Microsoft Security Response Center adalah salah satu bagian dari perusahaan Microsoft yang melayani dan menyelidiki pengaduan dan keluhan dalam bidang keamanan yang mencapai ribuan setiap tahun nya, dari sekian banyak keluhan tersebut ternyata ada dua jenis keluhan yang mereka terima, yaitu
- Keluhan terhadap cacat nya sebuah produk. Kesalahan ini berasal dari pihak pengembang software, oleh sebab itu mereka berusaha dengan segera membuat sebuah patch untuk menutupi kesalahan tersebut
- Kesalahan yang dilakukan dalam menggunakan produk oleh konsumen (dibaca : user) sendiri.
Karena jumlah masalah yang diakibatkan oleh kesalahan user dalam penggunaan produk sangat besar, maka pihak Microsoft menghimbau kepada para konsumen untuk menyadari kemanan komputer nya, dengan mengembangkan 10 ketetapan hukum tentang keamanan.
Hukum itu antara lain :
1. If a bad guy can persuade you to run his program on your computer, it’s not your computer anymore.
“ Jika orang jahat mampu membujuk anda untuk menjalankan program nya pada komputer anda, maka itu bukan komputer anda lagi “
Maksud dari hukum ini adalah jika ada seseorang berniat jahat dan berhasil meyakinkan kita untuk menjalankan sebuah program yang di sisipkan pada komputer kita, maka hal tersebut memungkinkan orang jahat tersebut dapat mengambil alih komputer kita.
Seorang jahat tersebut bisa saja menyisipkan Malware yang dia buat ke dalam file atau program tersebut, yang meminta kita untuk menjalankan nya, dan jika file tersebut kita buka atau program tersebut dijalankan maka akan secara otomatis akan executeable -menjalankan/mengaktifkan- Malware tersebut, selanjut nya apa yang bisa dilakukan :
- Keyloger : merekam semua tekanan tuts -ketikan- pada keyboard kita.
- Update File Penting : menambahkan, menghapus, mengambil, merubah.
- Remote : mengambil alih komputer kita dari jarak jauh
- Virus : menyisipkan program perusak, dll
Untuk itu disarankan kesadaran nya dalam memperhatikan keamanan, gunakanlah software original dan install lah antivirus.
2. If a bad guy can alter the operating system on your computer, it’s not your computer anymore.
“ Jika orang jahat bisa merubah system pada komputer anda, maka itu bukan komputer anda lagi “
Maksud dari hukum ini adalah pada sebuah sistem operasi inti nya terdiri dari deretan angka 0 dan 1, jika komputer kita berhasil disusupi dan angka tersebut berhasil dirubah oleh seseorang yang berniat jahat, maka akan mengakibatkan perubahan fungsi atau action dari sebuah program, bisa juga menncuri password, membuat dirinya sebagai administrator pada komputer atau menambahkan fungsi yang baru untuk sistem operasi.
Untuk mencegah serangan jenis ini pastikan bahwa file sistem di registry terlindung dengan baik.
Untuk mencegah serangan jenis ini pastikan bahwa file sistem di registry terlindung dengan baik.
3. If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore.
“ Jika orang jahat bisa mengakses komputer anda, maka itu bukan komputer anda lagi “
Maksud dari hukum ini adalah jika seseorang jahat dapat mengakses komputer kita secara fisik, meskipun kita sudah memberikan password pada BIOS, maka memungkinkan seseorang tersebut merusak komputer kita, melakukan format atau melakukan cloning atau merubah isi hard disk kita, sehingga data penting kita bermasalah, atau memasang keyloger baik pada colokan keyboard kita atau di install program keyloger sehingga apapun yang kita ketik pada keyboardakan diketahui, ataupun menginstal malware yang dapat menguntungkan orang jahat tersebut.
Untuk itu perlu di awasi atau dibatasi orang yang dapat mengakses secara langsung komputer kita secara fisik.
Untuk itu perlu di awasi atau dibatasi orang yang dapat mengakses secara langsung komputer kita secara fisik.
4. If you allow a bad guy to upload programs to your website, it’s not your website any more
“ Jika anda membiarkan orang jahat mengupload program ke website anda, berarti itu bukan website anda lagi “ Maksud dari hukum ini adalah jika kita mengijinkan orang jahat untuk melakukan upload ke dalam website kita, maka website tersebut mugkin sudah tidak milik kita lagi. Karena orang tersebut bisa saja menyisipkan malware untuk dimanfaatkan sebagai backdoor yang dapat mengontrol, mencuri informasi website kita, merubah, menghapus, menambahkan content website kita.
Untuk pencegahan salah satunya dengan menerapkan autentifikasi, enkripsi serta membatasi file type yang dapat di upload.
5. Weak passwords trump strong security
“ Password yang lemah merusak system keamanan yang kuat ”.
Maksud dari hukum ini adalah password yang lemah merusak sistem keamanan yang kuat. Seaindainya kita memiliki sistem keamanan yang kuat tetapi hanya di protect oleh password yang lemah dapat di tebak atau di brute force lalu orang jahat tersebut dapat login sebagai administrator maka di dapat melakukan apapun.
Untuk pencegahan disarankan untuk menggunakan password yang kuat dan tidak mudah di tebak, seperti yang berhubungan dengan biodata pribadi dan yang berhubungan dengan itu.
6. A computer is only as secure as the administrator is trustworthy
“ Sebuah komputer hanya aman apabila administrator nya dapat dipercaya “
Maksud dari hukum ini adalah setiap sistem komputer yang memiliki administrator bertugas mengelola dan memanajemen sistem. Administrator biasanya memiliki hak penuh atas sistem, sekuat apapun sistem keamanan yang dimiliki apabila administrator di dalam nya tidak bisa dipercaya maka justru bisa jadi dia akan merusak sistem itu sendiri atau dia akan memanfaatkan posisi nya untuk keuntungan pribadi atau orang lain, seperti menjual informasi penting dalam sistem tersebut.
Untuk itu maka dalam memilih dan merekrut seorang administrator harus melalui seleksiyang sangat ketat sehingga administrator dapat diberikan dalam memanajemen sistem.
7. Encrypted data is only as secure as the decryption key
“ Data yang terenkripsi hanya aman, selama kunci deskripsinya juga aman “
Maksud dari hukum ini adalah sehebat apapun algoritma enkripsi yang kita punya harus dibarengi juga dengan pengamanan kunci deskripsi nya, jika kunci deskripsi nya berhasil diperoleh orang lain yang tidak bertanggung jawab maka dia mampu membuka data yang sudah terenkripsi dan memanfaatkan nya untuk kepentingan pribadi atau orang lain.
Untuk itu saat kita membuat data enkripsi maksimal maka pengamanan kunci deskripsinya pun harus maksimal.
8. An out of date virus scanner is only marginally better than no virus scanner at all
“ Sebuah antivirus yang sudah kadaluarsa hanya sedikit lebih baik daripada tidak mempunyai antivirus sama sekali “
Maksud dari hukum ini adalah virus dan malware perkembangan dan pertambahan nya setiap hari semakin banyak dan baru maka masih lebih baik memiliki antivirus walaupun sudah off out date daripada tidak memiliki sama sekali, karena walaupun antivirus lama tidak di update dia memiliki signature untuk mengenali virus sehingga bisa diminimalisir.
Untuk itu kita harus memiliki antivirus di komputer daripada tidak sama sekali, apalagi lebih baik selalu di update.
9. Absolute anonymity isn’t practical, in real life or on the Web
“ Sesuatu yang tidak dikenali sama sekali itu tidak mungkin secara praktik, baik di dunia nyata ataupun di dunia maya “
Maksud dari hukum ini adalah manusia sebagai makhluk sosial yang pasti berinteraksi dalam dunia nyata maupun maya, oleh sebab itu kita tidak perlu terlalu ‘lebay’ mempublish terkait pribadi ataupun orang-orang yang ada di sekitar kita baik dalam dunia nyata ataupun maya, karena hal tersebut dapat dimanfaatkan oleh orang yang tidak bertanggung jawab dengan melakukan social engineering untuk mendapatkan data diri agar dapat melakukan kejahatan.
10. Technology is not a panacea
“ Teknologi bukanlah obat mujarab “
Maksud dari hukum ini adalah secanggih apapun teknologi tetap tidak akan menyelesaikan semua permasalahan manusia, dengan perkembangan software ataupun hardware pasti tidak sempurna karena bisa saja memiliki bug yang dapat beresiko besar bahkan dapat di eksploitasi untuk kejahatan.
0 comments:
Posting Komentar