Menganalisa Keamanan Internet Banking


Banyak website atau e-book yang saya temui yaitu menjelaskan tentang Menganalisa Sistem Keamanan Bank di Indonesia, namun banyak yang saya lihat hanya menjelaskan secara umum dalam keadaan real. Namun kali ini saya akan menjelaskan keamanan bank dalam dunia maya yaitu Menganalisa Sistem Keamanan Internet Banking.

Internet  Banking
Merupakan sebuah layanan perbankan dengan media komunikasi internet yang disediakan oleh bank untuk para nasabahnya. Dengan layanan ini, para  nasabahnya  dapat melakukan berbagai aktivitas perbankan tanpa perlu beranjak dari tempat duduk. Mulai dari pengecekkan saldo, transfer uang, hingga pembelian pulsa telepon pun sudah dapat dilakukan. Berbagai  kelebihan  yang  dapat  diperoleh  baik nasabah maupun bank dari layanan Internet Banking antara lain:


a.      Business expansion
Mempermudah perluasan daerah operasi bank. Dengan Internet banking, bank, layanan perbankan dapat diakses dimana saja dan kapan saja, tanpa perlu membuka kantor cabang baru. 

b.      Customer loyalty
Nasabah akan merasa lebih nyaman untuk melakukan aktivitas perbankannya tanpa harus membuka akun di bank yang berbeda-beda I berbagai tempat.

c.       Revenue & cost improvement
Biaya untuk memberikan layanan ini dapat lebih murah dibandingkan dengan membuka kantor cabang baru.

d.     Competitive advantage
Dengan membuka layanan Internet Banking, Bank akan memiliki keuntungan lebih dibandingkan dengan kompetitor lain dalam melayani nasabahnya.

e.      New Business Model
Layanan ini memungkinkan adanya model bisnis yang baru.

Keamanan Internet
Secara  umum,  hubungan  koneksi  internet  dengan pengguna  layanan  internet  Banking  dapat  dilihat pada gambar berikut:



Gambar 1: Kerawanan Internet

Dapat dilihat pada gambar 1, pengguna terhubung dengan jaringan internet melalui  layanan Internet Service Provider (ISP). Biasanya, koneksi menggunakan modem, DSL, kabel modem, wireless, maupun  dengan  leased  line.  Lalu  ISP  akan menghubungakan  pengguna  ke  internet  melalui penyedia jaringan (network  provider). Hal ini juga berlaku pada layanan Internet Banking. Server akan terhubung ke internet melalui ISP atau  penyedia jaringan lainnya.

Dari gambar 1, dapat ditunjukkan pula potensi celah keamanan yang dapat terjadi. Dari  sisi pengguna, komputer miliknya dapat disisipkan virus atau Trojan sehingga data–data di dalamnya dapat diubah atau diambil. Dari sisi ISP, apabila sistem keamanannya rentan, maka seorang cracker dapat menbobolnya dan dapat mengambil data pelanggan ISPnya. Dari sisi penyedia layanan Internet Banking pun  juga  terdapat  potensi celah keamanan.  Salah satu yang terjadi kasus di Amerika seorang cracker menjebol  institusi keuangan  dan mengambil data nasabah  dari  berbagai  bank. Begitu pula dari sisi jalur ISP dan pengguna, biasanya hal ini terjadi  di tempat  umum,  seperti  warnet.  Pengguna  warnet dapat  disadap  informasinya  dari  pemilik  warnet yang tidak bertanggung jawab.

Aspek Keamanan
Pada intinya, aspek keamanan komputer mempunyai beberapa lingkup yang penting, yaitu:
a.      Privacy & Confidentiality
Hal yang paling penting dalam aspek ini adalah usaha untuk menjaga data dan informasi dari pihak yang tidak diperbolehkan mengkasesnya. Privacy lebih  mengarah  kepada data-data yang sifatnya  privat. Sebagai contoh, email pengguna yang tidak boleh dibaca admin. Sedangkan confidentiality berhubungan dengan data yang diberikan kepada suatu pihak  untuk  hal  tertentu  dan  hanya diperbolehkan  untuk  hal  itu  saja. Contohnya, daftar pelanggan sebuah ISP.

b.      Integrity
Aspek  ini  mengutamakan  data  atau informasi tidak boleh diakses tanpa seizin pemiliknya. Sebagai contoh, sebuah email yang  dikirim  pengirim  seharusnya  tidak dapat dibaca orang lain sebelum sampai ke tujuannya.

c.       Authentication
Hal  ini  menekankan  mengenai keaslian suatu data/informasi, termasuk juga pihak yang memberi data atau mengaksesnya tersebut merupakan pihak yang dimaksud. Contohnya  seperti  penggunaan  PIN  atau password.

d.     Availability
Aspek  yang  berhubungan  dengan ketersediaan  informasi  ketika dibutuhkan. Sebuah  sistem inofrmasi yang diserang dapat menghambat ketersediaan informasi yang diberikan.

e.      Access Control
Aspek  ini  berhubungan  dengan  cara pengaksesan  informasi.  Hal  ini  biasanya berhubungan  dengan  klasifikasi  data (public, private confidential, top  secret) & user  (guest, admin, top manager, dsb.), mekanisme authentication dan juga privacy.  Seringkali dilakukan dengan menggunakan kombinasi user ID/password dengan  metode  lain  seperti  kartu  atau biometrics.

f.        Non-Repudiation
Hal  ini  menekankan  agar  sebuah  pihak tidak  dapat  menyangkal  telah  melakukan transaksi atau pengaksesan  data tertentu. Aspek ini sangat penting dalam hal e-commerce. Sebagai contoh, seseorang yang mengirim email  pemesanan  barang  tidak dapat  disangkal  telah  mengirim  email tersebut.

Metode Keamanan
Layanan  ini  menggunakan  beberapa  metode keamanan terkini seperti: 
a.       Penggunaan protokol Hyper  Text  Transfer Protokol  Secure (HTTPS), yang membuat pengiriman  data  dari  server  ke  ISP  dan klien berupa data acak yang terenkripsi.

b.   Penggunaan  teknologi  enkripsi  Secure Socket  Layer (SSL) 128 bit, dari Verisign. Dengan  SSL  inilah,  transfer  data  yang terjadi  harus  melalui  enkripsi  SSL  pada komunikasi tingkat socket.

c.          Penggunaan user  ID dan PIN untuk login ke layanan Internet Banking ini.

d.     Penggunaan metode time  out session, yang menyebabkan bila setelah 10 menit nasabah tidak  melakukan  aktivitas  apapun,  akses tidak berlaku lagi.

e.         Penggunaan  PIN  Bank  untuk  setiap aktivitas  perbankan.  PIN  ini  di-generate dari Token PIN Bank.  


Pengujian Keamanan
Secara umum, hal yang paling sering diserang para penyusup untuk masuk ke dalam sebuah situs yang terproteksi  adalah  dengan  mendapatkan  akses masuknya,  atau  sisi  Autentikasi.  Karena  hanya dengan mengetahu user ID dan password kita dapat melakukan  apapun  yang  kita  inginkan.  Dalam pengujian  keamanan  layanan  ini,  penulis  akan mencoba  melakukannya  dengan  dua  cara,  yaitu dengan  menggunakan  perangkat  lunak keylogger dan proses sniffing.
a.      Passive Snifing
Snifing  merupakan  sebuah  aksi  penyadapan  paket data  yang  dikirimkan  sebuah  computer  ke  server tertentu.  Terdapat  dua  jenis  aksi  sniffing,  yaitu passive  dan  active.  Perbedaannya  hanyalah  jika active melakukan aksi perubahan paket data dalam melakukan sniffing,  sedangkan  passive tidak.

b.      Keylogger
Keylogger  merupakan  sebuah  produk  yang  dapat mengetahui  aktivitas  apa  saja  yang  terjadi padakomputer yang isisipinya. Pembuat produk ini berargumen bahwa keylogger sangat berguna untuk memantau  perkembangan  kerja  karyawan perusahaan,  mengetahui  apa  yang  dilakukan  anak ketika brosing di Internet dan sebagainya.  Jenis  kelogger  ada  2  yaitu,  perangkat  lunak  & hardware. Keduanya mempunyai tujuan yang sama dengan karakteristik yang berbeda. Jenis hardware biasanya  dipasang  secara  fisik  pada  computer, merekam segala aktivitas yang diketikkan keyboard. Sedangkan jenis perangkat lunak, diinstal di sistem operasi kompueter dan dijalankan, biasanya secara tersembunyi.

c.       Active Sniffing
Proses ini menggunakan metode serangan Man-In-The-Middle  dan  juga  peracunan  ARP  dengan bantuan perangkat lunak Cain & Abel.


Saran
Beberapa  saran  dari  penulis  untuk  meminimalisir celah keamanan antara lain:
a.   Untuk  mencegah  hardware  keylogger, pengguna  atau  penyedia  layanan  Internet Banking dapat memaksimalkan fitur virtual keyboard.  Karena  dengan  fitur  ini, keylogger  tidak  dapat  merekam  hasil ketikan karena tidak melalui port atau kabel keyboard. Fitur ini sudah digunakan pada layanan Internet Banking CitiBank.

b.    Untuk  mencegah  perangkat  lunak keylogger,  dapat  menggunakan  perangkat lunak antivirus dan firewall yang selalu ter-update. Karena jika tidak ter-update, akan percuma. Karena beberapa keylogger dapat mematikan anti virus.

c.       Hindari untuk mengakses Internet Banking dari tempat – tempat umum, seperti warnet, dll. Karena aspek keamanan yang biasanya minimalis.

d.     Untuk mencegah terjadinya poisoning ARP, maka solusi yang dapat dilakukan dengan mengimplementasi  security  pada  switch, tetapi hanya switch manageable yang dapat melakukannya, bukan switch jenis biasa.

e.   Cara lain untuk mencegah poisoning ARP adalah dengan mencegah ARP cache pada komputer  berubah,  dengan  cara mengubahnya  menjadi  ARP  cache  statik. Caranya dapat menggunakan perintah arp –s pada command prompt.

f.  Untuk  meminimalisir  terjadinya  proses sniffing,  gunakan  protokol  yang mengenkripsi  data  pada  transfer  datanya seperti HTTPS, IPSec, SMB Signing, dll. 

Semua saran diatas sama sekali tidak menjamin bahwa keamanan menggunakan Internet Banking akan selalu aman 100%. Saran hanya dilakukan untuk meminimalisir celah keamanan yang berpotensi terjadi.

Untuk materi yang lebih lengkap dan yang aslinya dan juga langkah-langkah pengujiannya bisa download di sini

Sumber : webmail.informatika.org

Komentar

Posting Komentar

Postingan populer dari blog ini

VTP Transparent Mode

Gambar
Lab 3. VTP Transparent Mode Lab sebelumnya saya telah membahas bagaimana cara mengimplementasikan VTP Server Mode dan VTP Client Mode (lihat di sini ). Pada lab ini saya akan membahas bagaimana cara mengimplemetasikan VTP Transparent Mode. Sebelum lebih jauh, berikut sedikit penjelasan dari perbedaan fungsi dari masing-masing mode.  VTP Server ; Merupakan modus default untuk semua switch yang mendukung VTP. Seorang administrator dapat membuat, memodifikasi, dan menghapus VLAN dan menentukan parameter konfigurasi lainnya (seperti versi VTP) untuk seluruh VTP domain. VTP server dapat meng- advertise konfigurasi VLANnya ke switch lain dalam domain VTP yang sama dan sinkronisasi konfigurasi VLAN dengan switch lain berdasarkan advertise  yang diterima melalui trunk link. Konfigurasi VLAN disimpan di NVRAM. VTP Client ; Bersifat seperti VTP Server, tetapi administrator tidak dapat membuat, mengubah, atau menghapus VLAN pada klien VTP. Konfigurasi VLAN disimpan di NVRAM. VTP
Baca selengkapnya

Spanning Tree Protocol (STP) dan VLAN Trunking Protocol (VTP)

Gambar
LAB 2.  STP dan VTP Spanning Tree Protocol (STP) adalah protokol jaringan yang menjamin topologi jaringan terhindar dari perulangan dalam jaringan Ethernet LAN. Fungsi dasar dari STP adalah untuk mencegah pengulangan (loop) dan radiasi siaran (broadcast) yang dihasilkan dari mereka (perangkat jaringan). STP juga memungkinkan desain jaringan untuk memasukkan cadang tautan (redundant) untuk menyediakan jalur cadangan otomatis (automatic backup paths) jika tautan aktif gagal, tanpa bahaya dari perulangan yang tidak diinginkan dalam jaringan, atau kebutuhan untuk panduan mengaktifkan / menonaktifkan cadangan tautan ini. Spanning Tree Protocol (STP) distandarisasi sebagai IEEE 802.1D. Seperti namanya, protokol ini bisa menciptakan STP dalam jaringan bertautan dari lapisan 2 layer penghubung (biasanya switch ethernet), dan menonaktifkan tautan tersebut yang bukan bagian dari STP, meninggalkan jalur aktif tunggal antara dua node jaringan. sumber: STP VLAN Trunking Protocol (VTP) a
Baca selengkapnya

Mengenal Lebih Jauh Jeroan atau Isi PC

Gambar
1. Mempelajari Motherboard Motherboard adalah salah satu komponen dari Rangkaian Komputer, Komponen tersebut dinamakan Motherborad karena memang komponen ini merupakan komponen utama dari rangkaian CPU, jadi motherboard dapat diartikan dalam bahasa Indonesia adalah Papan Induk atau papan utama. Bermacam-macam jenis, keunggulan dan fasilitas-fasilitas yang ditawarkan oleh pembuat motherboard tersebut. Lalu bagaimana cara memilih motherboard yang baik dan sesuai dengan keinginan kita ?. Nah bila pertanyaan anda seperti itu coba Anda ikuti semua tips dan informasi berikut ini. A. Kenali dulu Bentuk dari Motherboard. Seperti apa sih bentuk motherboard, coba Anda lihat gambar dibawah ini. Gambar tersebut adalah bentuk fisik dari motherboard, sekarang bila Anda punya komputer dirumah Anda, cobalah matikan dahulu komputer tersebut dan jangan lupa matikan semua aliran listriknya. Sekarang yang Anda lakukan adalah membuka cassing dari CPU Anda. ==> ( Mana yang dise
Baca selengkapnya