...new about...
D. Keamanan Dalam Menggunakan Fasilitas E-Banking
Bagaimana Virus dan Phising digunakan untuk mengalahkan pengamanan
Token. Bagaimana caranya mengirimkan dokumen digital rahasia dengan
cepat, aman dan praktis ke alamat email rekan atau kolega bisnis, yang
mungkin sedang berada di Yogya dan tidak memiliki komputer dan
terkoneksi ke internet hanya dari warnet ? Kalau filenya di kompres
(zip) dan diberi password atau dokumen MS office di beri password dan
relatif mudah dibuka oleh orang yang tidak berhak dengan tools pembuka
password (password cracker) yang banyak tersedia di internet
(underground seperti www.astalavista.com). Dengan menggunakan dictionary
attack atau brute force hanya masalah waktu saja password tersebut akan
dapat ditemukan. Password Recovery Tools yang sering disalahgunakan
untuk membuka file orang lain yang dipassword
Salah satu cara yang lebih aman adalah mengenkrip file yang dikirim dan
lebih afdol lagi jika file tersebut diberikan time limit, sehingga
seperti film Mission Impossible, selewat dari waktu yang anda tentukan
file tersebut akan rusak (self destruct). Tetapi, diluar itu ada satu
hal krusial yang harus anda perhatikan dan jalankan dengan baik jika
ingin mendapatkan perlindungan sekuriti yang baik, karena meskipun
enkripsi sudah dilakukan, tetapi password ekripsi juga dikirimkan ke
alamat email yang sama. Ibarat kata Gito Rollies itu namanya “Sama Juga
Bohong”. Karena siapapun yang memiliki akses untuk mendapatkan file yang
anda kirim melalui email di tengah jalan sudah pasti memiliki akses
untuk mendapatkan email berikutnya yang berisi password. Lalu bagaimana
cara menghadapi masalah ini ?
Jawabannya “Two Factor Authentication” / T-FA. Seperti kita ketahui, ada
tiga faktor universal (“sesuatu”) yang digunakan untuk autentifikasi
individu. Pertama adalah “Sesuatu yang kamu tahu” seperti password, PIN
atau identitas yang ada didompet anda seperti nomor KTP, SIM dan Kartu
Mahasiswa. Kedua adalah “Sesuatu yang kamu miliki” seperti Handphone,
kartu kredit atau security token. Ketiga “Sesuatu yang ada di diri kamu”
seperti sidik jari, sidik retina atau biometrik lain.
Lalu bagaimana jawaban dari masalah di atas ? Mudah, setelah anda
melakukan “pekerjaan rumah” mengenkripsi file dengan baik dan aman
(gunakan Norman Privacy untuk mengenkripsi file dan membuat self
extracting exe dan memberi password pada dokumen yang ingin anda
enkripsi), kirimkan password dekripsi melalui media lain, seperti
telepon, SMS atau alamat website rahasia berisi password yang hanya anda
ketahui berdua.
Jika anda melakukan praktek ini, tingkat keamanan data anda menjadi
selevel dengan pengamanan yang dilakukan oleh Bank dalam melindungi
nasabahnya yang melakukan Internet Banking. Bahkan dibandingkan beberapa
bank di Indonesia yang hanya mengandalkan password dan tidak
mengandalkan Two Factor Authentication (T-FA), dokumen anda terlindung
jauh lebih aman.
Seberapa mampu teknologi mengamankan transaksi internet Banking anda ?
Bagaimana para kriminal mengeksploitasi hal ini ? Lalu bagaimana
sebaiknya anda bersikap ?
Seperti kita ketahui, sekuriti dengan kenyamanan berbanding terbalik.
Makin aman suatu transaksi, makin sulit di implementasikan. Makin nyaman
suatu transaksi, makin mudah ditembus. Walaupun dalam beberapa kasus,
analisa dan kreativitas dari penyedia layanan internet banking dapat
memberikan keamanan dan kenyamanan pada tingkat yang dapat diserap
dengan baik oleh segala lapisan masyarakat sehingga dapat di
implementasikan dengan cepat dan baik. Tetapi ada satu “ground rule”
yang harus disadari oleh penyedia jasa internet banking, “Teknologi
selalu berkembang dan tidak ada satupun pengamanan yang kekal”. Dengan
kata lain, kriminal akan selalu mencari cara (dan berhasil) menembus
teknik pengamanan transaksi yang ada dan para penyedia jasa layanan
keamanan harus “selalu” mengikuti perkembangan dan melakukan teknik baru
dalam pengamanan transaksi.
Tools yang paling sering digunakan untuk menembus perlindungan internet
banking adalah malware. Seperti kita ketahui, ada program berbahaya yang
untuk merekam semua ketukan keyboard komputer yang anda (nasabah
internet banking) lakukan pada keyboard, yaitu key logger. Dengan key
logger, semua ketukan keyboard yang anda lakukan akan direkam dan
biasanya dimasukkan pada trojan horse yang menumpang pada game, virus
atau program gratisan yang anda download dari internet. Harga yang anda
bayar untuk program gratisan jika mengandung Trojan Horse yang berhasil
mengeksploitasi data rahasia anda bisa jauh lebih mahal daripada anda
membeli program original.
Lalu ada beberapa bank yang menggunakan papan keyboard virtual yang
muncul di layar komputer dengan susunan huruf dan angka yang
berubah-ubah setiap kali tampil dan nasabah memasukkan data / pin dengan
mengklik huruf atau angka yang terpampang di keyboard virtual
menggunakan mouse. Dengan trojan horse yang sama, kriminal dengan mudah
melakukan screen capture (Print Screen) sehingga dapat mengetahui
susunan keyboard virtual yang muncul setiap kali dan dengan menganalisa
waktu dan koordinat-koordinat dimana mouse di klik oleh user… voila
…..apapun di klik nasabah dengan mouse pada keyboard virtual akan dapat
diketahui.
Karena itu, salah satu perlengkapan yang harus dimiliki oleh nasabah
internet banking (must have) adalah program antivirus dan antispyware
yang handal yang mampu mendeteksi keylogger dan trojan horse yang
berbahaya.
Lalu, bagaimana kriminal menghadapi pengamanan Two Factor Authentication
seperti token pin yang mulai populer digunakan oleh bank ? Apakah sudah
aman dan tidak mungkin ditembus ?
Apakah internet banking anda dengan Token benar-benar aman ?
Pick enemy your own size, carilah musuh yang sepadan dengan anda. Kalau
Chris John yang masih juara dunia tinju sekalipun di “adu” dengan Mike
Tyson yang notabene bukan juara dunia tinju lagi. Tentunya Chris John
akan pikir-pikir melawan Mike Tyson. Mengapa ? Karena kelasnya berbeda.
Kalau Chris John juara dunia kelas bulu, sedangkan Mike merupakan eks
juara dunia kelas berat. Hal tersebut mirip jika kriminal berhadapan
head to head dengan server internet banking. Server tersebut dijaga
dengan berbagai pertahanan, firewall, team pemantau aktivitas etc.
Namun, tergantung tujuannya, apakah ingin membobol server internet
banking atau “mendapatkan uang” dari nasabah internet banking. Kalau
tujuannya membobol server internet banking, hal tersebut tidak dibahas
disini karena hanya komunitas hacker tertentu dengan skill yang diatas
rata-rata yang memiliki kemampuan dan jaringan untuk melakukan hal
tersebut.
Namun jika tujuannya adalah mendapatkan uang dari rekening internet
banking, maka pameo “pick enemy your own size” berlaku. Jadi, kriminal
akan memilih lawan dengan pertahanan yang lebih lemah dari server
internet banking di bank. Siapa itu ? Tidak lain dan tidak bukan adalah
pengguna internet banking.
Seperti kita ketahui, dalam penerapan sekuriti, salah satu hal kunci
dalam keberhasilan penerapan sekuriti adalah partisipasi “user”. Sebagai
gambaran, sekalipun sudah menggunakan program antivirus terkenal, suatu
jaringan komputer dengan mudah akan terinfeksi virus jika usernya
sering mengunjungi website porno atau crack. Sebaliknya, user yang
menggunakan antivirus gratisan sekalipun akan lebih jarang terinfeksi
virus jika menerapkan kebiasaan sekuriti yang baik seperti tidak
sembarangan melakukan full sharing, berhati-hati dalam melakukan
browsing dst.
Sebenarnya hal ini disadari sekali praktisi sekuriti oleh bank
penyelenggara internet bankingpun sudah melakukan pengamanan yang
memadai, salah satunya adalah dengan mengimplementasikan token (T-FA two
factor authentication). Tetapi tetap saja user merupakan titik terlemah
dalam sekuriti karena sudah menjadi hukumnya bahwa manusia itu unik
dengan 1001 kebiasaan dan latar belakang yang berbeda. Selain itu,
sesuai hukum piramida, persentase user internet banking yang tidak paham
/ perduli sekuriti jauh lebih besar dari jumlah user yang paham /
perduli sekuriti.
DNS cache poisoning dan website forging (Phising)
Salah satu teknik yang patut diwaspadai dalam berpotensi menembus
pertahanan internet banking dengan pengamanan Token adalah DNS cache
poisoning dan website forging. Website forging adalah pemalsuan website
yang dibuat sedemikian rupa sehingga pengakses percaya bahwa website
palsu yang diaksesnya adalah benar website bank yang bersangkutan dan
aman untuk melakukan transaksi.
DNS cache poisoning (DNS poisoning) adalah teknik “meracuni” DNS Server
untuk mengelabui pengguna internet untuk percaya bahwa website “palsu”
yang diaksesnya (yang dibuat benar-benar menyerupai website asli) adalah
website asli. Tetapi tentunya anda akan langsung bertanya, lho bukankah
DNS tersebut dimaintain oleh ISP dan tentunya dalam waktu singkat aksi
DNS poisoning ini terdeteksi dan dimentahkan.
Memang betul dan yang dimaksudkan disini bukan DNS poisoning pada DNS
server, tetapi DNS poisoning pada sasaran yang lebih kecil lagi, tetapi
tidak kalah berbahaya ….. DNS pada komputer user. Seperti kita ketahui,
OS komputer (baik XP maupun Vista) memiliki file “Host” yang berfungsi
sebagai “DNS server” bagi komputer yang bersangkutan. Jika file host
tersebut berhasil dimanipulasi, maka dengan mudah setiap akses ke
website internet banking akan diarahkan ke website palsu yang sudah di
program sedemikian rupa sehingga dapat mengelabui pengguna internet
banking ketika melakukan transaksi internet banking.
Tetapi tentunya anda bertanya, bagaimana dengan pengamanan ganda pada
internet banking yang menggunakan Token ? Bukankah angka PIN (Personal
Identification Number) tersebut merupakan one time PIN dan berubah-ubah
setiap kali pengguna komputer melakukan transaksi ?
Jika kita melihat sekilas kelihatannya pengamanan Token ini sangat aman
dan PIN internet banking yang berbeda untuk setiap pengguna, berubah
setiap kali (one time Password) sehingga sangat sulit diketahui kecuali
mendapatkan rumusannya dan memang hanya pemilik Token dan server
internet banking yang mengetahui PIN sehingga “hampir” tidak mungkin
untuk mengetahui PIN tersebut. Jangankan orang lain, pemilik Token saja
kalau lupa PIN Tokennya, sudah tidak ada harapan untuk berinternet
banking lagi .
Tetapi dengan DNS poisoning dan website forging / phising ini, kriminal
tidak perlu mengetahui PIN dan pengguna internet banking yang akan
memasukkan semua data, baik username, password, account confirmation PIN
dan one time PIN.
Ambil contoh korban DNS poisoning ini melakukan logon ke rekening
internetnya. Karena sudah dialihkan, maka ia akan mengakses situs palsu
internet banking yang dibuat sedemikian rupa agar sama dengan situs
internet banking. Lalu si korban memasukkan Username dan Password yang
secara otomatis akan digunakan oleh server untuk login ke website
internet banking yang sebenarnya. Disini Tahap Pertama pengaksesan
rekening sudah berhasil dijalankan.
Lalu bagaimana caranya mendapatkan uang dari korban internet banking ini
? Mudah saja, walaupun PIN tersebut merupakan one time PIN, tetapi PIN
tersebut tidak unik untuk setiap transaksi dan berlaku universal untuk
semua transaksi internet banking, baik pembayaran rekening telepon,
pembayaran asuransi, internet, listrik sampai dengan pengisian pulsa isi
ulang.
Ketika user melakukan transaksi, website palsu akan meminta one time PIN
yang harus dimasukkan dan one time PIN yang dimasukkan itu sekarang
dapat dipergunakan untuk kriminal untuk melakukan transaksi non transfer
(EG. pembelian pulsa isi ulang) karena transaksi transfer akan meminta
account confirmation PIN.
Bagaimana memanipulasi Host file ?
Pertanyaan lain yang tentunya timbul adalah, bagaimana caranya
memanipulasi host file dan seberapa besar kemungkinan terjadinya
manipulasi Host file tersebut ?
Secara teknis, manipulasi Host file Windows sangat mudah dan banyak
dilakukan oleh virus-virus lokal yang beredar di Indonesia. Ambil contoh
virus Wayang memanipulasi host file komputer korbannya dan
mengarahkannya setiap akses ke situs sekuriti seperti www.vaksin.com,
www.ansav.com, www.jasakom.com, www.vbbego.com ke localhost (127.0.0.1)
sehingga website-website sekuriti tersebut praktis tidak bisa diakses
komputer korban virus Wayang (lihat gambar). Bahayanya, kalau website
sekuriti ini dirubah menjadi website internet banking dan diarahkan
bukan ke localhost, tetapi IP website palsu (forging) di internet yang
telah dipersiapkan sebelumnya, tentunya akan banyak sekali korban
internet banking yang tidak menyadari kalau website internet bankingnya
sudah diarahkan ke alamat lain dan menjadi korban.
Tidak ada komentar:
Posting Komentar