Antisipasi Cybercrime Dalam Bidang
Keuangan
Avinanta Tarigan
Pusat Studi Keamanan Sistem Informasi Universitas Gunadarma
Outline
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
Outline
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
Latar Belakang I
Latar Belakang II
Outline
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
Pengertian Dasar
Vulnerability (Kelemahan)
Security Violation (Pelanggaran)
* Unauthorized Access (Cracked)
* Password Stolen * Unauthenticated Sites * Sensible Information Sniffed
Attacker who attacks
State (Keadaan)
Pengertian Dasar I
Keadaan-keadaan Sistem dalam konteks keamanan
1 Aman
2 Tidak Aman(terjadi pelanggaran keamanan)
3 Berbahaya(hazard- dapat masuk ke dalam keadaanTidak
Aman)
Keadaan Berbahaya
→
Kelemahan sistem (
Vulnerability
)
Tujuan Kemanan Sistem Informasi:
agar sistemselaludalam keadaanAmandantidak akan
pernahdalam keadaanberbahayaatau bahkan sampai
Pengertian Dasar II
Langkah2 Keamanan Sistem :
Prevention: mencegah agar sistem tidak sampai ke dalam keadaan bahaya
Detection: mendeteksi terjadinyapelanggaran keamanan Revocery: memulihkan sistem jika terlanjur terjadi
Kebijakan Keamanan (Security Policy) I
Dasar: definisi keadaan
Aman
dan
Tidak Aman
Mendefinisikan juga kebijakan2 dan prosedur2 untuk
mencapai tujuan sistem keamanan
Perbedaan konteks dan cakupan organisasi, contoh:
Sebuah UKM mengharuskan penggunaan sistem operasi Linux untuk melindungi data dari virus
Bank Federal mengharuskan pemakaian
tanda-tangan-digital untuk semua transaksi elektronik di negara tersebut
Kebijakan Keamanan (Security Policy) II
Kebijakan keamanan dapat juga tidak membatasi “Sistem”
hanya pada sistem komputer yang terimplementasi dalam
suatu institusi, misalnya
Bank A mendefinisikan bahwa PC yang digunakan nasabah internet banking masuk ke dalam sistem, oleh karena itu Bank A mensyaratkan semua PC nasabah harus bebas virus / trojan horse / keylogger
Dimensi Serangan / Attack I
Pelanggaran Keamanan: eksploitasi kelemahan dalam
sistem oleh penyerang (attacker)
Serangan:
serangan fisik
mencuri data penting di flashdisk, memutuskan aliran listrik, anti-tampering-proof
serangan sintatik
SQL injection, buffer-overflow, man-in-the-middle (MTM)
Kesalahan Algoritma ( Software / Programmable Hardware ) Kesalahan Operasi / Prosedur ( Manusia )
serangan semantik
social engineering, site phising
Dimensi Serangan / Attack II
Tujuan serangan tidak hanya ditujukan pada sistem
komputer:
Menjatuhkan Reputasi
deface, email spoofing, domain Penipuan
website phising, online-scams lewat SPAM Pelanggaran hak atas kekayaan intelektual pembajakan film dijital, digital plagiarism Pelanggaran privasi
hidden cam, penyadapan email
Cybercrime lebih luas daripada Serangan dan mengacu
kepada Cyberthreat
penggunaan chatting untuk menjerat korban dalam kejahatan seksual
Outline
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
Sistem Yang Mendukung Akuntabilitas I
Transaksi elektronik: setiap perubahan yang signifikan
dalam sistem berbasikan komputer
login dan logout, menghapus file, menambah file transfer elektronik antar rekening
pembayaran dengan kartu kredit
Akuntabilitas elektronik: sistem mendukung
pertanggungjawaban terhadap setiap transaksi elektronik
Untuk itu diperlukan:
Autentikasi (Authentication)
pihak yang berkomunikasi dapat mengidentifikasi dan membuktikan keaslian identitas
Otorisasi (authorization)
Sistem Yang Mendukung Akuntabilitas II
Selain itu, juga dibutuhkan:
Integritas (Integrity)sistem dapat mengetahui atau mencegah modifikasi oleh yang tidak berhak
Kerahasiaan (Secrecy / Confidentiality)
sistem melindungi informasi agar tidak jatuh atau diketahui oleh yang tidak berhak
Beberapa juga mementingkan:
Non-Repudiation
sistem memungkinkan pelaku transaksi tidak dapat mengelak dari perbuatannya
Autentikasi
Hal yang mendasar dan harus ada dalam sistem
keamanan untuk membuktikan keaslian identitas pihak
yang terlibat dalam transaksi elektronik
Beberapa tingkat autentikasi:
1 Username & Password
2 One-time-pad Password
3 Shared-Key Cryptography (misalnya: Pretty-Good-Privacy
[PGP])
4 Public-Key Cryptography dalam framework Public Key
Infrastructure (PKI)
5 Penggunaan SmartCard / Secure-Token untuk menyimpan
dan melindungi Key
6 Penggunaan Biometric Sistem untuk identifikasi atau
TTD-Dijital & PKI III
PKI dan TTDD merupakan implementasi Kriptografi untuk
solusi:
Autentikasi
Kerahasiaan dan integritas data Non-Repudiation
Implementasi TTDD dalam protokol keamanan:
Security is not just Cryptography
Mengapa masih terjadi pelanggaran keamanan meskipun
Kriptografi digunakan ?
Schneier:A Chain of Trust is only strong as the weakest link
Anderson:Vulnerabilities raise between two protected technologies
Shamir:Cryptography is not broken, it is circumvented
Needham & Lampson:If you think that cryptography is the answer to your problem then you don’t understand
cryptography and you don’t understand your problem.
Kriptografi
6
=
Keamanan Informasi
Kelemahan Pada Perangkat Lunak I
Perilaku sistem komputer berdasar pada:
Algoritma (Perangkat Lunak / Program / Software) Perintah Pengguna (user input, user decision)
Penyerang memanfaakan kelemahan (vulnerabilty) akibat
BUGS pada program / perangkat lunak:
SQL Injection
Buffer Overflow (Stack Smashing)
Langkah-langkah penyerangan
Penyerang terlebih dahulu harus mengetahui kelemahan program
Kelemahan Pada Perangkat Lunak II
String yang panjang “membanjiri” memori (buffer),
sehingga “luapan” string mengisi memory tempat perintah seharusnya berada
Kode “nakal” dieksekusi oleh sistem
Bagaimana mengatasinya ? Tidak ada solusi tunggal !
Programmer: memeriksa user input / bound checking OpenSource: Kolaborasi antara programmer, user, & peer-review (Security by Obscurity)
Software Project Manager: Secure Programming Best Practice
Computer Scientist: Hardening Language / Compiler Anda tergantung dengan vendor ?:
Kontrak kerjasama / pengkinian / maintenance keamanan Selalu update terhadap perkembangan dan melakukan patching berkala
Kelemahan Perangkat Keras I
Transaksi elektronik membutuhkan sistem perangkat keras
dalam autentikasi dan otorisasi
Contoh:
Magnetic Card & Smartcard ATM System
EDC (Electronic Data Capture) + PIN-PAD
Sebagian besar dilengkapi dengan anti-Tampering:
Mekanisme yang dapat mendeteksi “kenakalan / keisengan” terhadap alat tsbdan (jika lebih canggih) memusnahkan informasi sensitif yang dikandung alat tsb
Problem:
Kelemahan Perangkat Keras II
Kelemahan Perangkat Keras III
Kelemahan Perangkat Keras IV
Bagaimana cara mengatasinya ?
Hardware Designer: verifikasi desain & peer-reviews Service Provider: evaluasi & re-evaluasi
Outline
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
Phising I
Memanfaatkan kelemahan pengguna
Mengapa Phising terjadi ?
Kelemahan TCP/IP (IP Spoofing, Mystipo Attack, Email Scam)
Kurangnya pengetahuan pengguna terhadap konsep keamanan informasi
Problem User-Interface: kesulitan dalam melakukan verifikasi
[Damija et.al.] :
Kurangnya pengetahuan tentang sekuriti indikator dan implikasinya
Phising II
Phising III
Beberapa Alternatif Solusi I
Membatasi opsi keputusan pengguna .vs. kenyamanan
Edukasi terhadap pengguna (suatu keharusan)
Pemanfaatan penuh PKI, Digital Signature, dan SSL (tidak
mudah & murah):
Two Factors authentication Memerlukan :
Smartcard-Crypto System
Sistem national-ID & CA yang terpercaya Regulasi
Beberapa Alternatif Solusi II
Dynamic Security Skins
[Damija et.al., 2005]
Browser & Server agree on a key (cryptographic protocol)
Key→Image
Outline
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
Analisis Keamanan Sistem
Untuk melakukan analisis terhadap keamanan sebuah
sistem diperlukan pisau analisis yang bekerja pada domain
masing-masing
Analisis Serangan ke dalam suatu Sistem :
Contoh: Attack Tree [Schneier]
Analisis Protokol Keamanan :
Contoh: Formal Methods (Spi Calculus, BAN Logic, etc)
Analisis Insiden Keamanan :
Analisis Insiden Keamanan
1.3 the using of Internet
Banking
1.3.1 assumption to use .com
is a must rather than local domain
1.1 unexpected user action
1.1.3 misinterpretation of user interface information
1.1.1 mistyping probability
1.1.2 user overconfidence,
less in considering the risk
1.1.3.2 language problem
1.1.3.3 cultural problem in understanding instruction
1.1.3.1 insuficient symbol to represent threat
1.2 the impersonations of Internet Banking site
1.2.1 Someone intention
1.2.2 lack of naming regulation in domain name registration
1.1.2.2.1.1.3 time to market pressure
1.1.2.1 marketing hype
1.1.2.2.1.1 insufficient preparation & registration process
1.1.2.2.1.1.1 lack of awareness in Bank’s management
1.1.2.2.1.1.2 inadequate ebanking regulation
1.1.2.2.1.1.2.1 lack of regulator awareness 1.1.2.2
lack of user awareness
1.1.2.2.1 lack of user education 1.3.1.1
hype of .com as a brand image
1 Mistypo incident and
Outline
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
Penutup
Dimensi keamanan komputer / informasi tidak dibatasi
hanya pada teknologi
Luas dan dalamnya kebijakan keamanan menentukan
gerak dan proses keamanan sebuah sistem
Membangun sistem dengan kemampuan akuntabilitas
elektronik tidak mudah
Tidak ada “
single solution
” dalam mengatasi keamanan
sistem informasi
Kesadaran dan pengetahuan akan keamanan informasi
sangat penting bagi semua pihak
Memerlukan kerjasama semua pihak yang berkepentingan
TERIMAKASIH
Materi ini dapat diunduh dari: