7183T-TP1-R0 YUDI FIRMAN SANTOSA NIM 1412406111
advertisement
PERSONAL ASSIGNMENT 1 (7183T-TP1-R0) Due Date : 22 Juni 2014, 12:59:00 “KEAMANAN DALAM SISTEM ELEKTRONIK “MONEY BANK’” MATA KULIAH : “IT RISK MANAGEMENT AND DISASTER RECOVERY” DOSEN : IR. BENFANO SOEWITO, M.Sc., Ph.D OLEH : YUDI FIRMAN SANTOSA NIM. 1412406111 PROGRAM STUDI MAGISTER TEKNIK INFORMATIKA 2014 IT Risk Management and Disaster Recovery Personal Assignment 1 1|Page A. PENDAHULUAN Money Bank adalah sebuah institusi keuangan yang berbasis pada perbankan dengan cabang tersebar di 20 negara. Kegiatan transaksi Money Bank adalah kegiatan via teller, ATM, Internet banking, dan mobile banking. Selama ini perusahaan banyak mendapatkan serangan dari para penyusup dengan berbagai maksud. Selain itu tantangan terbesar adalah bagaimana mengamankan anjungan tunai (ATM) dari para pencuri elektronis. Anda diminta oleh manajemen perusahaan untuk membantu dalam menyelesaikan masalah keamanan dalam sistem elektronik Bank tersebut. B. PERTANYAAN 1. 2. Jelaskan dalam konteks The Parkerian Hexad elemen-elemen apa saja dalam Money Bank yang harus diproteksi! Berikan minimal 5 (lima) kejahatan elektronis yang mungkin terjadi. Jelaskan secara rinci! C. PEMBAHASAN http://www.zigthis.com/145 1. Elemen-elemen yang harus diproteksi dalam Money Bank : 1. Confidentiality IT Risk Management and Disaster Recovery Personal Assignment 1 2|Page Data yang membentuk informasi pelanggan dalam hal ini nasbah merupakan asset yang harus dijaga kerahasiaannya dan keamanannya dari akses pihakpihak yang tidak berwenang atau berkepentingan. Sehingga data tidak disalahgunakan pihak yang tidak berhak yang berakibat dapat merugikan reputasi Money Bank dan nasabah sebagai pelanggan. 2. Availability Kehandalan dari layanan yang diberikan Money Bank salah satunya adalah ketersediaan layanan terhadap ruang lingkup yang harus disajikan kepada nasabah, contohnya adalah ketersediaan data, informasi dan layanan termasuk up-time dari situs web. Contohnya dalam impelementasi dari Internet Banking. Money Bank harus dapat menjamin layanan tersebut dapat mengakses layanan kapan saja nasabah menginginkannya, sangat disarankan untuk down time karena yang bersifat rutin ataupun pemeliharaan dilakukan misalnya tengah malam yang pada saat itu kemungkinan nasabah yang mengakses tidak sebanyak jam kerja. 3. Integrity Data yang telah dipercayakan nasabah ke Money Bank harus dapat dijaga keaslian dan kebenaran datanya, sehingga tidak boleh diubah tanpa seizin pemilik data atau informasi, dalam hal ini nasabah. Setiap perubahan selalu Oleh karena itu, pihak Money Bank harus menjamin bahwa data yang disajikan valid. Salah satu cara untuk memproteksi ini adalah dengan menggunakan signature, certificate atau checksum. Dengan menggunakan signature akan dapat mendeteksi adanya perubahan terhadap data. 4. Utility Data yang terenskripsi sangat berguna sebagai satu diantara bentuk pencegahan terhadap penggunaan data yang tidak sah dan merugikan nasabah Money Bank, Tetapi jika pihak bank kehilangan kunci deskripsinya, maka hal ini akan menyebabkan terjadinya pelanggaran utilitas. Karenanya kunci deskripsi menjadi hal penting dalam proses layanan perbankan dalam menjaga data nasabah. 5. Authenticity IT Risk Management and Disaster Recovery Personal Assignment 1 3|Page Metode atau cara yang menyatakan data dan informasi diakses oleh orang yang benar-benar berhak dalam hal ini nasabah. Authenticity digunakan untuk meyakinkan orang yang mengakses service dan juga server (web) yang memberikan service. Biasanya dengan menggunakan metode password dimana terdapat suatu karakter yang diberikan oleh pengguna ke server dan server mengenalinya sesuai dengan policy yang ada. Mekanisme yang umum digunakan untuk melakukan authentication di sisi pengguna biasanya terkait dengan: - Sesuatu yang dimiliki (misalnya kartu ATM, chipcard) - Sesuatu yang diketahui (misalnya userid, password, PIN, TIN) - Sesuatu yang menjadi bagian dari kita (misalnya sidik jari, iris mata) Satu diantara mekanisme menunjukkan keaslian server adalah dengan digital certificate. Biasanya situs yang dirujuk adalah https. 6. Possession or Control Dalam akses kontrol terhadap data nasabah, Pihak Money Bank harus bisa melibatkan nasabah, Karena setiap nasabah yang telah mempercayakan datanya kepada suatu pihak, ingin memiliki rasa kepemilikan terhadap data tersebut. Rasa memiliki dan kepercayaan harus selalu dijaga oleh nasabah dan Money Bank. 2. Kejahatan Elektronis yang mungkin terjadi. 1. KeyLogger Seringkali ditemukan kegiatan yang memata-matai dengan istilah key Logger dalam upaya menghimpun data dan informasi. Penyerang menempatkan suatu program tertentu untuk merekam semua kegiatan yang dilakukan oleh korban pada keyboardnya. Apapun akan terekam oleh software tersebut dan script tersebut akan mengirimkan hasilnya secara otomatis ke komputer pemasang melalui email. Selain dalam bentuk software, keylogger juga ada dalam bentuk hardware dimana di dalamnya sudah terinstall program KeyLogger. Program KeyLogger akan berjalan IT Risk Management and Disaster Recovery Personal Assignment 1 4|Page secara tersembunyi dan akan merekam apa saja kegiatan korban. Penggunaan keylogger ini tidak terpengaruh oleh pengamanan di sisi jaringan karena apa yang diketikkan oleh nasabah (sebelum terenkripsi) tercatat dalam sebuah berkas. Penyadapan di sisi jaringan dapat dilakukan dengan memasang program sniffer yang dapat menyadap data-data yang dikirimkan melalui jaringan Internet.Pengamanan di sisi network dilakukan dengan menggunakan enkripsi. Teknologi yang umum digunakan adalah Secure Socket Layer (SSL) dengan panjang kunci 128 bit. Pengamanan di sisi komputer yang digunakan nasabah sedikit lebih kompleks. Hal ini disebabkan banyaknya kombinasi dari lingkungan nasabah. Jika nasabah mengakses Internet Banking dari tempat yang dia tidak kenal atau yang meragukan integritasnya seperti misalnya warnet yang tidak jelas, maka kemungkinan penyadapan di sisi terminal dapat terjadi. KeyLogger biasanya digunakan untuk mencuri password atm, password internet banking dan lain sebagainnya. KeyLogger merupakan penyerangan terhadap aspek Confidentiality. 2. Carding Memperoleh data kartu kredit korban secara tidak sah (illegal interception), kemudian menggunakan kartu kredit tersebut untuk berbelanja di toko online merupakan satu diantara kejahatan elektronis yang populer terjadi di beberapa tahun yang lalu, mungkin masih bisa saja terjadi. Modus ini dapat terjadi akibat lemahnya system autentifikasi yang digunakan dalam memastikan identitas pemesan barang di toko online. 3. Denial of Service (serangan terhadap availability) Ketika satu node diserang bersamaan dan dibanjiri permintaan data yang sangat besar secara simultan yang sebenarnya tidak perlu maka disinilah istilah serangan Denial of Service (DoS) dikenal, penyerang menggunakan banyak komputer untuk menyerang satu titik. Komputer-komputer tersebut tersebar tanpa menghiraukan jarak dan waktu dan akan melakukan IT Risk Management and Disaster Recovery Personal Assignment 1 5|Page serangan secara mendadak dan bertubi-tubi lewat perintah intruders tersebut, sehingga titik tujuan atau korban akan mengalami hang karna menerima paket data yang banyak dari berbagai tempat secara bersamaan. Serangan seperti ini mudah dilakukan di internet dikarenakan teknologi yang ada pada saat ini masih menggunakan IP (internet protocol) versi 4. Mekanisme pengamanan untuk ketersedian layanan antara lain menggunakan backup sites, DoS filter, Intrusion Detection System (IDS), network monitoring, Disaster Recovery Plan (DRP), Business Process Resumption. 4. Web Spoofing / typosquatter Pengetahuan yang kurang memadai dari nasabah misalnya salah memasukan alamat website agar nasabah tersebut mengira sedang mengakses suatu situs tertentu padahal bukan. Pelakunya sudah menyiapkan situs palsu yang mirip dengan situs asli bank online (forgery). Jika ada nasabah yang salah ketik dan masuk ke situs bank palsu tersebut, maka pelaku akan merekam user ID dan password nasabah tersebut untuk digunakan mengakses ke situs yang sebenarnya (illegal access) dengan maksud untuk merugikan nasabah. Kasus ini pernah terjadi pada situs web BCA dengan membuat situs yang mirip dan identik dengan BCA yang membuat orang terkecoh sehingga tanpa curiga memasukkan nama dan password-nya. Semua data tersebut direkam pada server palsu tadi. Hacker tersebut menggunakan alamat Domain Name Services (DNS) yang hampir sama dengan www.klikbca.com yaitu dengan membuat halaman web yang sama persis dengan yang asli dan menggunakan DNS www.clickbca.com atau www.klicbca.com. 5. Social Engineering Hubungan kedekatan dengan seseorang yang memilki informasi mengenai target merupakan teknik persuasif yang tidak disengaja menjadi kelemahan dan dapat dijadikan tindakan kejahatan. Social Engineering adalah istilah yang digunakan terhadap cara – cara mendapatkan informasi dari seseorang tanpa melakukan penetrasi terhadap sistem komputer. IT Risk Management and Disaster Recovery Personal Assignment 1 6|Page Umumnya cara yang dilakukan tidak langsung menanyakan informasi yang diinginkan, tetapi dengan cara mengumpulkan kepingan informasi yang jika sendiri – sendiri kelihatannya tidak bersifat rahasia. Bahaya keamanan yang bersumber dari aspek non teknis ketika ada pihak ketiga yang mengetahui nomor pin pengguna SMS-Banking. Pihak ketiga tersebut dapat muncul dari operator telepon seluler maupun orang terdekat nasabah sendiri. Setiap kali melakukan transaksi melalui SMS Banking, maka biasanya verifikasinya berupa masukkan digit ke – x dan ke – x pin Anda. Apabila kombinasi pin tersebut sudah lengkap, dan si pengguna sms banking tidak pernah menghapus history sms nya, maka orang yang membaca isi sms tersebut bisa mengetahui pin si nasabah, dan dapat menyalahgunakan pin tersebut dalam sms banking. Misalnya mentransfer uang ke rekening tertentu tanpa sepengetahuan si pemilik handphone. 6. Trojan Horse. Program yang tertanam di dalam komputer yang awalnya tidak dikira akan menyerang sistem komputer, tetapi kemudian berbalik menyerang merupakan satu diantara kejahatan yang menjengkelkan. Trojan Horse digunakan para hacker untuk masuk atau menjangkiti system komputer tanpa harus menyerang pertahanan utamanya dengan cara mengirimkan suatu file yang dapat berupa eksistensi file tertentu misalnya JPEG, GIF, DOC, PPT, EXE dsb. File-file ini biasanya dilampirkan dalam sebuah email dan ditujukan pada seorang user yang absah di jaringan komputer korban. Apabila Trojan horse sudah menjangkiti komputer korban maka script dari program tersebut dapat mengendalikan secara jarak jauh atau bahkan membuat pintu belakang sehingga dapat dimasuki penyusup yang dapat mengacak-ngacak system computer. Untuk mencegah terjadinya infeksi Trojan Horse sering meng-update antivirus. TERIMA KASIH IT Risk Management and Disaster Recovery Personal Assignment 1 7|Page