KESELAMATAN KOMPUTER:
SERANGAN, PENCEROBOHAN
KOMPUTER
TETAPI PD MASA YG
SAMA
Memberi
Contoh: Tidak perlu ke bank utk curi wang – klonkan kad ATM, pecahkan kod keselamatan
pindahkan wang dari akaun orang lain
Jenayah bentuk baru beri cabaran baru utk
Cegah
Kesan
Pertambahan domain
Internet
Pertambahan kadar
pencerobohan =
Mengapakah Pencerobohan
Berlaku?
Adakah Jenayah Siber Wujud?
Jenayah komputer – sebarang p’lakuan yg mempunyai niat
dan dikaitkan dgn komputer melalui sebarang cara & sbkan
mangsa m’derita, kerugian secara berterusan
Sukar takrifkan jenayah siber
Orang luar organisasi (penggodam, pesaing, komplot kriminal dll.)
Sumber Jenayah
Serius? Berbeza-beza. Ada yang
Tidak mudharat
Lakumusnah / vandalisme
Tutup
AKTIVITI GUNAAN KOMPUTER
Ganggu
Kebersendirian
Penipuan
Serangan virus
Cetakrompak
Curi
data/kerja peribadi
Penyalahgunaan komputer terbahagi kpd 2 (Kesar & Rogerson, 2001)
Pekerja melakukan sesuatu tanpa diberi kuasa, diiktiraf/dilarang
SENGAJA Personel
belot
Pencerobohan sistem
81% jenayah komputer dilakukan pekerja sendiri
Kategori kemahiran jenayah sengaja
Jenayah memerlukan kemahiran tinggi
Jenayah tanpa perlukan kemahiran tinggi
-kakitangan perkeranian. Ambil kesempatan dari
Fraud (penipuan) – bank, broker house, sykt insuran,
institusi kewangan
Penggodaman (hacking) – untuk suka²
Penyalahgunaan komputer yg disengajakan
+ =
Penggodam Niat
P’yalahgunaan komputer berlaku dlm beberapa keadaan
Komputer jadi objek sasaran. Data/program musnah, komputer hilang
Komputer hasilkan program & maklumat – satu aset mewakili wang – melibatkan fraud, risikan
& peras ugut
Tidak sengaja – terjadi sebab perkara lain spt:
Kemusnahan persekitaran
Kesilapan manusia
Ralat dlm rekabentuk &
Perbuatan mengakses komputer secara tidak sah
Penggodaman
Langkah pertama penyalahgunaan
Istilah penggodam sudah berubah²
Asalnya
pengaturcara yg kreatif
Menulis program yg baik
Dikenali sbg Computer virtuosos (kehebatan luar biasa) – suka
mencuba perkara baru
Tiada niat rosakkan sistem
Apabila sistem rangkaian diperkenalkan, aktiviti beralih kpd rangkaian
Ada rangkaian penggodam Apabila berjaya, diberi
pengiktirafan/penghormatan drp rakan
Bermula penggodaman peringkat tinggi
Suka cabaran, ada rasa ego dan rasa ada kuasa
Penggodam
Sistem diprogram
semula
Data dipadam/
ubahsuai
Jangkiti dgn virus
Papan buletin elektronik mudah penggodam – sebar maklumat di kalangan mereka
Institusi gergasi pernah digodam
Internetworking sebabkan sistem terdedah kpd penggodaman
Pentagon
Lockheed-Martin Deutsche Telekom
Program yg mereplika sendiri,
memadam maklumat dlm komputer yg diinfeksi, ubah maklumat yg
disimpan dsb.
Virus Komputer
Perdebatan
Adakah penggodaman & sebar virus perbuatan jenayah?
Atau
Walaupun banyak p’yalahgunaan komputer, tapi tak banyak maklumat mengenainya
Mengapa?
Kurang penyelidikan Mengapa?
Definisi penyalahgunaan komputer tidak jelas Syarikat tak lapor kejadian
Sukar kategorikan jenayah komputer – pencurian/penipuan/penggelapan wang dsb P’yelidikan hanya dijlnkan ke atas kes yg telah
ELEMEN
PENYALAHGUNAAN KOMPUTER
TIADA PENYELESAIAN TUNGGAL KPD MASALAH PENYALAHGUNAAN KOMPUTER
Mangsa Komputer
Vandals/hooligans – komputer menjadi objek sasaran. Kerosakan kecil memberi kesan besar
e.g potong kabel
Ancaman manusia ke atas komputer
Perkhidmatan risikan & pengintipan – militari & pesaing bisnes
Masyarakat. Komputer dilihat sebagai ancaman – menyebabkan pengangguran, tiada hubungan
personal dsb.
Ancaman manusia ke atas komputer samb …
Pengguna. Penyalahgunaan oleh pengguna beri kesan yg merosakkan
Terrorist. Komputer adalah sumber maklumat terpenting
Cara komputer dieksploitasi
Memindah maklumat
secara
sementara & salin. Sukar
dikesan sb maklumat asal
tak terjejas
Sengaja memberi maklumat kpd
pihak yg tidak berhak
Mengubahsuai perkakasan
Sabotaj/ kerosakan
Cara Kenal Pasti Penyalahgunaan
Penyiasatan Kawalan Sistem
Sama ada isu kreativiti atau jenayah?
Biarkan atau perlu dikawal ISU
Dilema
Jika jenayah, mengapa mudah dilakukan? Jika kreativiti, mengapa perlu didakwa?
Ada pihak mendakwa isu akses komputer secara haram ini tidak perlu dijadikan isu
Mengapa bukan jenayah walhal sebabkan kerugian kpd mangsa
Mereka dakwa beri perkhidmatan yg baik sb beritahu organisasi bhw sistem keselamatan
mrk lemah
Alasan ini boleh diterima?
Niat awal tidak melibatkan wang. Maklumat
bukan utk dinilai dalam bentuk wang tetapi untuk status komoditi dan reputasi
Tidak muncul disebabkan mengetahui rahsia sulit tetapi akibat ciptaan teknologi
Adakah masalah serius?
Sejauhmana kemusnahan boleh dilakukan oleh penggodam?
Kajian Rand Corp. mendapati 20% drp 1,200 bisnes musnah akibat penggodaman. Banyak kejadian tidak
dilapor
Baase (1997) – penggodaman ke atas jabatan pertahanan US meningkat sekali ganda setiap tahun
Sistem keselamatan yg lemah. e.g. Jabatan
Pertahanan Amerika menguji sistem keselamatan mereka. Berjaya menembusi (88%).
Hanya 4% serangan berjaya dikesan Mengapa mudah dilakukan?
Enggan tingkatkan sekuriti/tak ada pengetahuan yg cukup?
Penggodam yg lakukan tanpa niat merosakkan mendakwa perbuatan mereka tak salah sebab:
Tiada
kemusnahan dilakukan. Hanya ingin tahu apa ada pd sistem org.
Satu reaksi yg tidak
memudhratkan sebaliknya satu
cabaran intelektual
Memberi
p’khidmatan yg baik dgn
m’beritahu sistem sekuriti
ssb organisasi perlu
Samb …
Tak mencuri apa-apa sebaliknya memberi
p’khidmatan kerana m’dedahkan dokumen dalaman organisasi kpd org ramai
Jika pemilik sistem mahu menghindari gangguan org luar, sediakan sistem keselamatan yg baik
Syarikat telefon mengenakan bayaran tinggi -
menimbulkan masalah kewangan. Penggodam hanya ingin dpt membuat sedikit panggilan secara percuma.
Tak dapat untung. Mereka tak jual kod yg diperoleh Maklumat adalah percuma. Menyalin
Apakah alasan di atas boleh diterima?
Usaha mengesan ambil masa, mahal dan melibatkan banyak pihak
Banyak pihak terjejas
Penggodam tak cipta masalah baru tp mengisi ruang kosong yg gagal dilindungi oleh perekacipta, penyelenggara dan
pengurus sistem => sukarkan pendakwaan. Dilihat sebagai masalah disiplin kakitangan bukan jenayah
Memerangi penggodam perlu ambil kira:
Aktiviti tersebut diwujudkan oleh masy – 1 p’kembangan semula jadi seiring dgn kemajuan teknologi
Organisasi tak percaya kakitangan lakukan penggodaman. Jika berlaku, tiada tindakan diambil
Banyak dilakukan oleh kanak²/remaja. Di satu pihak dilihat sbga aktiviti menakjubkan yg bakal lahirkan pakar.
Kawalan keselamatan Langkah Mengatasi
Langkah undang² murah tp
keberkesanannya tak nampak dlm
jangka pendek Undang²
Kawalan keselamatan
mahal & menyulitkan
Kawalan capaian perisian Kawalan Keselamatan
Cegah org yg tak diberikuasa membaca/ tukar/ padam maklumat dlm sistem
komputer
Kaedah dilaksanakan dgn:
- kenalpasti pengguna – user ID
- Sah/bolehpercaya. Bukti lanjut drp ID –
Pencegahan. Hadkan p’gunaan sistem kpd org yg diberikuasa. Edarkan polisi dan syarat² p’gunaan sistem yg betul. Adakan
sesi latihan mengenai keselamatan
Pengawalan – akses ke bilik komputer hanya diberikan kpd kakitangan yang diberikuasa, mengunci pintu, adakan rekod
penggunaan Capaian Fizikal
Pengesanan – kenalpasti aktiviti yg m’curigakan. Imbas fail secara rawak, buat laporan dsb
Awasi kakitangan - Tukar selalu ktg yg berurusan dgn sistem yg sensitif. Beri ID dan katalaluan kpd ktg. ID dikod supaya pemilik
Sukar dilaksanakan kerana masih dibahaskan adakah p’godaman itu jenayah.
Kawalan Undang-undang
Konsep hak milik maklumat (harta tak tampak) tidak dilindungi oleh undang²
jenayah. Penggodaman hanyalah satu tahap persiapan utk melakukan penipuan – belum
“Search and seizure laws still need
clarification. Currently the law requires that a warrant be specific in what can be seized and
the seizure must be the original document. This is difficult when dealing with computers, because obtaining a specific original file could
mean that the entire hard drive would be confiscated. It is hard to get a warrant that
allows the police to find the information
without jeopardizing the privacy of the rest of the information in the hard drive.” (Reynolds,
L. 1995. Constitutional Law in the Electronic Age. Management Review 24-25.)
