Antisipasi Cybercrime Dalam Bidang

Keuangan

Avinanta Tarigan

Pusat Studi Keamanan Sistem Informasi Universitas Gunadarma

Outline

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

Outline

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

Latar Belakang I

Latar Belakang II

Outline

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

Pengertian Dasar

Vulnerability (Kelemahan)

Security Violation (Pelanggaran)

* Unauthorized Access (Cracked)

* Password Stolen * Unauthenticated Sites * Sensible Information Sniffed

Attacker who attacks

State (Keadaan)

Pengertian Dasar I

Keadaan-keadaan Sistem dalam konteks keamanan

1 _Aman

2 _{Tidak Aman(terjadi pelanggaran keamanan)}

3 _{Berbahaya(hazard- dapat masuk ke dalam keadaanTidak}

Aman)

Keadaan Berbahaya

→

Kelemahan sistem (

Vulnerability

)

Tujuan Kemanan Sistem Informasi:

agar sistemselaludalam keadaanAmandantidak akan

pernahdalam keadaanberbahayaatau bahkan sampai

Pengertian Dasar II

Langkah2 Keamanan Sistem :

Prevention: mencegah agar sistem tidak sampai ke dalam keadaan bahaya

Detection: mendeteksi terjadinyapelanggaran keamanan Revocery: memulihkan sistem jika terlanjur terjadi

Kebijakan Keamanan (Security Policy) I

Dasar: definisi keadaan

Aman

dan

Tidak Aman

Mendefinisikan juga kebijakan2 dan prosedur2 untuk

mencapai tujuan sistem keamanan

Perbedaan konteks dan cakupan organisasi, contoh:

Sebuah UKM mengharuskan penggunaan sistem operasi Linux untuk melindungi data dari virus

Bank Federal mengharuskan pemakaian

tanda-tangan-digital untuk semua transaksi elektronik di negara tersebut

Kebijakan Keamanan (Security Policy) II

Kebijakan keamanan dapat juga tidak membatasi “Sistem”

hanya pada sistem komputer yang terimplementasi dalam

suatu institusi, misalnya

Bank A mendefinisikan bahwa PC yang digunakan nasabah internet banking masuk ke dalam sistem, oleh karena itu Bank A mensyaratkan semua PC nasabah harus bebas virus / trojan horse / keylogger

Dimensi Serangan / Attack I

Pelanggaran Keamanan: eksploitasi kelemahan dalam

sistem oleh penyerang (attacker)

Serangan:

serangan fisik

mencuri data penting di flashdisk, memutuskan aliran listrik, anti-tampering-proof

serangan sintatik

SQL injection, buffer-overflow, man-in-the-middle (MTM)

Kesalahan Algoritma ( Software / Programmable Hardware ) Kesalahan Operasi / Prosedur ( Manusia )

serangan semantik

social engineering, site phising

Dimensi Serangan / Attack II

Tujuan serangan tidak hanya ditujukan pada sistem

komputer:

Menjatuhkan Reputasi

deface, email spoofing, domain Penipuan

website phising, online-scams lewat SPAM Pelanggaran hak atas kekayaan intelektual pembajakan film dijital, digital plagiarism Pelanggaran privasi

hidden cam, penyadapan email

Cybercrime lebih luas daripada Serangan dan mengacu

kepada Cyberthreat

penggunaan chatting untuk menjerat korban dalam kejahatan seksual

Outline

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

Sistem Yang Mendukung Akuntabilitas I

Transaksi elektronik: setiap perubahan yang signifikan

dalam sistem berbasikan komputer

login dan logout, menghapus file, menambah file transfer elektronik antar rekening

pembayaran dengan kartu kredit

Akuntabilitas elektronik: sistem mendukung

pertanggungjawaban terhadap setiap transaksi elektronik

Untuk itu diperlukan:

Autentikasi (Authentication)

pihak yang berkomunikasi dapat mengidentifikasi dan membuktikan keaslian identitas

Otorisasi (authorization)

Sistem Yang Mendukung Akuntabilitas II

Selain itu, juga dibutuhkan:

Integritas (Integrity)

sistem dapat mengetahui atau mencegah modifikasi oleh yang tidak berhak

Kerahasiaan (Secrecy / Confidentiality)

sistem melindungi informasi agar tidak jatuh atau diketahui oleh yang tidak berhak

Beberapa juga mementingkan:

Non-Repudiation

sistem memungkinkan pelaku transaksi tidak dapat mengelak dari perbuatannya

Autentikasi

Hal yang mendasar dan harus ada dalam sistem

keamanan untuk membuktikan keaslian identitas pihak

yang terlibat dalam transaksi elektronik

Beberapa tingkat autentikasi:

1 _{Username & Password}

2 _{One-time-pad Password}

3 _{Shared-Key Cryptography (misalnya: Pretty-Good-Privacy}

[PGP])

4 _{Public-Key Cryptography dalam framework Public Key}

Infrastructure (PKI)

5 _{Penggunaan SmartCard / Secure-Token untuk menyimpan}

dan melindungi Key

6 _{Penggunaan Biometric Sistem untuk identifikasi atau}

TTD-Dijital & PKI III

PKI dan TTDD merupakan implementasi Kriptografi untuk

solusi:

Autentikasi

Kerahasiaan dan integritas data Non-Repudiation

Implementasi TTDD dalam protokol keamanan:

Security is not just Cryptography

Mengapa masih terjadi pelanggaran keamanan meskipun

Kriptografi digunakan ?

Schneier:A Chain of Trust is only strong as the weakest link

Anderson:Vulnerabilities raise between two protected technologies

Shamir:Cryptography is not broken, it is circumvented

Needham & Lampson:If you think that cryptography is the answer to your problem then you don’t understand

cryptography and you don’t understand your problem.

Kriptografi

6

=

Keamanan Informasi

Kelemahan Pada Perangkat Lunak I

Perilaku sistem komputer berdasar pada:

Algoritma (Perangkat Lunak / Program / Software) Perintah Pengguna (user input, user decision)

Penyerang memanfaakan kelemahan (vulnerabilty) akibat

BUGS pada program / perangkat lunak:

SQL Injection

Buffer Overflow (Stack Smashing)

Langkah-langkah penyerangan

Penyerang terlebih dahulu harus mengetahui kelemahan program

Kelemahan Pada Perangkat Lunak II

String yang panjang “membanjiri” memori (buffer),

sehingga “luapan” string mengisi memory tempat perintah seharusnya berada

Kode “nakal” dieksekusi oleh sistem

Bagaimana mengatasinya ? Tidak ada solusi tunggal !

Programmer: memeriksa user input / bound checking OpenSource: Kolaborasi antara programmer, user, & peer-review (Security by Obscurity)

Software Project Manager: Secure Programming Best Practice

Computer Scientist: Hardening Language / Compiler Anda tergantung dengan vendor ?:

Kontrak kerjasama / pengkinian / maintenance keamanan Selalu update terhadap perkembangan dan melakukan patching berkala

Kelemahan Perangkat Keras I

Transaksi elektronik membutuhkan sistem perangkat keras

dalam autentikasi dan otorisasi

Contoh:

Magnetic Card & Smartcard ATM System

EDC (Electronic Data Capture) + PIN-PAD

Sebagian besar dilengkapi dengan anti-Tampering:

Mekanisme yang dapat mendeteksi “kenakalan / keisengan” terhadap alat tsb

dan (jika lebih canggih) memusnahkan informasi sensitif yang dikandung alat tsb

Problem:

Kelemahan Perangkat Keras II

Kelemahan Perangkat Keras III

Kelemahan Perangkat Keras IV

Bagaimana cara mengatasinya ?

Hardware Designer: verifikasi desain & peer-reviews Service Provider: evaluasi & re-evaluasi

Outline

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

Phising I

Memanfaatkan kelemahan pengguna

Mengapa Phising terjadi ?

Kelemahan TCP/IP (IP Spoofing, Mystipo Attack, Email Scam)

Kurangnya pengetahuan pengguna terhadap konsep keamanan informasi

Problem User-Interface: kesulitan dalam melakukan verifikasi

[Damija et.al.] :

Kurangnya pengetahuan tentang sekuriti indikator dan implikasinya

Phising II

Phising III

Beberapa Alternatif Solusi I

Membatasi opsi keputusan pengguna .vs. kenyamanan

Edukasi terhadap pengguna (suatu keharusan)

Pemanfaatan penuh PKI, Digital Signature, dan SSL (tidak

mudah & murah):

Two Factors authentication Memerlukan :

Smartcard-Crypto System

Sistem national-ID & CA yang terpercaya Regulasi

Beberapa Alternatif Solusi II

Dynamic Security Skins

[Damija et.al., 2005]

Browser & Server agree on a key (cryptographic protocol)

Key→Image

Outline

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

Analisis Keamanan Sistem

Untuk melakukan analisis terhadap keamanan sebuah

sistem diperlukan pisau analisis yang bekerja pada domain

masing-masing

Analisis Serangan ke dalam suatu Sistem :

Contoh: Attack Tree [Schneier]

Analisis Protokol Keamanan :

Contoh: Formal Methods (Spi Calculus, BAN Logic, etc)

Analisis Insiden Keamanan :

Analisis Insiden Keamanan

1.3 the using of Internet

Banking

1.3.1 assumption to use .com

is a must rather than local domain

1.1 unexpected user action

1.1.3 misinterpretation of user interface information

1.1.1 mistyping probability

1.1.2 user overconfidence,

less in considering the risk

1.1.3.2 language problem

1.1.3.3 cultural problem in understanding instruction

1.1.3.1 insuficient symbol to represent threat

1.2 the impersonations of Internet Banking site

1.2.1 Someone intention

1.2.2 lack of naming regulation in domain name registration

1.1.2.2.1.1.3 time to market pressure

1.1.2.1 marketing hype

1.1.2.2.1.1 insufficient preparation & registration process

1.1.2.2.1.1.1 lack of awareness in Bank’s management

1.1.2.2.1.1.2 inadequate ebanking regulation

1.1.2.2.1.1.2.1 lack of regulator awareness 1.1.2.2

lack of user awareness

1.1.2.2.1 lack of user education 1.3.1.1

hype of .com as a brand image

1 Mistypo incident and

Outline

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

Penutup

Dimensi keamanan komputer / informasi tidak dibatasi

hanya pada teknologi

Luas dan dalamnya kebijakan keamanan menentukan

gerak dan proses keamanan sebuah sistem

Membangun sistem dengan kemampuan akuntabilitas

elektronik tidak mudah

Tidak ada “

single solution

” dalam mengatasi keamanan

sistem informasi

Kesadaran dan pengetahuan akan keamanan informasi

sangat penting bagi semua pihak

Memerlukan kerjasama semua pihak yang berkepentingan

TERIMAKASIH

Materi ini dapat diunduh dari: