Antisipasi Cybercrime Dalam Bidang Keuangan

Antisipasi Cybercrime Dalam Bidang Keuangan Avinanta Tarigan Pusat Studi Keamanan Sistem Informasi Universitas Gunadarma

Seminar Nasional AAMAI 1

Avinanta Tarigan

Antisipasi Cybercrime Dalam Bidang Keuangan

Outline

2

1

Pendahuluan

2

Konsep Keamanan Informasi

3

Akuntabilitas Elektronik & Permasalahannya

4

Social Engineering

5

Analysis Tools

6

Penutup

Avinanta Tarigan


Pendahuluan

Outline

3

1

Pendahuluan

2


3


4

Social Engineering

5

Analysis Tools

6

Penutup

Avinanta Tarigan


Pendahuluan

Latar Belakang I

Dulu

4

Sekarang

Avinanta Tarigan


Pendahuluan

Latar Belakang II

CSI’s Computer Security Survey (2008)

5

Avinanta Tarigan



Outline

6

1

Pendahuluan

2


3


4

Social Engineering

5

Analysis Tools

6

Penutup

Avinanta Tarigan



Pengertian Dasar

7

Avinanta Tarigan



Pengertian Dasar

* Unauthorized Access (Cracked) State (Keadaan)

* Sensible Information Sniffed

* Password Stolen * Unauthenticated Sites

Vulnerability (Kelemahan) Security Violation (Pelanggaran)

State Transition

Attacker who attacks

8

Avinanta Tarigan



Pengertian Dasar I

Keadaan-keadaan Sistem dalam konteks keamanan 1 2 3

Aman Tidak Aman (terjadi pelanggaran keamanan) Berbahaya (hazard - dapat masuk ke dalam keadaan Tidak Aman)

Keadaan Berbahaya → Kelemahan sistem (Vulnerability) Tujuan Kemanan Sistem Informasi: agar sistem selalu dalam keadaan Aman dan tidak akan pernah dalam keadaan berbahaya atau bahkan sampai terjadi insiden / pelanggaran keamanan

9

Avinanta Tarigan



Pengertian Dasar II

Langkah2 Keamanan Sistem : Prevention: mencegah agar sistem tidak sampai ke dalam keadaan bahaya Detection: mendeteksi terjadinya pelanggaran keamanan Revocery : memulihkan sistem jika terlanjur terjadi pelanggaran keamanan

10

Avinanta Tarigan



Kebijakan Keamanan (Security Policy) I

Dasar: definisi keadaan Aman danTidak Aman Mendefinisikan juga kebijakan2 dan prosedur2 untuk mencapai tujuan sistem keamanan Perbedaan konteks dan cakupan organisasi, contoh: Sebuah UKM mengharuskan penggunaan sistem operasi Linux untuk melindungi data dari virus Bank Federal mengharuskan pemakaian tanda-tangan-digital untuk semua transaksi elektronik di negara tersebut Sebuah negara mendefinisikan penyebaran konten anti-pemerintah melalui media elektronik sebagai Cybercrime

11

Avinanta Tarigan



Kebijakan Keamanan (Security Policy) II

Kebijakan keamanan dapat juga tidak membatasi “Sistem” hanya pada sistem komputer yang terimplementasi dalam suatu institusi, misalnya Bank A mendefinisikan bahwa PC yang digunakan nasabah internet banking masuk ke dalam sistem, oleh karena itu Bank A mensyaratkan semua PC nasabah harus bebas virus / trojan horse / keylogger Bank B mendefinisikan Website Phising dan Online-Scam sebagai ancaman terhadap reputasi, oleh karena itu perlu dilakukan edukasi terhadap pihak yang berkepentingan

12

Avinanta Tarigan



Dimensi Serangan / Attack I Pelanggaran Keamanan: eksploitasi kelemahan dalam sistem oleh penyerang (attacker) Serangan: serangan fisik mencuri data penting di flashdisk, memutuskan aliran listrik, anti-tampering-proof serangan sintatik SQL injection, buffer-overflow, man-in-the-middle (MTM) Kesalahan Algoritma ( Software / Programmable Hardware ) Kesalahan Operasi / Prosedur ( Manusia )

serangan semantik social engineering, site phising Bias persepsi / komunikasi Kurangnya Edukasi 13

Avinanta Tarigan



Dimensi Serangan / Attack II Tujuan serangan tidak hanya ditujukan pada sistem komputer: Menjatuhkan Reputasi deface, email spoofing, domain Penipuan website phising, online-scams lewat SPAM Pelanggaran hak atas kekayaan intelektual pembajakan film dijital, digital plagiarism Pelanggaran privasi hidden cam, penyadapan email

Cybercrime lebih luas daripada Serangan dan mengacu kepada Cyberthreat penggunaan chatting untuk menjerat korban dalam kejahatan seksual penggunaan email/blog untuk fitnah

14

Avinanta Tarigan



Konsep Dalam Gambar

15

Avinanta Tarigan



Outline

16

1

Pendahuluan

2


3


4

Social Engineering

5

Analysis Tools

6

Penutup

Avinanta Tarigan



Sistem Yang Mendukung Akuntabilitas I Transaksi elektronik: setiap perubahan yang signifikan dalam sistem berbasikan komputer login dan logout, menghapus file, menambah file transfer elektronik antar rekening pembayaran dengan kartu kredit

Akuntabilitas elektronik: sistem mendukung pertanggungjawaban terhadap setiap transaksi elektronik Untuk itu diperlukan: Autentikasi (Authentication) pihak yang berkomunikasi dapat mengidentifikasi dan membuktikan keaslian identitas Otorisasi (authorization) sistem dapat menyaring transaksi yang “fahih” berdasarkan kebijakan keamanan dan hasil autentikasi 17

Avinanta Tarigan



Sistem Yang Mendukung Akuntabilitas II Selain itu, juga dibutuhkan: Integritas (Integrity) sistem dapat mengetahui atau mencegah modifikasi oleh yang tidak berhak Kerahasiaan (Secrecy / Confidentiality) sistem melindungi informasi agar tidak jatuh atau diketahui oleh yang tidak berhak

Beberapa juga mementingkan: Non-Repudiation sistem memungkinkan pelaku transaksi tidak dapat mengelak dari perbuatannya

Dukungan sistem terhadap akuntabilitas elektronik memudahkan pembuktian hukum dan proses komputer forensik

18

Avinanta Tarigan



Autentikasi Hal yang mendasar dan harus ada dalam sistem keamanan untuk membuktikan keaslian identitas pihak yang terlibat dalam transaksi elektronik Beberapa tingkat autentikasi: 1 2 3

4

5

6

19

Username & Password One-time-pad Password Shared-Key Cryptography (misalnya: Pretty-Good-Privacy [PGP]) Public-Key Cryptography dalam framework Public Key Infrastructure (PKI) Penggunaan SmartCard / Secure-Token untuk menyimpan dan melindungi Key Penggunaan Biometric Sistem untuk identifikasi atau mengaktifkan Smartcard

Avinanta Tarigan



TTD-Dijital & PKI I

20

Avinanta Tarigan



TTD-Dijital & PKI II

21

Avinanta Tarigan



TTD-Dijital & PKI III

PKI dan TTDD merupakan implementasi Kriptografi untuk solusi: Autentikasi Kerahasiaan dan integritas data Non-Repudiation

Implementasi TTDD dalam protokol keamanan: SSL (Secure Socket Layer) / TLS dan turunannya mis: HTTPS, SSH, SMTPS, IMAPS, POP3S, dll XML-Sig: Keamanan Interoperabilitas Data

22

Avinanta Tarigan



Security is not just Cryptography Mengapa masih terjadi pelanggaran keamanan meskipun Kriptografi digunakan ? Schneier: A Chain of Trust is only strong as the weakest link Anderson: Vulnerabilities raise between two protected technologies Shamir: Cryptography is not broken, it is circumvented Needham & Lampson: If you think that cryptography is the answer to your problem then you don’t understand cryptography and you don’t understand your problem.

Kriptografi 6= Keamanan Informasi Tetapi implementasi Kriptografi dalam Keamanan Informasi sangat signifikan

23

Avinanta Tarigan



Kelemahan MD5 dalam PKI

24

Avinanta Tarigan



Kelemahan Pada Perangkat Lunak I Perilaku sistem komputer berdasar pada: Algoritma (Perangkat Lunak / Program / Software) Perintah Pengguna (user input, user decision)

Penyerang memanfaakan kelemahan (vulnerabilty) akibat BUGS pada program / perangkat lunak: SQL Injection Buffer Overflow (Stack Smashing)

Langkah-langkah penyerangan Penyerang terlebih dahulu harus mengetahui kelemahan program Penyerang mengirimkan input string yang panjang berisi kode “nakal”

25

Avinanta Tarigan



Kelemahan Pada Perangkat Lunak II String yang panjang “membanjiri” memori (buffer), sehingga “luapan” string mengisi memory tempat perintah seharusnya berada Kode “nakal” dieksekusi oleh sistem

Bagaimana mengatasinya ? Tidak ada solusi tunggal ! Programmer: memeriksa user input / bound checking OpenSource: Kolaborasi antara programmer, user, & peer-review (Security by Obscurity) Software Project Manager: Secure Programming Best Practice Computer Scientist: Hardening Language / Compiler Anda tergantung dengan vendor ?: Kontrak kerjasama / pengkinian / maintenance keamanan Selalu update terhadap perkembangan dan melakukan patching berkala Eling & Waspodo (Stay Alert)

26

Avinanta Tarigan



Kelemahan Perangkat Keras I Transaksi elektronik membutuhkan sistem perangkat keras dalam autentikasi dan otorisasi Contoh: Magnetic Card & Smartcard ATM System EDC (Electronic Data Capture) + PIN-PAD

Sebagian besar dilengkapi dengan anti-Tampering: Mekanisme yang dapat mendeteksi “kenakalan / keisengan” terhadap alat tsb dan (jika lebih canggih) memusnahkan informasi sensitif yang dikandung alat tsb

Problem: Kelemahan pada anti-tampering Kelemahan pada pengguna sistem 27

Avinanta Tarigan



Kelemahan Perangkat Keras II “Kenakalan” Thd Anti-Tampering

28

Avinanta Tarigan



Kelemahan Perangkat Keras III

Menakali User (ATM Skimming)

29

Avinanta Tarigan



Kelemahan Perangkat Keras IV

Bagaimana cara mengatasinya ? Hardware Designer: verifikasi desain & peer-reviews Service Provider: evaluasi & re-evaluasi Regulator: sertifikasi & audit secara berkala Pengguna: (lagi-lagi) edukasi + Eling & Waspodo Komunitas: incident response team & publikasi

30

Avinanta Tarigan


Social Engineering

Outline

31

1

Pendahuluan

2


3


4

Social Engineering

5

Analysis Tools

6

Penutup

Avinanta Tarigan


Social Engineering

Phising I Memanfaatkan kelemahan pengguna Mengapa Phising terjadi ? Kelemahan TCP/IP (IP Spoofing, Mystipo Attack, Email Scam) Kurangnya pengetahuan pengguna terhadap konsep keamanan informasi Problem User-Interface: kesulitan dalam melakukan verifikasi

[Damija et.al.] : Kurangnya pengetahuan tentang sekuriti indikator dan implikasinya Tipuan visual dari website yang meyakinkan Pengguna tidak tahu jika sekuriti indikator muncul Pengguna tidak bisa membedakan sekuriti indikator browser dan sekuriti indikator “nakal” dari website 32

Avinanta Tarigan


Social Engineering

Phising II Indikator Keamanan

33

Avinanta Tarigan


Social Engineering

Phising III

Keadaan Kritis

34

Avinanta Tarigan


Social Engineering

Beberapa Alternatif Solusi I

Membatasi opsi keputusan pengguna .vs. kenyamanan Edukasi terhadap pengguna (suatu keharusan) Pemanfaatan penuh PKI, Digital Signature, dan SSL (tidak mudah & murah): Two Factors authentication Memerlukan : Smartcard-Crypto System Sistem national-ID & CA yang terpercaya Regulasi

Sekali lagi: tidak ada solusi tunggal

35

Avinanta Tarigan


Social Engineering

Beberapa Alternatif Solusi II

Dynamic Security Skins [Damija et.al., 2005] Browser & Server agree on a key (cryptographic protocol) Key → Image Image tsb digunakan sbg skin browser + web-element Pengguna melakukan verifikasi dg pencocokan antara skin browser & web-elements

36

Avinanta Tarigan


Analysis Tools

Outline

37

1

Pendahuluan

2


3


4

Social Engineering

5

Analysis Tools

6

Penutup

Avinanta Tarigan


Analysis Tools

Analisis Keamanan Sistem

Untuk melakukan analisis terhadap keamanan sebuah sistem diperlukan pisau analisis yang bekerja pada domain masing-masing Analisis Serangan ke dalam suatu Sistem : Contoh: Attack Tree [Schneier] Analisis Protokol Keamanan : Contoh: Formal Methods (Spi Calculus, BAN Logic, etc) Analisis Insiden Keamanan : Why-Because-Analysis [Ladkin et.al.]

38

Avinanta Tarigan


Analysis Tools

Attack Tree

39

Avinanta Tarigan


Analysis Tools

Analisis Insiden Keamanan 1 Mistypo incident and its consequences

1.3 the using of Internet Banking

1.3.1 assumption to use .com is a must rather than local domain

1.3.1.1 hype of .com as a brand image

1.1.3.2 language problem

1.2 the impersonations of Internet Banking site

1.1 unexpected user action

1.1.3 misinterpretation of user interface information

1.1.3.3 cultural problem in understanding instruction

1.1.1 mistyping probability

1.1.3.1 insuficient symbol to represent threat

1.1.2 user overconfidence, less in considering the risk

1.1.2.1 marketing hype

1.2.1 Someone intention

1.2.2 lack of naming regulation in domain name registration

1.1.2.2 lack of user awareness

1.1.2.2.1 lack of user education

1.1.2.2.1.1 insufficient preparation & registration process

1.1.2.2.1.1.3 time to market pressure

1.1.2.2.1.1.1 lack of awareness in Bank’s management

1.1.2.2.1.1.2 inadequate ebanking regulation

1.1.2.2.1.1.2.1 lack of regulator awareness

40

Avinanta Tarigan


Penutup

Outline

41

1

Pendahuluan

2


3


4

Social Engineering

5

Analysis Tools

6

Penutup

Avinanta Tarigan


Penutup

Penutup Dimensi keamanan komputer / informasi tidak dibatasi hanya pada teknologi Luas dan dalamnya kebijakan keamanan menentukan gerak dan proses keamanan sebuah sistem Membangun sistem dengan kemampuan akuntabilitas elektronik tidak mudah Tidak ada “single solution” dalam mengatasi keamanan sistem informasi Kesadaran dan pengetahuan akan keamanan informasi sangat penting bagi semua pihak Memerlukan kerjasama semua pihak yang berkepentingan terutama dalam Security Information Sharing

42

Avinanta Tarigan


Penutup

TERIMAKASIH Materi ini dapat diunduh dari:

http://avinanta.staff.gunadarma.ac.id

43

Avinanta Tarigan


Antisipasi Cybercrime Dalam Bidang Keuangan

Recommend Documents