Kamis, 19 April 2012

Menganalisa Keamanan Perbankan


     Banyak website atau e-book yang saya temui yaitu menjelaskan tentang Menganalisa Sistem Keamanan Bank di Indonesia, namun banyak yang saya lihat hanya menjelaskan secara umum dalam keadaan real. Namun kali ini saya akan menjelaskan keamanan bank dalam dunia maya yaitu Menganalisa Sistem Keamanan Internet Banking.

Internet  Banking

Merupakan sebuah layanan perbankan dengan media komunikasi internet yang disediakan oleh bank untuk para nasabahnya. Dengan layanan ini, para  nasabahnya  dapat melakukan berbagai aktivitas perbankan tanpa perlu beranjak dari tempat duduk. Mulai dari pengecekkan saldo, transfer uang, hingga pembelian pulsa telepon pun sudah dapat dilakukan. Berbagai  kelebihan  yang  dapat  diperoleh  baik nasabah maupun bank dari layanan Internet Banking antara lain:


a. Business expansion
   Mempermudah perluasan daerah operasi bank. Dengan Internet banking, bank, layanan perbankan dapat diakses dimana      
    saja dan kapan saja, tanpa perlu membuka kantor cabang baru. 
b. Customer loyalty
    Nasabah akan merasa lebih nyaman untuk melakukan aktivitas perbankannya tanpa harus membuka akun di bank yang 
     berbeda-beda I berbagai tempat.
c. Revenue & cost improvement
     Biaya untuk memberikan layanan ini dapat lebih murah dibandingkan dengan membuka kantor cabang baru.
d. Competitive advantage
    Dengan membuka layanan Internet Banking, Bank akan memiliki keuntungan lebih dibandingkan dengan kompetitor lain   
    dalam melayani nasabahnya.
e. New Business Model
    Layanan ini memungkinkan adanya model bisnis yang baru.


Aspek Keamanan

Pada intinya, aspek keamanan komputer mempunyai beberapa lingkup yang penting, yaitu:

a.  Privacy & Confidentiality
Hal yang paling penting dalam aspek ini adalah usaha untuk menjaga data dan informasi dari pihak yang tidak diperbolehkan mengkasesnya. Privacy lebih  mengarah  kepada data-data yang sifatnya  privat. Sebagai contoh, email pengguna yang tidak boleh dibaca admin. Sedangkan confidentiality berhubungan dengan data yang diberikan kepada suatu pihak  untuk  hal  tertentu  dan  hanya diperbolehkan  untuk  hal  itu  saja. Contohnya, daftar pelanggan sebuah ISP.

b.  Integrity
Aspek  ini  mengutamakan  data  atau informasi tidak boleh diakses tanpa seizin pemiliknya. Sebagai contoh, sebuah email yang  dikirim  pengirim  seharusnya  tidak dapat dibaca orang lain sebelum sampai ke tujuannya.

c. Authentication
Hal  ini  menekankan  mengenai keaslian suatu data/informasi, termasuk juga pihak yang memberi data atau mengaksesnya tersebut merupakan pihak yang dimaksud. Contohnya  seperti  penggunaan  PIN  atau password.

d. Availability
Aspek  yang  berhubungan  dengan ketersediaan  informasi  ketika dibutuhkan. Sebuah  sistem inofrmasi yang diserang dapat menghambat ketersediaan informasi yang diberikan.

e. Access Control
Aspek  ini  berhubungan  dengan  cara pengaksesan  informasi.  Hal  ini  biasanya berhubungan  dengan  klasifikasi  data (public, private confidential, top  secret) & user  (guest, admin, top manager, dsb.), mekanisme authentication dan juga privacy.  Seringkali dilakukan dengan menggunakan kombinasi user ID/password dengan  metode  lain  seperti  kartu  atau biometrics.

f. Non-Repudiation
Hal  ini  menekankan  agar  sebuah  pihak tidak  dapat  menyangkal  telah  melakukan transaksi atau pengaksesan  data tertentu. Aspek ini sangat penting dalam hal e-commerce. Sebagai contoh, seseorang yang mengirim email  pemesanan  barang  tidak dapat  disangkal  telah  mengirim  email tersebut.

Metode Keamanan

Layanan  ini  menggunakan  beberapa  metode keamanan terkini seperti: 
  1. Penggunaan protokol Hyper  Text  Transfer Protokol  Secure (HTTPS), yang membuat pengiriman  data  dari  server  ke  ISP  dan klien berupa data acak yang terenkripsi.
  2. Penggunaan  teknologi  enkripsi  Secure Socket  Layer (SSL) 128 bit, dari Verisign. Dengan  SSL  inilah,  transfer  data  yang terjadi  harus  melalui  enkripsi  SSL  pada komunikasi tingkat socket.
  3. Penggunaan user  ID dan PIN untuk login ke layanan Internet Banking ini.
  4. Penggunaan metode time  out session, yang menyebabkan bila setelah 10 menit nasabah tidak  melakukan  aktivitas  apapun,  akses tidak berlaku lagi.
  5. Penggunaan  PIN  Bank  untuk  setiap aktivitas  perbankan.  PIN  ini  di-generate dari Token PIN Bank.  



Pengujian Keamanan

Secara umum, hal yang paling sering diserang para penyusup untuk masuk ke dalam sebuah situs yang terproteksi  adalah  dengan  mendapatkan  akses masuknya,  atau  sisi  Autentikasi.  Karena  hanya dengan mengetahu user ID dan password kita dapat melakukan  apapun  yang  kita  inginkan.  Dalam pengujian  keamanan  layanan  ini,  penulis  akan mencoba  melakukannya  dengan  dua  cara,  yaitu dengan  menggunakan  perangkat  lunak keylogger dan proses sniffing.

a.  Passive Snifing
Snifing  merupakan  sebuah  aksi  penyadapan  paket data  yang  dikirimkan  sebuah  computer  ke  server tertentu.  Terdapat  dua  jenis  aksi  sniffing,  yaitu passive  dan  active.  Perbedaannya  hanyalah  jika active melakukan aksi perubahan paket data dalam melakukan sniffing,  sedangkan  passive tidak.

b.  Keylogger
Keylogger  merupakan  sebuah  produk  yang  dapat mengetahui  aktivitas  apa  saja  yang  terjadi padakomputer yang isisipinya. Pembuat produk ini berargumen bahwa keylogger sangat berguna untuk memantau  perkembangan  kerja  karyawan perusahaan,  mengetahui  apa  yang  dilakukan  anak ketika brosing di Internet dan sebagainya.  Jenis  kelogger  ada  2  yaitu,  perangkat  lunak  & hardware. Keduanya mempunyai tujuan yang sama dengan karakteristik yang berbeda. Jenis hardware biasanya  dipasang  secara  fisik  pada  computer, merekam segala aktivitas yang diketikkan keyboard. Sedangkan jenis perangkat lunak, diinstal di sistem operasi kompueter dan dijalankan, biasanya secara tersembunyi.

c.  Active Sniffing
Proses ini menggunakan metode serangan Man-In-The-Middle  dan  juga  peracunan  ARP  dengan bantuan perangkat lunak Cain & Abel.

Saran
Beberapa  saran  dari  penulis  untuk  meminimalisir celah keamanan antara lain:
  • Untuk  mencegah  hardware  keylogger, pengguna  atau  penyedia  layanan  Internet Banking dapat memaksimalkan fitur virtual keyboard.  Karena  dengan  fitur  ini, keylogger  tidak  dapat  merekam  hasil ketikan karena tidak melalui port atau kabel keyboard. Fitur ini sudah digunakan pada layanan Internet Banking CitiBank.
  • Untuk  mencegah  perangkat  lunak keylogger,  dapat  menggunakan  perangkat lunak antivirus dan firewall yang selalu ter-update. Karena jika tidak ter-update, akan percuma. Karena beberapa keylogger dapat mematikan anti virus.
  • Hindari untuk mengakses Internet Banking dari tempat – tempat umum, seperti warnet, dll. Karena aspek keamanan yang biasanya minimalis.
  • Untuk mencegah terjadinya poisoning ARP, maka solusi yang dapat dilakukan dengan mengimplementasi  security  pada  switch, tetapi hanya switch manageable yang dapat melakukannya, bukan switch jenis biasa.
  • Cara lain untuk mencegah poisoning ARP adalah dengan mencegah ARP cache pada komputer  berubah,  dengan  cara mengubahnya  menjadi  ARP  cache  statik. Caranya dapat menggunakan perintah arp –s pada command prompt. 
  • Untuk  meminimalisir  terjadinya  proses sniffing,  gunakan  protokol  yang mengenkripsi  data  pada  transfer  datanya seperti HTTPS, IPSec, SMB Signing, dll. 


Semua saran diatas sama sekali tidak menjamin bahwa keamanan menggunakan Internet Banking akan selalu aman 100%. Saran hanya dilakukan untuk meminimalisir celah keamanan yang berpotensi terjadi. Dengan menggunakan IP dari bank tersebut ( caranya kita pinjam telepon dari bank lalu telepon ke nomer kita dengan menggunakan IP deteksi jika sudah kita tau IP dari bank itu sendiri )

  1. Menggunkan aplikasi yang biasa dipakai yaitu backdoor.
  2. Masuk ke bank tersebut tapi jangan lupa bawa senjata yang ampuh.

Ada dua masalah inti yang mengawali banyaknya pembobolan bank semacam ini di Indonesia. Pertama adalah kurang diurusnya sistem perbankan. Dengan adanya kejadian seperti ini, inilah saatnya otoritas mengurus sistemik itu. Ini disebut sistemik real, karena kalau bank saja tidak dipercaya masyarakat krisis akan berlanjut ke masalah krisis perbankan seperti yang ditakutkan sekarang ini. Seharusnya sekarang sudah ada pernyataan dari pemerintah atau Lembaga Penjamin Simpanan, bahwa masyarakat harus tenang. Jika uang hilang karena pembobolan, pasti akan dijamin dananya kembali.


Masalah kedua adalah dunia perbankan Indonesia harus memperkuat infrastrukturnya. Jika melihat banyaknya kejadian seperti pembobolan ATM, perbankan Indonesia sebaiknya segera dilakukan audit sistem teknologi yang diterapkan seluruh perbankan. Kartu ATM yang ada saat ini masih belum cukup aman dari penggandaan kode rahasia.
Jika ingin lebih aman, seharusnya digunakan chip dalam kartu. Namun untuk menambahkan chip dalam kartu dibutuhkan dana yang besar, karena harganya mahal. Namun jika bank-bank Indonesia lebih peduli keamanan nasabah dari pada biaya produksi kartu dan strategi pemasaran luas, maka seharusnya kartu ATM bisa dibuat dengan sistem pengamanan yang lebih memadai.




Modusnya sebenarnya sendiri bukan hal yang baru, teknik phising masih mendominasi didalam pembobolan ini. Phising yaitu bisa kita artikan seperti mengelabui, misalnya kita disuruh begini, begitu dan sebagainya tanpa kita pahami apa gunanya kita melakukan itu. Contoh mudahnya mereka mengelabui kamu dengan embel-embel hadiah, kamau disuruh ke ATM dan blablabla.. ini termasuk dalam kategori phising. Sedangkan alat yang digunakan adalah dengan menggunakan alat skimmer, prosesnya sendiri dikenal dengan skimming. Lalu-lintas data yang lewat melalui ATM ini direkam dengan alat skimmer ini, lalu data ini (kalau di komputer istilah keren-nya copy paste alias COPAS) dimasukkan ke dalam kartu magnetik yang masih kosong. Imajinasi mudahnya sama seperti saya membuat kloning diri saya sendiri.




Sebenarnya mudah saja mengetahui siapa pelaku yang memasang alat skimmer ini yang jelas dan sudah pasti adalah ORANG DALAM atau bisa saja mungkin orang yang terdekat dengan ATM (maaf bukan menuduh) bisa jadi satpam, tukang parkir dan lain sebagainya. Biarin sajalah polisi yang urus tapi sebenarnya yang perlu dikejar itu OTAK-nya.
Lalu kenapa ada yang menyatakan pembobol ATM ini orang dari luar Indonesia? tentu saja iya karena data yang tersimpan dalam alat skimmer ini masih dalam bentuk ter-enkripsi untuk men-deksripsi data ini memang membutuhkan orang yang ahli dalam bidang komputer disertai dengan software khusus. Kalau di Indonesia saya rasa yang mengetahui tentang teknologi ini mungkin masih sangat jarang. Selain itu dengan adanya potongan sekitar Rp 25.000 atau setara dengan $5 (fee untuk penarikan ATM dalam link) terlihat jelas bahwa kartu ATM yang digunakan ini menggunakan link network seperti cirrus, alto, dan mastercard.




Kalau membicarakan keamanan ATM di Indonesia masih sedikit sekali ATM yang menggunakan alat anti-skimmer, yang paling aman agar kita yakin ATM yang kita gunakan menggunakan alat anti-skimmer yaitu di mulut ATM biasanya ada sebuah kotak plastik berwarna hijau. Selain itu kamera rahasia juga semakin berkembang bentuk dan teknologinya sehingga memudahkan para penjahat cyber ini mengungkap PIN yang konon-nya “rahasia”.Tidak ada yang aman didunia ini karena teknologi selalu berkembang. Kembali lagi ke kutipan jaman dulu “Sebaik dan secanggihnya teknologi kalau jatuh ketangan yang benar maka akan bermafaat, tetapi kalau sampai jatuh ketangan yang salah pasti akan mengakibatkan bencana” mungkin ini yang mungkin sedang terjadi di Indonesia. Kesimpulannya bahwa pembobol ATM 6 bank di Indonesia ini adalah jaringan Internasional. Mungkin bisa dikategorikan sebagai “hacker elite”.Tidak menggunakan teknologi yang sangat canggih. Kalau di lihat dari cara kerjanya yang sangat professional, rapi, dan bersih kemungkinan akan susah aparat hukum bisa mengejar orang-orang dibelakang kasus ini kecuali kalau bekerjasama dengan beberapa negara lain.




Modusnya sebenarnya sendiri bukan hal yang baru, teknik phising masih mendominasi didalam pembobolan ini. Phising yaitu bisa kita artikan seperti mengelabui, misalnya kita disuruh begini, begitu dan sebagainya tanpa kita pahami apa gunanya kita melakukan itu. Contoh mudahnya mereka mengelabui kamu dengan embel-embel hadiah, kamau disuruh ke ATM dan blablabla.. ini termasuk dalam kategori phising. Sedangkan alat yang digunakan adalah dengan menggunakan alat skimmer, prosesnya sendiri dikenal dengan skimming. Lalu-lintas data yang lewat melalui ATM ini direkam dengan alat skimmer ini, lalu data ini (kalau di komputer istilah keren-nya copy paste alias COPAS) dimasukkan ke dalam kartu magnetik yang masih kosong. Imajinasi mudahnya sama seperti saya membuat kloning diri saya sendiri.




Sebenarnya mudah saja mengetahui siapa pelaku yang memasang alat skimmer ini yang jelas dan sudah pasti adalah ORANG DALAM atau bisa saja mungkin orang yang terdekat dengan ATM (maaf bukan menuduh) bisa jadi satpam, tukang parkir dan lain sebagainya. Biarin sajalah polisi yang urus tapi sebenarnya yang perlu dikejar itu OTAK-nya.
Lalu kenapa ada yang menyatakan pembobol ATM ini orang dari luar Indonesia? tentu saja iya karena data yang tersimpan dalam alat skimmer ini masih dalam bentuk ter-enkripsi untuk men-deksripsi data ini memang membutuhkan orang yang ahli dalam bidang komputer disertai dengan software khusus. Kalau di Indonesia saya rasa yang mengetahui tentang teknologi ini mungkin masih sangat jarang. Selain itu dengan adanya potongan sekitar Rp 25.000 atau setara dengan $5 (fee untuk penarikan ATM dalam link) terlihat jelas bahwa kartu ATM yang digunakan ini menggunakan link network seperti cirrus, alto, dan mastercard.




Kalau membicarakan keamanan ATM di Indonesia masih sedikit sekali ATM yang menggunakan alat anti-skimmer, yang paling aman agar kita yakin ATM yang kita gunakan menggunakan alat anti-skimmer yaitu di mulut ATM biasanya ada sebuah kotak plastik berwarna hijau. Selain itu kamera rahasia juga semakin berkembang bentuk dan teknologinya sehingga memudahkan para penjahat cyber ini mengungkap PIN yang konon-nya “rahasia”.Tidak ada yang aman didunia ini karena teknologi selalu berkembang. Kembali lagi ke kutipan jaman dulu “Sebaik dan secanggihnya teknologi kalau jatuh ketangan yang benar maka akan bermafaat, tetapi kalau sampai jatuh ketangan yang salah pasti akan mengakibatkan bencana” mungkin ini yang mungkin sedang terjadi di Indonesia. Kesimpulannya bahwa pembobol ATM 6 bank di Indonesia ini adalah jaringan Internasional. Mungkin bisa dikategorikan sebagai “hacker elite”.Tidak menggunakan teknologi yang sangat canggih. Kalau di lihat dari cara kerjanya yang sangat professional, rapi, dan bersih kemungkinan akan susah aparat hukum bisa mengejar orang-orang dibelakang kasus ini kecuali kalau bekerjasama dengan beberapa negara lain.

 Analisis Sistem Keamanan Bank

Berbagai layanan perbankan diberikan bank kepada nasabahnya demi kepuasan pelanggan. Salah satunya layanan yang mulai banyak diirik masyakarat ini adalah layanan internet banking. Dengan layanan ini,nasabah dapat melakukan berbagai macam transaksi perbankan dengan lebih mudah , hanya dengan koneksi internet semata. Hal ini mempermudah para nasabah, terutama mereka yang selalu sibuk dalam mengelola keuangan mereka.
Penggunaan akses internet dalam layanan ini mengharuskan keamanan data selalu terjaga dari pihak yang tidak bertanggung jawab. Oleh karena itu layanan jenis ini menggunakan berbagai metode keamanan untuk menjaga privasi dan data nasabah. Pengamanan yang dilakukan biasanya meliputi penggunaan Secure Socked Layer(SSL),kriptografi,kunci public,dan digital signature. Namun apakah dengan semua pengalaman ini layanan ini sudah 100% aman ?

Kalau menurut saya ada beberapa cara hacker menembus keamanan bank, yaitu :

Beberapa cara hacker dalam menembus pertahanan keamanan bank, adalah :

Pihak Bank :
  • Melengkapi ATM dengan pengaman tambahan seperti anti-skimmer, pad cover dan kamera CCTV
  • Mengganti teknologi kartu dari magnetic stripe ke chip card
  • Memeriksa mesin ATM secara berkala, terutama adanya pemasangan alat-alat penyadap PIN
  • Meningkatkan monitoring terhadap transaksi-transaksi yang mencurigakan
  • Mengaudit sistem keamanan secara rutin
  • Mengedukasi dan mengingatkan nasabah akan pentingnya menjaga keamanan PIN
  • Menyiapkan strategi keamanan jangka pendek, menengah dan panjang 

Pihak Nasabah :
  • Selalu waspada ketika bertransaksi di ATM untuk memperhatikan apakah ada alat skimmer ataupun penyadap lainnya
  • Selalu menjaga kerahasiaan nomor PIN
  • Mengupayakan bertransaksi di ATM yang ada di dalam cabang bank
  • Secara berkala, misalnya 2-3 bulan sekali, mengganti PIN
  • Memindahkan cara transaksi ke Internet banking yang menggunakan token, yang jelas lebih aman

Pihak Bank Indonesia :
  • Menyiapkan standar penggunaan teknologi chip card untuk kartu ATM
  • Mewajibkan bank mengaudit sistem keamanan secara berkala
  • Menjaga hasil audit dari kebocoran
  • Melakukan edukasi pada masyarakat
  • Menyiapkan strategi keamanan perbankan nasional dalam jangka pendek, menengah dan panjang

Tingkat Sistem Keamanan Bank :

Pernyataan tersebut ditegaskan wakil Bupati Kotim HM Taufiq Mukri saat memberikan sambutan pada peresmian pembukaan Bank Syariah Mandiri Cabang Sampit, Kamis 14 Juli kemarin. Menurut Taufiq, sebagai tempat yang menjadi incaran dan sasaran pelaku kriminal, sebuah Bank sangat perlu untuk melengkapi fasilitas pengamanan seperti Close Circuit Television atau kamera CCTV. Pada kegiatan yang juga dihadiri Direktur Bank Syariah Mandiri Tuslam Fauzi, Peneliti Senior Bank Indonesia Palangkaraya Rustamansyah, serta jajaran undangan lainnya tersebut, Taufiq  mengungkapkan, dengan keberadaan kamera CCTV setiap gerak-gerik yang mencurigakan dan berpotensi terjadi tindak kejahatan paling tidak dapat diantisipasi sejak dini.

Sehingga apabila menemukan aktivitas mencurigakan yang mengancam keselamatan bank itu sendiri, petugas pengamanan setempat dengan cepat dapat berkoordinasi dengan jajaran kepolisian untuk menindaklanjutinya. Selain itu sebagai tempat transaksi keuangan, fasilitas kamera CCTV juga dapat memberikan rasa kenyamanan dan keamanan terutama bagi para nasabah . Terkait dengan pembukaan Bank Syariah Mandiri Cabang Sampit, Taufiq optimis akan semakin menggairahkan  aktivitas dunia perbankan khususnya di Bumi Habaring Hurung. Hal ini mengingat tingkat perputaran  uang di Kabupaten Kotim cukup tinggi  apalagi wilayah ini merupakan salah satu pintu gerbang ekonomi yang berkembang pesat di Kalimantan Tengah.

Diharapkan kehadiran Bank Syariah Mandiri akan semakin menambah semarak dunia perbankan di kotim apalagi dalam waktu dekat akan berdiri Bank Indonesia Cabang Sampit pada akhir tahun ini akan segera diwujudkan. Menurut Taufiq, bertambahnya usaha perbankan ini secara langsung berdampak positif terhadap upaya memperjuangkan ekonomi masyarakat. Sebab hal ini dapat membantu masyarakat untuk memanfaatkan salah satu layanan perbankan  seperti penyaluran kredit melalui Usaha Mikro Kecil Menengah. Upaya ini tentunya sebagai komitmen pihak bank untuk berkomitmen memberikan pelayanan yang sebaik-baiknya kepada masyarakat.

Diakhir sambutannya taufiq berpesan agar seluruh kalangan perbankan dapat membuka kantor cabang khususnya di kecamatan potensial dengan tingkat perputaran uang yang cukup tinggi. Upaya ini sebagai mempermudah dan meningkatkan pelayanan bagi nasabah di wilayah pedalaman. Sebelumnya dalam sambutan Direktur Bank Syariah Mandiri Tuslam Fauzi, mengatakan pada awal berdiri porsi Usaha Mikro Kecil Menengah atau UMKM hanya berkisar 30 persen, sedangkan pembiayaan bagi korporasi besar lebih dominan hingga lebih 70 persen. Namun seiring dengan perkembangan, pihaknya saat ini lebih mengutamakan umkm hingga kini menjadi terbalik dengan porsi 70 persen untuk Usaha Mikro Kecil Menengah dan sisanya bagi korporasi besar. Hal ini menurut Tuslam efek pengembangan dari pembangunan manusia indonesia lebih efektif sesuai visi Bank Syariah Mandiri yang ingin membangun upaya kesejahteraan masyarakat yang lebih berorientasi pada lingkungan. Menandai dibukanya Bank Syariah Mandiri Cabang Sampit, Wakil Bupati Kotim HM Taufiq Mukri, didampingi pejabat terkait melakukan pemukulan gong. Berikutnya dilakukan penyerahan bantuan bagi pembangunan ruang belajar Perguruan Muhammadiyah Sampit yang mengalami musibah kebakaran beberapa waktu lalu. selain itu turut diserahkan beasiswa bagi Panti Asuhan Annida Qolbu Sampit.Usai melakukan pengguntingan pita, Wakil Bupati Taufiq Mukri juga berkesempatan melakukan pembukaan rekening untuk tercatat sebagai nasabah Bank Syariah Mandiri Cabang Sampit.

Sumber : 
http://jannessantoso.wordpress.com/2012/03/23/analisis-sistem-keamanan-bank/ 
http://www.sstv.co.id/ekonomi-%E2%80%93-tingkatkan-sistem-keamanan-bank/
http:\\ webmail.informatika.org

Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)