Apa sejatinya ‘kesadaran’?

Ada buku yang sangat menarik: Brief Peeks Beyond: Critical Essays on Metaphysics, Neuroscience, Free Will, Skepticism and Culture.

 

Buku yg sungguh layak dibaca. Memang bukan sekedar bacaan ringan di waktu senggang. Buku diantaranya membahas ‘kesadaran’ dan ‘kehendak bebas’, hal-hal yg seringkali dianggap di luar jangkauan sains empirik. Jika memang di luar jangkauan sains empirik, maka apakah kemudian masih punya nilai untuk dibahas? Highly recommended!!

Sekilas isi buku ini (Bab 3):

Hasil penelitian terhadap kesadaran saat ini menyatakan bahwa fenomena kesadaran sebagai ‘hard science’. Tidak ada penjelasan yang memuaskan bagaimana kesadaran ini dapat tersusun ataupun terbentuk dari mekanisme yang lebih fundamental yakni mekanisme fisik ataupun biologis. Metodologi reduksionis-empiris dari sains sejauh ini gagal memberikan jawaban mengenai bagaimana terbentuknya dan apakah sebenarnya realitas kesadaran.

Pendapat yang umum berkembang adalah bahwa kesadaran merupaka sesuatu yg terbentuk dari dinamika fisik ataupun biologis yakni otak. Diantaranya, kesadaran disebut sebagai ’emergence properties’ yg muncul dari dinamika otak yang sangat kompleks. Penjelasan ’emergence properties’ ini dianggap lemah karena menganggap bahwa kesadaran muncul begitu saja dan bahwa sifat-sifat dinamika sistem kompleks tadi tidak sesuai dengan pengalaman kesadaran yang simple dan subyektif. Karena itulah sebagian saintis akhirnya berpendapat bahwa kesadaran adalah sekedar ilusi belaka dan lebih jauh lagi bahwa kesadaran itu sejatinya ‘tidak ada’.

Penulis berpandangan bahwa ‘hard problem of consciousness’ muncul karena adanya beberapa kekeliruan:
1. Anggapan bahwa keberadaan kesadaran adalah sesuatu yg harus dibuktikan. Ini keliru, karena justru kesadaran itu adalah wadah yang menampung semua pengalaman, sensasi, pengetahuan dan sebagainya. Keberadaan kesadaran ini lebih jelas dibandingkan pengetahuan dan pengalaman yang lain. Menarik ketika penulis menanggapi saintis yang menganggap kesadaran hanya ilusi belaka dengan mengatakan: “Seandainya benar bahwa kesadaran itu adalah ilusi belaka, lalu siapakah subyek yang ‘mengalami’ ilusi tersebut?”.

2. Pandangan umum bahwa kesadaran terkungkung di dalam otak ataupun tubuh fisik subyek. Ini keliru. Penulis justru berpandangan bahwa ‘kesadaran’ itu meliputi tubuh subyek. Kesadaran bukanlah muncul dari dinamika otak, namun dinamika otak adalah justru penampakan fisik dari kesadaran.

3. Pandangan umum bahwa kerangka keberadaan adalah ruang fisik dan waktu. Jika ‘kesadaran’ ada maka keberadaannya harus di suatu tempat. Ini keliru menurut penulis. Ruang, waktu, tubuh, otak merupakan pengalaman yang diwadahi oleh kesadaran. Kesadaran itu ‘ada’, namun keberadannya tidak dalam kerangka ruang dan waktu.

Penulis selanjutnya mengajukan pandangan ontologisnya sendiri yakni bahwa kesadaran merupakan ‘bahan’ dasar pembentuk realitas. Bahwa berbagai benda adalah ‘riak-riak’ kesadaran dan bahwa individu adalah ‘pusaran’ kesadaran.

Masih lanjut membaca…

 

Link buku:

https://www.amazon.com/Brief-Peeks-Beyond-Metaphysics-Neuroscience/dp/1785350188/ref=redir_mobile_desktop?ie=UTF8&keywords=brief%20peeks%20beyond&pi=SY200_QL40&qid=1471266275&ref_=mp_s_a_1_1&sr=8-1

Relay-attack terhadap kunci mobil modern

Passive keyless entry and start (PKES) adalah mekanisme kunci elektronik canggih yang digunakan di mobil. PKES memudahkan pengendara untuk membuka pintu dan menstarter mobil bahkan tanpa mengeluarkan kunci dari saku atau tas.

Sayangnya, mekanisme ini justru memilki kelemahan yang cukup fatal. Lagi2 serangan yang simple dengan metode relay attack dapat digunakan untuk mematahkan PKES. Cara kerja serangan adalah sebagai berikut:
Penyerang menggunakan dua buah antena yang masing-masing didekatkan ke kunci dan ke mobil. Kedua antena itu dihubungkan bisa dengan kabel atau via RF. Dengan alat ini, penyerang dapat meng-extend jarak jangkau kunci PKES kita. Jika kita sedang ada di dalam mall dan mengantungi kunci PKES, maka satu antena akan didekatkan ke posisi kita (5-10 meter) dan satu antena lainnya akan digunakan untuk membuka pintu dan menstarter mobil kita. Jarak antar antena bisa sangat jauh bergantung pada kekuatan RF antar antena dan delay respon yg diperkenankan oleh sistem PKES.

Beberapa tip darurat untuk mengamankan mobil dengan PKES:
1. Bungkus kunci dengan bungkus aluminium ketika sedang tidak digunakan. Tujuannya untuk menciptakan sangkar faraday di sekitar kunci.
2. Cabut baterai ketika kunci tidak digunakan.attack PKES

Relay attack terhadap contactless card

Ini adalah skenario serangan terhadap contactless smart card yang dinamakan relay attack. Penyerang menghubungkan kartu target ke sebuah proxy reader (bisa berupa smartphone yg memiliki fitur NFC) dan kemudian me-relay koneksi tersebut ke proxy-token (juga bisa berupa smartphone). Proxy token ini dapat digunakan untuk transaksi, membuka pintu akses dll dengan menggunakan credential kartu korban. Kalau terjadi pada e-money (flazz, e-toll, t-cash dll) hasilnya adalah uang hilang.

Apakah ini juga bisa dilakukan terhadap KTP-el kita ? Jika ya, motif apa yang menyebabkan penyerang mau susah-susah melakukan hal ini?relay attack on NFC card

Mengkaji Keamanan Internet Banking dan Merumuskan Prinsip-Prinsip Perbaikannya

Keberhasilan jajaran kepolisian mengungkap dua pelaku kejahatan perbankan dari Ukraina, Olexsandr Sulima dan Dmitry Gryadskiy, awal pekan ini sangat patut diapresiasi. 

Dua orang ini diduga merupakan sindikat internasional pelaku kejahatan finansial yang menyasar pengguna layanan internet banking, membuat FBI bahkan bekerjasama dengan Polri mendalami kasus ini. Kerugian hingga saat ini dilaporkan mencapai Rp 40 miliar. Modusnya memodifikasi transaksi nasabah dan kemudian membelokkan transaksi ke rekening lain. 

Kasus ini bukan yang pertama terjadi di Indonesia. Sebelumnya, April lalu, sempat marak kasus serangan sinkronisasi token internet banking yang menimpa beberapa nasabah Bank Mandiri dan BCA, sehingga penulis tertarik mengulasnya di detikINETbeberapa waktu lalu

Saat itu, Polri mengungkap kerugian yang ditimbulkan mencapai Rp 120 miliar yang kemudian dikoreksi oleh BI dan OJK menjadi kurang lebih Rp 5 miliar. Berikutnya, kita juga menemui kasus pengalihan tujuan transaksi internet banking yang menimpa dua nasabah Bank Mandiri cabang Bengkulu. 

Berkaca seluruh kasus tersebut, kita patut menduga bahwa pada dasarnya pelaku mengeksploitasi titik kerawanan yang sama yakni kelemahan di sisi nasabah. Lebih jauh lagi, penulis juga mengamati adanya perbedaan mendasar antara serangan sinkronisasi token dengan serangan-serangan berikutnya.

Dalam serangan sinkronisasi token, nasabah diminta melakukan suatu prosedur yang jauh berbeda dengan prosedur transaksi normal, yaitu meminta nasabah menjawab challenge token untuk keperluan sinkronisasi. Untuk kasus-kasus berikutnya, nasabah hanya menjalankan prosedur mutasi rekening normal yang belakangan diketahui ternyata mengarah ke rekening lain tanpa sepengetahuan nasabah. 

Dari fakta ini, tampak bahwa metode serangan selalu berevolusi. Karena itulah, kita perlu mengidentifikasi pola dasar serangan yang terjadi guna merumuskan langkah mitigasi yang efektif.

Modus Serangan Internet Banking

Bagaimana sebenarnya modus serangan tersebut? Benarkah bahwa serangan virus merupakan pangkal mula dari serangan ini? Hal Ini penting untuk kita jawab. Kesalahan dalam mengidentifikasi pola dasar serangan akan berlanjut langkah mitigasi yang juga keliru.

Untuk mengubah detil transaksi dan sekaligus membelokkan tujuan mutasi rekening, penyerang harus menerapkan teknik serangan yang dikenal sebagai man-in-the-middle-attack (MITM). Prinsip MITM dalam kasus ini adalah penyerang harus dapat mencegat jalur komunikasi antara terminal milik nasabah dan server internet banking sebelum pengamanan https terbentuk. 

Dengan demikian, praktis seluruh komunikasi di jalur tersebut dapat disadap dan bahkan dimodifikasi oleh penyerang. Untuk menerapkan MITM, penyerang dapat menularkan virus ke PC pengguna. Virus ini akan menyisipkan tabel routing di PC pengguna untuk membelokkan koneksi ke server penyerang. Selanjutnya, server penyerang inilah yang akan memodifikasi dan menyadap komunikasi antara terminal pengguna dan server internet banking. 

Cara lain, virus ini tertanam di browser pengguna dan secara langsung menyadap dan memodifikasi detil transaksi tanpa harus membelokkan trafik ke server lain. 

MITM juga dapat diterapkan dengan cara melakukan menyerang DNS (DNS poisoning) atau menanamkan tool ke dalam server proxy. Dengan skenario serangan ini, bahkan PC yang bersih dari virus sekalipun tetap dapat terkena MITM.

Kondisi Keamanan Internet Banking

Sementara itu, beberapa pihak menyatakan bahwa desain keamanan internet banking sebenarnya relatif kuat karena sudah menerapkan berbagai persyaratan keamanan yang ditetapkan BI. Serangan yang terjadi tidak dilakukan dengan memanfaatkan lubang keamanan di sistem internet banking, namun dilakukan dengan mengeksploitasi kelemahan di sisi nasabah.

Menurut penulis, pernyataan ini kurang tepat. Untuk menilai kondisi keamanan sistem secara obyektif, kita perlu mengungkap terlebih dulu asumsi atau persyaratan dasar apa saja yang menjadi sandaran keamanan sistem ini. 

Sistem keamanan internet banking saat ini, yang menggunakan protokol https dan OTP-token (one time password – token), dapat secara efektif menangkal serangan hanya jika terminal (PC, smartphone, tablet) milik nasabah bersifat trusted. 

Trusted dalam kasus ini berarti bahwa: (1) tidak ada kode jahat dalam terminal nasabah yang dapat membelokkan koneksi ke server penyerang dan sekaligus menggagalkan terbentuknya protokol https antara terminal nasabah dan server internet banking, atau (2) tidak ada kode jahat dalam terminal yang dapat memanipulasi data yang diinput ataupun yang ditampilkan lewat layar ke nasabah. 

Berdasarkan penjelasan sebelumnya, perlu setidaknya satu asumsi lagi yaitu (3) DNS yang digunakan bersifat trusted yakni tidak terkena DNS-poisoning, atau jika menggunakan proxy maka proxy ini juga trusted, yaitu tidak mengandung tool jahat yang dapat digunakan untuk melancarkan MITM. 

Jika seluruh tiga syarat atau asumsi ini terpenuhi, maka kita dapat menyatakan bahwa protocol https dan mekanisme OTP-token masih cukup efektif menangkal serangan MITM.

Pertanyaannya adalah apakah saat ini ketiga asumsi perangkat trusted tersebut masih valid? Mengenai serangan virus terhadap terminal nasabah, sangat sering kita temukan fakta bahwa tidak mudah bagi kebanyakan nasabah untuk memastikan bahwa terminalnya bebas virus. 

Beberapa virus bahkan sangat sulit dideteksi dan dibersihkan karena memiliki mekanisme stealth yang cukup kompleks. Virus-virus ini juga terus berevolusi untuk dapat lolos dari cegatan produk antivirus yang terbaru. Jadi, asumsi ke satu dan dua dapat dikatakan tidak valid karena butuh kecakapan khusus untuk mendeteksi dan menyingkirkan virus. 

Di sisi lain, validitas asumsi ketiga juga sangat bergantung otoritas pihak lain di luar penyedia layanan internet banking dan juga nasabah. Nasabah sangat mungkin mengakses internet melalui access point yang tersedia ruang publik seperti kafe, restoran, ataupun bandara. 

Menurut penulis, cukup berisiko jika keamanan layanan internet banking disandarkan pada validitas asumsi ketiga ini. Jadi, bagaimana status keamanan internet banking saat ini? Berdasarkan pembahasan di atas, kita sangat layak meragukan validitas tiga asumsi tersebut. 

Kesimpulannya adalah sistem keamanan internet banking yang ada saat ini dapat kita nyatakan sudah tidak lagi efektif menangkal serangan man-in-the-middle-attack (MITM). Penyerang yang berhasil melancarkan MITM, selanjutnya dengan mudah menyadap dan sekaligus memodifikasi seluruh pertukaran pesan, termasuk detil transaksi, antara terminal nasabah dengan server internet banking.

Solusi Keamanan Internet Banking

Jika terminal tidak sepenuhnya trusted dan juga DNS ataupun proxy server juga tidak sepenuhnya trusted, bagaimana solusi sistem keamanan yang dapat menjamin keamanan transaksi internet banking? Kita singgung sedikit skenario serangan terhadap sistem keamanan yang ada saat ini. 

Anggap MITM terjadi, maka penyerang dapat memodifikasi detil transaksi dan sekaligus memancing pengguna untuk menjawab challenge token-OTP.Terdapat beberapa permasalahan dalam skenario ini. 

Pertama, integritas atau keutuhan detil transaksi tidak dapat dijaga. Penyerang dapat dengan mudah mengubah detil transaksi yang dimasukkan oleh nasabah. Kedua, nasabah memberikan persetujuan untuk transaksi yang tidak sepenuhnya dia ketahui. Ketika nasabah menerimachallenge-token dan menjawabnya, nasabah sebenarnya tidak hanya sedang menjawab challenge untuk otentikasi what-you-have

Pada saat itu, nasabah sekaligus juga memberikan persetujuan terhadap transaksi tertentu. Masalahnya adalah nasabah tidak dapat memastikan bahwa detil transaksi yang dia setujui adalah benar-benar identik dengan detil transaksi yang telah dia input sebelumnya ke halaman web.

Pada umumnya, sejumlah digit paling belakang dari challenge-token akan identik dengan sejumlah yang sama digit paling belakang dari nomor rekening tujuan. 
Mekanisme ini tentu dapat membantu pengguna untuk memastikan validitas dari detil transaksi yang akan dia setujui. 

Namun, penyerang dapat saja menyisipkan beberapa langkah tambahan untuk memanipulasi nasabah sedemikian rupa sehingga pada akhirnya nasabah akan menjawab challenge-token yang tidak berkorelasi dengan detil transaksi yang dia masukkan sebelumnya.

Dua permasalahan dalam skenario di atas dapat menuntun kita untuk merumuskan solusi keamanan. Penulis mengusulkan beberapa prinsip solusi sebagai berikut:

(1) Anggap terjadi MITM, maka solusi keamanan harus memiliki mekanisme untuk menjaga integritas detil transaksi. Dengan mekanisme ini, penyerang tidak mungkin lagi mengubah detil transaksi yang telah disetujui oleh nasabah. Kita dapat menggunakan berbagai algoritma kriptografi untuk menerapkan mekanisme ini.

(2) Anggap terjadi MITM, maka solusi keamanan harus memberikan mekanisme bagi nasabah untuk memeriksa dan memastikan kebenaran detil transaksi sebelum memberikan persetujuan terhadap transaksi.

(3) Anggap terjadi MITM, maka prinsip ke-1 dan 2 harus diimplementasikan dalam sub-sistem yang trusted. Karena terminal diasumsikan tidak sepenuhnya trusted,maka sub-sistem ini dapat saja berupadedicated-device sebagaimana token-device yang ada saat ini.

Dengan mengungkap beberapa asumsi dasar yang sebelumnya tidak dinyatakan secara eksplisit, kita dapat menyatakan bahwa sistem keamanan internet banking yang ada saat ini tidak dapat menangkal skenario serangan yang mutakhir. Maka selanjutnya kita dapat menyusun asumsi yang lebih realistis dan kemudian merumuskan solusi keamanan yang baru. Selesai

Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Usulan Perbaikan Keamanan Internet Banking (bagian 3 dari 3 tulisan)

Artikel sebelumnya sudah memaparkan bagaimana serangan ‘sinkronisasi token’ dapat mematahkan ‘mata-rantai’ terlemah dari sistem keamanan internet banking. Sebelum beranjak pada alternatif solusi, kita perlu menegaskan terlebih dahulu beberapa hal yang akan menjadi referensi dalam merumuskan solusi perbaikan keamanan internet banking , yaitu:

  1. Skenario dasar serangan ini tidak cukup ditangkal hanya dengan mengandalkan kapabilitas, kejelian dan kepedulian pengguna.
  2. Serangan tidak mematahkan mekanisme pengamanan yang saat ini ada, yang mencakup protokol HTTPS, otentikasi dengan username dan password, dan juga sistem token.
  3. Skenario dasar serangan adalah man-in-the-middle-attack yang memotong jalur komunikasi antara PC pengguna dan server internet banking.
  4. Penyerang mengeksploitasi kerawanan yang ada di sisi pengguna, yaitu PC-pengguna, diduga dengan menanamkan virus. Variasi lain dari skenario dasar yang sama dapat dilakukan dengan menyerang proxy server ataupun DNS server. Intinya, serangan tidak diarahkan pada sistem internet banking yang menjadi kewenangan pihak bank.
  5. Serangan efektif karena ada faktor social engineering yaitu teknik untuk mengelabui pengguna.
  6. Penyerang berhasil melakukan transaksi dengan menggunakan otorisasi pengguna yang sah.

Mitigasi dengan menutup celah keamanan di sisi pengguna sejauh ini sudah dilakukan oleh bank dengan memberikan tips pengamanan kepada pengguna (lihat artikel bagian 1). Bagian artikel ini akan fokus membahas usulan perbaikan di sisi sistem internet banking (yang merupakan wewenang Bank), bukan di sisi pengguna.

Baca lebih lanjut

Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Bagaimana serangan ‘sinkronisasi token’ bekerja? (bagian 2 dari 3 tulisan)

Untuk mengambil pelajaran dari kasus serangan yang sudah terjadi, kita perlu mengingat kembali salah satu prinsip dasar untuk menganalisis keamanan sistem teknologi informasi, yaitu:

Keamanan total dari suatu sistem dapat dipandang sebagai sebuah rantai yang dibentuk oleh sekumpulan mata-rantai yang saling berhubungan. Untuk mematahkan keamanan, penyerang cukup mencari dan memutuskan mata-rantai yang paling lemah.

Metode serangan ‘sinkronisasi token’ yang terjadi sepenuhnya sejalan dengan prinsip di atas. Penyerang mengarahkan serangannya ke titik paling lemah dari rangkaian keamanan, yakni pengguna serta perangkat (PC, tablet) dan juga lingkungan di sisi pengguna. Serangan ini memiliki aspek teknis, yakni penggunaan malware ataupun tool serangan lainnya, dan sekaligus aspek social engineering, yakni strategi untuk mengecoh pengguna. Bagian artikel ini akan memaparkan skenario dasar serangan terhadap sistem keamanan eksisting.

Baca lebih lanjut