Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Usulan Perbaikan Keamanan Internet Banking (bagian 3 dari 3 tulisan)

Artikel sebelumnya sudah memaparkan bagaimana serangan ‘sinkronisasi token’ dapat mematahkan ‘mata-rantai’ terlemah dari sistem keamanan internet banking. Sebelum beranjak pada alternatif solusi, kita perlu menegaskan terlebih dahulu beberapa hal yang akan menjadi referensi dalam merumuskan solusi perbaikan keamanan internet banking , yaitu:

  1. Skenario dasar serangan ini tidak cukup ditangkal hanya dengan mengandalkan kapabilitas, kejelian dan kepedulian pengguna.
  2. Serangan tidak mematahkan mekanisme pengamanan yang saat ini ada, yang mencakup protokol HTTPS, otentikasi dengan username dan password, dan juga sistem token.
  3. Skenario dasar serangan adalah man-in-the-middle-attack yang memotong jalur komunikasi antara PC pengguna dan server internet banking.
  4. Penyerang mengeksploitasi kerawanan yang ada di sisi pengguna, yaitu PC-pengguna, diduga dengan menanamkan virus. Variasi lain dari skenario dasar yang sama dapat dilakukan dengan menyerang proxy server ataupun DNS server. Intinya, serangan tidak diarahkan pada sistem internet banking yang menjadi kewenangan pihak bank.
  5. Serangan efektif karena ada faktor social engineering yaitu teknik untuk mengelabui pengguna.
  6. Penyerang berhasil melakukan transaksi dengan menggunakan otorisasi pengguna yang sah.

Mitigasi dengan menutup celah keamanan di sisi pengguna sejauh ini sudah dilakukan oleh bank dengan memberikan tips pengamanan kepada pengguna (lihat artikel bagian 1). Bagian artikel ini akan fokus membahas usulan perbaikan di sisi sistem internet banking (yang merupakan wewenang Bank), bukan di sisi pengguna.

Baca lebih lanjut

Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Bagaimana serangan ‘sinkronisasi token’ bekerja? (bagian 2 dari 3 tulisan)

Untuk mengambil pelajaran dari kasus serangan yang sudah terjadi, kita perlu mengingat kembali salah satu prinsip dasar untuk menganalisis keamanan sistem teknologi informasi, yaitu:

Keamanan total dari suatu sistem dapat dipandang sebagai sebuah rantai yang dibentuk oleh sekumpulan mata-rantai yang saling berhubungan. Untuk mematahkan keamanan, penyerang cukup mencari dan memutuskan mata-rantai yang paling lemah.

Metode serangan ‘sinkronisasi token’ yang terjadi sepenuhnya sejalan dengan prinsip di atas. Penyerang mengarahkan serangannya ke titik paling lemah dari rangkaian keamanan, yakni pengguna serta perangkat (PC, tablet) dan juga lingkungan di sisi pengguna. Serangan ini memiliki aspek teknis, yakni penggunaan malware ataupun tool serangan lainnya, dan sekaligus aspek social engineering, yakni strategi untuk mengecoh pengguna. Bagian artikel ini akan memaparkan skenario dasar serangan terhadap sistem keamanan eksisting.

Baca lebih lanjut

Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Menilik kejadian serangan dan mitigasinya (bagian1 dari 3 tulisan)

internet-banking tokenDi awal tahun 2015, dunia perbankan di Indonesia diresahkan dengan terjadinya serangan cyber fraud yang menyasar ke layanan internet banking beberapa bank papan atas. Metode serangannya cukup unik, yaitu dengan mengintervensi proses transaksi internet banking yang tengah berlangsung. Nasabah yang sedang melakukan transaksi diminta untuk mengentri token secara berulang, melalui pop up window yang meminta sinkronisasi token. Prosedur sinkronisasi token tersebut, belakangan terungkap, bukanlah merupakan prosedur yang valid yang memang dibuat oleh penyedia layanan, namun merupakan mekanisme ilegal yang disisipkan oleh penyerang guna mengelabui korban. Setelah menjalankan perintah dari pop-up window ini, seorang korban dilaporkan mendapati rekeningnya terdebit sebesar 13 juta rupiah karena terjadi transfer secara tidak sah ke tujuan rekening yang tidak dikenalnya. Mengenai jumlah korban, pihak BCA sempat menyebutkan adanya seribu nasabah yang menjadi korban serangan ini (sumber: 1.000 Nasabah Terkena “Sinkronisasi Token”, kompas online, 6/3/15), yang kemudian diralat menjadi hanya 43 nasabah. (sumber: Hanya 43 Nasabah yang Terkena “Sinkronisasi Token”, kompas online, 6/3/15). Selain BCA, nasabah Bank Mandiri juga menjadi korban dari serangan ini. (sumber:Nasabah Mandiri juga Terkena Malware Pencuri Uang, CNN Indonesia Online, 6/3/15).

Sangat menarik untuk kita kaji, kerawanan apakah dalam sistem internet banking yang berhasil dieksploitasi oleh penyerang.

Baca lebih lanjut

Makna kata

Kutipan menarik dari Lewis Carroll:

“When I use a word,” Humpty Dumpty said, in a rather scornful tone, “it means just what I choose it to mean—neither more nor less.” “The question is,” said Alice, “whether you can make words mean so many different things.” “The question is,” said Humpty Dumpty,”which is to be master— that’s all.”

Tentang non-kontradiksi (yg belum selesai…)

Ini copy-paste rangkaian diskusi di halaman fb-nya Taufik. Disalin di sini agar lebih mudah dibaca. Kali-kali ada yg perlu merujuk isu ini. Latar belakangnya adalah tentang ketidaksepakatan antara saya dan Taufik tentang tingkat kebenaran prinsip non-kontradiksi. Dan diskusinya masih belum selesai…

Tara Taufiqur Rahman Surah Aal-e-Imran, Verse 47: Maryam berkata: “Ya Tuhanku, betapa mungkin aku mempunyai anak, padahal aku belum pernah disentuh oleh seorang laki-lakipun”. Allah berfirman (dengan perantaraan Jibril): “Demikianlah Allah menciptakan apa yang dikehendaki-Nya. Apabila Allah berkehendak menetapkan sesuatu, maka Allah hanya cukup berkata kepadanya: “Jadilah”, lalu jadilah dia. Like · · Share · October 16 at 3:21pm via mobile ·

Tara Taufiqur Rahman Ayat itu memperlihatkan bahwa “kun fayakun” bisa terjadi dengan melawan hukum alam. Seketika atau dalam proses, itu bagaimana kehendak Allah saja. October 16 at 3:24pm · Like · 1 person

Tara Taufiqur Rahman ‎@Budi Sulistyo: ini bukti bahwa Tuhan tidak terikat hukum alam (ataupun rangkaian logika yang dibangun pemikiran manusia) October 16 at 3:28pm · Like

Tara Taufiqur Rahman ‎Budi Sulistyo: ditunggu comment-nya ya..October 17 at 8:47am · Like Baca lebih lanjut

Kriptografi untuk akademisi, ha3

Kutipan pidato dari seorang staf NSA (lembaga sandi AS) ini diambil dari paper Neil Koblitz, The Uneasy Relationship Between Mathematics and Cryptography:

He pointed out that in the real world if your cryptography fails, you lose a million dollars or your secret agent gets killed.
In academia, if you write about a cryptosystem and then a few months later find a way to break it, you’ve got two new papers to add to your résumé!

Tuhan Aku Cinta Padamu

Aku lemas
Tapi berdaya
Aku tidak sambat rasa sakit
atau gatal

Aku pengin makan tajin
Aku tidak pernah sesak nafas
Tapi tubuhku tidak memuaskan
untuk punya posisi yang ideal dan wajar

Aku pengin membersihkan tubuhku
dari racun kimiawi
Aku ingin kembali pada jalan alam
Aku ingin meningkatkan pengabdian
kepada Allah

Tuhan, aku cinta padamu

Sajak ini ditulis oleh WS. Rendra, 31 Juli 2009, di rumah sakit. Saya sungguh-sungguh tak bisa berkomentar untuk sajak ini, terlebih karena sajak ini beliau tuliskan di masa akhir hidup beliau

Meskipun terlambat saya ingin mengucapkan sekali lagi, selamat jalan Rendra…, orang besar, sastrawan besar,guru besar