Kejahatan siber

Kejahatan siber adalah tindakan kriminal yang dilakukan dengan memanfaatkan komputer, jaringan, atau perangkat digital sebagai alat, target, atau sarana utama. Bentuknya beragam, mulai dari pencurian identitas dan penipuan daring hingga serangan terhadap infrastruktur negara. Aktivitas ini dilakukan oleh berbagai pelaku: individu, kelompok kriminal terorganisasi, hingga aktor yang didukung negara.

Istilah "hacking" dalam penggunaan umum merujuk pada tindakan mengeksploitasi celah keamanan komputer untuk memperoleh akses tanpa izin ke suatu sistem. Definisi ini sebenarnya lebih sempit dari makna aslinya. Dalam sejarah subkultur peretas, kata tersebut juga dipakai untuk modifikasi atau penggunaan tidak konvensional terhadap objek atau proses apa pun, tidak terbatas pada komputer. Buku ini memfokuskan pembahasannya pada aktivitas memperoleh akses ke perangkat lunak, sistem komputer, atau jaringan melalui cara-cara yang tidak dimaksudkan oleh pembuatnya.

Pelaku kejahatan siber sering disebut "cracker", istilah yang secara spesifik merujuk pada mereka yang berusaha membobol kata sandi, melewati batasan perangkat lunak, atau mengakali sistem keamanan komputer.

Komunitas keamanan komputer mengklasifikasikan pelaku berdasarkan niat dan otorisasi mereka, menggunakan istilah yang dipinjam dari film-film koboi Amerika lama, di mana warna topi membedakan protagonis dan antagonis.

Peretas "topi hitam" (black hat) secara sadar berusaha menembus keamanan sistem komputer atau jaringan informasi tanpa izin pemiliknya. Tujuannya bisa bermacam-macam: mencuri atau menghancurkan informasi, mengganggu operasional, menghalangi akses pengguna sah, atau mengambil alih kendali sistem. Sebagian pelaku bahkan memeras pemilik sistem dengan ancaman penutupan akses sampai tebusan dibayar. Pelaku tetap dikategorikan topi hitam meskipun merasa punya tujuan mulia, misalnya motivasi sosial atau politik.

Peretas "topi putih" (white hat) mendapat izin resmi dari pemilik atau pengelola sistem untuk menguji kerentanannya. Aktivitas ini dikenal sebagai uji penetrasi (penetration testing). Mereka menggunakan peralatan dan prosedur yang sama dengan peretas topi hitam. Badan pemerintah dan korporasi diketahui mempekerjakan mantan pelaku kriminal siber yang pernah dituntut secara hukum untuk menguji sistem-sistem penting mereka.

Peretas "topi abu-abu" (gray hat) beroperasi tanpa izin pemilik sistem, tetapi tidak berniat mengeksploitasi celah yang ditemukan atau membantu orang lain melakukannya. Mereka pada dasarnya melakukan uji penetrasi tanpa otorisasi, dengan tujuan memberitahu pemilik tentang kelemahan sistem.

Tidak ada sistem yang bisa dibuat sepenuhnya kedap, karena seseorang selalu perlu bisa mengakses informasi atau layanan yang dilindungi. Kehadiran pengguna manusia sendiri merupakan satu kerentanan, karena manusia umumnya buruk dalam mempraktikkan keamanan yang baik.

Kerentanan manusia termasuk yang paling mudah dieksploitasi. Kebanyakan pengguna komputer bukan ahli keamanan siber dan tahu sangat sedikit tentang apa yang terjadi di balik antarmuka yang mereka gunakan. Firewall dan sistem pencegahan intrusi yang paling canggih pun menjadi tidak berguna ketika satu pengguna internal mengklik tautan berbahaya, membuka virus dalam lampiran email, memasukkan flash drive yang terinfeksi, atau memberikan kata sandi mereka lewat telepon atau email. Satu kasus yang dicatat: seorang peretas sengaja meninggalkan USB flash drive di tempat parkir sebuah perusahaan. Ketika karyawan yang menemukannya memasukkan drive tersebut ke komputer kerjanya, virus pun menyebar.

Kerentanan perangkat lunak muncul karena kesalahan pemrograman dan kelemahan desain yang tidak diantisipasi. Perangkat lunak sering kali aman saat digunakan sesuai rancangan, tetapi kombinasi input, perintah, dan kondisi yang tidak terduga bisa menghasilkan konsekuensi yang tidak diperkirakan. Pengembang hanya bisa berharap untuk menambal perangkat lunak mereka seiring kerentanan ditemukan, dan inilah alasan mengapa pembaruan perangkat lunak sangat diperlukan.

Rekayasa sosial (social engineering) adalah aktivitas menggunakan pengintaian sederhana atau penipuan untuk memperoleh kata sandi atau akses langsung dari pengguna yang tidak curiga. Metode ini tidak memerlukan keahlian teknis tinggi.

Bentuk paling sederhana adalah menebak kata sandi. Pengguna masih sering memakai nama sendiri, nama anggota keluarga atau hewan peliharaan, kata-kata dari kamus, urutan angka ulang tahun, bagian dari alamat rumah, atau nama tim olahraga favorit. Media sosial yang bisa diakses publik jadi sumber informasi bagi peretas untuk memperhalus tebakan mereka.

Phishing adalah metode di mana peretas mengirim email yang menyerupai komunikasi resmi dari bank, toko daring, atau departemen internal organisasi korban. Email tersebut biasanya meminta konfirmasi atau reset kata sandi. Versi yang lebih canggih menggunakan header email palsu, bahasa yang meyakinkan, dan format yang hampir identik dengan email asli. Biasanya ribuan email dikirim dalam satu serangan phishing, berharap setidaknya sebagian kecil penerima merespons.

Spear-phishing menargetkan pengguna tertentu dengan email yang lebih personal, sering menyebut nama target dan menyertakan detail pribadi lain. Ketika target yang diincar adalah eksekutif tingkat tinggi atau pejabat dengan akses tertinggi dalam organisasi, serangan ini disebut whaling.

SQL injection memanfaatkan sintaks bahasa query SQL itu sendiri. Peretas memasukkan string khusus ke kolom input pengguna yang menyebabkan perintah SQL tertentu dieksekusi. Sebagai contoh, memasukkan string ' OR '1'='1 sebagai nama pengguna bisa membuat sistem membaca perintah sebagai "pilih semua record dari database di mana pengguna kosong ATAU 1=1", dan karena 1=1 selalu benar, perintah tersebut akan dieksekusi. Kebanyakan situs kini punya pengaman terhadap serangan dasar semacam ini, tetapi variasi serangan injeksi tetap menjadi ancaman.

Manipulasi URL memanfaatkan informasi yang terkandung dalam alamat web. Pada masa awal perdagangan daring, skema URL sederhana digunakan untuk mengirim pesanan produk. Peretas segera menemukan cara memanipulasi jumlah pembayaran serta jenis dan jumlah produk yang mereka pesan.

Cross-site scripting (XSS) terjadi ketika peretas menyisipkan kode berbahaya ke situs web melalui kolom formulir, mengeksploitasi server yang tidak memiliki perlindungan terhadap jenis serangan ini. Kode yang disisipkan bisa ditulis sehingga pengguna lain tidak menyadari bahwa browser mereka menjalankan kode tersebut.

Cross-site request forgery (CSRF) memanfaatkan cookie sesi. Jika peretas bisa mencegat cookie sesi yang tidak aman, mereka bisa menduplikasinya di mesin mereka sendiri dan menggunakannya untuk mengakses sistem target selama pengguna masih dalam sesi aktif.

Serangan denial-of-service (DoS) mengganggu proses handshake tiga arah dalam protokol TCP. Dalam komunikasi normal, pengirim mengirim paket SYN, penerima merespons dengan paket ACK, pengirim mengirim ACK lagi, lalu komunikasi normal dimulai. Peretas memanipulasi flag dalam header paket IP untuk menipu server agar mengirimkan permintaan ACK berulang kali, sehingga menghabiskan sumber daya jaringan. Varian paling dasar dikenal sebagai SYN flooding.

Serangan distributed denial-of-service (DDoS) melibatkan koordinasi serangan dari banyak mesin. Mesin-mesin yang mengirimkan paket serangan biasanya bukan milik peretas yang melakukan serangan, melainkan komputer milik pengguna lain yang telah ditanami kode berbahaya tanpa sepengetahuan pemiliknya. Mesin-mesin ini sering tersebar di area geografis yang luas, bahkan seluruh dunia, sehingga menyulitkan pihak berwenang untuk menghentikan serangan.

Virus adalah segmen kode yang menempelkan diri pada program lain yang memiliki tujuan sah. Ketika program tersebut diaktifkan, kode virus turut dieksekusi dan membuat salinan dirinya untuk menempel pada program sah lain dalam sistem. Virus bisa mengumpulkan informasi pribadi dan finansial, menghapus informasi, mengganggu operasi komputer, atau bahkan menyebabkan kerusakan fisik. Satu virus yang tersebar luas pada tahun 1990-an dirancang untuk menggerakkan lengan motor pada hard drive optik secara cepat bolak-balik hingga motornya rusak.

Worm berbeda dari virus karena merupakan program mandiri yang tidak memerlukan pengguna untuk membuka program lain agar bisa dieksekusi. Tujuan worm biasanya adalah mengonsumsi sumber daya sistem dan jaringan agar operasi sistem melambat atau terhenti.

Trojan horse adalah perangkat lunak berbahaya yang menyamar sebagai perangkat lunak yang sah atau diinginkan. Tujuan utamanya adalah memberi peretas akses jarak jauh dan kendali atas sistem target. Malware yang ditulis untuk memberi peretas kendali tersembunyi atas proses mesin pengguna dikenal sebagai rootkit.

Jaringan Wi-Fi memiliki masalah keamanan tersendiri karena sinyal radionya menembus dinding dan penghalang lain, sehingga bisa dicegat oleh siapa saja yang berada dalam jangkauan. Hal ini memberi peretas kebebasan lebih besar untuk melakukan intrusi tanpa terdeteksi dibandingkan jaringan berkabel yang memerlukan koneksi fisik.

Protokol enkripsi Wi-Fi tertua, Wired Equivalent Privacy (WEP), sudah sangat tidak aman. Kata sandi WEP bisa didekripsi hanya dengan "mengendus" (menerima dan melihat) paket lalu lintas jaringan secara pasif. Banyak produsen router Wi-Fi sudah tidak lagi menyediakan opsi enkripsi WEP pada perangkat keras mereka.

Wi-Fi Protected Access (WPA) memperbaiki banyak masalah WEP tetapi tetap rentan karena masih berbasis sebagian algoritma enkripsi yang sama. WPA-2 dengan enkripsi Advanced Encryption Standard (AES) menjadi pengaturan yang direkomendasikan untuk router nirkabel karena peningkatan keamanannya yang jauh lebih baik dibanding standar sebelumnya. Membobol WPA dan WPA-2 memerlukan teknik yang lebih invasif daripada sniffing pasif yang bisa digunakan untuk menyerang jaringan WEP.

Korban kejahatan siber berkisar dari penerima lelucon di media sosial yang relatif tidak berbahaya, hingga mereka yang dipermalukan secara publik karena foto atau email pribadi bocor, hingga korban pencurian dan pemerasan. Pencurian identitas termasuk kejahatan komputer yang paling umum. Beberapa penjahat canggih berhasil mengakses basis data besar berisi informasi pribadi dan finansial dengan meretas server peritel dan penyedia layanan daring yang memiliki jutaan akun pelanggan.

Layanan penting negara-negara industri, seperti listrik, air, internet, dan televisi, sangat rentan terhadap serangan siber karena semakin bergantung pada komputer dan perangkat yang terhubung jaringan. Keamanan pembangkit listrik tenaga nuklir menjadi perhatian khusus, karena peretas diketahui bisa menanamkan virus pada komponen elektronik yang umum digunakan untuk mengganggu mesin industri. Sistem perbankan dan jaringan perdagangan finansial juga menjadi target bernilai tinggi.

Komponen elektronik bisa disusupi oleh peretas pada lini produksi sebelum dipasang pada kendaraan militer, sehingga pemerintah harus berhati-hati dalam memilih kontraktor di rantai pasokan mereka. Organisasi teroris juga semakin canggih dan mulai beralih ke metode yang lebih berbasis teknologi.

Korporasi besar dan badan pemerintah secara rutin menghabiskan uang untuk keamanan komputer dalam jumlah yang sama atau lebih besar dari yang mungkin mereka kehilangan dalam serangan umum. Tindakan ini dianggap perlu karena serangan berskala besar yang berhasil, meskipun kemungkinannya kecil, bisa berdampak besar. Di sisi individu, maraknya komputasi awan (cloud computing) berarti pengguna memiliki lebih sedikit kendali atas keamanan data mereka sendiri, karena file disimpan di server eksternal.

Kata sandi yang cukup panjang dengan kompleksitas memadai serta campuran huruf, angka, dan karakter khusus setidaknya memperpanjang waktu yang dibutuhkan peretas untuk membobolnya. Praktik mengganti huruf tertentu dengan angka atau simbol yang mirip penampilannya (misalnya: p@55w0rd) sudah tidak efektif karena peretas telah menggunakan skrip yang mencoba semua variasi penggantian karakter tersebut.

Untuk jaringan nirkabel, enkripsi router harus diatur ke tingkat tertinggi yang tersedia. Penggunaan WPA-2 dengan kata sandi yang panjang dan kompleks bisa membuat proses pembobolan begitu sulit dan memakan waktu sehingga peretas memilih pindah ke target lain yang kurang aman.

Banyak serangan SQL injection bisa digagalkan dengan "membersihkan" input pengguna sebelum dimasukkan ke perintah SQL apa pun. Sebelum string yang dimasukkan pengguna disisipkan sebagai variabel ke dalam pernyataan SQL, subrutin harus memeriksa string tersebut untuk konten yang mencurigakan.

Konsekuensi hukum peretasan bervariasi antar negara. Beberapa pemerintah tidak memprioritaskan penuntutan kejahatan siber, terutama ketika korbannya berada di luar negeri mereka. Hal ini memungkinkan banyak peretas beroperasi tanpa hukuman di wilayah-wilayah tertentu. Beberapa negara bahkan memiliki unit dalam pemerintahan mereka di mana peretasan merupakan fungsi yang ditentukan, baik di badan militer maupun penegak hukum sipil.

Batas etika sering kabur terkait peretasan untuk tujuan aktivisme politik atau penyebaran informasi yang bernilai bagi publik. Di negara-negara dengan kebebasan berbicara yang terbatas, peretas terkadang menyebarkan informasi penting yang mungkin normalnya disensor oleh rezim otoriter. Meskipun aktivitas mereka tetap ilegal menurut hukum negara mereka sendiri, sebagian orang menganggap mereka menjalankan tujuan moral.