Chapter 6:E-mail
Chapter 6:E-mail
Pada tahun 1998, jajak pendapat pembaca Computerworld menunjukkan bahwa
volume e-mail yang diterima pengguna meningkat lebih dari 58% dari tahun 1997,
buletin Electronic Mail & Messaging Systems melaporkan bahwa jumlah akun
e-mail tumbuh pada tingkat tahunan sebesar 45% dan bahwa jumlah akun e-mail
diperkirakan mencapai 400.000.000 pada tahun 1999. Baru-baru ini, Computerworld
melaporkan bahwa Biro Praktik Bisnis meramalkan bahwa pengguna on-line akan
menerima lebih dari tujuh triliun pesan e-mail pada tahun 2000.
Statistik ini menggaris bawahi
kenyataan bahwa e-mail menjadi media komunikasi yang umum seperti telepon. Oleh karena itu, sebuah
organisasi perlu memasukkan e-mail ke dalam tindakan pengamanan apapun.
Pengelolaan dan pemantauan e-mail menjadi semakin penting bagi organisasi.
Isu
terkait email
Isu yang terkait dengan e-mail jauh melampaui
masalah mendapatkan pesan dari satu titik ke titik lainnya. Saat membahas
e-mail, seseorang perlu mempertimbangkan masalah yang terkait dengan pengirim,
penerima, media, dan pengaruhnya terhadap jaringan.
Sebagai pengirim dan penerima e-mail Anda harus
memperhatikan informasi kepemilikan, baik saat transit atau penyimpanan. Anda
juga harus khawatir tentang modifikasi informasi selama transit. Selain itu,
proses identifikasi merupakan isu penting bagi semua pengguna e-mail. Penerima
e-mail harus memperhatikan otentikasi identitas pengirim. Pengguna e-mail perlu
memperhatikan beberapa orang yang memalsukan identitas mereka, dan beberapa
mungkin benar-benar khawatir tentang mengaburkan identitas mereka, karena takut
balas dendam atau dengan niat jahat saat mengirim e-mail. Akhirnya, ada
kekhawatiran e-mail digunakan sebagai senjata dan dampaknya terhadap pengguna
dan jaringan organisasi. Apakah sebuah organisasi adalah korban serangan SPAM
langsung atau beberapa proses pengalihan / spoofing, efeknya dapat
dinonaktifkan. E-mail juga telah terbukti menjadi sistem pengiriman virus yang
paling efektif.
Keamanan
Email
Yang paling penting untuk diingat tentang standar
e-mail adalah sangat tidak aman. Email hampir selalu rentan terhadap
pengungkapan dalam satu atau lain cara. Sangat sering, e-mail dengan kebutuhan
harus melintasi banyak jaringan untuk mencapai tujuannya. Selama transit, pesan
e-mail bisa melewati banyak server email. Akibatnya, rentan terhadap
intersepsi, replikasi, pengungkapan, atau modifikasi di manapun di sepanjang
jalur yang ditentukan. Ini dapat disalin dan disimpan untuk diambil di kemudian
hari. Sebenarnya, setiap server e-mail yang dikirim lewat e-mail mungkin
membuat salinan pesan sebelum diteruskan. Apakah Anda menggunakan sistem e-mail
perusahaan atau akun e-mail yang disediakan oleh ISP, pesan e-mail Anda berada
di server e-mail. Bahkan jika Anda mendownload e-mail ke disk drive lokal Anda,
pesan tersebut mungkin telah dicadangkan dan disimpan di beberapa media lain.
Jika perusahaan Anda menggunakan portal e-mail ke Internet, maka e-mail Anda
akan disalin ke sana sebelum diteruskan ke alamat Internet yang sesuai. Poin
yang ingin saya sampaikan adalah bahwa jika menurut Anda e-mail Anda aman dan
rahasia, berarti Anda salah besar
Selain pengungkapan,
pesan e-mail rentan terhadap perubahan. Di mana saja di sepanjang jalan, pesan
e-mail dapat dicegat dan dimodifikasi sebelum diteruskan. Email umum tidak
menyediakan metode untuk mendeteksi pesan yang telah diubah saat transit. Pesan
yang telah disalin dan disimpan juga dapat dimodifikasi dan dipancarkan ulang di
lain waktu.
Kerentanan lain terletak pada kenyataan bahwa identitas e-mail sangat mudah
dipalsukan. Dengan e-mail biasa, tidak ada proses internal untuk memastikan
bahwa pengirim pesan adalah orang yang diklaimnya. E-mail header cukup mudah
untuk ditipu, dan kebanyakan individu tidak tahu harus mencari apa ketika
menerima e-mail.
Salah satu solusi untuk
masalah ini adalah dengan menggunakan e-mail yang lebih
secure/aman.
Persyaratan dasar email aman dijelaskan sebagai berikut:
-
Nondisclosure of the contents
of the e-mail message : Ini biasanya dicapai dengan menggunakan beberapa
teknologi enkripsi.
-
Message integrity : Dengan kata lain, e-mail
yang aman memastikan bahwa pesan belum diubah selama transit dan menyediakan
metode untuk memastikan integritas pesan. Hal ini biasanya dicapai dengan
menggunakan beberapa algoritma hashing atau message digest.
-
Verification of sender: Secure e-mail menyediakan
beberapa metode untuk memastikan identitas pengirim dengan tingkat kepercayaan
tinggi. Hal ini biasanya dicapai dengan menggunakan teknologi tanda tangan
digital.
-
Verification of recipient: Hal ini dapat dicapai dengan menggunakan enkripsi kunci publik.
Secure
E-Mail Protocols
-
PGP
-
PEM
-
Secure multipurpose Internet
mail extension (MIME) (S/MIME)
-
MIME object security service
(MOSS)
-
Message security protocol (MSP)
Pretty Good Privacy (PGP)
PGP
adalah program enkripsi yang dikembangkan oleh Phil Zimmerman pada awal 1990an.
Ini bisa digunakan untuk mengenkripsi tidak hanya e-mail tapi juga file. Bahkan
ada versi khusus PGP yang tersedia untuk mengenkripsi percakapan telepon. Ada
juga klien VPN PGP komersial yang tersedia dari Network Associates, yang
diiklankan sebagai sepenuhnya IPSec compliant dan mendukung sertifikat digital
X.509.
Ada
juga beberapa masalah karena versi PGP sebelumnya menggunakan teknologi
proprietary yang dimiliki oleh RSA. Akibatnya, versi yang lebih baru harus
dimodifikasi sehingga hak cipta RSA tidak terpengaruh, dan beberapa versi PGP
sebelumnya mungkin tidak kompatibel dengan versi yang lebih baru.
PGP menggunakan
kriptografi kunci publik untuk memastikan kerahasiaan. Ini juga menggunakan
tanda tangan digital untuk mengotentikasi identitas pengirim, memastikan
integritas pesan, dan memberikan nonrepudiation. Selain itu, PGP dapat digunakan
untuk mengenkripsi file pada media penyimpanan untuk memastikan kerahasiaan
file yang tersimpan
PGP menggunakan kombinasi
enkripsi simetris dan asimetris untuk mempercepat proses enkripsi. Seperti
dibahas di Bab 3, asimetris bersifat padat CPU. Akibatnya, hal itu bisa
menempatkan beban substansial pada banyak PC. Untuk menghindarinya, PGP
dirancang untuk mengenkripsi dan mendekripsi pesan dengan enkripsi kunci
simetris namun menggunakan enkripsi kunci asimetris untuk mengenkripsi kunci
yang digunakan untuk mengenkripsi pesan menggunakan enkripsi kunci simetris.
Prosesnya bekerja seperti
ini: Alice ingin mengirim pesan terenkripsi kepada Bob; Alice sudah tahu kunci
publik Bob. Alice mengenkripsi pesannya menggunakan CAST, tripleDES (3DES),
atau IDEA. Dia kemudian mengenkripsi kunci yang digunakan untuk mengenkripsi
pesan menggunakan algoritma RSA atau Diffie-Hellman. Dia juga bisa secara
digital menandatangani pesan menggunakan RSA dan kunci pribadinya. Jika
Diffie-Hellman dipekerjakan maka dia perlu menggunakan beberapa mekanisme lain,
seperti DSS, untuk menandatangani pesan.
Saat Bob menerima pesan
tersebut, dia memverifikasi tanda tangannya dengan menggunakan kunci publik
Alice, dengan asumsi pesannya ditandatangani. Ini juga mengasumsikan bahwa Bob
memiliki akses ke kunci publik Alice. Kemudian menggunakan kunci pribadinya,
dia mendekripsi kunci yang dienkripsi oleh Alice menggunakan kunci publiknya.
Inilah kunci yang digunakan Alice untuk mengenkripsi pesan menggunakan
algoritma kunci simetris seperti CAST, 3DES, atau IDEA. Dengan kunci itu, Bob
mendekripsi dan membaca pesan aslinya. Seperti kebanyakan enkripsi, untuk
proses enkripsi dan dekripsi untuk bekerja dekripsi harus dilakukan dengan
urutan terbalik dari enkripsi. Anggap saja dalam hal lapisan: Lapisan terakhir
harus menjadi lapisan pertama; Jika tidak prosesnya tidak bekerja.
PGP mengandalkan jaringan
kepercayaan informal untuk otentikasi kunci publik. Jaring kepercayaan terdiri
dari gantungan kunci yang dipelihara oleh berbagai organisasi. Gantungan kunci
adalah postingan kunci publik milik pengguna PGP individual. Jika Anda perlu
mengautentikasi kunci publik yang digunakan untuk menandatangani pesan PGP
secara digital, Anda dapat membuka gantungan kunci untuk memverifikasi kunci
publik pengirim.
Privacy-Enhanced
Mail (PEM)
PEM adalah standar yang diusulkan yang mendefinisikan penggunaan enkripsi
kunci publik untuk mengamankan e-mail untuk transmisi di Internet. Standar ini
juga menyediakan otentikasi. PEM menggunakan organisasi hirarkis untuk otentikasi
dan distribusi kunci. Agar kunci yang valid itu harus ditandatangani oleh CA.
Hirarki yang dibutuhkan untuk otentikasi belum ada. Kurangnya infrastruktur
hirarki ini mungkin salah satu alasan utama PEM belum banyak digunakan. Namun,
PEM harus bisa menggunakan sertifikat digital X.509 untuk otentikasi identitas
pengirim.
PGP Versus PEM
Ada beberapa perbedaan utama antara PGP dan PEM.
Pertama, PGP adalah produk, sementara PEM adalah standar. Selain itu, PEM tidak
mengizinkan pesan anonim. Saat pesan ditandatangani dengan PEM, tanda tangan
dapat ditinjau oleh siapa saja. Bahkan mereka yang tidak bisa mendekripsi pesan
bisa menentukan penandatangan pesan. Standar PEM bergantung pada sistem kunci
publik hierarkis formal, yang belum diimplementasikan. PGP mengandalkan
jaringan kepercayaan, sebuah proses yang lebih informal yang memanfaatkan
gantungan kunci yang dikelola oleh berbagai organisasi. Untuk alasan ini, PGP
tidak sesuai untuk penggunaan komersial. Sebenarnya, Anda mungkin mendapati
bahwa banyak departemen TI perusahaan tidak membiarkannya dimuat ke sistem yang
dimiliki perusahaan.
Secure MIME (S/MIME)
MIME adalah perpanjangan dari standar protokol
email e-mail asli yang menentukan bagaimana pesan harus diformat, sehingga bisa
dipertukarkan antara sistem e-mail yang berbeda. S / MIME adalah standar yang
diajukan oleh RSA yang menjelaskan metode aman untuk mengirim e-mail yang
menggunakan sistem enkripsi RSA. S / MIME didukung oleh Microsoft dan Netscape
di versi terbaru browser Web mereka dan telah disahkan oleh vendor lain yang
membuat produk olahpesan. RSA telah mengusulkan S / MIME sebagai standar Rekayasa
Internet
Satuan Tugas (IETF). Alternatif S / MIME adalah PGP / MIME, yang juga telah
diusulkan sebagai standar
Pada contoh di atas, kami meninjau bagaimana kami
bisa menggunakan Eudora dan PGP untuk mendapatkan e-mail yang aman. PGP
menggunakan kriptografi kunci publik dan sebuah organisasi informal dari
gantungan kunci untuk memberikan kerahasiaan, integritas, dan otentikasi
pengirim pesan. S / MIME menggunakan sertifikat digital dengan tanda tangan
digital untuk otentikasi pengirim. Ini juga menggunakan hashing untuk
memastikan integritas pesan dan kombinasi kunci rahasia (simetris) dan enkripsi
kunci publik (asimetris) untuk memastikan kerahasiaan.
MME Object
Security Services (MOSS)
MOSS adalah pilihan e-mail aman. MOSS adalah singkatan
dari MIME Object Security Services.
MOSS berasal dari PEM dan mirip dengan S / MIME karena
itu adalah Internet yang diusulkan
standar untuk memberikan keamanan kepada MIME. MOSS
tergantung pada keberadaan publik / swasta
pasangan kunci untuk mendukung layanan keamanannya.
Pengguna harus menukar kunci publik dengan pengguna yang ingin menukar MOSS
e-mail. Seperti kebanyakan protokol lainnya, MOSS bergantung pada tanda tangan
digital dan enkripsi untuk memberikan otentikasi dari pengirim dan integritas
pesan dan kerahasiaan.
MSP
MSP, yang digunakan oleh militer dalam Defense Message
System, telah menandatangani tanda terima
kemampuan yang memberikan nonrepudiation dengan bukti
pengiriman. Kecuali Anda berada di militer
kemungkinan besar Anda tidak akan terpapar protokol
ini.
Layanan E-Mail
Berbasis Web
Banyak orang menggunakan layanan e-mail berbasis Web
gratis dari perusahaan seperti Yahoo, Microsoft, atau AOL. Misalnya, layanan
Hotmail milik Microsoft memiliki sekitar 40 juta pelanggan.
Secara umum, layanan e-mail berbasis Web dianggap
sangat tidak aman. Telah ada banyak pelanggaran keamanan yang dilaporkan dengan
layanan e-mail ini. Pada tahun 1999, beberapa kerentanan ditemukan pada
Microsoft Hotmail saja. Ada satu melaporkan masalah kemungkinkan potensial hacker
dapat mengakses penuh e-mail yang tersimpan di Hotmail. Sementara beberapa
Penyedia layanan e-mail berbasis web, seperti Hushmail (Gambar 6.17) dan
PrivacyX (Gambar 6.18), menawarkan kemampuan untuk mengirimkan e-mail
terenkripsi, Anda masih dapat mengandalkan layanan penyedia ini untuk memiliki
kontrol keamanan yang memadai. Sebagai aturan, perusahaan seharusnya tidak
mengizinkan karyawannya menggunakan e-mail berbasis Web gratis untuk layanan
bisnis perusahaan. Sebenarnya, mereka harus membatasi atau memantau pengguna
yang mengirim atau forward e-mail ke layanan ini.
Keamanan Pesan Tersimpan
Umumnya, sebagian besar diskusi
mengenai keamanan e-mail mencakup keamanan selama transmisi
e-mail dan proses otentikasi.
Seperti yang telah kita lihat, enkripsi adalah untuk memastikan kerahasiaan dan integritas selama pengiriman pesan dan
untuk mengautentikasi
identitas pengirim. Beberapa paket enkripsi, seperti PGP,yang memungkinkan pengguna
menyimpan file dalam format terenkripsi. Untuk mendekripsi file perlu memasukkan
password yang diberikan pengguna. Namun, meski e-mail disimpan dalam format terenkripsi, Anda tetap
dapat dipaksa secara hukum untuk mengungkapkan isinya. Sebuah perusahaan bernama Global Markets
menyatakan untuk menawarkan solusi atas masalah ini. Pasar global (www.1on1mail.com) memiliki layanan e-mail yang
kabarnya tidak hanya mengenkripsi e-mail tapi itu memiliki fitur self-destruct juga. Ini adalah
layanan e-mail berbasis Web gratis lainnya.Perangkat lunak Itu akan menghapus e-mail dua jam setelah penerimaan dan menimpa ruang file
pada disk bahwa itu tidak dapat
dipulihkan dengan mengurungkan sisa file. Perusahaan lain yang menawarkan hal
serupa dengan layanan yang hilang. Namun, berfungsi, layanan ini biasanya mengharuskan pengirim dan
penerima menginstal dan menggunakan
perangkat lunak klien mereka. Seperti halnya layanan e-mail berbasis Web, Anda
mempercayai bahwa Penyedia layanan
dapat menjamin keamanan server e-mail-nya. Selain itu, baik pengirim maupun
penerima bisa mencetak salinan e-mail, yang
bisa mengalahkan keseluruhan skema. Akhirnya, jika e-mail Anda sangat kritis dan sensitif sehingga
memerlukan fitur self-destruct otomatis anda sebaiknya tidak menggunakan layanan e-mail
berbasis Web gratis.
Identitas: Spoofing dan Hiding
Hacker yang menyamar atau menipu
identitas e-mail orang lain mewakili sebuah cara untuk meningkatkan latihan, Cara paling pasti untuk melakukannya adalah
dengan mendapatkan kata sandi ke email pengguna yang sah. Jika seseorang
mendapat akses ke akun e-mail Anda, mereka dapat mengirim pesan itu muncul dari Anda. Pendekatan yang lebih sederhana
adalah menipu header e-mail, jadi begitu pesan itu muncul dari akun e-mail orang lain. Pendekatan spoofing ini, yang sering digunakan
dalam jenis serangan denial-of-service, Contohnya
menggunakan e-mail sebagai senjata. Masquerading sebagai orang lain, seorang
hacker bisa mengirim,
menghina atau meradang e-mail
ke distribusi kelompok atau milisi. Ketika Pelanggan milisi membalas e-mail, itu adalah korban tak bersalah yang mendapat flamed,
bukan si hacker Jika seseorang hanya ingin menyembunyikan
identitasnya, dia bisa menggunakan satu dari selusin remailer situs di Internet Remailer adalah situs Internet
yang bisa Anda kirimi e-mail meneruskan
ke tujuan yang diinginkan, sambil
menyembunyikan alamat e-mail Anda sendiri. PrivacyX (Gambar 6.18) menyediakan kemampuan e-mail anonim.
Salah satu situs yang paling dikenal adalah anonymizer.com, juga dikenal sebagai Anonymizer (Gambar 6.20). Baik PrivacyX dan Anonymizer juga menawarkan
kemampuan penjelajahan anonim. Ada
beberapa situs yang menyediakan anonim
e-mail, browsing, atau keduanya, meski Keefektifan masing-masing kemampuan situs untuk benar-benar melindungi
pengguna. Pada dasarnya, mereka mencoba untuk menghilangkan karakteristik identifikasi dari sesi pengguna yang
dapat digunakan untuk melacak kembali
ke pencetus Karakteristik seperti alamat IP,
alias, atau jaringan asal dilucuti dan diganti dengan informasi generik.
Tren baru-baru ini adalah bagi instansi
pemerintah dan perusahaan swasta untuk menggunakan pengadilan untuk dipaksakan
ISP, papan buletin on-line, dan chat room
untuk membocorkan identitas individu yang memposting email dan pesan.
E-Mail sebagai Senjata
Salah satu cara agar e-mail bisa
dijadikan senjata dalam sebuah serangan adalah dengan melakukan spamming
seseorang. SPAM adalah e-mail massal
yang tidak diinginkan Volume SPAM yang tinggi dapat digunakan sebagai layanan
penolakan yang sangat efektif menyerang.
Dengan membanjiri sistem yang ditargetkan dengan ribuan pesan e-mail, SPAM
Bisa memakan bandwidth jaringan yang tersedia, kelebihan
beban CPU, menyebabkan file log tumbuh sangat besar, dan mengkonsumsi semua ruang disk yang tersedia pada
sebuah sistem. Pada akhirnya bisa menyebabkan sistem macet.
pesta. Alamat dari beberapa orang yang tidak curiga.
E-mail juga digunakan untuk mengirimkan
muatan virus. Beberapa virus seperti virus Melissa ada
untuk mendapatkan banyak ketenaran. Sementara itu memang benar bahwa ia
menginfeksi ribuan sistem, jaringan dan server yang tersumbat, dan biayanya
jutaan dolar untuk membersihkan, itu
benar-benar tidak aktif melakukan kerusakan. Virus yang lebih berbahaya lagi
adalah "Love Bug", yang melanda jutaan sistem di seluruh dunia pada bulan Mei 2000. Virus ini
mirip dengan Melissa karena disebarkan sebagai lampiran e-mail dengan subjek "I Love You." Seperti virus
Melissa, “Love Bug” virus disebarkan sendiri melalui
e-mail salinan dirinya ke alamat e-mail yang tercantum dalam Buku alamat e-mail terinfeksi PC Kode virus juga berisi program kuda Trojan yang
dikirim cache password Windows dari
penerima yang tidak curiga yang membuka virus-sarat lampiran ke akun e-mail di Filipina. Program kuda
Trojan juga memiliki kemampuan untuk
mencuri password untuk dial up layanan Internet dari PC pengguna akhir.
Perkembangan berbahaya yang baru
adalah virus e-mail yang bisa menyebar tanpa penerima
sebuah file lampiran Sebagai hasil
dari kerentanan dengan IE5 dan Microsoft Office 2000, HTMLenabled
Sistem e-mail bisa rentan terhadap
serangan virus, meski penerima e-mail melakukannya tidak membuka lampiran Anda bahkan tidak perlu
menggunakan IE5 untuk e-mail. Cukup memiliki Perangkat lunak yang diinstal pada sistem dengan pengaturan keamanan
default bisa membuat sistem rentan.
Masalahnya disebabkan oleh bug pemrograman di kontrol ActiveX IE5. Salah satu contoh jenis virus ini adalah Kak.
Cukup menggunakan Microsoft Outlook Express untuk preview sebuah e-mail yang terinfeksi dengan virus
Kak menginfeksi sistem penerima. Itu tidak perlu untuk membuka lampiran untuk menginfeksi sistem penerima. Untungnya, virus
ini relatif jinak. Ini tidak menghapus file. Ini hanya menyebar. Namun, ada lebih banyak versi berbahaya dari jenis
virus ini yang terjadi.
Ada tindakan jangka pendek yang
dapat digunakan saat terjadi wabah yang meluas mirip dengan virus Melissa atau I Love You. Administrator Dengan panik berusaha menghubungi individu untuk
memberi tahu mereka agar tidak membuka e-mail. Dia mengirim kami e-mail mendesak memberitahu semua orang untuk
menghapus e-mail tertentu dengan lampirannya. Apa dia Seharusnya sudah dilakukan lari ke ruang komputer
dan mematikan server e-mail. Bahkan Respon
yang lebih cepat adalah mencabut kabel dari jaringan. Tanpa server masuk
Operasi virus tidak bisa menyebar.
Mematikan server e-mail hanyalah
salah satu contoh solusi jangka pendek yang bisa dilakukan
pekerja
selama wabah virus e-mail yang sangat ganas. Pilihan lainnya termasuk mematikan gateway e-mail perusahaan ke Internet.
Ini tidak akan membantu jika ada virus sudah menyebar ke jaringan perusahaan, namun ini merupakan pilihan jika
jaringan belum sampai terinfeksi. Dengan
menentukan ukuran e-mail maksimum lebih kecil dari email yang terinfeksi,
Anda secara efektif memblokir penyebaran
virus. Anda juga bisa memblokir e-mail dengan lampiran atau cukup blok lampiran dan memungkinkan pesan e-mail melalui;
kamu bisa blok semua lampiran atau
hanya blok mereka dengan jenis file yang ditentukan, seperti * .vbs, sehingga
mereka secara otomatis dihapus untuk
pesan e-mail. Pilihan lainnya adalah memblokir semua e-mail berbasis perihal. Jika e-mail yang menyebarkan virus
memiliki subjek tertentu, seperti yang saya cinta kamu Virus memang, Anda bisa secara efektif memblokir
penyebarannya. Pilihan Anda sangat bergantung pada jenis email server, router, dan firewall yang dipekerjakan dan
kemampuan mereka.
Contoh lain virus e-mail yang lebih
memalukan daripada ancaman adalah satu yang membuat putaran pada tahun 1999. e-mail tersebut tiba dengan subjek
"Check this" atau "Check this
keluar. "Virus tersebut membuat
link ke situs Web dewasa dan juga mencari alamat dari buku
sistem yang terinfeksi Kemudian akan
mengirimkan salinan dirinya sendiri ke alamat di buku alamat.
Ketika penerima menerima e-mail
Anda, mereka tidak hanya akan terinfeksi, tapi juga melakukannya
pikir Anda menyuruh mereka untuk
memeriksa situs porno. Virus semacam ini benar-benar bisa dilakukan bertanya-tanya untuk karir Anda jika dikirimkan ke
atasan Anda dan semua rekan kerja Anda.
Sebagai aturan umum, bila
memungkinkan Anda harus memindai virus di tingkat server e-mail.
Mengandalkan pemindaian pada
workstation individu tidak hanya bisa dipercaya, tapi bisa juga
jauh lebih sulit untuk dikelola. Ini
bukan untuk mengatakan bahwa Anda tidak harus melakukan
workstationlevelpemindaian. Lebih baik memiliki beberapa lapisan deteksi. Jika
juga sangat penting
bahwa Anda terus memperbarui
pemindai virus Anda. Virus baru terdeteksi terus-menerus. Sebagai
Hasilnya, produsen pemindai virus
mengeluarkan update reguler untuk melawan virus baru.
Sayangnya, bagaimanapun, pemindai
virus selalu berada di balik virus dalam hal keberadaannya
Jika Anda menggunakan layanan e-mail
Internet, Anda tidak dapat mengontrol apakah virus tersebut memindai virus di
tingkat server Bahkan beberapa layanan
pemindaian virus hanya melakukan pekerjaan terbatas. Untuk Contohnya, Hotmail Microsoft telah dikritik di
masa lalu karena menggunakan versi virus Pemindai yang merindukan beberapa virus. Sekali lagi, Anda mengandalkan
ketelitian Anda
penyedia layanan. Anda harus
bertanya pada diri sendiri apakah menurut Anda penyedia layanan Anda
melakukannya? pekerjaan yang baik
dalam memberikan keamanan, kerahasiaan, dan perlindungan dari virus.
Kebijakan
Setiap organisasi yang menggunakan
e-mail perlu mengembangkan dan menerbitkan kebijakan perusahaan meliputi penggunaan perusahaan yang dimiliki
e-mail. Bab 14 membahas hal ini secara rinci, tapi untuk Tujuan diskusi kita disini, saya ingin menyentuh
beberapa poin. Pertama, sebuah
kebijakan perlu mendefinisikan apa yang seharusnya dan tidak boleh dikirim
melalui e-mail. Kebijakannya juga harus menetapkan tindakan pencegahan yang perlu dilakukan tergantung pada sifat
informasi
dikirim melalui e-mail Misalnya,
jika informasinya bersifat rahasia atau eksklusif maka Enkripsi harus diperlukan. Kebijakan tersebut
harusnya sejauh menetapkan jenis enkripsi
dan tingkat enkripsi. Contoh lain mungkin untuk menetapkan yang pasti Informasi tidak boleh dikirim ke luar kotak pesan
atau ke layanan seperti Hotmail atau Yahoo.
Setiap kebijakan juga harus
menangani penyimpanan dan penyimpanan e-mail. Salah satu alasannya adalah
Pastikan server tidak menjadi berantakan
dengan e-mail yang tidak berguna yang tidak lagi dibutuhkan. Alasan lain untuk mengembangkan kebijakan semacam
itu adalah memastikan bahwa informasi yang harus dipertahankan adalah dipertahankan Hal ini juga diperlukan untuk
memastikan bahwa informasi bersifat rahasia atau eksklusif tidak dibiarkan duduk di server atau backup.
Informasi cenderung bermigrasi. Informasi it yang tersimpan di server yang aman saat ini mungkin menemukan jalan ke
server yang tidak begitu aman dalam 12 bulan. Menghapus e-mail lama juga dapat menyelamatkan organisasi dari tanggung jawab atas tindakan yang dilakukan
olehnya para karyawan. Organisasi sering kali menemukan diri mereka di
pengadilan atas tindakan karyawan sekalipun
meskipun organisasi tersebut tidak
mengetahui dan tidak memaafkan tindakan tersebut. Ada kasus
dimana bukti aktivitas tersimpan di
server e-mail perusahaan. Perusahaan
dapat mengembangkan kebijakan
penyimpanan dan penyimpanan yang mengurangi risiko tersebut.
Dengan melakukan itu, bisa jadi
pedang bermata dua. Sebuah organisasi mungkin kehilangan informasi itu Pada akhirnya dibutuhkan dan harus berhati-hati
dalam menentukan informasi apa yang harus dihancurkan. Pahami bahwa saya tidak merekomendasikan agar
organisasi menghancurkan e-mail hanya untuk disembunyikan aktivitas yang mungkin mereka tanggung. Sebuah
perusahaan pasti tidak akan menghancurkan informasi yang diketahui organisasi adalah bukti aktivitas
ilegal. Penghancuran bukti adalah a tindak
pidana. Selain itu, kebijakan
penyimpanan dan penyimpanan apa pun yang mengatur pembersihan atau penghancuran
email juga harus mencakup periode
retensi. Periode retensi harus mencakup jadwal untuk penghancuran e-mail, dan jadwal itu harus diikuti.
Jika sebuah organisasi berada Temukan
catatan e-mail yang diminta, bisa terlihat sangat mencurigakan jika
penghancuran e-mail tampaknya tidak
rutin. Bahkan jika tidak ada motif jahat untuk menghancurkan e-mail,
Waktu tindakan tersebut bisa membuat
organisasi terlihat bersalah. Namun, jika ada kebijakan itu
menetapkan penghancuran rutin e-mail
dan rutinitas itu dipatuhi, maka aksinya adalah kurang cenderung tampil mencurigakan. Selain itu, setiap kebijakan e-mail harus membahas
masalah pemantauan dan pengungkapan e-mail. Kebijakan pertama-tama harus membahas apakah akan menjadi praktik organisasi
untuk memantau e-mail.
Jika organisasi memilih untuk
memantau e-mail maka itu harus dikomunikasikan kepada karyawan perusahaan dan mungkin pelanggan
perusahaan. Jika sebuah organisasi memilih
untuk memantau e-mail maka pedoman ketat harus dikembangkan meliputi siapa saja
otorisasi untuk melakukan monitoring. Selain
itu, harus dikomunikasikan ke semua
Karyawan yang memantau e-mail dapat
mengakibatkan kemungkinan pengungkapan
informasi dicegat Dengan kata lain,
perusahaan perlu memberi tahu orang-orang bahwa mereka seharusnya tidak
melakukannya letakkan informasi
tentang sistem e-mail perusahaan yang mereka tidak ingin dipublikasikan.
Privasi E-Mail
Banyak orang sangat marah atas
pemikiran bahwa e-mail dapat dipantau. Mereka merasa email itu
adalah komunikasi rahasia yang
berhak atas privasi yang diberikan kepada bentuk lain
komunikasi. Namun, selama organisasi
dapat dimintai pertanggungjawaban atas tindakan mereka
Karyawan, perusahaan akan terus
memantau e-mail. Sampai saat ini,
kebanyakan organisasi yang melakukan monitoring e-mail hanya akan melakukan
random spot cek atau akan bertindak
bila ada alasan untuk percaya bahwa intervensi diperlukan. Sekarang disana
adalah paket perangkat lunak yang
memungkinkan organisasi untuk menyaring semua e-mail. Perangkat lunak ini
paket memungkinkan sebuah organisasi untuk
mengembangkan peraturan yang digunakan untuk mengidentifikasi e-mail yang
seharusnya diperiksa Alat-alat ini
memberi organisasi fleksibilitas lebih dalam apa yang mereka layarkan
untuk dan memungkinkan mereka
mengambil pendekatan proaktif untuk memantau isi e-mail.
Pada tahun 1999, http://APBNews.com
melaporkan bahwa sekitar 20% dari 1.000 perusahaan komersil
menggunakan perangkat lunak
pemantauan dan International Data Corporation melaporkan hal itu
sekitar 80% perusahaan besar
diperkirakan akan menerapkan sistem tersebut pada tahun 2001.
Perusahaan yang memasang sistem
pemantauan ini tidak hanya bersikap usil. Perusahaan harus
melindungi diri dari aktivitas
karyawan mereka yang tidak sesuai atau ilegal. Mereka juga
memiliki kewajiban untuk melindungi
karyawan mereka, dan memantau e-mail adalah salah satu cara mereka bisa
melakukannya. Di Selain itu, banyak
perusahaan yang mengkhawatirkan pencurian kekayaan intelektual dan informasi perusahaan proprietary Desain produk dan
daftar pelanggan mudah tergelincir di
luar perusahaan yang menggunakan e-mail. Akhirnya, sebuah organisasi memiliki
hak untuk memastikannya aset
perusahaan digunakan untuk bisnis perusahaan. E-mail tidak berbeda dengan sistem telepon perusahaan. Perusahaan memantau
panggilan telepon kepastikan karyawan tidak menanggung biaya untuk panggilan
jarak jauh pribadi. Pada bagian yang sama cara, bisa biaya sebuah organisasi dolar nyata jika 25% dari e-mail yang
dipertukarkan tidak hubungan bisnis.
Namun, jika jenis pemantauan ini disalahgunakan atau digunakan untuk tujuan
yang salah, Hasilnya bisa sangat
menghancurkan.
Saya berharap bahwa moralitas dan
legalitas masalah ini akan diperdebatkan untuk beberapa lama. Baru-baru ini, RUU itu
disahkan di negara bagian California yang mengharuskan mereka berbisnis dengan
negara bagian beri tahu karyawan
secara tertulis sebelum melakukan aktivitas pemantauan. RUU itu akhirnya diveto oleh gubernur, jadi masa depannya
tidak pasti. Menurut saya masuk akal
untuk mengungkapkan kepada karyawan rencana perusahaan untuk memantau e-mail.
Namun, seharusnya hanya perlu memberikan
pengungkapan satu kali saja. Sebuah perusahaan harus memegang buka hak untuk memantau e-mail kapanpun
diperlukan. Seharusnya tidak perlu menyediakannya perhatikan sebelum setiap contoh pemantauan.Jika
Anda benar-benar terganggu oleh pemantauan e-mail maka perusahaan
swasta bukan satu-satunya keasyikan
yang perlu Anda khawatirkan. Inisiatif terbaru dari pemerintah A.S., seperti
Proposal Fidnet, akan memungkinkan instansi
pemerintah melakukan surveilans terus menerus Lalu lintas internet seperti e-mail. Tujuan dari inisiatif ini dikatakan
memerangi kejahatan dan terorisme. Namun,
kritikus dan pendukung privasi percaya bahwa ini adalah pemerintahan yang besar
memperluas jangkauan dan mencongkel
kehidupan pribadi warga.
Sudah bertahun-tahun ada laporan
bahwa NSA memiliki kode proyek rahasia bernama Eselon yang dimilikinya telah memantau semua e-mail Internet. Pemantauan
seharusnya menggunakan pencarian kata kunci mengidentifikasi tersangka e-mail Eselon dilaporkan menjadi jaringan global
komputer itu
secara otomatis mencari melalui
jutaan penyadapan faks, teleks, dan e-mail kata kunci yang sudah diprogram Seharusnya jika e-mail berisi kata-kata
tertentu seperti "bom," "revolusi",
atau "kedutaan", akan ditandai untuk diperiksa. Pemerintah A.S. tidak sendiri. Pastinya Cina dan
Rusia memonitor e-mail, setidaknya di dalam perbatasan domestik mereka. Selain itu, negara lain seperti Inggris Raya
dan Prancis berpraktek surveilans
sampai tingkat tertentu. Inggris dilaporkan menjadi mitra dalam proyek Eselon.
Di
Selain itu, Inggris telah
memberlakukan Interception of Communications Act dimana modifikasi
telah diajukan yang secara hukum akan memberi sanksi kepada pemerintah Inggris
intersepsi e-mail dan semua lalu lintas
Internet lainnya. Bahkan negara
berkembang sedang memantau e-mail, bahkan mungkin lebih dari itu negara-negara industri, karena banyak negara
berkembang tidak memiliki undang-undang yang sama negara-negara industri telah melindungi kebebasan
sipil. Misalnya, ada insiden
baru-baru ini di Sri Lanka dimana menteri sains dan Teknologi membacakan keras rapat kabinet sebuah
e-mail yang telah dikirim ke bekas perdana menteri Sri Lanka Menteri telah bisa mencegat e-mail dari Sri Lanka ISP. Ada juga tuduhan bahwa pemerintah penguasa
Sri Lanka mencegat email dari
perusahaan dan pebisnis dan menjual informasi tersebut ke perusahaan dengan
hubungan dekat dengan partai yang berkuasa.
Pengguna e-mail yang bekerja untuk
perusahaan A.S. yang melakukan bisnis di luar negeri harus menyimpan contoh
tersebut dalam pikiran. Jika Anda
berbisnis dengan pemerintah daerah atau dalam negosiasi yang rumit dengan
entitas lokal di luar negeri dan Anda bertukar
e-mail dengan kantor perusahaan melaporkan di
status atau taktik negosiasi, Anda
akan disarankan untuk mengamankan e-mail Anda.
Respons Otomatis
Pengamatan terakhir saya tentang
e-mail sebenarnya adalah menghebohkan hewan peliharaan pribadi: Hati-hati dalam
penggunaan Anda tanggapan otomatis di
luar kantor. Jika Anda harus menggunakannya, pastikan itu hanya untuk
menanggapi pengguna internal Dengan
kata lain, respons otomatis di luar kantor seharusnya hanya ditujukan pada
orang lain dalam organisasi Anda
Seharusnya tidak keluar sebagai tanggapan atas e-mail yang diterima dari
Internet. Dari waktu ke waktu, saya
telah berlangganan milis email terkait keamanan yang berbeda. Jika kamu berlangganan ke salah satu daftar ini Anda akan
menerima setiap e-mail yang dikirim ke daftar dan daftar mereka tanggapan yang sesuai Ribuan orang berlangganan
milis ini. Ada beberapa orang kulit
putih, dan ada pula yang berambut hitam. Pada lebih dari satu kesempatan, saya
telah melihat autoresponses ke milis
yang mengumumkan bahwa seseorang tertentu berada di luar kantor sampai beberapa tanggal yang ditentukan Biasanya
tanggapan otomatis di luar kantor adalah untuk administrator sistem atau administrator keamanan, mencantumkan nama,
alamat, dan nomor telepon mereka. Setiap orang yang berlangganan milis-ribuan individu-mendapat pesan
di luar kantor. Selain menyebalkan,
auto-response bisa memberikan informasi yang berguna bagi hacker manapun
yang ingin menemukan sistem yang mungkin
tidak dipantau saat ini atau yang menginginkannya menyamar sebagai administrator sistem perusahaan.
Oleh karena itu, saya merekomendasikan agar Anda membatasi
tanggapan otomatis di luar kantor ke
jaringan lokal.
Nama :
1. Dwi Sugiyanto (22)
2. Fahrul Ahmad Fauzi (27)
Kelas : XII TKJ A
Wow bagus mas
BalasHapusMakasih gan ilmunya...
BalasHapusOke
BalasHapus