Digital
Certificate sangatlah berguna dalam melakukan identifikasi dari sebuah IP
sehingga kita dapat menghentikan atau setidaknya mengamankan web atau nasabah
kita dari seseorang yang tidak memiliki hak akses dari web kita.
Selanjutnya
dalam setiap kita melakukan login seperti memasukkan user name kita dan
password kita kita akan diberi sebuah cookie yang mana cookie ini akan menjadi
sebuah kartu akses kita untuk masuk ke halaman web selanjutnya. Cookie
normalnya hanya berlaku satu kali setiap kali kita masuk atau login kedalam sebuah
web namun ada juga cookie yang tidak memiliki batas waktu ketika kita login
namun biasanya untuk pengguna e-banking cookie hanya berlaku satu kali sehingga
ketika kita mencoba untuk mengcopy alamat setelah kita login kemudian kita
logoff dan memasukkan alamat hasil copy yang kita lakukan yang muncul adalah
pesan error yang menyatakan bahwa halaman tersebut tidak ada.Inilah
fungsi dari cookie yaitu sebagai kartu akses. Pada umumnya banyak orang yang
tidak memperhatikan masalah cookie sehingga cookie mereka akan tetap aktif
walaupun user tersebut log off cookie mempuanyai masa expire yang terkadang
masa expirenya hanya pada saat itu atau tidak terbatas. Dengan
cookie kita bias masuk ke account seseorang, untuk itu dalam meberikan cookie
bank harus lah mengacak nilai dari cookie itu sehingga ketika dimodifikasi oleh
seseorang tidak bisa. Berikut ini ada gambar dari cookie yang dapat kita lihat
menggunakan browser mozila fire fox atau opera.
Setelah
kita membahas mengenai cookie kita akan membahas mengenai enkripsi yang mana
enkripsi sanagt diperlukan dala mengamankan data yang kita miliki dalam hal ini
ekripsi dapat terbagi menjadi dua macam
yaitu enkripsi yang simetris dan asimetris.
Enkripsi
simetris adalah enkripsi yang menggunakan
mode simetris sehingga data yang dienkrip tidak memiliki masih dapat dibaca
hanya saja tidak memiliki arti sehingga bisa dikatakan data tersebut tidak
berguna. Selanjutnya
enkripsi menggunakan mode asimetris adalah mode dimana data yang dienkripsi
tidak lagi dapat dibaca data-data tersebut hanya bagian dari angka-angka dan
huruf yang tidak dapat diartikan. Penggunaan
enkripsi sangat diperlukan dalam menciptakan secure online transaction sehingga
data yang dimiliki oleh pembeli tidak dapat diketahui karena seperti data-data
no kartu kridit dan nama seseorang adalah suatu data yang confidential yang
mana akan mengakibatkan kerugian yang besar jika data-data tersebut diketahui. Untuk
itu dalam menciptakan sebuah database yang digunakan untuk menyimpan data-data
mengenai nasabah atau nomer kartu kridit dari pelanggan sebaiknya menggunakan
sistim enkripsi hal ini terutama berlaku pada bank karena biasanya sistim toko
online jarang akan menyimpan data kartu kridit pelanggannya biasanya mereka
akan menghapus data tersebut ketika transaksi dinyatakan berhasil hal ini
digunakan untuk mencegah pencurian nomer kartu kridit pelanggan. Namun
hal itu tidak berlaku pada bank karena bank memerlukan data pelanggan tersebut
untuk mengautentifikasi pelanggan sehingga pada bank perlu dilakukan enkripsi
data –data tersebut. Selanjutnya
dalam rangka mengamankan transaksi melalui e banking beberapa bank menggunakan
token password yang akan memberikan password yang hanya dipakai sekali
selanjutnya tidak dapat digunakan lagi. Masing-masing token password memiliki algoritma
yang berbeda selain itu saat kita akan menggunakan token password kita harus
memasukan nomer PIN untuk selanjutnya akan mendapatkan password dari token
password .
Namun penggunaan token
password terkadang tidak efektif karena ada beberapa masalah yang ditimbulkan
dari penggunaan token password yaitu:
1.
Permasalahan pada penyimpanan clock
2.
Memiliki batas waktu pemakaian yang
pendek yaitu 2-3 tahun
3. Harus digunakan secara manual dalam
memasukan kode kedalam e banking sehingga dimungkinkan tetap terjadi kesalahan
4.
Terdapatnya penyimpangan dalam protocol
pengamanan
Namun selain terdapat
kekurangan tentunya alat ini mempunyai keuntungan yaitu diantaranya:
1. Portabilitas sehingga dapat dengan mudah dibawa.
2. User Interface yang mudah digunakan sehingga tidak
memerlukan waktu untuk mempelajari cara menggunakannya
Ini adalah poin terakhir dalam membuat segala pengamanan
yang dimiliki dapat berjalan dengan baik yaitusocial engineering sangat sulit
untuk membentuk secure online transaction selama pengguna tidak mengerti akan
social engineering hampir dapat dikatakan bahwa sehebat apapun security yang
dijalankan dalam suatu sistim jika tidak adanya pembelajaran yang baik akan
sistim pengamanan ini sistim yang lain akan sia-sia belaka. Social engineering biasanya terjadi secara tidak sadar
dan dilakukan oleh pemilik dari account kartu kridit itu sendiri hal ini bisa
terjadi karena mereka tidak terlalu peduli akan data yang mereka berikan sebagi
contoh ketika seseorang mendapatkan email dari suatu bank tempat ia menyimpan
uang maka dengan yakinnya ia akan menuruti semua perintah yang tertulis dalam
email itu tanpa mengrcek kebenaran itu
melalui call center yang dimiliki bank tersebut sehingga dengan mudahnya
peyusup dapat mengetahui sebuah data dari nasabah dari bank tersebut. Selain itu ketika kita mengisi sebuah form aplikasi
dengan mudahnya kita memberikan data- data yang bersifat confidential kepada
seseorang.Untuk itu masyarakat seharusnya dapat mempelajari data-data apa saja
yang bersifat confidential sehingga
tidak memberikannya.Setelah
mengetahui hal-hal yang penting yang perlu kita ketahui lalu bagaimana cara
melakukan secure online transaction? Secure online transaction yang benar
adalah dengan memperhatikan hal-hal yang telah disebutkan diatas berikut ini
adalah cara-cara melakukan secure online transaction yang benar menurut
pendapat saya:
1. Bertransaksilah
dari jaringan komputer –computer yang kita tahu keamanannya karena banyak
sekali resiko yang terjadi jika kita tidak bertransaksi dari jaringan yang
tidak aman sebagi contoh melakukan transaksi e banking dari jaringan warnet
tindakan ini sangatlah tidak baik karena ditakutkan ada keyloger yang dengan sengaja menyadap hasil ketikan kita.
2. Berhati-hatilah
dalam menyimpan token password alat ini adalah kunci untuk masuk kedalam
rekening anda melalui e banking.
3. Jangan
menggunakan nomer PIN yang mudah untuk ditebak seseorang seperti tanggal lahir.
4. Jangan
pernah mengisi suatu form yang menyangkut data diri anda yang bersifat confidential
seperti nama orang tua wanita mengapa karena diseluruh bank didunia nama orang
tua wanita adalah salah satu pertanyaan yang diguanak untuk meferifikasi
kebenaran pemilik rekening hal ini disebabkan jarang sekali seseorang
mengguanak nama orang tua wanita sebagai nama keluarga.
5. Jangan
pernah memberitahu masa berlaku kartu kridit anda dalam mengisi sebuah form
karena masa berlaku adalah salah satu kunci yang membuat transaksi yang
dilakukan secara online berhasil.
6. Update
lah antivirus pada computer anda hal ini sangatlah berguna untuk menangkal
adanya keyloger yang menyusup dalam computer anda selain itu lakukan pen scan
an secara berkala pada computer anda.
7. Lakukan
verivikasi terlebih dahulu pada bank yang bersangkutan jika kita menerima
sebuah email dari bank tersebut yang mebuat kita harus memasukkan data-data
yang bersifat confidential.
8. Hapuslah
cookie yang kita dapat dari internet setiap kali kita tertkoneksi hal ini
digunakan untuk mencegah adanya cookie yang masih aktif walaupun kita log off dari
jaringan tersebut.
9. Gunakanlah
enkripsi saat kita menyimpan data-data yang penting dalam computer kita
sehingga data-data tersebut tidak dengan mudah dibaca oleh orang- orang yang
tidak memiliki hak dalam membaca data-data tersebut.
10. Gunakanlah
kombinasi antara huruf besar,huruf kecil, dan tanda baca dalam membuat
password.
11. Bertansaksilah
secara online pada situs-situs yang dapat dipertanggung jawabkan kebenarannya.
Case Study
Klik.com
adalahsebuah bank yang terbesar disebuah negeri yang mempunyai banyak
nasabah.Melihat perkembangannya, bank tersebut akhirnya memilih untuk
mengembangkan internet banking agar nasabah dapat melakukan transfer,cek saldo
dan transaksi lainnya melalui internet.Berdasarkan pengamatan bank tersebuat
menggunakan mode pengamanan terenkripsi sehingga seseorang yang berniat jahat tidak
dapat mendapatkan data apapun.Interface dari tampilan situs ebanking ini
sangatlah sederhana cukup memasukkan username dan password yang menggunakan
token password yang kemudiaan akan dicek kebenaran algoritmanya oleh sistim
setelah itu jika benar akan masuk ke halaman menu.Akses langsung kehalaman menu
tidak memungkinkan secara langsung karena mereka menggunakan cookie untuk
setiap login.Berikut ini cookie yang diberikan setiap login yang nilainya
bebeda-beda setiap saat .
234fez7 %2D 7c4e
%2D 4 f8c %2D bfc7 %2D 786457
1234zx8
%2D yt23 %2D 4 trc
%2Dyhh9 %2D uy6643
5234asx
%2D zx47 %2D 4 rt9 %2D 0fjk %2D yyta78
1456qwy
%2D rm78%2D 4 jk0 %2D 7qpr %2D rto09
Namun
pada 29 juli 2008 terjadi pencurian besar-besaran terhadap beberapa rekening
perusahaan yang diindentifiksi menggunakan e banking oleh hacker coba identifikasi
celah-celah yang mungkin digunakan oleh hacker tersebut untuk bisa masuk dan
berikan solusinya.Perlu dingat bahwa website klik.com ini telah dijaga dengan
ketat oleh para security analis yang tidak memungkinkan menerobos jaringan dari
website ini
Jawab:
Mari
kita melakukan analisa dari mulai halaman web nya.Halamnan webnya klik.com
halaman tersebut mempunyai interface yang sederhana yang berisikan username dan
password saja sehingga tidak memungkinkan untuk masuk selain itu mereka untuk
password nya menggunakan token password yang tentunya password tersebut akan
selalu berubah karena passwordnya adalah suatu
algoritma yang tentunya sangat sulit dipecahkan kecuali hacker itu
mendapatkan token password dari setiap perusahaan yang mereka curi uangnya hal
ini tentunya tidak mungkin terjadi. Selain itu website itu tentunya memiliki
sistim pengamanan yang baik sehingga tidak memungkinkan melakukan serangan
dengan sistim brute force akan lama dan
melelahkan selain itu kecil kemungkinan cara ini berhasil.Lalu bagaimana
caranya seorang hacker dapat menerobos sistim keamanan yang dimiliki oleh
klik.com ? kita akan lihat setelah ini, sepertinya sang hacker memiliki
rekening pada klik.com sehingga ia mampu
menembus sistim pengamanan yang luar biasa cangihnya untuk ditembus setelah itu
bagai mana ia bias masuk kerekening orang lain?Kan ia hanya masuk ke rekening
miliknya yang kayanya enggak ada uangnya.hehehehe.Ok sekarang kita akan melihat
cookie yang diberikan setiap kali kita login.cookie ini adalah identitas kita
saat kita berada dalam situs e banking klik.com.berikut ini adalah tampilan
cookienya.
234fez7 %2D 7c4e %2D 4 f8c
%2D
bfc7 %2D
xz6457
1234zx8
%2D
yt23
%2D 4 trc %2D
yhh9 %2D uy6643
5234asx %2D zx47
%2D 4
rt9 %2D 0fjk %2D yyta78
1456qwy
%2D
rm78 %2D 4 jk0 %2D
7qpr %2D rto099
Dapat
kita lihat bahwa tampilan cookie ini berpola sehingga sangat besar kemungkinan
hacker tersebut masuk dari sistim ini mereka hanya perlu memodifikasi cookie
yang mereka terima dengan cookie korban dan ingat bahwa kejadian ini terjadi
tanggal 29 yang mana itu adalah akhir bulan dimana banyak perusahaan yang menggunakan e banking
untuk melakukan pembayaran gajih bulanan karyawannya sehingga banyak
kemungkinannya untuk dapat masuk ke rekening seseorang apalagi dengan cookie
yang berpola.Lalu bagaimana cara mengamankan sistim bank tersebut? Saya memberikan
rekomendasi untuk sistim pengamanan ini
seperti berikut:
1. Gunakanlah
cookie tidak dalam karakter hekxa saja sehingga kombinasi yang dihasilkan
menjadi sangat banyak semisal dengan menggunakan karakter khusus dalam cookie.
2. Ukuran
dan jumlah karakter cookie sebaiknya bervariasi sehingga tidak mudah dianalisa
dan dibaca.
3. Catat
alamat IP yang digunakan untuk sebuah cookie sehingga jika ada dua alamat IP
yang berbeda untuk satu cookie dapat langsung diindentifikasi dan ditindak.
4. Gunakan
digital certificate sehingga dapat diidentifikasi IP yang masuk dalam website
tersebut.
5. Gunakan
dynamic cookie sehingga cookie tersebut tidak bias ditebak ini adalah
rekomendasi favorit saya dan merupakan solusi yang ideal bagi setiapa transaksi
internet banking sehingga nilai dari cookie hanya berlaku sekali konsep ini
saya ambil dari consep taoken password sehingga aka nada cookie yang expired
namun kelemahan dari konsep ini adalah terjadinya tambahan bebabn traffic dan
resource server yang oleh website klik.com
Namun tidak ada dalam
dunia security network dimana keamanan akan berbanding lurus dengan kenyamanan
selalu akan berbanding terbalik antara kenyamanan dan keamanan.
