Antisipasi Cybercrime Dalam Bidang Keuangan Avinanta Tarigan Pusat Studi Keamanan Sistem Informasi Universitas Gunadarma
Seminar Nasional AAMAI 1
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Outline
2
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
6
Penutup
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Pendahuluan
Outline
3
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
6
Penutup
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Pendahuluan
Latar Belakang I
Dulu
4
Sekarang
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Pendahuluan
Latar Belakang II
CSI’s Computer Security Survey (2008)
5
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Outline
6
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
6
Penutup
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Pengertian Dasar
7
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Pengertian Dasar
* Unauthorized Access (Cracked) State (Keadaan)
* Sensible Information Sniffed
* Password Stolen * Unauthenticated Sites
Vulnerability (Kelemahan) Security Violation (Pelanggaran)
State Transition
Attacker who attacks
8
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Pengertian Dasar I
Keadaan-keadaan Sistem dalam konteks keamanan 1 2 3
Aman Tidak Aman (terjadi pelanggaran keamanan) Berbahaya (hazard - dapat masuk ke dalam keadaan Tidak Aman)
Keadaan Berbahaya → Kelemahan sistem (Vulnerability) Tujuan Kemanan Sistem Informasi: agar sistem selalu dalam keadaan Aman dan tidak akan pernah dalam keadaan berbahaya atau bahkan sampai terjadi insiden / pelanggaran keamanan
9
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Pengertian Dasar II
Langkah2 Keamanan Sistem : Prevention: mencegah agar sistem tidak sampai ke dalam keadaan bahaya Detection: mendeteksi terjadinya pelanggaran keamanan Revocery : memulihkan sistem jika terlanjur terjadi pelanggaran keamanan
10
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Kebijakan Keamanan (Security Policy) I
Dasar: definisi keadaan Aman danTidak Aman Mendefinisikan juga kebijakan2 dan prosedur2 untuk mencapai tujuan sistem keamanan Perbedaan konteks dan cakupan organisasi, contoh: Sebuah UKM mengharuskan penggunaan sistem operasi Linux untuk melindungi data dari virus Bank Federal mengharuskan pemakaian tanda-tangan-digital untuk semua transaksi elektronik di negara tersebut Sebuah negara mendefinisikan penyebaran konten anti-pemerintah melalui media elektronik sebagai Cybercrime
11
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Kebijakan Keamanan (Security Policy) II
Kebijakan keamanan dapat juga tidak membatasi “Sistem” hanya pada sistem komputer yang terimplementasi dalam suatu institusi, misalnya Bank A mendefinisikan bahwa PC yang digunakan nasabah internet banking masuk ke dalam sistem, oleh karena itu Bank A mensyaratkan semua PC nasabah harus bebas virus / trojan horse / keylogger Bank B mendefinisikan Website Phising dan Online-Scam sebagai ancaman terhadap reputasi, oleh karena itu perlu dilakukan edukasi terhadap pihak yang berkepentingan
12
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Dimensi Serangan / Attack I Pelanggaran Keamanan: eksploitasi kelemahan dalam sistem oleh penyerang (attacker) Serangan: serangan fisik mencuri data penting di flashdisk, memutuskan aliran listrik, anti-tampering-proof serangan sintatik SQL injection, buffer-overflow, man-in-the-middle (MTM) Kesalahan Algoritma ( Software / Programmable Hardware ) Kesalahan Operasi / Prosedur ( Manusia )
serangan semantik social engineering, site phising Bias persepsi / komunikasi Kurangnya Edukasi 13
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Dimensi Serangan / Attack II Tujuan serangan tidak hanya ditujukan pada sistem komputer: Menjatuhkan Reputasi deface, email spoofing, domain Penipuan website phising, online-scams lewat SPAM Pelanggaran hak atas kekayaan intelektual pembajakan film dijital, digital plagiarism Pelanggaran privasi hidden cam, penyadapan email
Cybercrime lebih luas daripada Serangan dan mengacu kepada Cyberthreat penggunaan chatting untuk menjerat korban dalam kejahatan seksual penggunaan email/blog untuk fitnah
14
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Konsep Keamanan Informasi
Konsep Dalam Gambar
15
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Outline
16
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
6
Penutup
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Sistem Yang Mendukung Akuntabilitas I Transaksi elektronik: setiap perubahan yang signifikan dalam sistem berbasikan komputer login dan logout, menghapus file, menambah file transfer elektronik antar rekening pembayaran dengan kartu kredit
Akuntabilitas elektronik: sistem mendukung pertanggungjawaban terhadap setiap transaksi elektronik Untuk itu diperlukan: Autentikasi (Authentication) pihak yang berkomunikasi dapat mengidentifikasi dan membuktikan keaslian identitas Otorisasi (authorization) sistem dapat menyaring transaksi yang “fahih” berdasarkan kebijakan keamanan dan hasil autentikasi 17
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Sistem Yang Mendukung Akuntabilitas II Selain itu, juga dibutuhkan: Integritas (Integrity) sistem dapat mengetahui atau mencegah modifikasi oleh yang tidak berhak Kerahasiaan (Secrecy / Confidentiality) sistem melindungi informasi agar tidak jatuh atau diketahui oleh yang tidak berhak
Beberapa juga mementingkan: Non-Repudiation sistem memungkinkan pelaku transaksi tidak dapat mengelak dari perbuatannya
Dukungan sistem terhadap akuntabilitas elektronik memudahkan pembuktian hukum dan proses komputer forensik
18
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Autentikasi Hal yang mendasar dan harus ada dalam sistem keamanan untuk membuktikan keaslian identitas pihak yang terlibat dalam transaksi elektronik Beberapa tingkat autentikasi: 1 2 3
4
5
6
19
Username & Password One-time-pad Password Shared-Key Cryptography (misalnya: Pretty-Good-Privacy [PGP]) Public-Key Cryptography dalam framework Public Key Infrastructure (PKI) Penggunaan SmartCard / Secure-Token untuk menyimpan dan melindungi Key Penggunaan Biometric Sistem untuk identifikasi atau mengaktifkan Smartcard
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
TTD-Dijital & PKI I
20
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
TTD-Dijital & PKI II
21
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
TTD-Dijital & PKI III
PKI dan TTDD merupakan implementasi Kriptografi untuk solusi: Autentikasi Kerahasiaan dan integritas data Non-Repudiation
Implementasi TTDD dalam protokol keamanan: SSL (Secure Socket Layer) / TLS dan turunannya mis: HTTPS, SSH, SMTPS, IMAPS, POP3S, dll XML-Sig: Keamanan Interoperabilitas Data
22
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Security is not just Cryptography Mengapa masih terjadi pelanggaran keamanan meskipun Kriptografi digunakan ? Schneier: A Chain of Trust is only strong as the weakest link Anderson: Vulnerabilities raise between two protected technologies Shamir: Cryptography is not broken, it is circumvented Needham & Lampson: If you think that cryptography is the answer to your problem then you don’t understand cryptography and you don’t understand your problem.
Kriptografi 6= Keamanan Informasi Tetapi implementasi Kriptografi dalam Keamanan Informasi sangat signifikan
23
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Kelemahan MD5 dalam PKI
24
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Kelemahan Pada Perangkat Lunak I Perilaku sistem komputer berdasar pada: Algoritma (Perangkat Lunak / Program / Software) Perintah Pengguna (user input, user decision)
Penyerang memanfaakan kelemahan (vulnerabilty) akibat BUGS pada program / perangkat lunak: SQL Injection Buffer Overflow (Stack Smashing)
Langkah-langkah penyerangan Penyerang terlebih dahulu harus mengetahui kelemahan program Penyerang mengirimkan input string yang panjang berisi kode “nakal”
25
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Kelemahan Pada Perangkat Lunak II String yang panjang “membanjiri” memori (buffer), sehingga “luapan” string mengisi memory tempat perintah seharusnya berada Kode “nakal” dieksekusi oleh sistem
Bagaimana mengatasinya ? Tidak ada solusi tunggal ! Programmer: memeriksa user input / bound checking OpenSource: Kolaborasi antara programmer, user, & peer-review (Security by Obscurity) Software Project Manager: Secure Programming Best Practice Computer Scientist: Hardening Language / Compiler Anda tergantung dengan vendor ?: Kontrak kerjasama / pengkinian / maintenance keamanan Selalu update terhadap perkembangan dan melakukan patching berkala Eling & Waspodo (Stay Alert)
26
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Kelemahan Perangkat Keras I Transaksi elektronik membutuhkan sistem perangkat keras dalam autentikasi dan otorisasi Contoh: Magnetic Card & Smartcard ATM System EDC (Electronic Data Capture) + PIN-PAD
Sebagian besar dilengkapi dengan anti-Tampering: Mekanisme yang dapat mendeteksi “kenakalan / keisengan” terhadap alat tsb dan (jika lebih canggih) memusnahkan informasi sensitif yang dikandung alat tsb
Problem: Kelemahan pada anti-tampering Kelemahan pada pengguna sistem 27
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Kelemahan Perangkat Keras II “Kenakalan” Thd Anti-Tampering
28
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Kelemahan Perangkat Keras III
Menakali User (ATM Skimming)
29
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Akuntabilitas Elektronik & Permasalahannya
Kelemahan Perangkat Keras IV
Bagaimana cara mengatasinya ? Hardware Designer: verifikasi desain & peer-reviews Service Provider: evaluasi & re-evaluasi Regulator: sertifikasi & audit secara berkala Pengguna: (lagi-lagi) edukasi + Eling & Waspodo Komunitas: incident response team & publikasi
30
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Social Engineering
Outline
31
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
6
Penutup
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Social Engineering
Phising I Memanfaatkan kelemahan pengguna Mengapa Phising terjadi ? Kelemahan TCP/IP (IP Spoofing, Mystipo Attack, Email Scam) Kurangnya pengetahuan pengguna terhadap konsep keamanan informasi Problem User-Interface: kesulitan dalam melakukan verifikasi
[Damija et.al.] : Kurangnya pengetahuan tentang sekuriti indikator dan implikasinya Tipuan visual dari website yang meyakinkan Pengguna tidak tahu jika sekuriti indikator muncul Pengguna tidak bisa membedakan sekuriti indikator browser dan sekuriti indikator “nakal” dari website 32
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Social Engineering
Phising II Indikator Keamanan
33
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Social Engineering
Phising III
Keadaan Kritis
34
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Social Engineering
Beberapa Alternatif Solusi I
Membatasi opsi keputusan pengguna .vs. kenyamanan Edukasi terhadap pengguna (suatu keharusan) Pemanfaatan penuh PKI, Digital Signature, dan SSL (tidak mudah & murah): Two Factors authentication Memerlukan : Smartcard-Crypto System Sistem national-ID & CA yang terpercaya Regulasi
Sekali lagi: tidak ada solusi tunggal
35
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Social Engineering
Beberapa Alternatif Solusi II
Dynamic Security Skins [Damija et.al., 2005] Browser & Server agree on a key (cryptographic protocol) Key → Image Image tsb digunakan sbg skin browser + web-element Pengguna melakukan verifikasi dg pencocokan antara skin browser & web-elements
36
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Analysis Tools
Outline
37
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
6
Penutup
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Analysis Tools
Analisis Keamanan Sistem
Untuk melakukan analisis terhadap keamanan sebuah sistem diperlukan pisau analisis yang bekerja pada domain masing-masing Analisis Serangan ke dalam suatu Sistem : Contoh: Attack Tree [Schneier] Analisis Protokol Keamanan : Contoh: Formal Methods (Spi Calculus, BAN Logic, etc) Analisis Insiden Keamanan : Why-Because-Analysis [Ladkin et.al.]
38
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Analysis Tools
Attack Tree
39
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Analysis Tools
Analisis Insiden Keamanan 1 Mistypo incident and its consequences
1.3 the using of Internet Banking
1.3.1 assumption to use .com is a must rather than local domain
1.3.1.1 hype of .com as a brand image
1.1.3.2 language problem
1.2 the impersonations of Internet Banking site
1.1 unexpected user action
1.1.3 misinterpretation of user interface information
1.1.3.3 cultural problem in understanding instruction
1.1.1 mistyping probability
1.1.3.1 insuficient symbol to represent threat
1.1.2 user overconfidence, less in considering the risk
1.1.2.1 marketing hype
1.2.1 Someone intention
1.2.2 lack of naming regulation in domain name registration
1.1.2.2 lack of user awareness
1.1.2.2.1 lack of user education
1.1.2.2.1.1 insufficient preparation & registration process
1.1.2.2.1.1.3 time to market pressure
1.1.2.2.1.1.1 lack of awareness in Bank’s management
1.1.2.2.1.1.2 inadequate ebanking regulation
1.1.2.2.1.1.2.1 lack of regulator awareness
40
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Penutup
Outline
41
1
Pendahuluan
2
Konsep Keamanan Informasi
3
Akuntabilitas Elektronik & Permasalahannya
4
Social Engineering
5
Analysis Tools
6
Penutup
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Penutup
Penutup Dimensi keamanan komputer / informasi tidak dibatasi hanya pada teknologi Luas dan dalamnya kebijakan keamanan menentukan gerak dan proses keamanan sebuah sistem Membangun sistem dengan kemampuan akuntabilitas elektronik tidak mudah Tidak ada “single solution” dalam mengatasi keamanan sistem informasi Kesadaran dan pengetahuan akan keamanan informasi sangat penting bagi semua pihak Memerlukan kerjasama semua pihak yang berkepentingan terutama dalam Security Information Sharing
42
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan
Penutup
TERIMAKASIH Materi ini dapat diunduh dari:
http://avinanta.staff.gunadarma.ac.id
43
Avinanta Tarigan
Antisipasi Cybercrime Dalam Bidang Keuangan