Keamanan Internet Banking Minda MoraPurba
[email protected]
ABSTRACT E-Banking is the fruit of development of information technology, namely the Internet. The role of e-banking provides financial benefits and the image in the eyes of its customers. In his role as a support in banking, information technology has many advantages that have been recognized, but along with the increase in the ability of information technology, there are also many obstacles that attack the information technology itself from all sides, particularly from the most sensitive yet largely ignored, namely the side of safety. Combating threats on Internet Banking system is technically able to use a firewall, Intrusion Detection System (IDS), and product cryptography (for encryption and decryption as the use of SSL). In addition to technical, threat prevention can also be done by increasing awareness (both from the management, operators, service providers, to the customer), to create a policy (procedure) was good and with evaluating the system on a regular basis Keywords: security, internet banking, firewall, system evaluation
PENDAHULUAN Bisnis perbankan sangat mempengaruhi perekonomian dunia saat ini. Semenjak ditemukannya komputer pada tahun 1950an, teknologi informasi berkembang dengan cepat dan perkembangan teknologi informasi ini sangat bermanfaat di dunia perbankan. Dunia perbankan berkembang sangat cepat dengan memanfaatkan teknologi informasi. Pada awalnya dunia perbankan hanya sebagai dikenal sebagai tempat penukaran uang (money changer), lalu berkembang menjadi tempat penitipan uang, yang dikenal sebagai kegiatan simpanan (tabungan). Kemudian berkembang lagi sebagai tempat peminjaman uang dan masih terus berkembang bersama perkembangan teknologi informasi.
seiring dengan peningkatan kemampuan teknologi informasi tersebut, muncul juga berbagai hambatan yang menyerang teknologi informasi itu sendiri dari berbagai sisi khususnya dari sisi yang paling sensitif namun banyak diabaikan, yaitu sisi keamanannya. Keamanan teknologi informasi sangat erat kaitannya dengan berbagai aspek, diantaranya penyajian data, pengarsipan data, transaksi elektronik dan lain sebagainya. Salah satu hal yang paling sensitif dalam keamanan sistem perbankan adalah transaksi elektronik, seperti pada e-banking. Saat ini banyak orang yang meragukan keamanan bertransaksi lewat internet. Meskipun muncul keraguan akan keamanan transaksi di internet, namun metode pembayaran tersebut sangat dibutuhkan untuk mempermudah transaksi dengan pembeli dari tempat yang berjauhan, seperti antar kota atau bahkan antar negara.
Dalam perannya sebagai penunjang di dunia perbankan, teknologi informasi memiliki banyak kelebihan yang sudah diakui oleh berbagai kalangan manusia, seperti efisiensi kerja, peningkatan produktifitas dan lain-lain. Namun
41
Penanggulangan ancaman pada sistem Internet Banking dapat dilakukan secara teknis dan non teknis. Secara teknis dengan menggunakan firewall, Intrusion Detection System (IDS), dan produk Cryptograph (untuk encryption dan decryption seperti penggunaan SSL). Secara non teknis, penanggulangan ancaman dapat juga dilakukan dengan meningkatkan awareness (baik dari pihak management, operator, penyelenggara jasa, sampai ke nasabah), dengan membuat policy (procedure) yang baik dan dengan mengevaluasi sistem secara berkala.
bentuk teknologi yang diterapkan untuk memproses dan mengirimkan informasi dalam bentuk elektronis (Lucas, 2000) 5. Teknologi Informasi adalah teknologi yang menggabungkan komputasi (komputer) dengan jalur komunikasi berkecepatan tinggi yang membawa data, suara, dan video (William & Sawyer, 2003) B. Teknologi Internet Internet (Interconnected Network) secara de facto sudah menjadi landasan untuk melakukan bisnis. Ada dua makna atau arti dari “internet” yaitu teknologinya dan jaringannya. Teknologi Internet adalah teknologi komunikasi yang berbasis kepada protokol TCP/IP. Saat ini juga teknologi internet mencakup penggunaan web browser sebagai user interface. Sementara itu pengertian internet sebagai jaringan adalah internet sebagai salah satu jaringan komputer yang terbesar di dunia. Jaringan internet sendiri pada mulanya hanya dapat digunakan untuk keperluan akademis (penelitian dan pendidikan). Namun sejak tahun 1995 jaringan internet sudah boleh dipergunakan untuk keperluan bisnis. Sejak saat itulah internet mulai menjadi media komunikasi data yang populer.
LANDASAN TEORI A. Teknologi Informasi Pengertian teknologi informasi menurut beberapa ahli teknologi informasi yaitu : 1. Teknologi Informasi adalah studi atau peralatan elektronika, terutama computer, untuk menyimpan, menganalisa, dan mendistribusikan informasi apa saja, terutama kata-kata, bilangan, dan gambar (kamus Oxford, 1995) 2. Teknologi Informasi adalah seperangkat alat yang membantu anda bekerja dengan informasi dan melaksanakan tugas-tugas yang berhubungan dengan pemrosesan informasi (Haag & Keen, 1996) 3. Teknologi Informasi tidak hanya terbatas pada teknologi komputer (software & hardware) yang digunakan untuk memproses atau menyimpan informasi, melainkan juga mencakup teknologi komunikasi untuk mengirimkan informasi (Martin, 1999) 4. Teknologi Informasi adalah segala
C. Internet Banking Internet Banking pada dasarnya merupakan gabungan dua istilah dasar yaitu Internet dan Banking (bank). Menurut Bank Indonesia, Internet banking merupakan salah satu layanan jasa bank yang memungkinkan nasabah untuk memperoleh informasi, melakukan komunikasi dan melakukan transaksi perbankan melalui jaringan internet. Jenis kegiatan internet banking dibedakan menjadi tiga yaitu: 1. Informational Internet Banking yaitu pelayanan jasa bank kepada nasabah dalam bentuk informasi melalui jaringan internet dan tidak mela-
42
c.
kukan eksekusi transaksi (execution of transaction). 2. Communicative Internet Banking yaitu pelayanan jasa Bank kepada nasabah dalam bentuk komunikasi atau melakukan interaksi dengan bank penyedia layanan internet banking secara terbatas dan tidak melakukan eksekusi transaksi. 3. Transactional Internet Banking yaitu pelayanan jasa bank kepada nasabah untuk melakukan interaksi dengan bank penyedia layanan internet banking dan melakukan eksekusi transaksi.
d.
Revenue & cost improvement Biaya untuk memberikan layanan ini dapat lebih murah dibandingkan dengan membuka kantor cabang baru. Competitive advantage Dengan membuka layanan Internet Banking, Bank akan memiliki keuntungan lebih dibandingkan dengan kompetitor lain dalam melayani nasabahnya.
1.2 Aspek Keamanan Pada intinya, aspek keamanan komputer mempunyai beberapa lingkup yang penting, yaitu : a. Privacy & Confidentiality Hal yang paling penting dalam aspek ini adalah usaha untuk menjaga data dan informasi dari pihak yang tidak diperbolehkan mengaksesnya. Privacy lebih mengarah kepada data-data yang sifatnya privat. Sebagai contoh, email pengguna yang tidak boleh dibaca admin. Sedangkan confidentiality berhubungan dengan data yang diberikan kepada suatu pihak untuk hal tertentu dan hanya diperbolehkan untuk hal itu saja. Contohnya, daftar pelanggan sebuah ISP. b. Integrity Aspek ini mengutamakan data atau informasi tidak boleh diakses tanpa seizin pemiliknya. Sebagai contoh, sebuah email yang dikirim pengirim seharusnya tidak dapat dibaca orang lain sebelum sampai ke tujuannya. c. Authentication Hal ini menekankan mengenai keaslian suatu data / informasi, termasuk juga pihak yang memberi data atau mengak sesnya tersebut merupakan pihak yang dimaksud. Contohnya seperti
D. E-BANKING Internet banking merupakan sebuah layanan perbankan dengan media komunikasi internet yang disediakan oleh bank untuk para nasabahnya. Dengan layanan ini, para nasabahnya dapat melakukan berbagai aktivitas perbankan tanpa perlu beranjak dari tempat duduk. Mulai dari pengecekkan saldo, transfer uang, hingga pembelian pulsa telepon pun sudah dapat dilakukan. 1. Aspek-aspek E-BANKING 1.1 Aspek Keuntungan Berbagai kelebihan yang dapat diperoleh baik nasabah maupun bank dari layanan Internet Banking antara lain: a. Business expansion Mempermudah perluasan daerah operasi bank. Dengan Internet banking, layanan perbankan dapat diakses dimana saja dan kapan saja, tanpa perlu membuka kantor cabang baru. b. Customer loyalty Nasabah akan merasa lebih nyaman untuk melakukan aktivitas perbankannya tanpa harus membuka akun di bank yang berbeda-beda dan di berbagai tempat.
43
d.
e.
f.
penggunaan PIN atau password. Availability Aspek yang berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sebuah sistem informasi yang diserang dapat menghambat ketersediaan informasi yang diberikan. Access Control Aspek ini berhubungan dengan cara pengaksesan informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private confidential, top secret), user (guest, admin, top manager, dsb.), mekanisme authentication dan juga privacy. Seringkali dilakukan dengan menggunakan kombinasi user ID/password dengan metode lain seperti kartu atau biometrics. Non-Repudiation Hal ini menekankan agar sebuah pihak tidak dapat menyangkal telah melakukan transaksi atau pengaksesan data tertentu. Aspek ini sangat penting dalam hal e-commerce. Sebagai contoh, seseorang yang mengirim email pemesanan barang tidak dapat disangkal telah mengirim email tersebut.
2.1 Risiko Bertransaksi Berbasis Internet a. Spoofing. Ini merupakan salah satu kreasi web site yang menyalin seluruh halaman yang ada, sehingga dapat membuat situs ilegal. Pada kenyataannya, hacker mendapat nomor kartu kredit secara ilegal dengan melakukan setting up pada tempat simpanan. b. Unauthorized disclosure Ketika informasi sedang ditransmisikan ke sistem Internet Banking dengan ''unsafely'', hacker dapat mencegat transmisi tersebut yang mengandung data sensitif dari nasabah. c. Data alteration Perubahan pada database, baik berupa username, password atau bahkan jumlah rekening akibat masuknya seseorang yang tidak diundang pada sistem Internet Banking. 2.2 Persoalan Keamanan dalam Sistem Internet Banking Persoalan yang sering terjadi ialah ketika terjadi sambungan di Internet, dan tidak hanya pada sistem Internet Banking. Permasalahan keamanan dapat dikelompokkan menjadi tiga yakni: a. Keamanan Tipe 1 : PC Nasabah ke Web Server. Di sini dikonsentrasikan mengenai keamanan antara browser yang terdapat informasi nasa-bah ke web server milik bank. Ketika terjadi koneksi antara browser dan web server mempunyai risiko seperti Network Packet Sniffing. Sebuah kegiatan network protocol, bagaimana sebuah paket diberi label dan diidentifikasi.
2. SISTEM KEAMANAN E-BANKING Internet banking menjanjikan transfer uang dengan biaya rendah, pelayanan lebih baik, lebih banyak macam dan produk keuangannya. Meskipun lembaga keuangan menyetujui pelayanan keuangan melewati Internet, nasabah masih mempunyai perasaan was-was tentang persoalan keamanan. Contohnya, ketika nasabah belanja secara online, ia ingin memastikan kartu kreditnya tidak disadap atau digunakan oleh orang lain.
44
b. Keamanan Tipe 2 : Keamanan dalam Lingkungan Sistem. Keamanan tipe 2 merupakan keamanan data pada server Internet Banking dan server back-end dari sistem Internet Banking. Tanpa keamanan data yang tepat memungkinkan terjadi risiko seperti: - Network Packet Sniffer - IP Spoofing - Denial of Service Attacks
melindungi informasi finansial nasabah. 2.
c. Keamanan Tipe 3 : Pencegahan Masuknya Orang Tak Diundang. Ini penting untuk memantau atau mencegah orang-orang yang tidak diundang. Solusinya, dengan menganalisa sistem keamanan secara terus-menerus dan memperbaiki kesalahan-kesalahan yang timbul. E. Sistem Keamanan Menurut Gary Lewis dan Kenneth Thygerson, ada dua jenis sistem keamanan yang dipakai dalam internet banking, antara lain: 1. Sistem Cryptography Sistem ini menggunakan angkaangka yang dikenal dengan kunci (key). Sistem ini disebut juga dengan sistem sandi. Ada dua tipe cryptography, yaitu simetris dan asimetris. Pada sistem simestris menggunakan kode kunci yang sama bagi penerima dan pengirim pesan. Kelemahan dari cryptography simestris adalah kunci ini harus dikirim pada pihak penerima dan hal ini memungkingkan seseorang untuk mengganggu di tengah jalan. Sistem cryptography asimetris juga mempunyai kelemahan yaitu jumlah kecepatan pengiriman data menjadi berkurang karena adanya tambahan kode. Sistem ini biasanya digunakan untuk mengenali nasabah dan
Sistem Firewall Firewall merupakan sistem yang digunakan untuk mencegah pihak-pihak yang tidak diijinkan untuk memasuki daerah yang dilindungi dalam unit pusat kerja perusahaan. Firewall berusaha untuk mencegah pihak-pihak yang mencoba masuk tanpa ijin dengan cara melipatgandakan dan mempersulit hambatanhambatan yang ada. Namun, yang perlu diingatkan adalah bahwa sistem firewall ini tidak dapat mencegah masuknya virus atau gangguan yang berasal dari dalam perusahaan itu sendiri.
PEMBAHASAN 1. Keamanan Internet Keamanan dari layanan Internet Banking bergantung kepada keamanan dari internet, karena layanan Internet Banking menggunakan internet sebagai media komunikasi. Terlihat pada gambar 1 adalah kerangka pemikiran terhadap keamanan e-banking.
Gambar 1. Kerangka Pemikiran Secara umum hubungan antara pengguna Internet dan penyedia layanan Internet Banking dapat dilihat pada gambar 2.
45
umum (public facilities) seperti di Warung Internet (warnet) dapat disadap informasinya oleh sesama pengguna warnet tersebut (atau pemilik warnet yang tidak bertanggung jawab) ketika dia mengetikkan datadata rahasia melalui web. Di sisi ISP, informasi dapat juga disadap dan dipalsukan. Sebagai contoh bila sistem keamanan dari sisi ISP ternyata rentan dan dia kebobolan, maka mungkin saja seorang cracker memasang program penyadap (sniffer) yang menyadap atau mengambil informasi tentang pelanggan ISP tersebut. Di sisi penyedia jasa, dalam hal ini bank yang menyediakan layanan Internet Banking, ada juga potensi lubang keamanan. Berbagai kasus tentang keamanan dan institusi finansial sudah dilaporkan. Misalnya, ada kasus di Amerika serikat dimana seorang cracker berhasil masuk ke sebuah institusi finansial dan mengambil data-data nasabah dari berbagai bank yang berada dalam naungan institusi finansial tersebut. Di Indonesia sendiri ada “kasus” domain “plesetan” klikbca.com yang pernah membuat heboh. Selain serangan yang bersifat penyadapan masih banyak jenis serangan lain seperti pemalsuan dan bahkan meniadakan servis (Denial of Service attack).
Gambar 2. Titik rawan di dalam hubungan Internet Pengguna terhubung ke internet melalui layanan ISP, baik dengan menggunakan modem, DSL, cable modem, wireless, maupun dengan menggunakan leased line. ISP ini kemudian terhubung ke Internet melalui network provider (atau upstream). Disisi penyedia layanan Internet Banking, terjadi hal yang serupa. Server Internet Banking terhubung ke Internet melalui ISP atau network provider lainnya. Gambar 2 juga menunjukkan beberapa potensi lubang keamanan (security hole). Di sisi pengguna, komputer milik pengguna dapat disusupi virus dan trojan horse sehingga datadata yang berada di komputer pengguna (seperti nomor PIN, dan kunci rahasia lainnya) dapat disadap, diubah, dihapus, dan dipalsukan. Contoh virus SirCam (Virus SirCam mengirimkan file-file dari hard disk tanpa sepengetahuan pemilik komputer yang terkena virus SirCam ini. Implikasinya adalah data-data rahasia, misal data pelanggan, business proposal/plan yang kita simpan dalam komputer dapat bocor) yang beredar saat ini membuktikan bahwa data-data dari hard disk pengguna dapat tersebar ke seluruh dunia melalui email tanpa diketahui oleh pengguna yang bersangkutan. Jalur antara pengguna dan ISP dapat juga disadap. Sebagai contoh, seorang pengguna yang menggunakan komputer di lingkungan
2. Kelebihan dan Kekurangan EBanking Beberapa hal yang menyebabkan jaringan dan teknologi Internet populer sebagai media komunikasi data: a. Cakupannya yang luas (seluruh dunia) b. Implementasinya relatif lebih murah dibandingkan dengan menggunakan jaringan fasilitas lainnya, misalnya menggunakan Value Added Network (VAN) sendiri. Untuk menjadi bagian dari Internet kita cukup dengan
46
c.
d.
e.
hanya menghubungkan sistem ke koneksi Internet terdekat, misalnya melalui Internet Service Provider (ISP). Jika kita menggunakan VAN, maka kita harus menggelar jaringan sendiri (dan ini cukup mahal). Teknologi Internet yang terbuka (open standard) sehingga tidak tergantung kepada satu vendor tertentu. Implementasi teknologi Internet, TCP/IP, tersedia di semua platform komputer (Microsoft Windows, Apple, UNIX, Linux, dan lainlainnya). Penggunaan web browser mempercepat pengembangan dan peluncuran (deployment) aplikasi serta mengurangi learning curve dari pengguna. Modal utama dari seorang pemakai adalah kemampuan menggunakan web browser. Teknologi Internet juga memungkinkan konvergensi berbagai aplikasi menjadi satu. Sebagai contoh, saat ini telah dimungkinkan untuk mengirimkan data, suara, dan bahkan gambar melalui satu media Internet. Hal ini sering disebut dengan istilah konvergensi. Implikasinya adalah perusahaan dapat menghemat biaya dan dapat mengintegrasikan kesemua layanan dalam satu media.
b.
sanya aplikasi yang membutuhkan keamanan melakukan authentication pada awal sesinya. Kemudian untuk selanjutnya, selama sesi tersebut, pengguna dapat memberikan perintah sesuai dengan level akses yang dimilikinya. Aplikasi semacam ini sukar diimplementasikan dalam sistem yang memiliki sifat connectionless seperti kebanyakan aplikasi web. Tingkat keamanan yang dipertanyakan. Salah satu kendala dari layanan Internet Banking adalah ketidakpercayaan akan keamanan layanan ini. Hal ini berlaku secara umum untuk layanan electronic commerce (e-commerce).
Internet Banking juga dikenal sebagai Cyberbanking, Virtual Banking, Online Banking dan Home Banking, melakukan berbagai macam aktivitas perbankan dari rumah, dalam perjalanan daripada datang ke tempat fisik bank. Konsumen dapat menggunakan Internet Banking untuk membayar tagihan online atau melakukan pinjaman secara elektronik. Home Banking mempunyai fasilitas seperti berikut: 1. Informational a. Dapat melihat informasi rekening dan histori transaksi kapan saja. Konsumen secara mudah dapat mengecek status dari tabungan, kartu kredit dan data historis transaksi dapat dilihat melalui Home Banking. b. Dapat mendapatkan informasi mengenai biaya dan kartu kredit. Nasabah dapat membayar tagihan kartu kredit secara otomatis dari rekening mereka setiap bulan. c. Memberikan keterangan rekening. Bagi nasabah yang lupa untuk mencatat penarikan dari ATM, Internet Banking
Selain memiliki keuntungan-keuntungan di atas Internet Banking Security sebetulnya memiliki beberapa masalah. Beberapa masalah ini antara lain: a. Sifat aplikasi web yang connectionless. Banyak aplikasi web-based bersifat connectionless sehingga sukar untuk aplikasi-aplikasi yang membutuhkan sifat connection-oriented seperti aplikasi yang dibutuhkan oleh aplikasi dengan keamanan tinggi. Bia-
47
2.
3.
4.
dapat membantu untuk mengaturnya. Nasabah dapat mendownload transaksi dan mengimport ke dalam check register mereka. Administrative Dapat membayar tagihan. Pembayaran secara elektronik dari rekening biasanya dibayarkan pada hari yang sama atau esok harinya. Biaya membayar tagihan secara elektronik lebih murah daripada secara tradisional yang memakai biaya materai. Transactional Dapat mentransfer uang antar rekening. Tidak perlu mengantri atau mengisi formulir deposit slips. Uang dapat ditransfer antar rekening nasabah atau dengan rekening nasabah lainnya. Portal Memiliki akses link ke situs website lain untuk melakukan suatu transaksi.
masalah ini dapat diubah menjadi masalah risk management. 4. Evaluasi Keamanan Sistem Informasi Walaupun sebuah sistem informasi sudah dirancang memiliki perangkat pengamanan, dalam operasi masalah keamanan harus selalu dimonitor. Hal ini disebabkan oleh beberapa hal, antara lain : a. Ditemukannya lubang keamanan (security hole) yang baru. Perangkat lunak dan perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus persen. Kadang-kadang ada lubang keamanan yang ditimbulkan oleh kecerobohan implementasi. b. Kesalahan konfigurasi. Kadangkadang karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan lubang keamanan. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan password ( /etc/ passwd di sistem UNIX) secara tidak sengaja diubah sehingga dapat diubah atau ditulis oleh orang-orang yang tidak berhak. c. Penambahan perangkat baru (hardware dan / atau software) yang menyebabkan menurunnya tingkat security atau berubahnya metode untuk mengoperasikan sistem. Operator dan administrator harus belajar lagi. Dalam masa belajar ini banyak hal yang jauh dari sempurna, misalnya server atau software masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).
3. Pengamanan Usaha Pengamanan yang dapat digunakan untuk meningkatkan tingkat keamanan dan pada saat yang sama meningkatkan kepercayaan (trust) dari nasabah. Secara teknis sistem dapat diproteksi dengan menggunakan firewall, Intrusion Detection System (IDS), dan produk cryptography (untuk encryption dan decryption seperti penggunaan SSL). Usaha untuk meningkatkan awareness membuat policy (procedure) yang baik dan mengevaluasi sistem secara berkala. Pengamanan yang dilakukan pada prinsipnya merupakan usaha untuk memenuhi aspek keamanan seperti authentication, confidentiality / privacy, non-repudiation dan availability. Adanya pengamanan ini tidak membuat sistem menjadi 100% aman akan tetapi dapat membuat sistem dipercaya (trusted). Potensi lubang keamanan dapat dianggap sebagai resiko. Maka
5. Ancaman Internet Banking Secara umum, hal yang paling sering diserang para penyusup untuk masuk ke dalam sebuah situs yang terproteksi
48
adalah dengan mendapatkan akses masuknya, atau sisi Autentikasi. Karena hanya dengan mengetahui user ID dan password kita dapat melakukan apapun yang kita inginkan. Dalam pengujian keamanan layanan ini, dapat dilakukan dengan dua cara, yaitu dengan menggunakan perangkat lunak keylogger dan proses sniffing: a. Active dan Passive Sniffing Sniffing merupakan sebuah aksi penyadapan paket data yang dikirimkan sebuah komputer ke server tertentu. Terdapat dua jenis aksi sniffing, yaitu passive dan active. Perbedaannya hanyalah jika active melakukan aksi perubahan paket data dalam melakukan sniffing, sedangkan passive tidak. Perlu diperhatikan bahwa metode sniffing jenis ini dapat dikategorikan sebagai cyberlaw, jika penggunaannya tidak pada tempatnya. b. Keylogger Keylogger merupakan sebuah produk yang dapat mengetahui aktivitas apa saja yang terjadi pada komputer yang disisipinya. Pembuat produk ini berargumen bahwa keylogger sangat berguna untuk memantau perkembangan kerja karyawan perusahaan, mengetahui apa yang dilakukan anak ketika browsing di Internet dan sebagainya. Jenis keylogger ada 2 yaitu, Perangkat lunak & hardware. Keduanya mempunyai tujuan yang sama dengan karakteristik yang berbeda. Jenis hardware biasanya dipasang secara fisik pada komputer, merekam segala aktivitas yang diketikkan keyboard. Sedangkan jenis perangkat lunak, diinstal di sistem operasi komputer dan dijalankan, biasanya secara tersembunyi. c. Typo site
d.
e.
49
Pelaku membuat nama situs palsu yang sama persis dengan situs asli dan membuat alamat yang mirip dengan situs asli. Pelaku menunggu kesempatan jika ada seseorang korban salah mengetikkan alamat dan situs palsu buatannya. Jika hal ini terjadi maka pelaku akan mudah memperoleh informasi user dan password korbannya dan dapat dimanfaatkan untuk merugikan korban. Brute force attacking Brute force attacking atau dalam bahasa Indonesia disebut juga dengan serangan brute force ini adalah sebuah teknik serangan terhadap sebuah sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci password yang memungkinkan atau istilah gampangnya mungkin menggunakan random password atau password acak. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia. Web deface Sistem exploitation dengan tujuan menggantikan tampilan halaman muka semua situs. Cara kerja web deface adalah dengan melakukan perubahan pada halaman web depan pada situs-situs tertentu, dilakukan oleh para hacker atau cracker untuk mengganggu informasi yang dimunculkan pada halaman situs yang dimaksud. Contohnya adalah dengan menambahkan gambar atau tulisan ke suatu web milik orang lain tanpa sepengetahuan adminnya.
f.
g.
h.
Phissing Suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka seperti kata sandi dan username dengan menyamar sebagai orang atau bisnis yang terpercaya dalam sebuah komunikasi resmi, seperti email. Denial of service Denial of service (DoS) attack merupakan sebuah usaha (dalam bentuk serangan) untuk melumpuhkan sistem yang dijadikan target sehingga sistem tersebut tidak dapat menyediakan servis-servisnya(denial ofservis). Cara untuk melumpuhkan dapat bermacam-macam dan akibatnya pun dapat beragam. Sistem yang diserang dapat menjadi hang atau crash, tidak berfungsi, atau menurunnya kinerja sistem karena beban CPU menjadi tinggi. Virus, Worm, Trojan Menyebarkan Virus, Worm, maupun Trojan dengan tujuan untuk melumpuhkan sistem komputer, memperoleh datadata dari sistem korban.
kesalahan desain adalah desain urutan nomor (sequence numbering) dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul masalah yang dikenal dengan nama “IP spoofing”, yaitu sebuah host memalsukan diri seolah-olah menjadi host lain dengan membuat paket palsu setelah mengamati urutan paket dari host yang hendak diserang. Bahkan dengan mengamati cara mengurutkan nomor packet bisa dikenali sistem yang digunakan. b.
Implementasi Kurang Baik Lubang keamanan yang disebabkan oleh kesalahan implementasi sering terjadi. Banyak program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean. Akibatnya cek atau testing yang harus dilakukan menjadi tidak dilakukan. Sebagai contoh, seringkali batas (“bound”) dari sebuah “array” tidak dicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya). Lubang keamanan yang terjadi karena masalah ini sudah sangat banyak, dan yang mengherankan terus terjadi, seolah-olah para programmer tidak belajar dari pengalaman. Memang kesalahan tidak semata-mata ditimpakan kepada pembuat program karena seringkali mereka dikejar deadline oleh manajemen tingkat atas untuk merilis softwarenya.
6. Sumber lubang Keamanan (Security hole) Lubang keamanan (security hole) dapat terjadi karena beberapa hal, antara lain : salah desain (design flaw), salah implementasi, salah konfigurasi, dan salah penggunaan.
c.
Salah Konfigurasi Meskipun program sudah diimplementasikan dengan baik, masih dapat terjadi lubang keamanan karena salah konfigurasi. Contoh masalah yang disebabkan oleh salah konfigurasi adalah berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti
a.
Salah Desain (Design Flaw) Lubang keamanan yang ditimbulkan oleh salah desain umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat desain yang salah, maka biarpun diimplementasikan dengan baik, kelemahan dari sistem akan tetap ada. Contoh lain lubang keamanan yang dapat dikategorikan kedalam
50
berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang keamanan. Ada masanya workstation Unix di perguruan tinggi didistribusikan dengan berkas /etc/aliases (berguna untuk mengarahkan email), /etc/utmp (berguna untuk mencatat siapa saja yang sedang menggunakan sistem) yang dapat diubah oleh siapa saja. Contoh lain dari salah konfigurasi adalah adanya program yang secara tidak sengaja diset menjadi “setuid root” sehingga ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.
7. Penguji Keamanan Sistem Dikarenakan banyaknya hal yang harus dimonitor, administrator dari sistem informasi membutuhkan “automated tools”, perangkat pembantu otomatis, yang dapat membantu menguji atau meng-evaluasi keamanan sistem yang dikelola. Selain program-program yang terpadu, ada banyak program yang dibuat oleh hackers untuk melakukan “coba-coba”. Program-program seperti ini, yang cepat sekali bermunculan, biasanya dapat diperoleh (download) dari Internet melalui tempat-tempat yang berhubungan dengan keamanan, seperti misalnya “Rootshell”.
d. Salah Penggunaan (Program dan Sistem) Salah penggunaan program dapat juga mengakibatkan terjadinya lubang keamanan. Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal. Sering terjadi cerita horor dari sistem administrator baru yang teledor dalam menjalankan perintah “rm -rf” di sistem UNIX (yang menghapus berkas atau direktori beserta sub direktori di dalamnya). Akibatnya seluruh berkas di sistem menjadi hilang mengakibatkan Denial of Service (DoS). Apabila sistem yang digunakan ini digunakan bersama-sama, maka akibatnya dapat lebih fatal lagi. Untuk itu perlu berhatihati dalam menjalan program, terutama apabila dilakukan dengan menggunakan account administrator seperti root tersebut. Kesalahan yang sama juga sering terjadi di sistem yang berbasis MS-DOS. Karena sudah mengantuk, misalnya, ingin melihat daftar berkas di sebuah direktori dengan memberikan perintah “dir *.*” ternyata salah memberikan perintah menjadi “del *.*” (yang juga menghapus seluruh file di direktori tersebut).
8. Penggunaan Program Penyerang Salah satu cara untuk mengetahui kelemahan sistem informasi adalah dengan menyerang diri sendiri dengan paket-paket program penyerang (attack) yang dapat diperoleh di Internet. Dengan menggunakan program ini dapat diketahui apakah sistem informasi rentan dan dapat dieksploitasi oleh orang lain. Perlu diingat jangan menggunakan program-program tersebut untuk menyerang sistem lain (sistem yang tidak anda kelola). Ini tidak etis dan anda dapat diseret ke pengadilan. Selain program penyerang yang sifatnya agresif melumpuhkan sistem yang dituju, ada juga program penyerang yang sifatnya melakukan pencurian atau penyadapan data. Untuk penyadapan data, biasanya dikenal dengan istilah “sniffer”. Meskipun data tidak dicuri secara fisik (dalam artian menjadi hilang), sniffer ini sangat berbahaya karena dia dapat digunakan untuk menyadap password dan informasi yang sensitif. Ini merupakan serangan terhadap aspek privacy.
51
9. Penggunaan Sistem Pemantau Jaringan Sistem pemantau jaringan (network monitoring) dapat digunakan untuk mengetahui adanya lubang keamanan. Misalnya apabila anda memiliki sebuah server yang semestinya hanya dapat diakses oleh orang dari dalam, akan tetapi dari pemantau jaringan dapat terlihat bahwa ada yang mencoba mengakses melalui tempat lain. Selain itu dengan pemantau jaringan ini, dapat juga dilihat usaha-usaha untuk melumpuhkan sistem dengan melalui denial of service attack (DoS) dengan mengirimkan packet yang jumlahnya berlebihan. Network monitoring biasanya dilakukan dengan menggunakan protocol SNMP (Simple Network Management Protocol).
dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”. Di sistem UNIX dan Windows, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses authentication dengan menuliskan “user id” dan “password”. Informasi yang diberikan ini dibandingkan dengan user id dan password yang berada di sistem. Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat. Misalnya, ada yang menuliskan informasi apabila pemakai memasukkan user id dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan. Setelah proses authentication, pemakai diberikan akses sesuai dengan level yang dimilikinya melalui sebuah access control. Access control ini biasanya dilakukan dengan mengelompokkan pemakai dalam “group”. Ada group yang berstatus pemakai biasa, ada tamu, dan ada juga administrator atau super user yang memiliki kemampuan lebih dari group lainnya. Pengelompokan ini disesuaikan dengan kebutuhan dari penggunaan sistem yang ada. Di lingkungan kampus mungkin ada kelompok mahasiswa, staf, karyawan, dan administrator. Sementara itu di lingkungan bisnis mungkin ada kelompok finance, engineer, marketing, dan seterusnya.
10. Mengamankan Sistem Informasi Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis : pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan “Secure Socket Layer” (SSL). Metoda ini umum digunakan untuk server web. Secara fisik, sistem informasi dapat juga diamankan dengan menggunakan “firewall” yang memisahkan sistem dengan Internet. Penggunaan teknik enkripsi dapat dilakukan di tingkat aplikasi sehingga data-data anda atau e-mail tidak dapat dibaca oleh orang yang tidak berhak. 11. Mengatur Akses (Acces Control) Salah satu cara yang umum digunakan untuk mengamankan informasi adalah
52
12. Menutup Layanan yang Tidak Digunakan Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan beberapa servis dijalankan sebagai default. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan. Sudah banyak kasus yang menunjukkan abuse dari servis tersebut, atau ada lubang keamanan dalam servis tersebut akan tetapi sang administrator tidak menyadari bahwa servis tersebut dijalankan di komputernya.
b.
bolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted) Apa-apa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted)
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall. Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall. Firewall biasanya melakukan dua fungsi, yaitu : fungsi (IP) filtering dan fungsi proxy. Keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah. Beberapa perangkat lunak berbasis UNIX yang dapat digunakan untuk melakukan IP filtering antara lain : a. ipfwadm : merupakan standar dari sistem Linux yang dapat diaktifkan pada level kernel. b. ipchains : versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm
13. Memasang Proteksi Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Sebagai contoh, di sistem UNIX ada paket program “tcpwrapper” yang dapat digunakan untuk membatasi akses kepada servis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapat dibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu. Sementara firewall dapat digunakan untuk melakukan filter secara umum. 14. Firewall Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan, dan dapat dibagi menjadi dua jenis : a. Apa-apa yang tidak diper-
Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web proxy, rlogin proxy, ftp proxy dan seterusnya. Di sisi client sering kali dibutuhkan software tertentu agar dapat menggunakan proxy server ini, seperti misalnya dengan menggunakan SOCKS. Beberapa perangkat lunak berbasis UNIX untuk proxy an-
53
tara lain : a. Socks: proxy server oleh NEC Network Systems Labs b. Squid: web proxy server. Satu hal yang perlu diingat bahwa adanya firewall bukan menjadi jaminan bahwa jaringan dapat diamankan seratus persen. Firewall tersebut sendiri dapat memiliki masalah. Sebagai contoh, Firewall Gauntlet yang dibuat oleh Network Associates Inc. (NAI) mengalami masalah sehingga dapat melewatkan koneksi dari luar yang seharusnya tidak boleh lewat. Padahal Gauntlet didengung-dengungkan oleh NAI sebagai “The World’s Most Secure Firewall”. Intinya meskipun sudah menggunakan firewall, keamanan harus tetap dipantau secara berkala.
mengirimkan alert jika pola tersebut terdeteksi. Pola-pola atau rules disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan. 16. Pemantau Integritas Sistem Pemantau integritas sistem dijalankan secara berkala untuk menguji integratitas sistem. Salah satu contoh program yang umum digunakan di sistem UNIX adalah program Tripwire. Program paket Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas. Pada mulanya, tripwire dijalankan dan membuat database mengenai berkasberkas atau direktori yang ingin kita amati beserta “signature” dari berkas tersebut. Signature berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas tersebut, maka keluaran dari hash function akan berbeda dengan yang ada di database sehingga ketahuan adanya perubahan.
15. Pemantau Adanya Serangan Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator melalui email maupun melalui mekanisme lain seperti melalui pager. Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain : a. Autobuse, mendeteksi probing dengan memonitor logfile. b. Courtney dan portsentry, mendeteksi probing (port scanning) dengan memonitor packet yang lalu lalang. Portsentry bahkan dapat memasukkan IP penyerang dalam filter tcpwrapper (langsung dimasukkan kedalam berkas /etc/ hosts.deny) c. Shadow dari SANS d. Snort, mendeteksi pola (pattern) pada paket yang lewat dan
17. Audit : Mengamati Berkas Log Segala kegiatan (umumnya sebagian besar) penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya tersimpan di dalam berkas log. Untuk itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang dimilikinya. Letak dan isi dari berkas log bergantung kepada operating system yang digunakan. Untuk sistem yang cukup ramai, misalnya untuk sebuah perguruan tinggi dengan jumlah pemakai yang ribuan, analisa
54
berkas log merupakan satu pekerjaan tersendiri (yang melelahkan). Untuk itu adanya tools yang dapat membantu administrator untuk memproses dan menganalisa berkas log merupakan sesuatu yang sangat penting. Ada beberapa tools sederhana yang menganalisa berkas log untuk mengamati kegagalan (invalid password, login failure, dan sebagainya) kemudian memberikan ringkasan. Tools ini dapat dijalankan setiap pagi dan mengirimkan hasilnya kepada administrator.
dengan mudah oleh program penyadap atau pengendus (sniffer). Contoh servis yang menggunakan plain text antara lain : a. akses jarak jauh dengan menggunakan telnet dan rlogin b. transfer file dengan menggunakan FTP c. akses email melalui POP3 dan IMAP4 d. pengiriman email melalui SMTP e. akses web melalui HTTP 20. Telnet Atau Remote Telnet atau remote login digunakan untuk mengakses sebuah “remote site” atau komputer melalui sebuah jaringan komputer. Akses ini dilakukan dengan menggunakan hubungan TCP/IP dengan menggunakan userid dan password. Informasi tentang user id dan password ini dikirimkan melalui jaringan komputer secara terbuka. Akibatnya ada kemungkinan seorang yang nakal melakukan “sniffing” dan mengumpulkan informasi tentang pasangan user id dan password ini. Untuk menghindari hal ini, enkripsi dapat digunakan untuk melindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan algoritma DES atau Blowish (dengan menggunakan kunci session yang dipertukarkan via RSA atau Diffie-Hellman) sehingga tidak dapat dibaca oleh orang yang tidak berhak.
18. Backup Secara Rutin Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkasberkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.
PENUTUP A. Kesimpulan 1. E-Banking merupakan buah dari perkembangan teknologi informasi, yaitu internet. Peran ebanking bagi nasabah yaitu memberikan kenyamanan bertransaksi bagi penggunanya, e-banking memberikan keuntungan financial maupun citra di mata nasabahnya. 2. Pengembangan teknologi informasi bagi dunia perbankan
19. Penggunaan Enkripsi Untuk Meningkatkan Keamanan Salah satau mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Datadata yang akan dikirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan user id dan password. Informasi ini dapat dilihat
55
3.
4.
5.
adalah untuk mencapai efisiensi, efektifitas dan produktifitas usaha yang optimal guna memaksimalkan profitabilitas. Namun bagaimanapun canggihnya teknologi, tetap berpotensi mengundang kerawanan-kerawanan terjadinya tindak kriminal yang dilakukan baik oleh oknum bank maupun pihak lain yang menguasai sistem dan prosedur operasi teknologi informasi tersebut. Penanggulangan ancaman pada sistem Internet Banking secara teknis menggunakan firewall, Intrusion Detection System (IDS), dan produk cryptography (untuk encryption dan decryption seperti penggunaan SSL). Selain secara teknis, penanggulangan ancaman dapat juga dilakukan dengan meningkatkan awareness (baik dari pihak management, operator, penyelenggara jasa, sampai ke nasabah), dengan membuat policy (procedure) yang baik dan dengan mengevaluasi sistem secara berkala.
DAFTAR PUSTAKA 1. P Pleegeer, Charles, Security in Computing, Prentice Hall, 1996 2. Kristanto, Andri, Keamanan Data Pada Jaringan Komputer, Gaya Media, 2003 3. Stalling, William, Ph.D, Network and Internetork Security, Prentice Hall, 1995 4. http://dokumen.tips/download/link/ makalah-e-banking.pdf [Sabtu, 28 November 2015, jam 13:20 WIB] 5. http://library.binus.ac.id/eColls/eTh esisdoc/Bab2/2011-2-00053MN%20Bab2001.pdf [Rabu, 23 Desember 2015, jam 15:11 WIB] 6. https://xa.yimg.com/kq/groups/.../K AMSIS_EXT_InternetBankSecurity .pdf [Rabu, 23 Desember 2015, jam 16:20 WIB]
56
