitasi yang tidak diketahui kerentanan. Tanpa pengungkapan publik wajib,
tidak ada yang memotivasi vendor untuk mengembangkan memperbaiki tepat waktu.
Karena vendor dapat menunda pengungkapan akhir sampai mereka memperbaiki cacat,
menunda pengungkapan publik akhir akhirnya menunda perbaikan tanpa batas.
Akhirnya, karena jumlah informasi teknis dalam pengungkapan awal sangat
terbatas, pelanggan mungkin tidak dapat mengambil tindakan defensif awal. IDS
Signatures dan Defensif. Anda seorang administrator sistem dan mendengar rumor
bahwa ada masalah dengan salah satu vendor administrasi tools.The telah
diungkapkan apa-apa untuk Anda sehingga jarak .tanpa informasi teknis rinci,
tanda tangan IDS tidak dapat diciptakan untuk melawan ini masalah.Anda tahu
bahwa sistem deteksi Anda tidak akan efektif karena pengembangan alat untuk
mendeteksi sistem rentan dan vendor uji patch akan mungkin untuk mengembangkan
sejak informasi tentang kerentanan tidak revealed. dengan semua fakta dalam
bermain, apakah Anda sebagai administrator sistem merasa bahwa perusahaan
memiliki hak etis untuk menolak memberikan.
2.6
Black
and White Hackers
Peretas topi putih[11] (bahasa Inggris :White hat hacker)adalah
istilah teknologi informasi yang mengacu kepada peretas yang
secara etis menunjukkan suatu kelemahan dalam sebuah sistem komputer. White hat secara umum lebih melindungi sebuah
sistem daripada melancarkan aksinya, dimana bertentangan dengan black hat yang lebih memfokuskan aksinya kepada
bagaimana menerobos sistem tersebut. Topi putih atau peretas putih
adalah pahlawan atau orang baik, terutama dalam bidang komputer, dimana ia
menyebut etika hacker atau penetrasi penguji yang berfokus pada mengamankan dan
melindungi IT sistem.
Peretas topi putih
atau peretas suci, juga dikenal sebagai "good hacker," adalah ahli
keamanan komputer, yang berspesialisasi dalam penetrasi pengujian, dan
pengujian metodologi lain, untuk memastikan bahwa perusahaan sistem informasi
yang aman. Pakar keamanan ini dapat memanfaatkan berbagai metode untuk
melaksanakan uji coba mereka, termasuk rekayasa sosial taktik, penggunaan
alat-alat hacking, dan upaya untuk menghindari keamanan untuk mendapatkan masuk
ke daerah aman.
Topi hitam atau Peretas topi hitam[12] (Bahasa Inggris:Black hat)
adalah istilah teknologi informasi dalam yang mengacu kepada para peretas yang menerobos keamanan sistem komputer tanpa izin, umumnya
dengan maksud untuk mengakses komputer-komputer yang terkoneksi ke jaringan
tersebut. Istilah perengkah (cracker) diajukan oleh Richard
Stallmanuntuk mengacu kepada peretas dalam arti ini. Dalam penggunaan umum, peretas adalah seseorang
yang menerobos masuk ke dalam komputer, biasanya dengan memperoleh akses ke
kontrol administratif. Beberapa berpendapat bahwa hacker,digambarkan sebagai
orang yang menerobos masuk ke dalam komputer dengan cara menerobos sistem
keamanannya. di dunia ada komunitas hacker.komunitas hacker ini adalah
komunitas orang yang memiliki minat besar dalam pemrograman komputer, sering
menciptakan perangkat lunak open source. Orang-orang ini sekarang mengacu pada
cyber-kriminal hacker sebagai "cracker".
Selama proses mendeteksi dan
memperbaiki kerentanan produk, tahap koreksi dimulai dengan pengembangan patch.
Pengembangan patch adalah langkah penting ketika menangani kerentanan produk.
Jangka waktu yang dibutuhkan untuk melihat hasil patch dari penemuan kerentanan
sangat bervariasi tergantung pada vendor dan kompleksitas kelemahan produk atau
sistem. Dalam beberapa kasus, pengembangan patch dapat menyita banyak waktu
jika cacat sudah melekat pada struktur produk. Vendor mungkin juga harus
mengatasi alat serupa lainnya, yang memiliki pada produknya. Ini khusus pada
kasus ketika vendor mengembangkan produk memanfaatkan perpustakaan kode pusat. Berikut
ini adalah contoh yang hebat dari kompleksitas perkembangan patch dalam
kaitannya dengan proses pengungkapan. Kita mendiskusikan masalah etika secara
sederhana.
Kelemahan Network Management Protocol (SNMP). Bagian
ini juga membahas perangkap perilisan patch yang termasuk patch yang
menggabungkan perbaikan system, dan patch cepat yang menemukan sistem yang
harus mereka perbaiki.
Keterlibatan beberapa vendor dapat menyebabkan
confusion dan miskomunikasi terutama pada isu yang mempengaruhi pesaing. Karena
hal yang benar untuk dilakukan adalah menyampaikan kerentanan SNMP, setiap
upaya harus dilakukan untuk menjaga semua tindakan terkoordinasi. Jika satu
vendor merilis informasi kerentanan secar prematur, para pelanggan dari vendor
yang tersisa akan dibiarkan salah. Perusahaan harus bekerja sama untuk menguji
semua patch dan memastikan kecenderungan berbagai produk mereka yang
memanfaatkan SNMP. Perbedaan lingkunan dan konfigurasi sistem dapat menimbulkan
efek yang negatif. Setelah patch sukses semua produk menggunakan SNMP akan
aman.
Tujuan dari “pengungkapan yang bertanggung jawab”
adalah untuk memungkinkan pelanggan dari vendor produk cukup waktu untuk
melindungi sistem mereka dari eksploitasi dan serangan. Pengungkapan
yang bertanggung jawab mengacu pada jumlah waktu yang diperlukan bagi topi
hitam untuk menghasilkan serangan setelah memperoleh pengetahuan tentang
kelemahan system. Serangan jahat dapat terjadi kapan saja, namun, pengungkapan
yang bertanggung jawab mengidentifikasi waktunya guna bagi vendor untuk
melindungi bagian setelah mereka tahu kelemahannya. Tujuan utama dari pengungkapan
yang bertanggung jawab adalah untuk meminimalkan waktu untuk mengurangi
terjadinya serangan. Secara teori, jika vendor benar-benar
mengikuti prosedur pengungkapan yang bertanggung jawab, pelepasan bagian akan
terjadi sebelum topi hitam mengetahui tentang kelemahannya. Ini akan
memungkinkan pelanggan bertanggung jawab untuk melindungi sistem mereka dari
eksploitasi. Penting untuk dicatat bahwa jika hitam hat masyarakat mulai
serangan sebelum pengungkapan publik maka timeline untuk pengungkapan publik
perlu segera ditingkatkan. Ini akan memungkinkan pelanggan untuk mengambil
tindakan pencegahan pada akhir administrasi sistem untuk melindungi terhadap
kemungkinan eksploitasi.
Bagian pertama dari bagian ini membahas
masalah-masalah etika pengungkapan yang bertanggung jawab dari sudut pandang
pemerintah AS. Pada bulan Desember 2002, Dennis Fisher dengan bantuan dari SANS
Institute meminta masukan tentang Rencana Fisher. Menurut Berita SANS Bites
E-mail List, Rencana Fisher muncul pada tanggal 2 Oktober, 2002 ketika Richard
Clarke mengatakan dua ratus orang menghadiri pengarahan kelemahan dua puluh
teratas SANS / FBI di Washington.
"Carilah kelemahan, jika Anda menemukan satu,
beritahukan kepada vendor, dan jika mereka tidak responsif, laporkanlah kepada.
"Dennis berhak menunjukkan bahwa. Pemerintah adalah organisasi yang besar
dan menghubungkan dengan orang yang tepat akan hampir tidak mungkin.
Bagian kedua dari bagian ini membahas masalah-masalah
dalam hubungan dengan maksud forum pengungkapan yang bertanggung jawab. Forum
pengungkapan yang bertanggung jawab adalah sarana dimana berbagai pihak dapat
berdebat dan memediasi sudut pandang. Forum pengungkapan bertanggung jawab
adalah upaya untuk mencapai jalan tengah antara berbagai pihak dalam debat
pengungkapan. Individu dan bisnis keduanya berpartisipasi dalam forum
pengungkapan, atau dianggap anggota komunitas topi hitam. Meskipun ini adalah
pernyataan yang unik ketika Anda mempertimbangkan yang lain, proposal
pengungkapan yang bertanggung jawab itu adalah bagian yang penting. Diperlukan
pencegah untuk pengungakpan yang tidak bertanggung jawab. Tanpa perdata atau
hukum pidana untuk menghukum pengungkapan yang tidak bertanggung jawab, Black
List dari publik dapat menjadi pilihan yang efektif.
Renacana Fisher, Pengungkapan pemerintah - Apakah
Diperlukan?
Rencana Fisher mengusulkan pusat pemerintahan
pelaporan yang memegang tanggung jawab untuk reproduksi kerentanan, koordinasi
vendor, menentukan batas waktu untuk memperbaiki didasarkan pada keparahan dari
kerentanan, melakukan tekanan pada vendor untuk memperbaiki kerentanan dalam
waktu yang ditetapkan, mengkoordinasi pengungkapan publik, dan mungkin
mengeluarkan kompensasi finansial kepada kelompok penemu. Diusulkan dalam
Rencana Fisher akan menghadapi banyak tantangan. Apakah Anda merasa semua itu
perlu etika untuk mengatur proses pengungkapan?
Rencana Fisher adalah proses baru dan diperlukan
proses untuk Pengungkapan kerentanan. Tanpa beberapa jenis peraturan, topi
hitam akan selalu diuntungkan. Organisasi apa yang lebih baik untuk memimpin
jenis pusat pelaporan daripada pemerintah, yang memiliki saluran terpusat untuk
komunikasi dan pendanaan yang cukup untuk kegiatan keamanan. Ini tidak etis
untuk menggagalkan untuk memiliki proses seperti rencana Fisher sudah diatur di
tempat.
Penemuan kerentanan sistem tidak
dapak dielakkan. Orang baik akan menemukan beberapa dan orang jahat akan
menemukan yang lain. Hal ini dalam perhatian terbaik dari perusahaan dan
individu yang tidak ingin menjadi asosiasi komunitas topi hitam untuk mengikuti
peraturan pengungkapan yang bertanggung jawab. Semua tertarik dalam
meningkatkan keadaan keamanan informasi yang harus bersama-sama dan
bekerjasama untuk membangun sebuah tim ahli industri sehingga proses
pengungkapan tidak jatuh ke pemerintah. Ini adalah cara terbaik untuk menangani
bisnis sektor swasta dan perantara lainnya.
BAB
III
PENUTUP
A. Kesimpulan
Vulnerability
Disclosure adalah penyingkapan keadaan kerentanaan dimana sesuatu yang dapat
memungkinnya suatu keadaan dapat terkena suatu hal yang beresiko yang
disebabkan oleh faktor-faktor yang menyebabkan labilnya proses dalam
berwirausaha dan kelancaraannya. Kehadiran kerentanan tidak dengan sendirinya
menyebabkan kerusakan, kerentanan juga menyadarkan taraf diri pribadi
masing-masing yang akan mengakibatkan proses pengembangan diri menjadi lebih
mengerti tentang etika yang ada.
Terdapat
8 macam-macam dari Vulnerability
Disclosure yaitu a.Vulnerability
nondisclosure adalah suatu kebijakan dari perusahaan penyedia
layanan sistem untuk tidak mempublikasikan adanya kerentanan sistem kepada
publik. b. Full Disclosure adalah pengungkapan yang menyajikan semua informasi yang
relevan. Informasi yang diungkapkan adalah informasi minimum yang diwajibkan
ditambah dengan informasi lain yang diungkapkan secara sukarela. c. Public Disclosure memiliki kesamaan proses dengan Full Disclosure hanya
saja yang membedakan adalah public disclosure tidak menyertai pengkodean
suatu program atau sistem yang dapat disalah gunakan. d. Ethical Duty to Warn Seseorang atau bisnis memiliki
"kewajiban untuk mengingatkan" jika pemanfaatan produk mereka dapat
menyebabkan kerusakan pada kewajiban bisnis pertama. e.Pengungkapan terbatas adalah mirip
dengan menjaga rahasia karena berbagi kerentanan Informasi terjadi dalam
kelompok kecil perbedaan yang unik, f. Black and White Hacker adalah perbedaan
dalam pelaksanaan hackingnya dan tujuan dari hacker tersebut, g. Patch Development
Pengembangan patch adalah langkah penting ketika menangani kerentanan
produk, selama proses mendeteksi dan memperbaiki kerentanan
produk, tahap koreksi dimulai dengan pengembangan patch. h. Responsible Disclosure Plan. Tujuan dari
“pengungkapan yang bertanggung jawab” adalah untuk memungkinkan pelanggan dari
vendor produk cukup waktu untuk melindungi sistem mereka dari eksploitasi dan
serangan.
DAFTAR
PUSTAKA
[1] Di ambil dari internet pada jam
8.00 tanggal 25/03/2014 yang bersumber dari jurnal 2012-1-00635-sk 1
2
British Standard Institute, Information
technology -- Security techniques -- Management of information and
communications technology security -- Part 1: Concepts and models for
information and communications technology security management.
3
Dari https://www.wikipedia.com/vulnerability_disclosure di posting pada 19 maret
2014 bersumber dari Schou, Corey (1996). Handbook of INFOSEC Terms,
Version 2.0. CD-ROM (Idaho State University&Information Systems Security
Organization)
4
Diambil dari postingan artikel tanggal 24 maret dari sumber latief blog pada 25
maret 2014 jam 13:07
5
Northcutt,Stephen IT Ethic Handbook Right and Wrong for IT Proffesional,
SYGNESS 2010
6 Di ambil pada 25/03/2014 yang bersumber di
http://www.etikaprofesibsioke.blogspot.com/2012/11/vulnerability-nondisclosure_25.html
di posting pada hari Minggu, 25 November 2012 jam 00.23
7 Aji Khidir Wicaksono, http://ueu201212296.student.esaunggul.ac.id/2012/11/24/tugas-on-line-2-teori-akuntansi-seksi-10-full-disclosure/ di posting pada November 24, 2012
8Di kutip dari http://etikaprofesibsioke.blogspot.com/2012/11/public-disclosure.html
di posting pada Rabu, 28 November 2012
9
http://tugas--eptik.blogspot.com/2012/11/ethical-duty-to-warn.html
10 Suhar, http://tekom133b.blogspot.com/2012/09/terjemahan-limited-disclosure.html
26 september 2012 09.03
11http://id.wikipedia.org/wiki/Peretas_topi_putih
13 Stephen, http://tugas--eptik.blogspot.com/2012/11/responsible-disclosure-plans.html
di posting pada Jumat, 16 November 2012 pukul 18.58
[1] Di ambil dari internet pada jam
8.00 tanggal 25/03/2014 yang bersumber dari jurnal 2012-1-00635-sk 1
[2] British
Standard Institute, Information technology -- Security techniques -- Management
of information and communications technology security -- Part 1: Concepts and
models for information and communications technology security management.
[3] Dari https://www.wikipedia.com/vulnerability_disclosure di posting pada 19 maret 2014 bersumber dari Schou, Corey
(1996). Handbook of INFOSEC Terms, Version 2.0. CD-ROM (Idaho State
University&Information Systems Security Organization)
[4] Diambil dari postingan artikel
tanggal 24 maret dari sumber latief blog pada 25 maret 2014 jam 13:07
[5] Northcutt,Stephen IT Ethic
Handbook Right and Wrong for IT Proffesional, SYGNESS 2010
[6] Di ambil pada 25/03/2014
yang bersumber di
http://www.etikaprofesibsioke.blogspot.com/2012/11/vulnerability-nondisclosure_25.html
di posting pada hari Minggu, 25 November 2012 jam 00.23
[7] Aji Khidir Wicaksono, http://ueu201212296.student.esaunggul.ac.id/2012/11/24/tugas-on-line-2-teori-akuntansi-seksi-10-full-disclosure/ di posting pada November 24, 2012
[8]Di kutip dari http://etikaprofesibsioke.blogspot.com/2012/11/public-disclosure.html
di posting pada Rabu, 28 November 2012
[9] http://tugas--eptik.blogspot.com/2012/11/ethical-duty-to-warn.html
[10] Suhar, http://tekom133b.blogspot.com/2012/09/terjemahan-limited-disclosure.html
26 september 2012 09.03
[11] http://id.wikipedia.org/wiki/Peretas_topi_putih
[12] http://id.wikipedia.org/wiki/Peretas_topi_hitam
[14]
Stephen, http://tugas--eptik.blogspot.com/2012/11/responsible-disclosure-plans.html
di posting pada Jumat, 16 November 2012 pukul 18.58
0 Komentar untuk "Makalah Vulnerability Disclosure"