DOKUMEN: DTMK-01-04-06

 

Garis Panduan Keselamatan IT

Majlis Teknologi Maklumat USM

 

 

 

1.         Tujuan Garis Panduan

 

Dokumen ini menyediakan dasar keselamatan IT untuk peringkat pengguna. Bagi peringkat pengguna, dasar keselamatan IT tertumpu kepada pengunaan aplikasi-aplikasi yang biasanya terdapat dalam komputer peribadi atau pelayan. Dasar ini lebih menjurus kepada penasihatan dan memberi kesedaran berkenaan ancaman-ancaman yang mungkin menjejaskan keselamatan IT seperti pendedahan data-data rahsia, penyebaran virus, capaian tidak sah, dan lain-lain lagi perkara.

 

2.         Skop Kegunaan Garis Panduan

 

Pengguna utama garis panduan ini adalah pengguna am informasi teknologi.

 

3.         Topik-Topik Penting Keselamatan IT

 

Berikut adalah isu-isu keselamatan IT utama yang difikirkan relevan pada peringkat

pengguna :

 

3.1. Keselamatan Fizikal

 

Komputer samada komputer peribadi yang terletak dalam bilik pengguna ataupun komputer yang terdapat dalam makmal untuk kegunaan pengguna-pengguna lain adalah terdedah kepada berbagai ancaman yang boleh menjejaskan keselamatannya. Oleh itu sebagai pengguna, anda harus mempraktikkan langkah-langkah berikut :

 

-          Jika komputer tersebut adalah komputer peribadi anda, iaitu pengguna utamanya adalah anda, pastikan tempat di mana komputer itu berada sentiasa berkunci apabila anda tiada di lokasi tersebut.

 

-          Pastikan anda tidak meninggalkan komputer secara "online" tanpa perlindungan kemudahan kata laluan. Sebaik-baiknya pengguna menyelesaikan kerja-kerja yang melibatkan pengunaan pakej atau aplikasi yang terdapat pada komputer tersebut sebelum meninggalkan bilik atau tempat terletaknya komputer tersebut.

 

3.2. Kata Laluan/Kata Rahsia

 

Kata laluan atau kata rahsia selalunya digunakan bersama-sama pakej atau aplikasi tertentu sebagai mekanisma keselamatan untuk mengenal pasti identiti pengguna tersebut. Hanya pengguna yang sah (yang mendaftar dengan penyedia perkhidmatan atau aplikasi) dan mempunyai kata rahsia yang sah sahaja dibenarkan menggunakan perkhidmatan atau aplikasi tersebut.

 

Sebagai pengguna terdapat beberapa perkara penting yang patut dipatuhi untuk melindungi kata laluan ini dari terdedah kepada pengguna atau orang perseorangan yang lain. Berikut disenaraikan perkara-perkara tersebut :

 

-          Pastikan kata laluan anda tidak mengandungi rentetan yang mudah di teka seperti nama (nama anda, nama tempat anda bekerja, nama mesin, nama kereta, dll), tarikh-tarikh atau nombor yang memperingatkan sesuatu peristiwa atau identiti tertentu seperti tarikh lahir, nombor kereta, dll.

 

Sebaik mungkin kata laluan mestilah terdiri dari campuran aksara, angka dan simbol-simbol lain seperti ~!@#$%^&*(). Kata laluan juga mestilah panjang sekurang-kurangnya 8 huruf.

 

-          Walaupun kata laluan yang ditaip oleh pengguna pada kebiasaannya tidak dipaparkan dalam bentuk  teks sebenar, contohnya simbol * (asterisks) digunakan untuk menggantikan setiap huruf atau angka yang ditaipkan. Elakkan daripada menaip kata laluan tersebut dihadapan orang lain. Arahkan orang yang berada disekeliling anda supaya memandang ke arah lain dan pastikan juga tiada orang yang berada di belakang anda semasa menaip kata laluan.

 

-          Pengguna tidak dibenarkan mendedahkan kata laluan kepada orang lain, walaupun kepada pihak staf operasi, ketua , sahabat karib, dan sebagainya.

 

-          Pengguna seharusnya menggunakan kata laluan yang berlainan untuk setiap perkhidmatan atau aplikasi yang memerlukan pengunaan kata laluan.

 

3.3. Pengunaan World Wide Web (WWW)

 

Kebanyakan kes-kes sekuriti komputer terjejas melibatkan kompromi menerusi pengunaan Web. Terlalu banyak kelemahan yang disediakan dalam teknologi WWW sekarang ini (yang rata-ratanya untuk memudahkan pengguna melayari dan berinteraksi menerusi media ini). Walaupun beban melindungi keselamatan komputer menerusi media ini terletak di bahu staf operasi dan sistem pentadbir, adalah penting pengguna biasa memahami jenis ancaman, dan langkah-langkah untuk menghindari kejadian kompromi berlaku menerusi pengunaan WWW.

 

Berikut disenaraikan beberapa perkara yang perlu diberi perhatian oleh pengguna :

 

-          Bahasa Scripting

 

Bahasa scripting seperti JavaScript, ActiveX, dan lain-lain lagi telah mengubah dunia WWW dari  statik, mengandungi mekanisma tunjuk-dan-klik (point and click) yang agak membosankan kepada dunia yang lebih dinamik, penuh dengan animasi, aktif dan agak pintar. Secara amnya bahasa scripting membenarkan kod yang dibangunkan oleh pengguna atau pembina web yang anda lawati, dilaksanakan (executed) dalam mesin anda. Kelebihan sebegini telah menyebabkan pengguna lebih gemar mengunakan pelayar (browser) yang menyokong fungsi-fungsi ini.

 

Walaubagaimanapun, pengunaan fungsi-fungsi ini boleh menjejaskan keselamatan komputer. CERT satu badan yang bertanggungjawab menyebarkan insiden-insiden berkaitan sekuriti komputer telah mengeluarkan kenyataan berkenaan masalah pengunaan bahasa scripting dalam pelayar Web. Sila rujuk laman berikut untuk penerangan lanjut :

 

http://www.cert.org/advisories/CA-2000-02.html

http://www.cert.org/vul_notes/VN-98.06.ms_jscript.html

http://www.cert.org/advisories/CA-97.20.javascript.html

http://www.microsoft.com/security/bulletins/ms99-032.asp

 

Pengunaan bahasa scripting ini boleh diabaikan dalam pelayar anda dengan menukarkannya kepada OFF. Secara lalaian, bahasa scripting dibenarkan dalam pelayar anda. Tetapi perlu diingatkan apabila anda mematikan (disable) kemudahan ini, maka pelayar anda tidak lagi begitu canggih, aktif, atau dinamik. Perkara yang perlu anda pertimbangkan adalah risiko dan faedah pengunaan kemudahan ini.

 

              ** Rujuk Appendik A dan Appendik B di bawah untuk mematikan bahasa scripting.

 

-          Cookie

 

Kebanyakkan pelayar Web menyimpan beberapa informasi yang dikenali sebagai cookie dalam komputer  anda. Walaupun cookie berguna, ianya boleh digunakan oleh pihak-pihak tertentu untuk mengumpul data-data berkaitan habit atau kegiatan pelayaran anda, laman-laman tertentu yang anda lawati dan sebagainya. Terdapat kemudahan untuk anda tidak membenarkan cookie disimpan atau pun memberi  mesej amaran setiap kali cookie disimpan dalam komputer anda.

 

3.4. Pengunaan E-mel

 

E-mel adalah satu kemudahan untuk berkomunikasi yang mudah, murah dan pantas. Oleh itu tidak hairanlah hampir kesemua vendor komputer menyediakan perkhidmatan e-mel, dan populariti ini juga telah menjadikanya salah satu tumpuan utama para pengodam (hackers) mengekploitasikannya. Terdapat berbagai isu-isu sekuriti yang perlu pengguna tahu apabila menggunakan e-mel. Antaranya adalah seperti berikut :

 

-          Kerahsiaan (Privacy)

 

Mesej yang anda hantar melalui e-mel menempuh beberapa hos-hos utama dalam jaringan sebelum sampai  ke destinasinya. Ini bermakna mesej tersebut terdedah kepada kegiatan menghidu (sniffing), sesiapa  sahaja yang mempunyai kepakaran tertentu boleh mencapai dan membaca e-mel anda. Oleh itu adalah  disarankan pengguna tidak menghantar maklumat penting, maklumat rahsia yang boleh menjejaskan  samada reputasi pengguna atau sesuatu organisasi itu. Kaedah "encryption" seperti pengunaan PGP,  DES, dan sebagainya boleh mengatasi masalah ini.

 

-          Fail Lampiran

 

Fail-fail tertentu seperti fail yang boleh dilarikan - .vbs, .pl, .exe, dsb, MS Word, atau apa      sahaja jenis fail mungkin mengandungi virus. Dalam kebanyakkan kes, fail lampiran boleh menyebabkan penyebaran virus seperti Mellisa, CIH, ILOVEDYOU dan sebagainya. Selalunya penyebaran ini hanya akan berlaku jika sekiranya pengguna cuba membuka atau mengklik fail lampiran   tersebut. Oleh itu adalah dinasihatkan supaya pengguna tidak cuba membuka fail-fail lampiran dalam  e-mel, terutamanya jika anda menerima dari pihak-pihak yang tidak dikenali, ataupun dari sahabat  atau ketua anda. Langkah yang terbaik adalah untuk memasukkan (install) softwer antivirus.

 

-          E-mel Palsu

 

E-mel boleh dipalsukan seolah-olah ianya dihantar oleh individu yang kita kenali, tetapi         sebenarnya e-mel tersebut dihantar oleh pihak-pihak yang mempunyai niat-niat tertentu. Terdapat  berbagai sebab pemalsuan e-mel dilakukan - antaranya, individu mengarahkan anda menukarkan konfigurasi sistem atau kata laluan supaya mudah individu tersebut memasuki sistem anda,   menghantar e-mel yang boleh menyebabkan kekecohan dengan menggunakan alamat e-mel anda.

 

Dalam hal  ini, sebagai pengguna anda seharusnya memeriksa dengan orang yang  menghantar  e-mel tersebut untuk memastikan ianya benar-benar dihantar oleh beliau, umpamanya menerusi panggilan  telefon.

 

-          E-mel rantai dan Khabar Angin (Hoaxes)

 

Pengguna seharusnya peka dan tidak terburu-buru atau panik apabila menerima e-mel yang berunsur  penyebaran atau cerita-cerita yang direka-reka. Dalam hal ini, pengguna harus menggunakan kebijaksanaan mereka untuk membuat sesuatu tindakan itu dengan betul. E-mel rantai selalunya  sengaja diadakan samada untuk mengganggu perkhidmatan sesuatu sistem kerana trafik yang dihasilkan  adalah tinggi ataupun untuk menimbulkan kekacauan atau kekecohan dikalangan pengguna dan rakyat  Malaysia secara amnya.

 

 

3.5. Virus

 

Virus komputer merupakan salah satu ancaman sekuriti komputer yang tersebar luas. Virus komputer adalah kod atau aturcara yang dibangunkan dengan niat samada untuk menghapuskan data-data dalam komputer target, untuk menjejaskan operasi sesuatu komputer, mencuri data, dan sebagainya. Penyebaran virus komputer boleh berlaku menerusi berbagai media, antaranya seperti yang telah dibincangkan di atas menerusi fail-fail lampiran pada e-mel, menerusi perkongsian disket yang telah diserang oleh virus, menerusi fail-fail yang dikongsikan, menerusi IRC (Internet Relay Chat), menerusi pakej-pakej atau aplikasi-aplikasi baru atau shareware yang digunakan oleh pengguna atau menerusi perkongsian fail-fail dalam rangkaian.

 

Antara langkah yang perlu pengguna praktikkan adalah seperti berikut :

 

-          memasukkan pakej anti virus yang baik dalam komputer peribadi anda. Juga pastikan anda mengikuti  perkembangan semasa dan mendapatkan patches baru untuk menangani virus-virus komputer yang baru.

 

-          Dapatkan Pengimbas Virus  yang boleh beroperasi dengan pakej e-mel anda. Pakej sebegini dapat  mencari, menapis dan menyahkan kewujudan virus-virus yang disebarkan menerusi lampiran e-mel

 

-          Jangan berkongsi pengunaan disket. Jika perlu berkongsi disket atau menggunakan disket pengguna  lain, pastikan disket diimbas terlebih dahulu oleh pakej anti virus.

 

-          Jangan muat-turun (download) pakej-pakej atau aplikasi baru terutamanya dari sumber-sumber yang tidak  dikenali seperti shareware, atau mengikut saranan sahabat. Ada kemungkinan pakej/aplikasi sebegini  mengandungi kod-kod virus yang akan diaktifkan pada masa-masa tertentu.

 

 

3.6. Perkongsian Data atau Perkhidmatan dalam Rangkaian.

 

Dengan kewujudan sistem rangkaian yang berkesan, tidak perlu lagi pengguna secara fizikal menyalin data ke dalam disket sebelum menggunakan aplikasi atau perkhidmatan yang terdapat pada mesin lain seperti contohnya penggunaan pencetak laser. Melalui rangkaian, pangkalan data, perisian-perisian yang berlesen, atau peralatan sampingan boleh dikongsikan dengan mudah. Microsoft dan juga vendor-vendor lain menyediakan perkhidmatan perkongsian data atau pencetak menerusi rangkaian.

 

Masalah utama yang dihadapi dengan perkhidmatan sebegini ialah kesedaran pengguna terhadap implikasi keselamatan komputer jika ianya tidak diset atau dikonfigurasikan dengan betul. Kes-kes kecurian data-data penting, atau gangguan perkhidmatan kerap berlaku jika data yang dikongsikan itu tidak dilindungi menerusi pengunaan kata laluan yang berkesan. Telah terdapat kes-kes di mana virus juga disebarkan menerusi mekanisma ini.

 

 

Oleh itu sebagai pengguna seharusnya anda mempraktikkan perkara-perkara berikut :

 

-          Jangan benarkan fail-fail yang terdapat pada mesin anda dikongsikan menerusi rangkaian. Iaitu secara lalaian jangan benarkan (disable) perkongsian fail atau pencetak.

 

-          Jika memerlukan perkhidmatan ini, pastikan ianya dilindungi oleh penggunaan kata laluan yang berkesan. Juga anda boleh mengawal mesin-mesin yang boleh mencapai fail-fail yang anda kongsikan.

 

Untuk melakukan kedua-dua kes di atas anda dinasihatkan untuk merujuk kepada staf operasi atau pentadbir sistem di pusat pengajian masing-masing ataupun menghubungi terus staf di pusat komputer.

 

3.7. Pengguna Dial Up

 

 

3.8. Gangguan Perkhidmatan (DOS)

 

[Untuk makluman pengguna sahaja ]

 

Gangguan perkhidmatan Denial of Service  (DOS) adalah terma yang digunakan untuk menerangkan keadaan di mana sesuatu sistem itu berada dalam paras kesibukan yang tinggi kerana melayan permintaan dari sistem-sistem yang menyerangnya sehinggakan, sistem tersebut tidak mampu melayan permintaan terhadap perkhidmatan dari sistem yang sah. Analoginya samalah seperti seorang atau sekumpulan pembeli yang mempunyai niat tertentu mendatangi sebuah kedai, dan mereka semuanya mengacau atau bersembang, atau menanya pelbagai soalan dengan tujuan untuk menyebabkan setiap pelayan pekedai tersebut sibuk, tetapi mereka tidak membeli apa-apa barangan. Ini menyebabkan pembeli sebenar tidak dilayan, dan boleh menyebabkan kerugian terhadap pekedai tersebut.

 

Sekarang ini telah terdapat kegiatan serangan DOS yang sistematik, yang dilakukan secara berkumpulan, menerusi pelbagai hos-hos yang telah dikompromikan - ini dikenali Distributed Denial of Service (DDOS).

Biasanya tumpuan serangan ancaman ini adalah sistem-sisten yang menjadi pelayan kepada beberapa perkhidmatan contohnya seperti Hotmail.com, Aol.com, dan sebagainya. Dalam kes sebegini, pengguna yang pada kebiasaanya menggunakan komputer peribadi (bukan pelayan) menjadi "penyerang" tanpa mereka sedari. Ancaman ini hanya berlaku terhadap mesin yang mempunyai sambungan kepada internet. Oleh itu sebagai pengguna pastikan mesin anda tidak menjadi "penyerang" dengan memantau perhubungan rangkaian (network connection) dari atau kepada mesin anda. Jika terdapat aktiviti yang mencurigakan sila laporkan perkara ini kepada staf operasi atau pentadbir sistem di Pusat Komputer.

           

 

9. Kuda Trojan

 

[Untuk makluman pengguna sahaja]

 

Kuda Trojan berdasarkan mitos Greek menyatakan sesuatu sistem, pakej, perkhidmatan yang kelihatan secara luaran seumpama pakej atau perkhidmatan piawai, tetapi sebenarnya, pakej atau perkhidmatan tersebut telah diubahsuai untuk membenarkan penceroboh memasuki sistem anda menerusinya.

 

 

Contohnya, pakej e-mel Eudora mungkin telah diubahsuai, iaitu apabila Eudora menerima data-data tertentu membenarkan penceroboh memasuki sistem anda dengan melepasi sekatan-sekatan keselamatan lain. Terdapat beberapa kemudahan yang menguji signature atau hash pakej-pakej tersebut seperti checksum atau md5.

 

 

10. Pintu Belakang

 

 

** Untuk makluman pengguna sahaja **

 

Di dalam sistem Window terdapat 2 pekakasan yang selalu digunakan sebagai pintu belakang atau Back Door iaitu BackOffice dan NetBus. Pintu belakang membenar sesiapa sahaja mencapai sistem anda tanpa melalui prosedur biasa seperti pengesahan diri. Apabila pakej-pakej ini dimasukkan ke dalam sistem anda, pengguna lain boleh mengawal komputer anda dari jauh, dan boleh melakukan apa sahaja yang mereka mahu.

 

 

Appendik A : Langkah-Langkah untuk menukarkan pilihan dalam Pelayar Web (Netscape)

 

** Maklumat yg terdapat disini diterjemahkan dari informasi yang terdapat dalam

             http://www.cert.org/tech_tips/malicious_code_FAQ.html

 

Netscape versi 3.0 atau lebih tinggi

 

Nota: Jika anda tidak menggunakan Netscape 3.0 atau lebih tinggi langkah-langkah berikut  mungkin kurang tepat.

 

Untuk memastikan versi Netscape anda, dapatkan dari  menu Help, pilih "About Communicator ....", satu lembaran web akan dibuka yang menerangkan pelayar web anda termasuklah versinya.

 

 

1.       Pilih Netscape Communicator sebagaimana anda ingin melayari internet.

2.       Dari Edit menu, pilih Preferences. Kotak dialog Preferences akan muncul.

3.       Dari senarai Category, klik Advanced. (Jangan klik pada simbol +). Panel Advanced akan muncul.

4.       Jika anda memilih untuk "disable" Java, "unchecked"kan Enable Java.

5.       Buangkan pilihan (unchecked) Enable Java

6.       Klik OK untuk menerima perubahan pilihan.

7.       Klikkan ikon mangga kunci pada sudut kiri di sebelah bawah pelayar anda. Kotak dialog Security Info akan muncul.

8.       Klik link Navigator dari senarai yang terdapat disebelah kiri. Panel Navigator Security Settings akan muncul.

9.       Di bawah seksyen "Show a warning before:", pastikan "Viewing a page with encrypted/unencrypted mix" dan "Leaving an encrypted site"  dipilih i.i. checked.

10.   Klik OK untuk menerima perubahan pilihan dan tutupkan kotak dialog.

 

 

 

Appendik B : Langkah-Langkah untuk menukarkan pilihan dalam Pelayar Web  (Explorer)

 

 

Internet Explorer versi 5

 

Nota: Jika anda tidak menggunakan Internet Explorer 5 langkah-langkah berikut mungkin kurang tepat.

   

Untuk memastikan versi Explorer anda, dari menu Help, pilih "About Internet Explorer ....", satu lembaran web akan dibuka yang menerangkan pelayar web anda termasuklah versinya.

 

1.       Pilih Internet Explorer sebagaimana anda ingin melayari internet.

2.       Dari Tools menu, pilih Internet Options .... Kotak dialog Internet Options akan muncul.

3.       Pilih tab Security. Panel pilihan Security akan muncul.

4.       Klikkan pada zon Internet untuk memilihnya.

5.       Klik butang Custom Level. Panel Security Settings akan muncul.

6.       Pilih High dari senarai terapung bawah.

7.       Klik butang Reset. Satu kotak dialog muncul yang mengandungi informasi samada anda benar-benar mahu menukarkan set keselamatan pada zon ini.

8.       Klik Yes. Anda sekarang perlu meneliti senarai pilihan dan lakukan perubahan seperti yang diterangkan pada langkah-langkah berikut.

9.       Untuk setkan  "Scripting ActiveX controls marked safe for Scripting" tandakan butang radio   Disable atau Prompt berdasarkan tahap kepercayaan yang anda inginkan.

10.   Jika anda memilih untuk mematikan Java permission, tekankan butang radio "Disable Java".

Nota: Jika anda mempunyai Mesin Maya Microsoft (Microsoft Virtual Machine), pilihan ini berada di dalam seksyen Microsoft VM. Jika anda tidak melihat pilihan Java permissions bermakna Java telah dimatikan.

11.   Untuk setkan "Active scripting" di bawah seksyen "Scripting", tandakan butang radio Disable.

12.   Klik OK untuk menerima perubahan. Satu kotak dialog akan muncul menanyakan samada anda bersetuju dengan perubahan yang telah dilakukan.

13.   Klik Yes.

14.   Dari kotak dialog "Internet Options", klik petak Advanced. Panel Advanced Options akan muncul.

15.   Pastikan  "Warn if changing between secure and insecure" di dalam Security dipilih.

16.   Klik Apply untuk menyimpan perubahan yang dilakukan.

17.   Klik OK untuk menutup kotak dialog "Internet Options".