Kepercayaan & Trust
merupakan kunci keberhasilan dalam semua usaha terutama usaha finansial &
perbankan. Harus di akui bahwa keamanan & trust masih bukan prioritas utama
yang diperhatikan oleh banyak Bank yang masuk ke Internet di Indonesia, sejauh
hasil scan network yang saya lakukan menggunakan Linux baru Bank BCA terutama
yang serius sekali dalam mengamankan situs-nya dari serangan & akses yang
tidak wajar terhadap transaksi & situs mereka di Internet.
Bagi rekan-rekan hacker yang ingin melihat keamanan
berbagai situs bank Indonesia di Internet mungkin bisa menggunakan Linux dan
melakukan scan menggunakan perangkat:
# nmap –v –sS www.situs-bank.co.id
nmap
adalah perangkat di Linux untuk mengevaluasi port mana saja yang terbuka di
situs bank tersebut & berbagai fasilitas lainnya seperti melihat tingkat
kesulitan untuk melakukan spoofing pada packet TCP-nya dll. Jika semua port
tertutup maka akan sangat sulit di jebol oleh cracker.
Openssl
adalah perangkat lunak untuk operasional Secure Socket Layer (SSL) yang merupakan
pembungkus / pengenkrip data transaksi di Internet agar tidak bisa di intip
orang lain. Menggunakan perintah openssl s_client kita bisa melihat apakah Bank
tersebut mampu untuk mengamankan data transaksi melalui Internet.
Dari
pengamatan iseng saya lakukan pada beberapa Bank, yaitu BI, BII, BNI, Bank
Mandiri & KlikBCA, tampaknya Bank Indonesia (BI) menduduki rangking pertama
sebagai situs yang akan sangat mudah di jebol. KlikBCA menduduki rangking
pertama sebagai situs yang mempunyai kesulitan yang amat sangat tinggi untuk di
jebol, baik di jebol situs-nya maupun di jebol transaksinya di Internet. Belum
lagi kalau KlikBCA meluncurkan KeyBCA mereka, akan semakin sulit lagi bagi
orang untuk menyolong transaksi hanya dengan memegang PIN nasabah. Harus di
akui bahwa KlikBCA ternyata sangat serius sekali dalam menangani keamanan situs
& data transaksi dengan nasabah mereka di rumah melalui Internet.
Barangkali sudah saat-nya Bank lain di Indonesia untuk mencontoh apa yang
keseriusan KlikBCA terhadap nasabahnya di Internet.
Bagi
pengguna Internet Banking, tentunya ada beberapa trik yang bisa diperhatikan
untuk menjamin bahwa transaksi yang dilakukan aman. Beberapa tip berikut
mungkin akan berguna bagi anda yang melakukan Internet Banking:
- Setiap situs Web dikenali oleh alamat situs yang di sebut Universal Resource Locator (URL). Beberapa contoh Internet Banking di Indonesia mempunyai URL http://www.klikbca.com, http://www.bii.co.id. Hati-hati jangan sampai salah ketik menjadi http://wwwklikbca.com, http://www.kilkbca.dom, http://www.clikbca.com dll. Kemungkinan besar jika anda salah ketik maka anda akan terperangkap masuk ke situs yang “mirip” situs klikbca.com yang akan mencuri userID & PIN anda. Untuk menanggulangi masalah salah ketik ini, sebaiknya masukan alamat Internet Banking anda ke fasilitas favourite yang ada di Brower Internet anda. Dengan fasilitas favourite tersebut maka kita dapat dengan mudah mengambil nama situs yang ingin kita akses tanpa perlu mengetik & melakukan kesalahan ketik ke situs yang dimaksud.
- UserID & PIN adalah nyawa anda dalam transaksi di Internet. Jangan sampai jatuh ke tangan yang tidak bertanggung jawab. Sebaiknya PIN di ubah setelah wakut tertentu agar bila tercuri tidak terlalu masalah. Ada berbagai cara dilakukan orang untuk memperoleh UserID & PIN, misalnya:
- Internet Banking sebaiknya tidak dilakukan di WARNET / komputer publik, karena bukan tidak mungkin ada orang yang memasang peranti lunak untuk menangkap userid & pin tsb.
- Kadangkala ada orang yang suka menipu dan mengimi-imingi hadiah mobil dll dan meminta anda untuk registrasi di Internet Banking melalui ATM sambil meminta userid wakut registrasi tersebut.
- Pada tingkat yang lebih kompleks, setahu saya klikbca.com akan memberikan fasilitas bcakey yang memungkinkan PIN / password untuk Internet Banking berubah-ubah terus setiap saat kita menggunakan Internet Banking. Sederhananya, tidak ada password yang sama setiap kali login. Sehingga kalaupun password / PIN tercuri tidak akan bisa digunakan untuk transaksi online.
- Pada saat proses transaksi Internet Banking dilakukan biasanya provider Internet banking tidak menggunakan akses Web yang normal (dengan protokol http://). Biasanya provider Internet Banking menggunakan protokol yang lebih aman https://. Contoh di klikbca.com, akses Web normal dilakukan di http://www.klikbca.com. Akan tetapi akses Internet Banking dilakukan di https://ibank.klikbca.com, jadi berbeda antara akses Web biasa & Internet Banking.
- Teknologi keamanan jaringan yang digunakan di umumnya Internet Banking adalah Secure Socket Layer (SSL) yang terlihat sebagai https:// oleh user. Dengan SSL umumnya transaksi di enkrip / disandikan mengunakan algoritma RC4 dengan panjang kunci 128 bit. Dalam keamanan SSL juga di kenal adanya digital cerificate yang dikeluarkan oleh ceritificate authority (CA) di Internet. Jika sertifikat digital dari server dikeluarkan oleh CA yang tidak dikenal di Internet maka browser biasanya akan memberitahukan ke pengguna yang kira-kira berbunyi “identitas server tersebut tidak bisa di percaya” dalam bahasa Inggris. Jika hal ini terjadi, amat sangat di sarankan agar anda memutuskan hubungan dengan server tersebut. Semua server Internet Banking akan selalu teregistrasi ke CA yang dapat di percaya, seperti verisign.com. Evaluasi dari penggunaan SSL dapat dilakukan dengan mudah di Linux menggunakan perintah # openssl s_client.
No comments :
Post a Comment