Pada 23/3/2001, detikcom memuat berita perampokan isi database sebuah toko buku online yang dilakukan kelompok AntiHackerlink. Sehari kemudian, sambil mengutip isi berita tersebut, seorang kolega -pengelola sebuah situs- mengirimkan email ke beberapa orang -termasuk saya. Dalam emailnya, sang kolega ini menulis, "Hmm..does this mean that ASP is not safe?"

Berikut ini balasan saya atas email sang kolega tersebut.

Tanpa mengubah makna dan isinya, kutipan ini telah mengalami penyuntingan.


"Hmm..does this mean that ASP is not safe?"

Rasanya, memang tidak akan pernah ada sebuah system yang 100 % aman. Yang ada dan seharusnya ada adalah pengelola yang melek dan peduli terus menerus pada persoalan sekuriti. Seorang pengelola boleh saja bukan seorang expert di bidang sekuriti, tapi sudah sepatutnya ia mengikuti segala perkembangan di bidang ini hampir tanpa tidur.

Kebanyakan tindak penyusupan secara tidak sah ke dalam sebuah system seringkali dipancing oleh kealpaan pengelola system untuk mengikuti perkembangan yang ada dan mengupdate sistem keamanannya. Peristiwa penyusupan yang didasarkan pada teknik dan pengetahuan baru yang benar-benar original sebetulnya tidaklah terlalu banyak; yang terbanyak justru peristiwa penyusupan yang didasarkan pada peniruan teknik dan pengetahuan untuk menyusup yang sebelumnya telah terbukti sukses.

Melek dan peduli pada persoalan sekuriti saja tentu tidak cukup untuk mecegah penyusupan ke system kita. Ada hal di luar persoalan teknis, pengetahuan maupun manajemen yang punya andil cukup besar untuk merangsang kejahatan komputer. Percaya atau tidak, hal yang saya maksud itu adalah TIDAK ADANYA KERENDAHAN HATI pengelola sebuah system.

Beberapa berita kejahatan cyber seringkali menujukkan bahwa sebetulnya para penyusup semula tidak bermaksud membuat kerusakan apapun pada sebuah system. Mereka semula murni hanya ingin mengetahui lubang-lubang sekuriti pada sebuah system untuk kemudian mengabari pengelola system atas temuannya. Namun seringkali para penyusup berhadapan dengan pengelola yang tidak punya kerendahan hati untuk mendengarkan bisikan mereka. Para penyusup lalu kesal, dan mulailah membuat kerusakan.

Sebetulnya, berteman dengan para hacker dan cracker lebih menyenangkan dan bermanfaat ketimbang menjadi bulan-bulanan mereka.

Di luar pengelola yang me-maintain system, pengembang system/aplikasi juga merupakan variable penting dalam persoalan sekuriti. Tantangan yang mereka hadapi juga sama: melek serta peduli pada persoalan sekuriti, dan kerendahan hati. Plus, pengembangan system selayaknya berjalan dalam sebuah tatacara manajemen yang dapat menyaring lubang-lubang sekuriti.

Pada prakteknya, demi kemudahan kerja pengembangan system/aplikasi, tak sedikit para pengembang membuka lubang-lubang sekuriti pada aplikasi/system yang sedang mereka kerjakan -untuk kemudian secara teliti dan cermat ditutup satu persatu. Namun jika praktek semacam ini dilakukan di lingkungan kerja yang tidak menerapkan manajemen pengembangan yang baik, seringkali terjadi bahwa pengembang lupa untuk menutup kembali lubang-lubang sekuriti yang sengaja mereka buka tadi. Dari sinilah bencana kelak akan bermula.

Penyusupan seperti yang Anda kutip dari berita itu adalah tipe penyusupan yang didasarkan pada lubang-lubang sekuriti yang terdapat pada tingkat aplikasi. Ini bisa disebabkan oleh apa saja: lupa menutup kembali lubang yang semula dibuka, atau tidak tahu adanya lubang, atau kecerobohan pengembang dalam mendesain system aplikasinya.

"Hmm..does this mean that ASP is not safe?"

Rasanya, sebuah system komputer bukanlah sebuah misteri seperti kehidupan orang. Sebuah system komputer adalah ciptaan manusia, sama halnya seperti serangkaian kotak dalam teka-teki silang: kotak-kotak saling terhubung secara sistematis dan sudah pasti apa isinya yang tepat. Kesuksesan membuka lubang-lubang sekuriti juga sama dengan kesuksesan menjawab teka-teki silang: tergantung pada tingkat pengetahuan dan keterampilan untuk menguak teka-teki dari sebuah desain yang tertinggal atau ditinggalkan oleh perancangnya.

Jadi, rasanya, memang tidak akan pernah ada sebuah system yang benar-benar aman. Tapi ini bukanlah alasan untuk berputus-asa.

Persoalan sekuriti di dunia komputer barangkali memang sebuah "persoalan tak terhingga" yang selalu diperbaiki menjadi "persoalan tak terhingga minus satu", lalu diperbaiki lagi menjadi "persoalan tak terhingga minus dua", "persoalan tak terhingga minus sepuluh", "persoalan tak terhingga minus seribu", dan seterusnya. Bukankah dengan cara itu peradaban manusia dibangun? Dan dengan cara itu pula banyak orang menjaga optimismenya.

Ini hanya sebuah pendapat, yang mungkin juga banyak mengandung lubang sekuriti.

Salam

Yayan Sopyan