Keamanan Komputer From Dummies(0) : Good Security Habbit

Jika kamu sibuk atau tidak mau pusing silahkan langsung ke seksi tl;dr di bawah, dibuat singkat, padat dan jelas (hopefully). Because fast reader is a consument too.😛

Siapa mau hidup sehat? Semua orang bukan. Dan bagaimana caranya orang mencapai hidup sehat? Ada yang melakukan cara klasik: diet dan berolahraga, ada yang memakai cara modern, liposuction, terapi kencing, diet vegan, dll.

Diet dan olahraga dirasa susah karena itu adalah kebiasaan yang harus dilakukan secara terus-menerus. Kita tidak lantas berhenti olahraga dan mengatur makanan saat kita sudah sehat. Kita tetap harus menjaga kesehatan dengan terus menerus melakukan olahraga dan menerapkan pola makan sehat.

Sekarang apa hubungannya dengan keamanan komputer? Sesuai pengalamanku, mengamankan komputer itu sebenarnya gampang tapi harus disiplin dan menjadi sebuah kebiasaan, tapi seringkali orang membuatnya rumit karena ingin solusi satu-untuk-selamanya. Frozen misalnya, menuliskan sebuah artikel untuk menghindari komputer dari virus. Cukup bagus sebenarnya, sayang melewatkan hal yang paling kunci dalam pengamanan komputer, sederhana dan mudah di-maintain. Solusi yang dia tawarkan sangat susah di-maintain.

Biasanya hal ini terjadi karena orang menganggap cara klasik (update AV, hati-hati dengan attachment, scan teratur setiap periode waktu tertentu, download security patch) membosankan atau merepotkan atau malah tidak efektif. Well, saran-saran itu nggak akan bertahan lama kalau tidak efektif bukan?[1]

Kenapa harus sederhana? Karena titik terlemah dalam keamanan komputer adalah, MANUSIA  Kalau kamu mau browsing topik keamanan di Internet, sebagian besar masalahnya bukan hacker yang sangat pintar atau virus yang cerdas dan mampu mereplikasi diri dan punya kesadaran, tapi manusia yang ignorant terhadap keamanan. Dan sebagian besar celah yang dimanfaatkan virus dan hacker adalah manusia macam ini.[2]

Jadi, kecuali kamu adalah security admin atau sysadmin yang mungkin butuh materi yang lebih advanced dari simple security procedure, tetaplah membaca. Untuk sysadmin, sorry ilmu dan pengalamanku belum cukup untuk nulis artikel yang lebih advanced. You still can read though. Siapa tahu kamu dapat satu atau dua trik di sini.

Pernah naik bus di Jakarta di hari yang padat? Resiko kecopetan di sana cukup tinggi, dan kita perlu prosedur keamanan yang sangat sederhana dan bisa diulang-ulang untuk mengamankan barang berharga kita, contoh: tas di depan, dompet jangan di saku biasanya saku dalam jaket, dll. Sekalipun begitu, kita harus tetap waspada terhadap situasi sekitar kita dan menyesuaikan tingkat keamanan dengan situasi, kondisi, toleransi, pandangan, dan jangkauan.

Selama ini aku belum pernah kecopetan di Jakarta, tapi temanku si Cemet pernah. Dia kehilangan ponselnya di hari kedua di Jakarta gara-gara ditaruh di kantong depan baju. Setelah itu dia menaikkan level keamanannya.

Selain itu, aku juga pernah kehilangan dompet dan ponsel di colt jurusan Surabaya-Pasuruan. Sejak saat itu aku menaikkan standar keamananku dan belum kecopetan sejak itu (Belum ≠ tidak pernah dan tidak akan pernah).

Pelajaran apa yang bisa dipetik? Prosedur keamanan, dalam arti luas, cenderung adalah sebuah prosedur reaktif terhadap suatu kejadian luar biasa dalam hidup. Kecopetan, kemalingan, ancaman kebakaran, dll. Kemungkinan hal itu terjadi sebelum kejadian sangat kecil, dan saat kejadian kita shock dan bersikap reaktif untuk menaikkan standar keamanan kadang sampai level paranoid.

Masalahnya, seringkali reaksi kita kontraproduktif dan paranoid. Mungkin kita berkesimpulan tidak akan membawa hape karena hape kita  pernah hilang, atau seperti dalam kasusku, menolak naik kolt di malam hari, bahkan, sejak ada angkot kuning Joyoboyo-Porong aku lebih milih angkot itu karena lebih aman, tapi sebenarnya sama saja.Setelah kita menerapkan prosedur keamanan baru, kita merasa aman, dan boom! Peristiwa selanjutnya terjadi, kerugian besar, dan kita kembali bersikap paranoid.[3]

Trus apa hubungannya dengan keamanan komputer? Banyak. Mari kita lihat,

Semua antivirus di dunia masih menjalankan cara klasik, melihat virus signature untuk membasmi virus. Inilah yang membuat jaman dahulu(Jaman DOS, McAfee dan Viruscan) mutating virus menjadi heboh karena setiap infeksi dia merubah dirinya sehingga susah dideteksi.[4]

Korolarinya, antivirus baru dibuat setelah virus ada, reactive security again dan kita harus mengupdate antivirus kita dengan database virus yang baru setiap periode tertentu. Vmyth menyebutnya, update addiction. Korolari selanjutnya, seperti yang dikeluhkan jensen, seringkali virus lokal tidak terdeteksi AV luar karena mereka tidak mendapatkan sampel virus itu.[5]

Sifat pengembangan Windows yang mengutamakan kenyamanan daripada keamanan sekarang mulai kelihatan boroknya. Windows memiliki banyak virus karena memang tidak berpikir untuk keamanan, MacOS dan Linux lebih aman karena memang didesain untuk keamanan. Soal nature ini nanti saja dibicarakan dalam posting IT selanjutnya (kalo inget).[6]

Korolarinya, saat Windows Vista dengan fitur keamanan yang lebih baik (with honorary mention to frustating necessary evil UAC) virus berguguran dan program komputer yang nonvirus pun mulai berguguran satu persatu. WTF!? Para programmer yang tidak kompeten kini mulai ditelanjangi aksi curang mereka yang menggunakan undocumented feature bahkan bug Windows untuk membangun programnya. Saat program mereka mulai runtuh, konsumen menyalahkan Windows Vista sebagai buggy dan bloated. Poor Microsoft.[7]

Vista is bloated and overpriced, but buggy? Nope. Your apps that’s buggy not Vista. Vista sangat secure, dan bagi mereka yang frustasi dengan virus aku menyarankan Vista, atau Windows XP SP3 sebagai alternatif Windows yang lebih aman. Lebih aman lagi pakai Linux, though.[8]

Prosedur keamanan yang baik berbasis kehati-hatian dan pelajaran dari ancaman keamanan sebelumnya. Konsekuensinya, prosedur keamanan harus proaktif mengamati dunia keamanan komputer untuk ancaman baru dan menyesuaikan prosedur keamanan. Di sisi lain, prosedur itu tetap harus sederhana sehingga mudah diimplementasi dan mudah dimaintain dan dibuat berdasar asumsi tetap ada celah keamanan yang tidak terdeteksi.

Kesadaran akan keamanan harus dimiliki setiap pengguna komputer. Apakah yang aku lakukan aman? Apakah aku membuat celah keamanan di sistem? Apakah aku harus terus mengecek FD setiap dicolokkan? Untuk keamanan komputer, be safe, be aware, be critical, be sceptical.

Korolarinya, prosedur keamanan tidak bisa sempurna, problem virus atau worm bisa saja muncul dan tidak diantisipasi oleh prosedur yang kita terapkan. Jangan panik dan cari informasi sebanyak-banyaknya soal masalah kita. Jangan bergerak berdasarkan FUD(Fear, Uncertainty dan Doubt) dan paranoia. It’s about awareness, no silver bullet here, folks!

Sekian dulu… Langkah praktisnya sebenarnya sudah ada di postingku sebelumnya.

tl;dr[*]

Prosedur keamanan komputer dari pengguna personal(baca awam) biasanya bersifat reaktif, dan lebih banyak menyulitkan daripada mengamankan.

Saran sederhana:

  • Jangan gunakan login administrator untuk kerjaan sehari-hari.
  • Nyalakan firewall.
  • Update antivirusmu.
  • Update OS-mu untuk menambal celah sistem.
  • Matikan autorun.
  • Scan sistem secara teratur.
  • Nyalakan fitur keamanan browsermu dan jangan sembarangan meng-klik link di email yang mencurigakan atau di situs web atau mendownload attachment dan mengeksekusinya.

Dalam kata lain, kembangkan kebiasaan berkomputer dengan aman.

Saran-saran “baru” hanya bersifat reaktif dan seringkali rumit dan tidak bisa dilakukan sebagai kebiasaan.

Prosedur keamanan harus sederhana sehingga mudah dilaksanakan, dan bisa jadi kebiasaan. Prosedur itu juga harus disusun berdasar asumsi tetap ada celah keamanan yang tidak terdeteksi.

Prosedur keamanan tidak bisa sempurna, problem bisa muncul tak terduga. Jangan panik dan cari informasi sebanyak-banyaknya soal masalah kita. Jangan bergerak berdasarkan FUD(Fear, Uncertainty dan Doubt) dan paranoia.

Prinsip sederhana keamanan komputer, be safe, be aware, be informed, be critical, be sceptical.

Awareness is better than false sense of security.

Use Linux. OS yang lebih aman dari Windows.

Disclaimer

Aku adalah programmer, bukan security expert (apalagi pakar telematika). Aku tahu satu dua hal tentang keamanan komputer, tapi tidak menyeluruh. Ilustrasinya, bayangkan seorang Michael Schumacer, sebagai pembalap dia tahu satu atau dua soal memperbaiki mesin mobil, tapi bukan itu bidang keahliannya.

Footnote

[*] tl;dr adalah kepanjangan dari too long, didn’t read. Banyak di pengunjung blog adalah fast reader. Daripada marah-marah, blogger lebih baik memberikan seksi khusus untuk mereka. Apalagi kalau postingan kita  bersifat teknis dan panjang. Policy ini akan berlaku untuk setiap postingku yang panjang atau bersifat teknis. Cara ini aku pelajari dari Ted Dziuba.

[1] It’s not a fallacy. Saran itu teruji, dan memang disarankan oleh para pakar IT seperti Roy Suryo.

[2] Diambil dari buku Art of Deception – Kevin Mitnick, sebuah buku keamanan komputer tentang teknik social engineering yang biasa digunakan hacker.

[3] Aku tidak berusaha menjadi filosofis, but oh well… Btw, untuk pelajaran tentang kejadian tak terduga kamu bisa baca buku Black Swan karangan Nassim N. Taleb. Dan bukan, Naseem Hameed yang petinju, Nassim Taleb penulis buku.

[4] Akhirnya produsen AV mengembangkan teknik heuristic. Aku dulu suka membrowse virus dictionary dari salah satu AV untuk belajar soal virus.

[5] Frozen benar saat mengatakan update AV sangat tidak produktif dan hanya mengurusi virus komputer itu menghabiskan waktu produktif. Then use safer OS, Linux.

[6] Hal ini terkait nature Linux yang Open-Source dan login policy di Linux. Di Linux aplikasi yang berasumsi akan berjalan dengan superlogin bila tidak perlu akan ditertawakan dan jadi sumber celah keamanan, di Windows, sebagian aplikasi hanya bisa dijalankan oleh login yang berposisi administrator bahkan jika tidak diperlukan.

[7] Raymond Chen adalah developer Windows yang menyukai pragmatisme cukup baik hati untuk menguji dan memodifikasi XP agar kompatibel dengan aplikasi populer di Windows 98. Developer Vista tidak seramah itu, mereka punya pendekatan idealis dan sikap your-apps-buggy-so-screw-you. Dan mereka juga dibalik perubahan arsitektur IIS menjadi lebih aman dan membuatku frustasi dan malah mencari workaround.

[8] Mereka bilang di Linux tidak ada virus karena populasi pengguna Linux yang kecil. Itu salah, membuat virus di Linux sangat susah. Aku pernah bereksperimen soal itu. Berbagai kebijakan keamanan di Linux membuat virus susah berkembang. Aku bisa membuat aplikasi yang TSR seperti daemon, tapi membuatnya bisa mereplikasi diri dan menginjeksi dirinya ke aplikasi lain hampir mustahil(note: aku gagal).

About dnial

You don't see anything You don't hear anything You don't know anything Move along and pretend nothing happen

Posted on 16 Maret, 2009, in experience, IT, life. Bookmark the permalink. 18 Komentar.

  1. He who would trade liberty for some temporary security, deserves neither liberty nor security.

    Benjamin Franklin

  2. cara yang lebih aman…. pakailah komputer orang, kena virus pun no problemo😛

  3. Bravo. Sekali lagi artikel bagus muncul dari blog ini :p

  4. ah… senang sekali ada semacam feedback seperti ini😀
    nanti saya ke sini lagi, ini sekedar meninggalkan jejak bahwa saya sudah tau akan postingan ini.

    *kembali tidur gawe*

  5. *lirik komen sendiri di atas*
    *strike-nya kok ndak jalan y*

  6. Setuju dengan daniel. Sekarang IT security memang menjadi konsen yang sangat tinggi, salah satunya karena nilai informasi yang tidak ternilai. Sayangnya, tidak semua pengguna IT melek security. Pernah ngelakuin IT Audit di sebuah Bank di kawasan Jakarta Pusat, Antivirus update, patch update, tp passwordnya ditempel di monitor agar ga lupa. Terus locker dikunci tp kuncinya tertinggal di atas locker, ada CD dan dokumen2 nilai tabungan berserakan, dan banyak lagi yang lain.

  7. Hmm… lagi-lagi ada saran untuk pake Linux.😀

    Apa aplikasi2 Windows yang berjalan dengan crack dan Keygen bisa diinstal di Linux juga? (di PC Linux 3D mandriva, misalnya, versi Linux yang kutaksir)

  8. @mardun
    Di beberapa perusahaan, kalau komputer yang kamu pakai kena virus bisa kena SP1. Tapi berhubung perusahaan macam itu bukan tempat bekerja yang menarik gara-gara terlalu banyak micro-management.

    I stand corrected.😛

    @galih
    Thx, I guess😛

    @frozen
    OK then.

    @Aris
    Biasanya memang nggak pernah dikasih pelatihan soal security. Tapi ini Bank gitu loh…

    @jensen
    Kalau kamu pake Wine bisa kayaknya.
    Kalau mau pakai Linux memang harus mengubah kebiasaan dan belajar aplikasi baru. Tapi daripada ngandalkan aplikasi yang nggak legal…
    In the long run, semua itu bakal bermanfaat.

  9. kayakna aku tahu kenapa daniel begitu getol mempromosikan linux….

    coba lihat tulisannya yang ini dan kita akan mengerti semuanya😛

    *kabur sik ah nang warkop*

  10. @Daniel : Yup, itu contoh yang paling ekstrim. Parah sih. Ga bayangin yang bukan Bank. Kalo ditempatku dilakukan clean-desk policy secara acak waktunya. Kalo ada laptop dan locker yang ga kekunci, langsung dikasih SP terus kunci locker dan laptopnya harus diambil di ruang direktur😀

  11. Bung dnial, sebetulnya apa yang saya tulis di sana, sudah menjadi habit saya sejak lama, dan di situ, saya mendapati blunder, bahwa saya tidak bisa meringkas gagasan-gagasan saya ke dalam satu-dua paragraf dan menjadikannya mudah untuk dibaca verbatim oleh semua user dari berbagai strata.😛
    .
    Saran-saran Anda, saya terapkan. Terima kasih, senang membaca tulisan ini😛
    .
    ps: tulisan anda menarik, tapi semoga lain kali, tulisan Anda lebih populis😛

  12. itulah gunanya 2 OS yang saya tancamkan di tenshi. Linux buat para removable disk yang bertebaran memelihara virus, dan vista just for me only, yang sudah disertifikasi tanpa virus:mrgreen:

  13. Jangan gunakan login administrator untuk kerjaan sehari-hari.

    saya setuju bgt saran yg ini.
    tapi bgm caranya sekedar sharing folder pake account non-admin?😛

    btw…
    Korolarinya artinya apaan ya?😀

    nice article…

  14. @mardun
    Character Assasination.

    @aris
    Kok ngeri… untung nang kene g segitunya.

    @frozen
    Lebih populis gimana? bagian tl;dr itu kurang simple?

    @Rukia
    Bagus…

    @kholis
    Ya ganti login lagi…😈
    Korolari = kesimpulan sederhana, atau simplenya, dengan demikian maka…

  15. Kenapa sih autoran malah dianggap virus?
    padahal saya butuh autorun.
    kenapa antivirus malah menjudge seluruh autorun sebagai virus?
    kenapa ketelitian antuvirus belum sesuai harapan?

  16. Awesome! Its actually awesome post, I have got much
    clear idea concerning from this post.

  1. Ping-balik: Cara Mematikan Autorun Di Windows XP (Gaptek Only GG) « Altearis

  2. Ping-balik: Avast dan Y!M « JenSen99’s Weblog

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: