7183T-TP1-P2-S3-R0

Personal Assignment 1

Money Bank adalah sebuah institusi keuangan yang berbasis pada perbankan dengan cabang tersebar di 20 negara. Kegiatan transaksi Money Bank adalah kegiatan via teller, ATM, Internet banking, dan mobile banking. Selama ini perusahaan banyak mendapatkan serangan dari para penyusup dengan berbagai maksud. Selain itu tantangan terbesar adalah bagaimana mengamankan anjungan tunai (ATM) dari para pencuri elektronis. Anda dminta oleh manajemen perusahaan untuk membantu dalam menyelesaikan masalah keamanan dalam sistem elektronik Bank tersebut.

Pertanyaan: 1. Jelaskan dalam konteks The Parkerian Hexad elemen-elemen apa saja dalam Money Bank yang harus diproteksi! 2. Berikan minimal 5 (lima) kejahatan elektronis yang mungkin terjadi. Jelaskan secara rinci! Jawaban: 1. Jelaskan dalam konteks The Parkerian Hexad elemen-elemen apa saja dalam Money Bank yang harus diproteksi!

a. Confidentiality (Kerahasian)
Pihak Money Bank harus menjamin kerahasian data atau informasi finansial nasabah: bank account statements, personal information, credit card numbers, trade secrets, government documents. Hanya orang yang sah dan punya otoritas yang dapat mengakses system. Data data para nasabahnya harus dijamin kerahasiaannya dan tidak dapat disadap oleh pihak pihak yang tidak berwenang. Berikut ini adalah mekanisme yang perlu dilakukan oleh Money Bank: Akses mekanisme kontrol: Mencegah individu yang tidak sah mengakses sistem. File system kontrol keamanan: Mencegah individu yang berwenang untuk menggunakan sistem dari melebihi otoritas mereka dan membaca informasi rahasia mereka yang seharusnya tidak dapat diakses. Kriptografi: Dapat digunakan untuk mengenkripsi isi file sensitif dan melindungi mereka dari mata-mata, bahkan ketika kontrol akses dan mekanisme sistem keamanan file gagal.

7183T-TP1-P2-S3-R0

b. Possession or Control Possession/control component digunakan untuk melindungi data terhadap ide/gagasan bahwa kerahasiaan data dapat dimiliki dan dikontrol oleh individu atau pihak-pihak yang tidak berwenang tanpa mengungkap kerahasiaannya. Untuk mencegahnya, pihak Money Bank harus bisa melibatkan nasabah dalam mengelola akses control untuk data mereka masing masing. Hal ini dikarenakan, setiap nasabah yang telah mempercayakan datanya kepada suatu pihak, ingin memiliki rasa kepemilikan terhadap data tersebut. Ada banyak cara melindungi data sensitif. Salah satu yang cukup dikenal adalah dengan menggunakan teknology EFS (Encrypted File System). EFS adalah alat yang menggunakan public key encryption dalam kaitannya dengan symmetric key encryption untuk menyediakan pertahanan yag kokoh atas serangan-serangan atas kerahasiaan data. Di dunia perbankan kita mengenal token internet banking. Pihak Money Bank harus menerapkan EFS pada token tersebut. Bila token tersebut hilang, maka data di dalamnya terjamin kerahasiaannya.

c. Integrity
Pihak Money Bank harus menjamin bahwa data tidak dapat diubah oleh pihak yang tidak berwenang tanpa seizin dari si pemiliknya. Ada banyak cara untuk memproteksi hal ini. Salah satunya adalah dengan menggunakan checksum, signature, atau certificate. Mekanisme signature akan dapat mendeteksi adanya perubahan terhadap data. Selain pendeteksian (dengan menggunakan checksum, misalnya) pengamanan lain yang dapat dilakukan adalah dengan menggunakan mekanisme logging (pencatatan) yang ekstensif sehingga jika terjadi masalah dapat dilakukan proses mundur (rollback).

Tidakan berikut yang mesti diambil oleh Money Bank guna menjamin integritas data nasabah: Mekanisme kontrol akses: Mencegah individu yang tidak sah mengakses sistem dan memodifikasi data. File system kontrol keamanan:

7183T-TP1-P2-S3-R0

Kontrol hak para pengguna data. Mereka mungkin memberikan sejumlah besar izin pengguna untuk membaca data tetapi hanya beberapa yang dapat memodifikasi data. Kriptografi: Sistem menggunakan tanda tangan digital untuk mengkonfirmasi bahwa pesan tidak berubah dalam perjalanan.

d. Authenticity
Authenticity mengacu pada jaminan bahwa pesan, transaksi atau pertukaran informasi lainnya berasal dari sumber yang dapat dipercaya. Dengan demikian Authenticity memerlukan bukti dari identitas pengirim dan penerima. Dewasa ini, mengetahui secara pasti siapa yang berkomunikasi atau melakukan sharing data dengan Anda menjadi hal utama yang harus dipertimbankan bila kita melakukan bisnis di internet. Karenanya diperlukan authentication challenge untuk memastikan siapa yang mengakses servis dan juga server (web) yang memberikan servis. Mekanisme yang umum digunakan untuk melakukan authentication di sisi pengguna biasanya terkait dengan:

Sesuatu yang dimiliki (misalnya kartu ATM, chipcard) Sesuatu yang diketahui (misalnya userid, password, PIN, TIN) Sesuatu yang menjadi bagian dari kita (misalnya sidik jari, iris mata)
Sementara itu mekanisme untuk menunjukkan keaslian server (situs) adalah dengan digital certificate.

e. Availability
Availability dapat dimengerti sebagai kemampuan menyediakan informasi bila diperlukan. Ketersediaan informasi mengacu pada suatu tindakan yang menjamin bahwa hanya pihak-pihak berwenang yang dapat mengakses informasi bila diperlukan. Tantangan dari setiap security profesional adalah mencapai keseimbangan antara availability dan security. Dewasa ini cara yang digunakan untuk menjamin availability adalah meng-implementasikan high-availability system. Dengan pendekatan ini, setiap komponen dari system perbankan akan selalu tersedia. Bila terjadi suatu kesalahan/gagal bekerja maka ada komponen lain yang menggantikan untuk menjadikan system masih

7183T-TP1-P2-S3-R0

dapat bekerja. Keadaan ini disebut juga Fault-tolerant yang maksudnya setiap komponen mempunyai duplikat, sehingga akan secara otomatis melakukan penggantian ke komponen backup nya bila terjadi kegagalan. System semacam ini dapat diterapkan untuk mendukup ketersediaan layanan Internet Banking. Tanpa system semacam ini, jika sebuah bank menggelar layanan Internet Banking dan kemudian tidak dapat menyediakan layanan tersebut ketika dibutuhkan oleh nasabah, maka nasabah akan mempertanyakan keandalannya dan meninggalkan layanan tersebut. Bahkan dapat dimungkinkan nasabah akan pindah ke bank yang dapat memberikan layanan lebih baik.

f. Utility
Utility berarti kegunaan dari data. Data mungkin memenuhi ke-enam komponen dari Parkerian Hexad (confidentiality, integrity, availability, authenticity, possession/control), tetapai pertanyaannya apakah data tersebut berguna? Misalnya data seseorang di enkripsi untuk mencegah akses yang tidak sah atau modifikasi. Tetapi jika pihak bank kehilangan kunci dekripsinya, maka data tersebut menjadi tidak berguana. Hal ini akan menjadi pelanggaran utilitas. Dalam proses enkripsi data, maka data akan menjadi rahasia, terkontrol, integral, otentik, dan tersedia, hanya saja tidak akan berguna dalam bentuk tersebut. 2. Berikan minimal 5 (lima) kejahatan elektronis yang mungkin terjadi. Jelaskan secara rinci!
a.

Carding Prosesnya adalah sebagai berikut, pelaku carding memperoleh data kartu kredit korban secara tidak sah (illegal interception), dan kemudian menggunakan kartu kredit tersebut untuk berbelanja di toko online (forgery). Modus ini dapat terjadi akibat lemahnya sistem autentifikasi yang digunakan dalam memastikan identitas pemesan barang di toko online. Typosquatter, Typosquatting atau dikenal dengan URL hijacking memanfaatkan kelengahan nasabah yang salah mengetikkan alamat bank online yang ingin diaksesnya. Pelakunya sudah menyiapkan situs palsu yang mirip dengan situs asli bank online (forgery). Jika ada nasabah yang salah ketik dan masuk ke situs bank palsu tersebut,

b.

7183T-TP1-P2-S3-R0

maka pelaku akan merekam user ID dan password nasabah tersebut untuk digunakan mengakses ke situs yang sebenarnya (illegal access) dengan maksud untuk merugikan nasabah.
c.

Account Hijacking Serangan terhadap aspek Confidentiality, yakni penyadapan nama account dan PIN dari pengguna Internet Banking. Penyadapan dapat dilakukan pada sisi terminal (komputer) yang digunakan oleh nasabah atau pada jaringan (network) yang mengantarkan data dari sisi nasabah ke penyedia jasa Internet Banking. Penyadapan di sisi komputer dapat dilakukan dengan memasang program keylogger yang dapat mencatat kunci yang diketikkan oleh pengguna. Penggunaan keylogger ini tidak terpengaruh oleh pengamanan di sisi jaringan karena apa yang diketikkan oleh nasabah (sebelum terenkripsi) tercatat dalam sebuah berkas. Penyadapan di sisi jaringan dapat dilakukan dengan memasang program sniffer yang dapat menyadap data-data yang dikirimkan melalui jaringan Internet.Pengamanan di sisi network dilakukan dengan menggunakan enkripsi. Teknologi yang umum digunakan adalah Secure Socket Layer (SSL) dengan panjang kunci 128 bit. Pengamanan di sisi komputer yang digunakan nasabah sedikit lebih kompleks. Hal ini disebabkan banyaknya kombinasi dari lingkungan nasabah. Jika nasabah mengakses Internet Banking dari tempat yang dia tidak kenal atau yang meragukan integritasnya seperti misalnya warnet yang tidak jelas, maka kemungkinan penyadapan di sisi terminal dapat terjadi. Denial of Services (DoS) Serangan terhadap availability dikenal dengan istilah Denial of Service (DoS) attack. Sayangnya serangan seperti ini mudah dilakukan di Internet dikarenakan teknologi yang ada saat ini masih menggunakan IP (Internet Protocol) versi 4. Mekanisme pengamanan untuk menjaga ketersediaan layanan antara lain menggunakan backup sites, DoS filter, Intrusion Detection System (IDS), network monitoring, Disaster Recovery Plan (DRP), Business Process Resumption. Istilah istilah ini memang sering membingungkan (dan menakutkan). Mereka adalah teknik dan mekanisme untuk meningkatkan keandalan.

d.

7183T-TP1-P2-S3-R0

e.

Bahaya keamanan yang bersumber dari aspek non teknis ketika ada pihak ketiga yang mengetahui nomor pin pengguna SMS-Banking. Pihak ketiga tersebut dapat muncul dari operator telepon seluler maupun orang terdekat nasabah sendiri. Setiap kali melakukan transaksi melalui SMS Banking, maka biasanya verifikasinya berupa masukkan digit ke x dan ke x pin Anda. Apabila kombinasi pin tersebut sudah lengkap, dan si pengguna sms banking tidak pernah menghapus history sms nya, maka orang yang membaca isi sms tersebut bisa mengetahui pin si nasabah, dan dapat menyalahgunakan pin tersebut dalam sms banking. Misalnya mentransfer uang ke rekening tertentu tanpa sepengetahuan si pemilik handphone.