Keamanan di E-Commerce Dalam prakteknya, berbelanja di web memerlukan koneksi ke internet dan browser yang mendukung transaksi elektronik yang aman, seperti Microsoft Internet Explorer dan Netscape Navigator. Microsoft dan Netscape, bekerja sama dengan perusahaan kartu kredit (Visa dan MasterCard), serta perusahaan-perusahaan internet security (seperti VeriSign), telah membuat standar enkripsi khusus yang membuat transaksi melalui web menjadi sangat aman. Bahkan, Visa dan MasterCard menyediakan jaminan keamanan 100% kepada pengguna credit cardnya yang menggunakan e-com.
Yang menandakan suatu retailer web site aman atau tidak adalah adanya tanda khusus yang muncul di status bar di bagian bawah layar browser. Pada IE, tanda yang muncul adalah tanda gembok terkunci di pojok kanan status bar. Sedangkan pengguna Netscape Navigator, akan melihat tanda kunci di pojok kiri status bar. Jika tanda-tanda tersebut muncul, berarti Anda sedang ter-connect pada server yang aman. Walaupun begitu, karena standar yang dipakai untuk secure connection ini relatif baru, belum semua cybershop menggunakan standar ini.
Kumpulan dari banyak cybershop yang telah terintegrasi dinamakan cybermall. Beberapa cybermall akan mengecek terlebih dahulu legitimasi dari cybershop yang akan masuk, sehingga dapat menghindari adanya cybershop yang palsu. Beberapa cybermall juga menyediakan jasa-jasa tambahan, seperti billing atau tagihan yang tersentralisasi, menjadikan proses belanja menjadi lebih mudah dan aman.
Cybercrime- Pencurian kartu kredit
- Hacking dan Cracking beberapa situs
- Penyadapan transmisi data dgn cara menyiapkan perintah yang tidak dikehendaki ke dalam program komputer
Dalam cybercrime dimungkinkan adanya :
- Delik Formil
masuk ke komputer orang lain tanpa ijin - Delik materiil
menimbulkan kerugian bagi orang lain
Kasus-kasus Cybercrime
- Penipuan lelang online
- Penipuan saham online
- Penipuan pemasaran berjenjang online
Penipuan kartu kredit
Cyberlaw
Indonesia : KUHP pasal (362)
unsur mencuri meliputi mengambil suatu barang yang sebagian atau seluruhnya kepunyaan orang lain, dengan maksud untuk dimiliki, dan dilakukan secara melawan hukum.
Bila satu dari unsur itu tidak ada, seseorang tentu tidak bisa dikatakan mencuri.
Singapura (1998) :
The Electronic Act (Transaksi Elektronik)
The Electronic Communication Act(ECPA)
A.S (1996) :
1. Communication Assistance For Law Enforcement Act
2. Tellecomunication Service
Tujuan dasar Keamanan
Confidentiality
Jaminan bahwa informasi yang dikirim melalui internet tidak dapat dibuka atau di ketahui oleh orang yang tidak berhak.
Integrity
Jaminan konsistensi data informasi sesuai dengan data asli shg terhindar dari penduplikatan dan perusakan data.
Availability
Jaminan bhw hanya pengguna sah (orang yang berhak) saja yg bisa mengakses informasi miliknya sendiri
Legitimate user
Jaminan kepastian bhw sumber informasi tdk diakses oleh org yang tidak berhak/ bertanggung jawab.
Konsep dasar yang berkaitan dengan keamanan e-Commerce
Security Policy
Satu set aturan yang diterapkan pada semua kegiatan pengaman
an pada sistem komunikasi dan komputer yang dimiliki oleh organisasi yang bersangkutan.
Authorization
Bagian dari security policy, berupa pemberian kekuatan secara hukum kepada pengguna / user untuk melakukan segala aktivitas nya.
Accountability
Bagian yg mendasari security policy.
Dimana bila individu yang berhak ingin mengakses accountnya harus dijamin oleh securiy policy tsb.
Bahwa ia benar-benar bisa melakukan segala aktivitasnya.
A Threat
Kemungkinan munculnya seseorang, sesuatu atau kejadian yg bisa membahayakan aset-aset yg berharga khsusnya yg berhubungan dengan tujuan keamanan.
An Attack
Realisasi dari ancaman.
Ada dua macam attack :
- Passive Attack
- Active Attack
Monitoring terhadap segala kegiatan atau jalannya pengiriman informasi rahasia o/org yg tidak berhak
Perusakan informasi dgn sengaja dan langsung mengena pd sasaran
Safeguards
kontrol secara fisik, mekanisme dari kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman yang mungkin datang setiap saat.
Vulnerabilities
bagian dari sistem yg mudah rusak atau diserang krn adan sela-sela keamanan yg bisa ditembus.
Risk
perkiraan nilai kerugian yg ditimbulkan oleh kemungkinan ada nya attack yang sukses, makin tinggi Vulnarablenya maka semakin tinggi pula tingkat risknya.
Risk Analysis
proses yang menghasilkan suatu keputusan apakah pengeluar an yang dilakukan terhadap safeguard benar-benar bisa menjamin tingkat keamanan yang diinginkan.
Jenis Keamanan
- Keamanan Komunikasi
Perlindungan terhadap informasi ketika dikirim dari sebuah sistem ke sistem lain. - Keamanan Komputer
Perlindungan terhadap sistem informasi komputer. - Keamanan secara fisik
satpam, pintu terkunci, sistem kontrol - Keamanan personal
Kepribadian operator (org2 yg mengoperasikan sistem) - Keamanan administrasi
Pencatatan kejadian pada H/W atau S/W - Keamanan media yang digunakan
Harddisk, dan jaminan data tidak hilang
Perlindungan
Perlindungan yang dilakukan pada keamanan komunikasi dan Komputer.
1. Authentication service
Memberikan konfirmasi pengesahan terhadap identitas pengguna.
- Entity authentication
Pintu gerbang masuk pertama (password)
- Data origin authentication
Informasi sah/tidaknya sebuah identitas
2. Access Control services
Melindungi semua fasilitas dan sumber-sumber yang ada, dari akses yang tidak berhak
3. Confidentiality Service
Memproteksi informasi yang kira-kira menjadi incaran akan disingkap oleh orang lain
4. Data integrity services
Melindungi terhadap ancaman dari usaha orang yang akan mengubah data
5. Non repudiation Service
Perlindungan terhadap user dari ancaman user yang berhak lainnya
Cookies
· Unit informasi yang disimpan di komputer client dalam bentuk text file
· Diciptakan dan digunakan oleh server untuk mengingat informasi tentang user seperti pilihan options, atau user ID
· Informasi dalam cookies dikirim oleh browser untuk dibaca server sebagai bagian dari HTTP request
· Server memiliki akses untuk membuat, menginisialisasi dan mengubah parameter cookie
· Masa habis berlaku (expiration time)
· User ID, password yang dienkripsi
· Alamat server yang dituju, dsb
Firewall (i)
Dapat berupa sebuah komputer, router atau peralatan komunikasi yang menyaring akses untuk melindungi jaringan dari gangguan ilegal, kecelakaan atau tindak kejahatan
Bisa berupa hardware, software, atau bisa juga berupa seperangkat aturan dan prosedur (policy) yang ditetapkan oleh organisasi
Firewall (ii)
2 komponen pokok firewall:
Packet filter: menyaring semua paket yang masuk dan keluar pada port-port internet
Network Address Translation (NAT): pelindung detail IP address private yang digunakan dalam LAN untuk digunakan ke jaringan Internet
Namun juga dapat menyebabkan seorang pembobol sistem menjadi susah dilacak karena IP-nya tersembunyi
Firewall (iii)
Memblok 3rd party cookies
Memblok script-script internet yang tidak aman
Menutup celah-celah keamanan (port) yang rawan disusupi cracker
Menolak PING dan port scanning dengan menyembunyikan status komputer
Contoh: Zone Alarm, Black Ice Defender, Norton Tiny Personal Firewall, dsb
Kelebihan Firewall
Sebagai fokus keputusan security
Pos pemeriksaan paket data yang keluar-masuk
Mendukung security policy, misalnya perusahaan menetapkan penggunaan NAT sehingga hanya user atau group tertentu yang boleh keluar, hanya protokol tertentu yang aktif, hanya beberapa aplikasi yang boleh akses keluar, dsb
Mencatat log aktifitas user sebagai dokumentasi statistik tentang penggunaan jaringan
Kelemahan Firewall
Firewall tidak dibuat untuk penyerang “orang dalam” yang misalnya, berusaha menyalin data ke dalam disket, atau memodifikasi program
Firewall tidak dapat melindungi dan melawan lalu lintas data yang tidak melewatinya (sistem backdoor)
Firewall tidak dapat melindungi dan melawan virus, scanning hanya ditujukan ke alamat sumber, alamat tujuan, dan nomor port, bukan data yang rinci
Mekanisme E-Commerce
Pembeli yang hendak memilih belanjaan yang akan dibeli bisa menggunakan ‘shopping cart’ untuk menyimpan data tentang barang-barang yang telah dipilih dan akan dibayar. Konsep ‘shopping cart’ ini meniru kereta belanja yang biasanya digunakan orang untuk berbelanja di pasar swalayan. ‘Shopping cart’ biasanya berupa formulir dalam web, dan dibuat dengan kombinasi CGI, database, dan HTML. Barang-barang yang sudah dimasukkan ke shopping cart masih bisa di-cancel, jika pembeli berniat untuk membatalkan membeli barang tersebut.
Jika pembeli ingin membayar untuk barang yang telah dipilih, ia harus mengisi form transaksi. Biasanya form ini menanyakan identitas pembeli serta nomor kartu kredit. Karena informasi ini bisa disalahgunakan jika jatuh ke tangan yang salah, maka pihak penyedia jasa e-commerce telah mengusahakan agar pengiriman data-data tersebut berjalan secara aman, dengan menggunakan standar security tertentu.
Setelah pembeli mengadakan transaksi, retailer akan mengirimkan barang yang dipesan melalui jasa pos langsung ke rumah pembeli. Beberapa cybershop menyediakan fasilitas bagi pembeli untuk mengecek status barang yang telah dikirim melalui internet.
Alternatif Pembayaran untuk E-Commerce
Untuk pembayaran, e-commerce menyediakan banyak alternatif. Caranya adalah dengan terlebih dahulu mendaftar sebagai customer pada web tersebut. Pembeli yang telah mempunyai kartu kredit dapat menggunakan kartu tersebut untuk pembayaran. Selain kartu kredit, alternatif lainnya adalah dengan menggunakan e-cash. E-cash sebenarnya merupakan suatu account khusus untuk pembayaran melalui internet. Account tersebut dibuka dengan menggunakan kartu kredit yang dipunyai sebelumnya. Customer hanya perlu mengisi pada account e-cashnya untuk digunakan.
Alternatif lain dalam pembayaran di internet adalah dengan menggunakan smartcard. Di Singapura, smartcard dikenal dengan istilah cash card. Pemakaian smartcard ini hampir sama dengan pemakaian kartu ATM yang biasa dipakai untuk berbelanja, yaitu pada saat transaksi, uangnya didebet langsung dari account di bank. Untuk pembayaran di internet, user harus memiliki ‘smart card reader’. Dalam pemakaiannya, alat khusus ini disambungkan ke port serial di komputer. Pada saat melakukan transaksi, kartu smart card harus digesekkan ke alat tersebut, sehingga chip yang terdapat di kartu dapat dibaca oleh komputer. Untuk softwarenya, digunakan software bernama ‘e-wallet’. Contoh web site yang telah menyediakan smartcard untuk pembayaran adalah http://www.discvault.com/.
Selain dengan ketiga cara di atas, terdapat alternatif pembayaran yang relatif baru dan belum begitu populer. Alternatif ini adalah penggunaan iCheck, yaitu metode pembayaran dengan menggunakan cek. Pembayaran ini membutuhkan nomor cek milik customer. Web site yang menyediakan penjelasan mengenai cara pembayaran ini adalah http://www.icheck.com/.
Mekanisme SET
Standar enkripsi yang digunakan dalam e-commerce pada saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa dijaga. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang.
SET menggunakan suatu kriptografi khusus yang dinamakan asymmetric cryptography untuk menjamin keamanan suatu transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography. Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.
Setiap user mempunyai dua kunci, yaitu puclic key dan private key. User dapat menyebarkan public key secara bebas. Karena adanya hubungan yang khusus antara kedua kunci, user dan siapa pun yang menerima public key tersebut mendapat jaminan bahwa data yang telah dienkripsi dengan suatu public key dan dikirimkan ke user hanya bisa didekripsi oleh private key. Keamanan ini terjamin selama user dapat menjaga kerahasiaan private key. Pasangan key ini harus dibuat secara khusus oleh user. Algoritma yang biasanya digunakan untuk pembuatan key adalah algoritma RSA (dinamakan berdasarkan inisial pembuatnya, yaitu : Rivest, Shamir, dan Adleman).
Artinya, suatu pihak pengelola e-commerce yang menggunakan SET, harus membuat pasangan key khusus untuk webnya. Public key akan disebarkan, dan hal ini biasanya dilakukan melalui penyebaran web browser. Public key disertakan secara gratis untuk setiap web browser, dan telah tersedia jika browser tersebut diinstall. Private key, pasangan untuk pasangan public key tersebut disimpan oleh pengelola e-com.
Jika pembeli menggunakan browser untuk mengirim form transaksi, pembeli tersebut akan menggunakan public key yang telah tersedia di web browsernya. Orang lain yang tidak mempunyai private key pasangannya, tidak akan bisa men-dekripsi data form yang dikirim dengan public key tersebut. Setelah data sampai ke pengelola e-com, data tersebut akan di-dekripsi dengan menggunakan private key. Artinya, hanya pengelola e-com yang bisa mendapatkan data itu dalam bentuk yang sebenarnya, dan data identitas serta nomor kartu kredit customer tidak akan jatuh ke tangan yang tidak berhak.
Sumber sumber artikel :
- Artikel /Ecommerce Senin, 21-Maret-2005, 15:28:22 WIB Dikirim Oleh: Onno W. Purbo
http://www.sentralweb.com/script.php?halaman=berita&klik=lihat&artid=22 - http://www.google.co.id/search?hl=id&q=keamanan+e-commerce&meta=cr%3DcountryID118.98.160.245/download/materi/E-Commerce/SP34242E-Comm%