1 | P a g e

ANCAMAN KEMANAN, KERENTANAN SISTEM INFORMASI DAN JARINGAN

PADA BANK BCA DAN BANK MANDIRI

Tugas Keamanan Sistem Informasi dan Jaringan Institut Teknologi Sepuluh Nopember

Program Pasca Sarjana Jurusan Teknik Elektro Telematika – CIO 2014

Nama : Salman Akbar | NRP : 2214206711

Abstrak

Dokumen ini merupakan Tugas Mata Kuliah Kemanan Sistem Informasi dan Jaringan yang

merupakan ringkasan penjelesanan internet banking dan beberapa kasus celah keamanan atau

kerentanan sistem informasi pada bank-bank yang terdapat di Indonesia khususnya

Bank BCA dan Mandiri.

Pendahuluan

Teknologi informasi (information, communication and technology/ICT) adalah alat bantu untuk meningkatkan aneka kegiatan manusia. Dalam perkembangannya, ICT kini telah menjadi kebutuhan utama masyarakat khususnya mereka yang berada di kota besar. Implikasi dari sebuah fenomena tentunya tidak selalu bermanfaat bagi penggunanya,

namun juga menimbulkan dampak negatif.

Dampak negatif yang timbul antara lain meningkatnya kejahatan dengan menggunakan teknologi informasi sejak tahun 2003. Sebut saja kejahatan carding (credit card fraud),

ATM/EDC skimming (awal tahun 2010), hacking, cracking, phising (internet banking fraud), malware (virus/worm/trojan/bots), cybersquatting, pornografi, perjudian online,

transnasional crime (perdagangan narkoba, mafia, terorisme, money laundering, human trafficking, underground economy). Semua dampak ini harus ditanggulangi.

2 | P a g e

I. Internet Banking Perbankan Elektronik atau biasa disebut E-banking yang juga dikenal dengan istilah internet banking ini adalah proses melakukan transaksi, pembayaran, dan transaksi lainnya melalui internet dengan website milik bank yang dilengkapi sistem keamanan. Dari waktu ke waktu, makin banyak bank yang menyediakan layanan atau jasa internet banking yang diatur melalui Peraturan Bank Indonesia No. 9/15/PBI/2007 Tahun 2007 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum.

Penyelenggaraan internet banking merupakan penerapan atau aplikasi teknologi informasi yang terus berkembang dan dimanfaatkan untuk menjawab keinginan nasabah perbankan yang menginginkan servis cepat, aman, nyaman murah dan tersedia setiap saat (24 jam/hari, 7 hari/minggu) dan dapat diakses dari mana saja baik itu dari HP, Komputer, laptop/ note book, PDA, dan sebagainya.

Aplikasi teknologi informasi dalam internet banking akan meningkatkan efisiensi, efektifitas, dan produktifitas sekaligus meningkatkan pendapatan melalui sistem penjualan yang jauh lebih efektif daripada bank konvensional. Tanpa adanya aplikasi teknologi informasi dalam internet banking, maka internet banking tidak akan jalan dan dimanfaatkan oleh industri perbankan. Secara umum, dalam penyediaan layanan internet banking, bank memberikan informasi mengenai produk dan jasanya via portal di internet, memberikan akses kepada para nasabah untuk bertransaksi dan meng-update data pribadinya. Adapun persyaratan bisnis dari internet banking antara lain: a). aplikasi mudah digunakan; b). layanan dapat dijangkau dari mana saja; c). murah; d). dapat dipercaya; dan e). dapat diandalkan (reliable).

Di Indonesia, internet banking telah diperkenalkan pada konsumen perbankan sejak beberapa tahun lalu. Beberapa bank besar baik BUMN atau swasta Indonesia yang menyediakan layanan tersebut antara lain BCA, Bank Mandiri, BNI, BII, Lippo Bank, Permata Bank dan sebagainya. Internet banking telah memberikan keuntungan kepada pihak bank antara lain:

Business expansion Business expansion. Dahulu sebuah bank harus memiliki sebuah kantor cabang untuk beroperasi di tempat tertentu. Kemudian hal ini dipermudah dengan hanya meletakkan mesin ATM sehingga dia dapat hadir di tempat tersebut. Kemudian ada phone banking yang mulai menghilangkan batas fisik dimana nasabah dapat menggunakan telepon untuk melakukan aktivitas perbankannya. Sekarang ada internet banking yang lebih mempermudah lagi karena menghilangkan batas ruang dan waktu.

Customer loyality

Customer loyality. Khususnya nasabah yang sering bergerak (mobile), akan merasa

lebih nyaman untuk melakukan aktivitas perbankannya tanpa harus membuka account

di bank yang berbeda-beda di berbagai tempat. Dia dapat menggunakan satu bank

saja.

Revenue and cost improvement

Revenue and cost improvement. Biaya untuk memberikan layanan perbankan melalui

Internet Banking dapat lebih murah daripada membuka kantor cabang atau membuat

mesin ATM.

3 | P a g e

Competitive advantage

Competitive advantage. Bank yang memiliki internet banking akan memiliki

keuntungan dibandingkan dengan bank yang tidak memiliki internet banking. Dalam

waktu dekat, orang tidak ingin membuka account di bank yang tidak memiliki fasilitas

Internet Banking.

New business model

New business model. Internet Banking memungkinan adanya bisnis model yang

baru. Layanan perbankan baru dapat diluncurkan melalui web dengan cepat.

II. Ancaman Kemanan dan Kerentanan Pada Sistem Informasi dan Jaringan Pada Layanan Internet Banking

A. Ancaman Card Skimming Card skimming adalah aktivitas menggandakan informasi yang terdapat dalam pita magnetik (magnetic stripe) yang terdapat pada kartu kredit maupun ATM/debit secara ilegal. Contoh Kasus : PT Bank Mandiri Tbk baru-baru ini mengumumkan bahwa ribuan kartu Automated teller Machine (ATM) atau kartu debit milik nasabah mereka telah dibobol. Budi Gunadi Sadikin selaku Direktur Utama Bank Mandiri mengkonfirmasi pembobolan kartu ATM nasabah mereka dilakukan dengan metode skimming. Laporan terkini menyebutkan Bank Mandiri telah menemukan ada 6 mesin ATM mereka yang terindikasi dipasangi alat skimmer yang telah digunakan oleh lebih dari 10 ribu nasabah untuk bertransaksi di ATM tersebut. Ini artinya, dapat disimpulkan bahwa skimming adalah aktivitas yang berkaitan dengan upaya pelaku untuk mencuri data dari pita magnetik kartu ATM/debit secara ilegal untuk memiliki kendali atas rekening korban. Laman Bank Tech menerangkan bahwa teknik pembobolan karu ATM nasabah melalui teknik skimming pertama kali teridentifikasi pada 2009 lalu di ATM Citibank, Woodland Hills, California. Saat itu diketahui jika teknik skimming dilakukan dengan cara mengggunakan alat yang ditempelkan pada slot mesin ATM (tempat memasukkan kartu ATM) dengan alat yang dikenal dengan nama skimmer. Modus operasinya adalah mengkloning data dari magnetic srtripe yang terdapat pada kartu ATM milik nasabah. Sebagai informasi, magnetic stripe adalah garis lebar hitam yang berada dibagian belakang kartu ATM. Fungsinya kurang lebih seperti tape kaset, material Ferromagnetic yang dapat dipakai untuk menyimpan data (suara, gambar, atau bit biner).

Gambar 1 : Contoh pemasangan card skimmer pada ATM

4 | P a g e

B. Ancaman Man in the Middle Phising Attack - Phising 1.0

Dalam kriptografi dan keamanan komputer , tipe serangan Man In The Middle Attack (sering disingkat MITM, MITM, MIM, Mim atau MITMA) adalah serangan di mana penyerang diam-diam mengubah komunikasi antara dua pihak, dan kedua pihak tersebut percaya bahwa mereka secara langsung berkomunikasi satu sama lain. Salah satu contohnya adalah penyadapan data, di mana penyerang membuat koneksi independen dengan korban dan komuniaksi pesan antara mereka berdua membuat mereka percaya bahwa mereka berbicara langsung satu sama lain melalui sambungan pribadi, padahal seluruh percakapan dikendalikan oleh penyerang. Penyerang harus mampu mencegat semua pesan yang lewat di antara dua korban dan menggantinya dengan yang baru.

Praktik phising pertama kali terjadi pada 2004 . Praktik ini sering disebut sebagai Phising 1.0 yang dilakukan terhadap sistem keamanan yang menggunakan model "one factor", artinya pengamanan hanya menggunakan username dan password.

Contoh Kasus :

Pada kasus BCA Tahun 2004, para penyerang membuat halaman palsu (fake login) klikbca.com dengan alamat-alamat seperti wwwklikbca.com, killbca.com, clikbca.com, klickbca.com dan klikbac.com. Secara sekilas sama, sehingga nasabah tertipu dan ketika mengakses website tersebut korban nasabah memasukkan username-password mereka. Hal tersebut menyebabkan pembuat web palsu tersebut mendapat kan data akun nasabah-nasabah tersebut.

Gambar 2 : Contoh Skema MITM / Phising 1.0

VICTIM 1 ATTACKER VICTIM 2

KORBAN

NASABAH

WEBSITE PALSU

PENYERANG

WEBSITE & SISTEM INFORMASI BANK

5 | P a g e

C. Malware, Virus, Worm, Spyware dan Trojan

1. Malware (Malicious Software)

Malware adalah sebuah software atau kode yang diciptakan oleh seseorang dengan tujuan jahat. Sebenarnya Malware itu adalah sebuah software atau program komputer, namun Malware dibuat dengan tujuan untuk merugikan orang lain. Malware dapat mengubah data (menghapus, menyembunyikan, dan mencuri), menghabiskan bandwith dan juga sumber daya lain tanpa seijin pemilik komputer yang tentunya akan merugikan orang lain.

2. Virus Komputer

Virus komputer adalah Malware yang menginfeksi sebuah komputer dengan bantuan pihak ketiga untuk mengaktifkan/ menjalankan dirinya – biasanya pemilik komputer itu sendiri. Virus tidak bisa otomatis mengaktifkan dirinya sendiri dan menginfeksi sebuah komputer tapi harus ada tindakan dari pihak ketiga yaitu pengguna komputer. Biasanya virus dibuat seperti program lain yang sering digunakan oleh pemilik komputer sehingga pemilik komputer itu mau mengaktifkan virus tersebut. Beberapa program komputer yang sering ditiru oleh virus adalah program .JPG, .doc, atau folder yang yang bila diklik akan mengaktifkan si virus.

Untuk lebih meyakinkan pengguna komputer, seringkali pencipta sebuah virus memalsukan virusnya dalam bentuk icon atau ekstensi gambar porno, atau bentuk lain yang dapat menarik perhatian si pemilik komputer untuk melakukan klik sehingga mengaktifkan virus tersebut.

3. Worm Komputer

Worm adalah Malware yang bisa mengaktifkan dirinya sendiri tanpa adanya bantuan dari pihak ketiga. Yang artinya, jika worm sudah berhasil masuk dalam sebuah komputer atau jaringan komputer maka worm ini akan dapat berpindah ke komputer lain di dalam sebuah jaringan secara otomatis tanpa dapat dicegah oleh pemilik komputer lain yang ada di dalam jaringan tersebut.

Pasti Anda bertanya, kalau worm bisa menyebarkan diri tanpa bantuan pihak ke tiga kenapa harus repot membuat virus yang membutuhkan tindakan pihak ketiga untuk mengaktifkannya. Worm hanya dapat menginfeksi sebuah komputer jika dia menemukan sebuah celah keamanan (vulnerability) sebuah software yang ada di dalam komputer tersebut, misalnya: windows office, Adobe, atau software terkenal lainnya yang sering menjadi sasaran. Worm tidak akan mampu menginfeksi sebuah sistem komputer bila celah keamanan (vulnerability) di dalam jaringan komputer itu sudah ditutup/ ditambal (patch). Yang artinya, virus akan lebih mudah menginfeksi jaringan komputer yang ter-patch dibanding dengan worm.

4. Spyware

Spyware adalah program komputer yang dibuat untuk memata-matai komputer korbannya. Awalnya spyware ini digunakan untuk memata-matai profil pengguna komputer dan penggunaannya dalam menampilkan iklan yang sesuai dengan minat pengguna komputer tersebut.

5. Trojan

Trojan adalah program yang dibuat seperti program baik dan berguna pada pengguna komputer (crack, game, atau program lain) yang ketika diinstal ke dalam komputer dapat memata-matai, mencuri data, dan mengirimkan ketukan keyboard ke alamat yang telah ditentukan oleh pembuatnya tanpa diketahui oleh si pengguna komuter tersebut.

6 | P a g e

Contoh Kasus :

Trojan Bank Zeus diduga merupakan malware yang digunakan dalam penipuan sinkronisasi token yang terjadi beberapa minggu yang lalu pada bank BCA dan Mandiri. Zeus merupakan malware trojan horse yang banyak digunakan untuk menyerang transaksi perbankan. Trojan ini mencuri data dari komputer melalui browser dan storage. Data-data ini dikirim ke server C&C. Malware ini bahkan diperjualbelikan pada blackmarket dalam bentuk kit. Orang yang membeli kit ini dapat melakukan modifikasi terhadap malware ini. Zeus telah memiliki banyak varian.

Salah satu varian Zeus adalah Gameover Zeus (GOZ). Goz merupakan varian Zeus yang digunakan pada jaringan P2P (peer-to-peer). GOZ ini mulai dikenal peneliti malware pada tahun 2011. Target GOZ adalah transaksi Bank. GOZ banyak menyebar melalui spam dan halaman phishing.

Bila komputer kita terinfeksi malware ini komputer kita akan dikendalikan dari sebuah server C&C (Command & Control). Server ini dapat memerintahkan komputer kita untuk mengirim spam, ikut dalam serangan DDOS serta mengumpulkan informasi login perbankan. GOZ mampu menyerang komputer yang menggunakan sistem operasi berikut ini:

Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7, dan 8 Microsoft Server 2003, Server 2008, Server 2008 R2, dan Server 2012

Gambar 3 : Contoh proses kerja Malware Gameover Zeus

7 | P a g e

Gambar 4 : Alur Proses Kerja dan statistik tentang Malware Gameover Zeus

III. Celah Keamanan/Exploit

Celah keamanan atau exploit adalah ketidaksempurnaan atau kesalahan dalam pemrograman (bug) pada semua software buatan manusia seperti Microsoft Windows, Linux, MS Office, Adobe Acrobat, Java, Browse (IE, Chrome, Firefox etc), OpenSSL, Squid dan seterusnya yang biasanya tidak disadari/tidak disengaja, bug ini menyebabkan adanya celah keamanan dapat berakibat sistem tidak stabil, crash atau sistem bisa diakses/dikuasai oleh orang lain yang tidak berhak.

8 | P a g e

Celah keamanan selalu ditemukan setiap hari dan tidak ada cara menghindari ancaman eksploitasi celah keamanan ini selain melakukan penambalan (patch) seperti yang anda lakukan setiap hari dalam update software. Celah keamanan sifatnya cross platform dan tidak hanya monopoli satu sistem operasi tertentu. Malahan dalam kasus aplikasi yang populer seperti Acrobat Readers atau Java yang sangat populer dan digunakan berbagai sistem operasi memungkinkan ekploitasi silang pada sistem operasi dimana aplikasi yang mengandung celah keamanan tersebut diinstal. Karena itu, adalah sangat penting untuk memiliki perlindungan yang memadai terhadap eksploitasi celah keamanan pada sistem anda dengan selalu melakukan update software terkini untuk mendapatkan patch atas vulnerability. Berikut ini adalah beberapa celah keamanan yang paling banyak ditemukan di indonesia :

1. CVE-2010-2568 adalah celah keamanan favorit karena bisa dieksploitasi untuk menguasai banyak sekali OS Microsoft Windows baik workstation maupun server seperti Windows XP SP3, Server 2003 SP2, Vista SP1 dan SP2, Server 2008 SP2 dan R2, Windows 7 yang memungkinkan penyerang untuk menguasai komputer korban dengan file .LNK atau PIF shorcut file yang telah dipersiapkan sebelumnya. Celah keamanan ini juga diekslpoitasi oleh Stuxnet melalui CVE-2010-2772 pada Siemens WinCC SCADA sistem.

2. CVE-2011-0979 adalah celah keamanan pada Microsoft Excel 2002 SP3, 2003 SP3, 2007 SP2, 2010. Office 2004, 2008 dan 2011 for Mac, Open XML File Format Converter for Mac dan Excel Viewer SP2. Celah keamanan ini memungkinkan penyerang menjalankan program lain guna menguasai komputer yang memiliki celah keamanan ini.

3. CVE-2013-2729 adalah exploit yang menyerang Adobe Acrobat Reader yang lebih dikenal dengan nama Adobe Reader BMP/RLE heap corruption vulnerability. Celah keamanan ini dimanfaatkan oleh pembuat malware menyebarkan dirinya. Salah satunya digunakan untuk mengirimkan email yang jika dijalankan akan mengunduh dan menjalankan GOZ Game Over Zeus. Exploit ini

Gambar 5 : Alur proses kerja pemanfaatan exploit

9 | P a g e

III. Kesimpulan Dari beberapa deskripsi diatas dapat disimpulkan bahwa kasus-kasus pada internet banking merupakan kecerobohan pengguna namun juga terdapat beberapa celah yang terdapat pada sistem bank tersebut. Dalam sistem keamanan perbankan ada beberapa hal yang perlu diperhatikan, yaitu celah keamanan, ancaman dan solusi. Untuk ATM, celah keamanannya yaitu kartu ATM yang masih magnetik sehingga mudah dikopi datanya. Adapun ancamannya: skimmer yang dipasang di ATM. Dengan begitu, solusi sederhananya adalah minimal memasang anti-skimming sebagai antisipasi untuk menghindari kejahatan ATM. Untuk penyedia jaringan ATM seperti Artajasa dan Rintis, mereka tidak bisa bertanggung jawab, mereka hanya menyediakan jasa networking.

Sistem perbankan di Indonesia disarankan agar menambahkan pengamanan dengan multifactor berbasis enkripsi. Sebaiknya perbankan harus menambahkan enkripsi sebagai otentifikasi final. Enkripsi sangat aman, karena hanya pemilik rekening yang tahu kode untuk membuka pesan terenkripsi tersebut. Bisa jadi cracker juga mendapatkan pesan otentifikasinya, namun karena tak tahu kode dan tak ada software dekripsinya maka pesan yang mereka dapat menjadi tak terbaca. Selain itu agar perbankan di Indonesia secara regular melakukan audit pada sistem IT mereka. Audit sistem IT di tiap perbankan perlu di lakukan secara berkala. Sehingga pihak perbankan juga mengetahui mana saja lubang/celah yang bisa ditembus oleh penyerang dan segera memperbaikinya.

Referensi

[1] http://id.wikipedia.org/wiki/E-banking

[2] http://tekno.liputan6.com/read/2049670/begini-cara-kerja-iskimmingi-kartu-atm

[3] http://en.wikipedia.org/wiki/Man-in-the-middle_attack

[4] https://www.cissrec.org

[5] http://bisniskeuangan.kompas.com/read/2015/03/05/050600826/.Sinkronisasi.Token.Bisa.Bobol.Rekening.

Bank.Mandiri.Minta.Nasabahnya.Waspada.

[6] http://bisniskeuangan.kompas.com/read/2015/03/06/061800526/BCA.1.000.Nasabah.Terkena.Sinkronisasi

.Token.Saat.Akses.Internet.Banking

[7] http://inet.detik.com/read/2014/09/12/161307/2688891/323/5/parade-malware-top-indonesia

[8] http://securelist.com/analysis/kaspersky-security-bulletin/67864/kaspersky-security-bulletin-2014-

predictions-2015/

[9] http://www.microsoft.com/security/encyclopedia/en-us/i/d2fbea06bd830bd9.jpg

[10] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2729

[11] http://www.ioactive.com/pdfs/ZeusSpyEyeBankingTrojanAnalysis.pdf