1. Open source software
Komputer membutuhkan software untuk
melaksanakan tugasnya. Software ini dibuat oleh beberapa pengembang software. Dari beberapa model
pengembangan software, model
pengembangan open source software merupakan salah satu bagiannya. Model ini telah digunakan secara luas dalam
20 tahun terakhir ini. Banyak sekali teknologi yang merupakan hasil dari model
pengembangan ini yang digunakan sehubungan dengan software yang diproduksi oleh industri software komersial dan hasilnya telah memberikan kemajuan besar
dalam hal kapabilitas, kemampuan, aksesibilitas dan keterbelian dari software
tersebut.
Model
pengembangan open source software ini dilakukan dengan cara memberikan kebebasan
bagi semua orang untuk melihat dan mengetahui serta mengubah kode software yang bersangkutan. Dengan cara ini maka
diharapkan akan ada seseorang yang memiliki kemampuan pemrograman memadai untuk
dapat melihat kode program tersebut dan menemukan bugs serta kelemahan-kelemahan yang terdapat didalamnya untuk
kemudian melakukan perbaikan agar bugs
dan kelemahan-kelemahan tersebut dapat dihilangkan. Dengan adanya
bantuan-bantuan pihak luar untuk memperbaiki bugs dan kelemahan-kelemahan dalam suatu software maka pengembangan metode ini diyakini/diharapkan dapat
meningkatkan keamanan software yang
dikaji.
2. Lisensi Software
Lisensi
dalam pengertian umum dapat diartikan memberi izin. Pemberian lisensi dapat
dilakukan jika ada pihak yang memberi lisensi dan pihak yang menerima lisensi,
hal ini termasuk dalam sebuah perjanjian. Definisi lain, pemberian izin dari
pemilik barang/jasa kepada pihak yang menerima lisensi untuk menggunakan barang
atau jasayang dilisensikan. Berbeda
dengan open source software, model
pengembangan Lisensi Software tidak memberikan kebebasan bagi pihak
lain selain pihak pengembang untuk melihat kode program yang mereka produksi.
Kalaupun ada pihak lain yang diizinkan untuk melihat kode program tersebut, hal
itu hanya berlaku bagi kalangan tertentu yang telah dipercaya oleh pihak
pengembang untuk melakukan perbaikan pada program tersebut dan dipercaya tidak
akan melakukan hal-hal yang dapat merugikan perusahaan yang bersangkutan.
Model
pengembangan Lisensi
Software ini
kebanyakan dilakukan oleh para pengembang software
komersial dengan alasan untuk mencegah diketahuinya kelemahan dalam program
mereka, yang dapat berakibat/ berdampak memungkinkan pihak-pihak yang tidak
bertanggung jawab untuk melakukan hal-hal yang merugikan perusahaan pengembang
dan para pemakai software tersebut. LISENSI Perangkat Lunak
Komputer
- Lisensi
Commercial
Adalah Jenis lisensi yang biasa
ditemui pada
Perangkat lunak yang dibuat dengan
lisensi ini perangkat lunak seperti Microsoft dengan Windows dan Office, Lotus,
Oracle dan sebagainya.memang dibuat untuk kepentingan komersial sehingga
pemakai yang ingin menggunakannya harus membeli atau mendapatkan izin
penggunaan dari pemegang hak cipta.
- Lisensi
Trial Software
Adalah jenis lisensi yang biasa
ditemui pada perangkat lunak untuk keperluan demo dari sebuah perangkat lunak
sebelum diluncurkan ke masyarakat. Lisensi ini mengizinkan pengguna untuk
menggunakan, menyalin, atau menggandakan perangkat lunak tersebut secara bebas.
Namum karena bersifat demo, sering kali perangkat lunak
dengan lisensi ini tidak memiliki fungsi dan fasilitas selengkap versi
komersialnya. Lagipula, perangkat lunak versi demo biasanya dibatasi oleh masa
aktif tertentu. Contoh: Program Adobe Photoshop CS Trial Version 30 for days.
- Lisensi
Non Commercial Use
Biasanya diperuntukkan untuk kalangan
pendidikan atau yayasan tertentu di bidang social. Sifatnya yang tidak
komersial, biasanya gratis tetapi dengan batasan penggunaan tertentu.
Contoh: Perangkat lunak yang memiliki
lisensi ini adalah program star office yang dapat berjalan di bawah system
operasi Linux dan Windows sekaligus.
- Lisensi
Shareware
Mengizinkan pemakainya untuk
menggunakan, menyalin, atau menggandakan tanpa harus meminta izin pemegang hak
cipta.
Berbeda dengan trial software, Lisensi
ini tidak dibatasi oleh batas waktu dan memiliki feature yang lengkap.
Lisensi ini biasanya ditemui pada
perangkat lunak perusahaan kecil. Beberapa contoh lisensi ini: Winzip, Paint
Shop Pro, ACD See.
- Lisensi
Freeware
Biasanya ditemui pada perangkat lunak
yang bersifat mendukung atau memberikan fasilitas tambahan. Contohnya: Plug in
Power point, Adobe PhotoShop.
- Lisensi
Royalty-Free Binaries
Serupa dengan freeware, hanya saja
produk yang ditawarkan adalah library yang berfungsi melengkapi perangkat lunak
yang sudah ada dan bukan merupakan suatu perangkat lunak yang berdiri sendiri.
- Lisensi
Open Source
Adalah lisensi yang membebaskan
penggunannya untuk menjalankan, menggandakan, menyebarluaskan, mempelajari,
mengubah dan meningkatkan kinerja perangkat lunak.
Berbagai jens lisensi open source
seperti lisensi GNU/GPL, the FreeBSD, the MPL. Sedangkan jenis-jenis perangkat
lunak yang memakai lisensi ini, misalnya Linux, sendmail, apache dan FreeBSD.
Dalam system lisensi, Open Source
menjadi suatu alternative perkembangan program computer yang memiliki kekuatan
hukum sendiri.
3. Open source software vs Lisensi Software
Komunitas
pendukung open source dan software gratis mengatakan bahwa model
pengembangan dengan open source software
merupakan hal yang baik untuk meningkatkan kehandalan dan keamanan suatu software karena akan banyak pihak yang
terlibat dalam perbaikan bugs serta
kelemahan-kelemahan software
tersebut. Pendapat ini memperoleh
tentangan dari pihak-pihak lain, terutama pihak pengembang software komersial karena terbukanya akses ke kode program akan
memberikan hal yang menguntungkan bagi para hacker
untuk dengan mudah mengetahui kelemahan-kelemahan suatu sistem dan menggunakan
kelemahan-kelemahan tersebut untuk melakukan tindakan-tindakan yang dapat
merugikan pengguna dan pembuat software.
Jadi manakah yang lebih baik dalam hal keamanan, open source software atau Lisensi
Software ?
Model
pengembangan open source software
dapat memberikan perbaikan dalam hal keamanan suatu software dan hal ini memang diakui oleh banyak pihak, termasuk
pengembang software komersial yang
menentang model ini. Akan tetapi, jika pada software
yang dikembangkan dengan model ini ternyata masih terdapat bugs dan kelemahan yang kemudian merugikan pengguna software tersebut, maka siapakah yang harus
bertanggung jawab? Programmer yang membuat software, orang-orang yang berkontribusi dalam memperbaiki program,
penyedia program atau pengguna software
itu sendiri? Dengan semakin kritisnya fungsi dari suatu software, maka hal ini akan menjadi semakin penting. Sebaliknya
untuk model pengembangan Lisensi
Software,
pihak yang bertanggung jawab tentu saja pengembang software dan mereka tentu saja akan berusaha memberikan tingkat
keamanan tertinggi untuk software
yang mereka produksi. Mereka akan menginvestasikan semua yang hal yang
diperlukan untuk menjaga kepercayaan konsumen terhadap produk mereka.
Kebebasan
untuk mengakses kode program suatu software
akan memberikan kemudahan bagi banyak programmer
untuk ikut ambil bagian dalam melihat, mempelajari dan memperbaiki software tersebut. Selain itu, dengan
metode lisensi tertentu, mereka dapat mengembangkan dan mengimplementasikan software yang mereka perbaiki. Akan
tetapi, perlu disadari bahwa hal ini sama sekali tidak menjamin bahwa software tersebut akan menjadi aman
karenanya. Pengalaman menunjukkan bahwa para pengembang yang mengakses kode
program tersebut cenderung untuk mengubahnya daripada menganalisa kelemahan dan
memperbaikinya sementara para programmer
yang mengakses kode program tersebut cenderung menggunakannya untuk membangun
dan memelihara sistem mereka sendiri. Kecenderungan lainnya adalah bahwa tidak
semua software yang kode programnya
dibuka untuk umum akan dilihat oleh pengguna akses. Mereka lebih tertarik untuk
melihat kode program yang terkenal dan perlu dicatat bahwa tidak semua bagian
akan mereka lihat.
Kebebasan
yang tak terbatas bagi tiap orang untuk mengakses kode program merupakan pedang
bermata dua bagi software itu
sendiri. Hal ini disebabkan karena kebebasan ini memberikan informasi tentang
kelemahan software. Kemudian, yang
terjadi adalah eksploitasi kelemahan. Para hacker
akan menggunakan kelemahan ini untuk
melakukan hal-hal yang dapat merugikan pengguna software tersebut. Akibatnya akan lebih buruk jika software tersebut merupakan software yang vital bagi pengguna karena
akan memungkinkan terjadinya penipuan, pencurian identitas, pencurian
informasi, dan sebagainya. Berikut ini adalah contoh-contoh eksploitasi
kelemahan yang terjadi pada software
yang dikembangkan dengan model open
source :
- Ditemukannya
cacat pada bahasa pemrograman PHP yang mengakibatkan rentannya kurang
lebih 9.000.000 situs terhadap serangan hacker.
- Adanya
bug pada program enkripsi Open SSH yang digunakan untuk mengamankan
komunikasi antara komputer yang berbasis linux sehingga komputer tersebut
rentan terhadap serangan dari luar.
- Cacat
pada software Zlib Compression Library yang
menyebabkan sistem linux sebagai sasaran potensial bagi para hacker.
Kemampuan
untuk setiap programmer untuk
memberikan kontribusi perbaikan kode program memang memberikan kemungkinan yang
lebih besar dalam menemukan solusi masalah keamanan. Tapi hal ini tidaklah
menjamin kualitas perbaikan yang telah dilakukan. Lebih jauh lagi, banyak bukti
yang menyatakan bahwa model pengembangan open
source software membutuhkan lebih banyak waktu dan biaya dalam
pelaksanaannya. Hal ini tidak terjadi pada model pengembangan Lisensi Software. Sayangnya, programmer handal yang mampu menangani
masalah pengembangan keamanan software
sangatlah terbatas jumlahnya. Akibatnya, para pengembang software komersial kesulitan untuk memiliki tenaga ahli seperti ini
dan kalaupun ada, maka diperlukan biaya yang tinggi untuk membayar tenaga
mereka. Dengan semakin tingginya tuntutan konsumen akan keamanan maka mau tidak
mau, pengembang software komersial
harus bersedia menyediakan biaya lebih untuk membayar tenaga ahli ini dan
menginvestasikan sejumlah anggaran untuk pelatihan tenaga ahli yang mereka
butuhkan.
Evaluasi
lengkap dari suatu kode program untuk mendapatkan tingkat keamanan yang tinggi
merupakan proses yang amat sulit, terutama untuk software yang besar dan kompleks, seperti Sistem Operasi. Selain
itu, dengan bertambahnya jaringan dan komputer yang saling bergantung akan
membutuhkan tingkat pengujian dan implementasi software yang lebih baik lagi dan peningkatan ini akan semakin
besar seiring dengan semakin besarnya komunitas internet. Akibatnya adalah semakin banyaknya waktu dan biaya yang
dibutuhkan untuk menguji software
yang dikembangkan. Hal ini merupakan masalah besar bagi para pengembang open source software karena semuanya
harus ditanggung oleh mereka sedangkan bagi para pengembang software komersial hal ini tidak begitu
menjadi masalah karena mereka memiliki anggaran yang diambil dari keuntungan
mereka.
Untuk
memperoleh sertifikasi dari pemerintah bagi software
yang dikembangkan dengam model open
source software, merupakan hal yang sulit terutama dalam proses dan biaya.
Bahkan dengan dana yang cukup, terdistribusinya kontribusi kode program dan
kurangnya dokumentasi yang seragam dari para kontributor pada tiap komponen dan
sub-komponen dari software tersebut
akan mempersulit sertifikasi. Proses ini akan semakin sulit karena proses
sertifikasi harus mengikutsertakan fitur-fitur tambahan dan sub-komponen yang
ditambahkan ke dalam software seiring
dengan munculnya perbaikan-perbaikan baru dari kontributor.
Pengembang
software dengan model Lisensi mengembangkan software yang mereka produksi dengan
menggunakan programmer-programmer yang mereka miliki. Dari survei
pemakaian serta pengaduan yang dikirimkan oleh pengguna software mereka akan
mengetahui bugs serta kelemahan yang
masih terlewatkan saat pembuatan software serta melakukan semua perbaikan yang
dibutuhkan untuk menghilangkan bugs serta
kelemahan tersebut. Perbaikan yang dilakukan setelah software tersebut diluncurkan akan diberikan kepada konsumen
melalui patch-patch yang dapat di download oleh konsumen melalui internet.
Akan tetapi, dengan semakin banyaknya pengaduan yang dikirimkan konsumen, pihak
pengembang akan kesulitan untuk memprioritaskan perbaikan yang harus dilakukan
dan keberhasilan yang diperoleh tidak hanya akan bergantung pada berapa banyak
kelemahan yang diidentifikasi dan diperbaiki, tetapi juga pada berapa banyak
perbaikan ini dipasang dan digunakan.
Penjelasan-penjelasan
di atas memberikan gambaran tentang software
model pengembangan open source dan
model pengembangan Lisensi. Penjelasan tersebut dapat
ditabelkan sebagai berikut :
Masalah keamanan merupakan
masalah yang sangat kompleks dan rumit. Dari penjelasan-penjelasan diatas dapat
diketahui bahwa model pengembangan memiliki efek yang netral terhadap masalah
keamanan. Setiap model pengembangan memiliki peranan masing-masing yang penting
dalam menciptakan software yang
handal dan aman dan setiap model memiliki kelebihan dan kekurangan masing yang
saling melengkapi satu sama lain.
4. Sistem
Keamanan pada Open Source.
Open
source bekerja dalam open sistem. Secara garis besar sistim keamanan pada open
source berkaitan dengan keamanan pada open sistem. Open system atau sistem
terbuka mengacu kepada sistem komputer yang menggunakan antar muka standar yang
terbuka. Standar sistem terbuka adalah spesifikasi antar muka yang dapat
digunakan oleh semua vendor dalam pembuatan produk mereka.
Pentingnya standar sistim terbuka :
1.
mudah
mendefinisikan antar muka pada berbagai platform.
2.
spesifikasi
yang terbuka sangat diperlukan oleh vendor-vendor yang lain menggunakan sistim
terbuka.
Keterbukaan
spesifikasi memberikan keuntungan berupa berkurangnya ketergantungan suatu
aplikasi terhadap sistem tertentu. Keterbukaan juga menyebabkan masalah
keamanan atau sekuriti menjadi penting. Keamanan diperlukan dalam disain
aplikasi. Dalam paper ini dibicarakan masalah keamanan open sistem yang
berkaitan dengan standar yang ditetapkan oleh IEEE POSIX.
POSIX merupakan kumpulan standar yang
didisain untuk membuat portabilitas aplikasi antar perangkat keras dan sistem
operasi. Standar ini dibuat oleh IEEE Technical
Committee on Operating System. Komite ini menghasilkan dua standar utama
:
- POSIX
System Application Program Interface Standar yang mendefinisikan standar
mekanisme dan layanan sistem dan sistem call yang menyediakan antarmuka
antara program aplikasi dengan sistem.
- POSIX
System Application Program Interface yang mendefinisikan masalah keamanan
yang belum dicakup oleh POSIX System Application Program Interface
Standar.
Antarmuka
POSIX 6 diletakkan diantara aplikasi System Call dan System Operasi sehingga
sebuah aplikasi dapat meminta akses kontrol mandatory pada file tanpa harus
tahu bagaimana file tersebut disimpan.
Struktur data pada mekanisme yang
digunakan oleh POSIX tidak mempengaruhi aplikasi yang menggunakannya. Aplikasi
hanya mengetahui jenis aplikasi yang ada dalam struktur bukan tentang bagaimana
struktur dibuat.
Open system
terhubung dalam jaringan. Kegiatan yang menjadi ancaman bagi keamanan jaringan
diantaranya adalah peniruan
(impersonating) user, eavesdropping, denial of service, packet replay, dan
modifikasi paket.
Impersonating : dapat dilakukan oleh
penyusup (cracker) diantaranya dengan menebak password, password
trapping, dan menggunakan celah keamanan program yang digunakan.
Eavedropping : adalah kegiatan
memungkinkan penyusup untuk menyalin aktivitas dalam jaringan. Sehingga
penyusup dapat memperoleh data penting seperti password, data, dan informasi
lainnya.
Denial of service : kegiatan yang dilakukan
penyusup mengakibatkan penolakkan akses user yang sah oleh sistem sehingga
sistem tidak dapat digunakan lagi.
Packet replay : merupakan rekaman atau
transmisi balik paket pesan pada jaringan sehingga seorang penyusup dapat
menggunakan paket tersebut untuk memperoleh autentikasi khusus dan bisa
melakukan akses kepada sistem.
Modifikasi paket : dilakukan dengan merubah
isi paket oleh penyusup sehingga mengakibatkan kerusakan isi data atau
informasi yang dimiliki uleh user yang sah.
Standar yang
terkait dengan Proteksi, Audit, dan Antarmuka Kendali mengacu kepada standar
POSIX 6. Fungsionalitas yang dicakup oleh
mekanisme keamanan dalam POSIX adalah : mekanisme audit, kontrol akses secara
diskresi, penamaan informasi, mandatory access control (MAC), dan privilege.
Sistem audit
merupakan kumpulan rekaman audit yang berisi data tentang kejadian yang
berkaitan dengan keamanan. Rekaman audit berisi atribut seperti waktu kejadian,
status tiap kejadian, subjek dan objek kejadian. Sedangkan audit trail adalah
rekaman audit yang berisikan kejadian-kejadian yang dicakup oleh jangkauan
keamanan POSIX.
Antarmuka yang disediakan oleh POSIX
Untuk mendukung mekanisme audit meliputi : perolehan dan rilis akses ke audit
trial, menulis rekaman audit, membaca rekaman audit, sistim kendali auditing,
analisa rekaman audit, dan penyimpanan rekaman audit.
Kontrol akses
secara diskresi menggunakan akses kontrol dengan membatasi akses subjek kepada
objek. Pembatasan ini dimaksudkan untuk memastikan hanya pemilik file yang sah
yang dapat melakukan akses. Objek yang berhubungan dengan file dan berisi akses
khusus user (pengguna) disebut access control list, yang menyediakan mekanisme
untuk menerima/menolak akses user.
Privilege
merupakan mekanisme yang digunakan untuk memberikan jaminan kepada user atau
proses berupa kemampuan untuk mengerjakan suatu hal yang berkaitan dengan
keamanan dengan waktu dan kondisi yang terbatas. POSIX menggunakan privilege
yang berbasis pada kombinasi atribut privilege bagian sebuah proses dengan
bagian sebuah file sehingga tidak berdasarkan kepada privilege user tertentu.
Standar POSIX 6
mendefinisikan batasan untuk setiap akses dengan melakukan pembandingan.
Pembandingan ini dilakukan dengan label MAC yang berhubungan dengan subjek dan
label MAC yang berhubungan dengan objek. Salah satu contoh pembandingan yang
digunakan adalah tingkat kerahasiaan file. Antarmuka pada MAC menyediakan
proses untuk memperoleh, memanipulasi, membandingkan, mengatur, dan
mengkonversi label pada MAC.
Kriptografi
melindungi integritas informasi dengan menggunakan proses autentikasi dan
verifikasi. Istilah kriptografi berarti ilmu yang memetakan teks yang dapat
dibaca atau plainteks menjadi teks yang tak dapat dibaca atau chiperteks atau
sebaliknya. Fungsi kriptografi biasanya diimplementasikan dalam bentuk modul
kriptografi yang memuat kombinasi hardware, firmware atau software yang membawa
kriptographic logic.
Sistem kriptografi
menyediakan dua fungsi kriptografi yaitu secret-key criptosystem dan public-key
cripatosystem. Pada secret-key criptosystem, kunci rahasia digunakan oleh dua
individu dengan atau lebih dan menggunakan kunci yang sama untuk melakukan
enkripsi atau deskripsi pesan. Pada public-key criptosytem pengguna memakai
beberapa pasangan kunci yaitu public key dan privat key. Kunci untuk proses
enkripsi dan deskripsi pada public-key criptosytem tidak menggunakan satu kunci
saja.
Layanan keamanan pada interaksi
manusia dengan komputer pada sistem terbuka secara umum dikelompokkan pada
-
identifikasi
dan autentikasi user, program, dan sistem lainnya,
-
pembatasan
aktifitas user, program, dan sistem lainnya yang terkait dengan masalah
otoritas.
Masalah yang
tercakup dalam layanan keamaan pada interaksi manusia dengan komputer adalah
identifikasi pengguna berupa physical key, password, dan biometric check.
Physical key adalah objek yang secara
karakteristik menyebabkan kerahasiaan tertentu dan tidak mudah untuk dilakukan
reproduksi ulang. Kunci fisik memiliki hal-hal berikut: bagian dari metal mesin
yang digunakan untuk unlock komputer, device perangkat keras yang terhubung
dengan kanal input-output yang dapat diakses oleh sistem dan dapat dieksekusi
oleh program tertentu, smart card yang merupakan papan sirkuit dalam bentuk
kartu kredit yang berisi memori yang nonvolatile dan bisa saja berisi perangkat
CPU.
Password adalah deretan karakter yang
kerahasiannya hanya diketahui antara pengguna dengan sistem. Password ini
diletakkan dalam media simpan yang dapat
berbentuk mudah dibaca maupun dalam bentuk terenkripsi.
Biometrik check adalah metoda yang didasarkan
kepada perbandingan dengan melakukan pembacaan karakteristik unik fisik manusia
dengan nilai yang sudah tersimpan pada sistem. Bagian fisik yang biasa
digunakan untuk karakteristik fisik adalah bagian tangan, gambar muka, retina,
jari, dan suara.
Sistem sekuriti
yang sudah disebutkan sebelumnya merupakan usaha yang umum dilakukan untuk
mengamankan file-file dalam suatu sistem terbuka dari akses user yang tidak
sah. Pengamanan pada lisensi
software (CSS) juga ditingkatkan dengan tidak dapat diaksesnya source code.
Dengan berbagai usaha yang sedemikian itu sistem masih mungkin diserang oleh
penyusup. Open Source Software yang memberikan kebebasan bagi penggunanya untuk
mengetahui source code program memiliki peluang yang lebih besar untuk
diserang. Dari pemikiran sederhana dapat disimpulkan bahwa OSS kurang aman dibading
CSS. Namun dalam bagian berikut ini ditunjukkan bahwa keterbukaan akses
pengguna kepada source code justru memberikan keamanan yang lebih tinggi bagi
OSS.
5. Perbandingan Kasus Keamanan OSS
dengan CSS
Perhitungan
sekuriti secara kuantitatif sangat sulit untuk dilakukan. Bagaimanapun juga
disini beberapa usaha dilakukan sehingga dapat dilihat gambaran OSS lebih baik
dibanding dengan rivalnya. Dalam hal ini dibuat perbandingan terahadap sistem
Windows karena sulit untuk menghadirkan sitem yang lainnya karena semakin
banyak sitem lain yang menuju sistem terbuka.
Berikut ini beberapa data perbandingan
laporan keamanan dari OSS dengan CSS:
1.
Asuransi
keamanan sistem J.S. Wurzler Underwriting Manager memasang tarif 5-15% lebih
mahal untuk sistem yang menggunakan Windows dibanding dengan sistem GNU/Linux.
Data dari Attrition org menunjukkan
bahwa 59% dari sistem yang diserang
beroperasi dalam Windows, 21% Linux,
8% Solaris, 6% BSD, dan 6% sistem lainnya. Situs defaced.alldas.de melaporkan bahwa trend
ini meningkat dimana pada July 12, 2001, 66.09% situs yang diserang hacker beroperasi dalam sistem Windows,
bandingkan dengan 17.01% for GNU/Linux, dari 20,260 websites yang diserang.
2.
Database
Kerentanan Bugtraq dalam penelitiannya pada tahun 1999-2000 menunjukkan
operating system yang paling tahan taerhadap serangan adalah OSS. Data
statistik diperlihatkan dalam tabel berikut
(17 September 2000). Angka yang ada menunjukkan tingkat kerentanan
(mudah diserang) dalam skala serangan terhadap GNU/Linux.
|
OS
|
1997
|
1998
|
1999
|
2000
|
|
Debian GNU/Linux
|
2
|
2
|
30
|
20
|
|
OpenBSD
|
1
|
2
|
4
|
7
|
|
Red Hat Linux
|
5
|
10
|
41
|
40
|
|
Solaris
|
24
|
31
|
34
|
9
|
|
Windows NT/2000
|
4
|
7
|
99
|
85
|
3. Vendor OSS Red Hat
merespon lebih cepat dari pada Microsoft
atau Sun (keduanya closed source software) dan Sun paling lambat
merespon dan memberikan laporan tentang adanya serangan. Red Hat memiliki waktu
reses 348 hari dengan 31 laporan, dengan waktu rata-rata 11,23 hari menjejak
sejak saat serangan. Microsoft memiliki
982 hari reses untuk 61 laporan, yang rata –rata 16,1 hari untuk
menjejak sejak saat serangan. Sedangkan Sun memerlukan waktu reses 716 hari
untuk hanya 8 laporan.
|
Analisis advisori 1999
|
|
Vendor
|
Hari Reses Total
|
Total laporan
|
Hari reses per pelaporan
|
|
Red Hat
|
348
|
31
|
11.23
|
|
Microsoft
|
982
|
61
|
16.10
|
|
Sun
|
716
|
8
|
89.50
|
4.
Suatu
survey pada tahun 2002 oleh Evans Data Corp.’s Spring
2002 Linux Developer Survey meneliti lebih dari 400 pengembang GNU/Linux
menunjukkan sistem GNU/Linux relatif
tahan terhadap serangan luar. Dari keseluruhan responden 84% yakin sistem
terbuka tahan terhadap serangan penyusup.
5.
Majalah
Eweek edisi 20 Juli 2001mnunjukkan bahwa vendor Apache sudah memiliki catatan
keamanan yang lebih baik dari pada Microsoft’s IIS Pendiri dan CEO
SecurityFocus, Arthur Wong, melaporkan analisa bahwa berdasarkan data
SecurityFocus IIS diserang 1400 kali
lebih sering dari pada Apache dalam tahun
2001 dan Windows diserang lebih sering dari pada semua versi Unix. IIS
diserang 17 juta kali, tapi Apache diserang hanya 12000 kali. Ini adalah
perbandingan yang sangat mengejutkan karena ada dua kali lipat penggunaan
sistem Apache di Internet. Dalam tahun 2001, sistem Windows diserang 31 juta
kali, sedangakan sistem Unix diserang 22 juta kali.
6.
The
Gartner Group merekomendasikan para pebisnis untuk beralih dari Microsoft IIS
kepada Apache atau iPlanet karena trek rekor keamanan IIS yang jelek,
diantaranya $1.2 juta kerugian bisnis yang diakibatkan oleh serangan pada Code
Red (yang tercakup dalam IIS) pada Juli 2001.
7.
Dr
Nic Peeling and Dr Julian Satchell dalam Analysis
of the Impact of Open Source Software menyatakan virus komputer
membanjiri lebih banyak Windows dari pada sistem lainnya. Virus LoveLetter
sendiri yang menyerang sistem Windows diperkirakan menimbulkan kerugian $960
juta dalam bentuk kerugian langsung dan
$7.7 juta dalam bentuk penurunan produktivitas. Dan ini juga menyatakan
penjualan software antivirue beromzet $1 juta tiap tahunnya.
8.
Laporan
dari SecurityTracker menyatakan dalam SecurityTracker
Statistics (Maret 2002) dari hasil analisis kerentanan sejak April 2001
sampai Maret 2002 bahwa Microsoft paling rentan terhadap serangan
penyusup. Dari analisa terhadap 1595
laporan serangan meliputi 1175 produk
dari 700 vendor, ditemukan bahwa Microsoft lebih rentan dari sistem lainnya
(187, atau 11.7% dari keseluruhan serangan) berikutnya Sun (42, 2.6% total), HP
(40, 2.5%), and IBM (40, 2.5%).
6. Contoh Opensource Software
Jika kita browsing di
Internet dengan kata kunci open source maka akan ditampilkan daftar beberapa
situs yang memuat sorftware bersifat open source. Masing-masing situs berbeda
dalam menyajikan software yang dapat didownload secara gratis tersebut.
Software tersebut juga dikelompokkan berdasarkan kategori,
sebagai bahan pembanding berikut ini diambil dari salah satu situs yang memuat
software berdasarkan kategori :
- Database : Tuxx Racer, KeePass
Password Save
- Desktop
: GNU/Win32, KeePass
Password Save
- Development : Dev-C++, ZK - Ajax but
no Javascript
-
Enterprise :
Compiere ERP + CRM Business Solution, JasperReports - Java Reporting
- Games
: ZSNES, KoLmafia
- Multimedia
: Weka--Machine Learning Software
in Java, ZK - Ajax but no JavaScript
- Networking
: FileZilla
- Security
: Eraser, KeePass Password Safe
- Hardware
: Tcl, Open HPI
-
SysAdmin :
TightVNC, phpMyAdmin
- VoIP
: trixbox, freePBX
-
CMS
:
Atutor, os-Commerce, Joomla, Mambo, Moodle
7. JENIS-JENIS LISENSI SOFTWARE
Justisiari P.
Kusumah [2006] menyebutkan bahwa ada beberapa jenis lisensi yang diberikan
terhadap suatu software, antara lain:
a. Lisensi
Komersial (Full Version)
Jenis lisensi
komersial adalah lisensi yang diberikan kepada software-software yang bersifat
komersial dan digunakan untuk kepentingan-kepentingan komersial (bisnis).
Misalnya : sistem operasi Microsoft Windows (98, ME, 200, 2003, Vista),
Microsoft Office, PhotoShop, Corel Draw, Page Maker, AutoCAD, beberapa software
Anti Virus (Norton Anti, MCAffee, Bitdefender, Kaspersky), Software Firewall
(Tiny, Zona Alarm, Seagate), dan lain sebagainya. Tidak ada jalan lain yang
diperbolehkan untuk mendapatkan lisensi software ini kecuali dengan membayar
sejumlah harga yang telah ditetapkan.
b. Lisensi
Percobaan/Shareware Licensi
Jenis lisensi
percobaan software (shareware) adalah jenis lisensi yang diberikan kepada
software-software yang bersifat percobaan (trial atau demo version) dalam
rangka uji coba terhadap software komersial yang akan dikeluarkan sebelum
software tersebut dijual secara komersial atau pengguna diijinkan untuk mencoba
terlebih dahulu sebelum membeli software yang sebenarnya (Full Version) dalam
kurun waktu tertentu, misalnya 30 s/d 60 hari.
Termasuk pula
dalam lisensi jenis ini ada evaluation version dimana software yang diluncurkan
belum bisa disebut full version, dengan tujuan sebagai evaluasi kinerja
software tersebut. Sehingga, user akan memberikan feedback kepada developer software yang berguna
sebagai penyempurnaan software tersebut, baik dari segi tampilan atau bahkan
adanya bug dalam software tersebut. Misalnya saja saat Windows 7 versi
evaluation diujicobakan secara gratis namun hanya berfungsi selama kurang lebih
1 tahun sejak Mei 2009 dan akan berakhir Juni 2010, meskipun sekarang telah
diluncurkan versi lengkapnya.
Yang termasuk
shareware di antaranya adalah nagware,
dimana pada software tersebut sering muncul peringatan yang akan hilang jika
melakukan registrasi (membayar), namun software tersebut masih tetap bias
digunakan meski belum diregistrasikan. Misalnya, ACDSee (sampai versi 2.42)
c. Lisensi
Software Terbatas/Limited License
Jenis lisensi
terbatas adalah jenis lisensi yang diberikan kepada software-software yang
bersifat non komersial/freeware dan digunakan hanya untuk
kepentingan-kepentingan non komersial seperti pada instritusi pendidikan
(sekolah dan kampus) dan untuk penggunaan pribadi, misalnya antivirus SmadAV
yang bukan versi PRO, dan sebagainya.
d. Lisensi Bebas
Pakai/Freeware License
Jenis lisensi
freeware adalah software/aplikasi yang bersifat gratis. Kita tidak perlu
membeli atau memasukkan nomor serial (keygen) dari software tersebut, tapi hak
cipta tetap milik pembuat software. Kita tidak boleh merubah hak cipta dan isi
dari software tersebut, apalagi menjualnya ke orang lain. Dengan kata lain kita
hanya boleh memakai saja. Dan sumber kodenya bersifat tertutup, atau closed
source. Contoh dari aplikasi freeware adalah Winamp, Firefox atau Google
Chrome, Yahoo!Mesenger, Pidgin, dan sebagainya.
Freeware, sesuai
dengan namanya adalah software yang benar-benar gratis atau bebas untuk
digunakan, developer software tidak pernah meminta Anda untuk membayar apapun
kepadanya. Dalam beberapa kasus kemampuan freeware malah lebih bagus ketimbang
software berbayar.
Beberapa freeware
memberikan persyaratan bahwa software tersebut hanya boleh digunakan untuk
penggunaan pribadi (personal) bukan untuk digunakan untuk keperluan komersil.
Varian dari
freeware yang menawarkan versi gratis dari software komersial dengan fasilitas
yang terbatas, biasanya ditandai dengan pemberian nama Personal Edition/Lite
Version/Basic.
Contoh : Eudora Lite, InnoculateIT Personal Edition, Real Player Basic, Linux
(distribusi Corel)
Varian dari
freeware yang menampilkan iklan pada tampilan software (umumnya berupa banner)
Contoh : GoZilla!, JetAudio (mulai versi 4.7), Eudora Pro (mulai versi 4.2)
Varian dari
freeware yang meminta imbalan secara sukarela dalam bentuk selain uang, misalnya
: email (mailware), prangko (stampware), surat/kartupos, dll, bahkan ada yang
meminta anda untuk menyumbang kan sejumlah uang kepada yang membutuhkan, bahkan
ada yang hanya meminta Anda untuk berhenti menggerutu tentang sulitnya hidup
(!).
e. Lisensi Open
Source
Jenis lisensi Open
Source adalah jenis lisensi yang diberikan kepada software-software yang source
code penuhnya tersedia bagi siapa pun yang menginginkannya (untuk dimodifikasi)
atau menggunakan hak cipta publik yang dikenal sebagai GNU Public License (GPL)
yang bisa Anda baca secara lengkap di http://www.gnu.org.
Adapun prinsip
dasar GPL berbeda dengan hak cipta, GPL pada dasarnya berusaha memberikan
kebebasan seluas-luasnya bagi pencipta software untuk mengembangkan kreasi
perangkatnya dan menyebarkannya secara bebas kemasyarakat umum (publik).
Tentunya dalam penggunaan GPL ini kita masih terikat dengan norma, nilai dan
etika. Misalnya sangatlah tidak etis apabila kita mengambil software GPL
kemudian mengemasnya menjadi sebuah software komersial dan mengklaim bahwa
software tersebut adalah hasil karya atau ciptaannya. Sebagai contoh, dengan
menggunakan lisensi GPL sistem operasi Linux yang saat banyak beredar di
masyarakat Linux dapat digunakan secara gratis di seluruh dunia, bahkan listing
program-nya (Source Code) dalam Bahasa C dari sistem operasi Linux tersebut
secara terbuka dan dapat diperoleh secara gratis di internet tanpa
dikategorikan membajak software dan melanggar hak cipta (HKI).
8. Kesimpulan
Dari uraian yang telah diberikan dapat disimpulkan bahwa
:
a.
Sistem
keamanan pada open source software dirancang untuk bekerja pada sistem terbuka
dan terus mengalami pengembangan.
b.
Sistem keamanan open source
software (OSS) masih memiliki kelemahan sehingga tidak terlepas dari serangan
penyusup (hacker).
c.
Open
source software memiliki tingkat kekebalan yang lebih baik dibandingkan dengan lisensi software (CSS)
d.
Ada
kecenderungan dunia teknologi informasi untuk beralih dari sistem yang
menggunakan lisensi
software kepada open source software.
e.
Lisensi memiliki hak cipta tetapi lisensi ada juga
yang memberikan secara free trial biasanya 30hari,ada juga yang memberi free
tetapi tidak dapat dikembangkan.
Referensi :
1. Roger Needham, "Security and Open Source", http://www.idei.asso.fr:80/ Commun/ Conferences/Internet/OSS2002/Papiers/Needham.PDF
2. Ross Anderson, "Security in Open versus Closed Systems - The Dance of Boltzmann, Coase, and Moore
3. Antone Gonsalves, "Report Rekindles Open Source vs. Microsoft Security Debate" http://www.internetwk.com/shared/printableArticle.jhtml?
4. Rahmat Rafiudin, “Menguasai Security Unix”, Elex Media Komputindo, 2000.
7.
http://www.networkcomputing.com/1201/1201f1b1.html
8. http://www.gnu.org
