Tuesday, January 26, 2010

Keamanan Online

Penayangan cara membobol ATM menggunakan teknologi "sederhana" oleh para
"cracker" terlanjur dilakukan. Pakar security dalam tanyang tersebut
mempraktekkan pengambilan uang secara ilegal menggunakan kartu atm
bodong hasil duplikasi kartu korban menggunakan alat skimmer dan nomer
PIN korban yang sudah diketahui dengan cara memasang kamera di booth
ATM yang tidak dijaga sehingga dengan mudahnya para pembobol tersebut
mengetahui PIN korban, sayangnya sang pakar tidak menjelaskan kenapa
bisa terjadi , siapa yang bertanggung jawab dan cara pencegahan yang
mudah dan gamblang kepada publik , sehingga tayangan tersebut dengan
mudah dijadikan bahan untuk "sinetron kejar tayang" oleh orang lain.

Transaksi yang dipaktekan oelh pakar IT security tersebut oleh mesin ATM
dianggap legal karena sudah memenuhi syarat dalam program keamanannya ,
meskipun sebenernya yang mengambil bukan pemilik rekening yang sah,
kenapa bisa demikian ?

Seperti kita ketahui , keamanan pada media digital yang terhubung satu
sama lain yang sering kita sebut online seperti internet dan ATM sangat
bersandar pada 3 W, yaitu :
1. What do you know ? ( passwd, PIN )
2. What do you have ? ( Kartu ATM )
3. Who are you ? ( finger print , retina mata)

Untuk memastikan apakah benar anda adalah pemilik yang sah dari account
yang anda masukan , biasanya pemberi layanan email seperti yahoo/ gmail
hanya menanyakan passwd anda, dan setelah itu anda dapat mengakses
informasi dalam account tsb., layanan tersebut hanya bersandar pada
"what do you know ?", pertahanan email account pada layanan gmail, yahoo
dan lain sejenis hanya mengandalkan 1W yaitu "What do you know ?". Ini
membuat layanan ini sangat rentan untuk ditembus.

Sedangkan layanan ATM sendiri sebenernya sudah menggunakan pertahanan
ganda/ 2W , untuk dapat mengakses layanan yang ada di mesin ATM
tersebut , pengguna harus mempunyai kartu ATM yang membawa informasi
digital dalam pita magnetnya , dan password / PIN yang valid dan cocok
dengan info pada kartu , mekanisme menggunakan 2W tersebut sebenernya
sudah cukup aman.
Sayangnya alat untuk menduplikasi informasi tersebut ke kartu lain dapat
dengan mudah didapat di pasaran , bahkan dengan harga yang cukup
terjangkau, dan yang mengherankan mesin ATM dapat menerima kartu dari
manapun , tidak ada mekanisme untuk pengecekan bahwa kartu ini
dikeluarkan dari institusi perbankan atau bukan , dengan kata lain kartu
magnetik untuk bermain di time zone bisa dimasukkan dan dibaca , asal
informasi dalam pita magnetik tersebut sesuai, inilah salah satu
keblunderan bank yang tidak memperhatikan bahwa sebenernya kartu yang
dimilikinya tidak unik dan dengan mudah diduplikasi oleh orang lain,
sehingga menghilangkan pertahanan "what do you have ?" -nya.

Tinggal 1W lagi yang perlu ditembus oleh pembobol ATM , cara yang paling
mudah adalah dengan meletakkan kamera di dalam booth ATM , akibat
expansi yang agresif , penyedia ATM tidak lagi memperhatikan SOP
perawatan dan pengecekan rutin , lebih mengutamakan pemasangan baru, hal
ini memudahkan para hacker untuk memasang "perlengkapan tambahan"
tersebut selama mungkin semakin lama semakin banyak korban yang terlihat
PIN-nya sehingga lebih leluasa memilih korban. Praktek "Visual Hacker "
(nge-hack passwd dengan cara melihat /visual) saat ini menjadi mudah
karena banyak kamera wireless yang dijual di pasaran.

Jadi apakah perlu menambah 1W ( "who you are ?") lagi untuk membuat ATM
lebih aman ? , dengan memasang scanner finger print disetiap mesin ATM
adalah ide yang baik juga , tetapi pihak penyedia harus melakukan
investasi yang tidak sedikit yang pastinya akan dibebankan ke pengguna ,
belum lagi pengguna menjadi lebih sulit / rumit karena seperti kita
ketahui , alat scanner biasanya memerlukan syarat lain , seperti jari
yang tidak terkena debu agar tidak salah menditeksinya atau disimpan di
tempat yang tidak terkena sinar matahari secara langsung misalnya yang
belum tentu dapat diberikan oleh booth ATM, hal ini membuat solusi
menambah 1W lagi menjadi lebih rumit dan lebih mahal, meskipun menjadi
lebih aman karena untuk menduplikasi finger print / retina mata misalnya
bukan pekerjaan yang ringan.

Maksimalkan 2W yang ada di keamanan ATM saat ini adalah ide yang masuk
akal, pada sisi penyedia jasa, seperti penjelasan di atas , harus
membuat "what are you have" / kartu ATM menjadi exclusive dan tidak
"kacang" sehingga untuk melakukan duplikasi menjadi lebih susah. Hal ini
dapat menghambat pembobolan dan apabila terjadi pun dapat dengan mudah
dilacak karena mengedar dengan no seri tersebut sudah terdaftar pada
distributor kartu misalnya. Selain itu di sisi pengguna, sangat
bertanggung jawab terhadap "what do you know" , password / PIN tidak
boleh di kasih kesembarang orang , dan untuk mencegah apabila ternyata
terkena "visual hacker" , pastikan untuk secara regular untuk menganti
PIN , baik itu sebulan sekali / per 6 bulan , para pembobol tidak dapat
lagi menggunakan PIN tersebut , cara ini cukup efektif untuk mengurangi
resiko terkena pembobolan .