19.2.11

Scanning Beberapa Situs Internet Banking Indonesia


Salah satu teknik paling sederhana sebelum serangan dilakukan ke sebuah situs oleh seorang cracker adalah men-scan situs yang di maksud untuk melihat kondisi situs tersebut. Pada kesempatan ini saya mencoba memgetengahkan hasil scan dari beberapa situs Internet Banking di Indonesia menggunakan sistem operasi Linux Mandrake 7.2. Kebetulan sistem operasi Linux Madrake 7.2 saya peroleh dalam suplemen majalah InfoLinux http://www.infolinux.web.id. Peralatan yang digunakan juga tidak ada yang istimewa, saya jalankan Linux di PC Pentium II 133MHz memory 32Mbyte dan hubungan Internet melalui modem dial-up 33.6Kbps. Dengan tingkat kesederhanaan alat yang digunmakan saya yakin cukup banyak mahasiswa / siswa di Indonesia yang mampu melakukan ini menggunakan peralatan Linux-nya masing-masing.

Kebetulan sekali distribusi Linux Madrake 7.0 di lengkapi beberapa perangkat lunak untuk network security diantaranya nmap, tcpdump, arpwatch, ipchains, openssl dll. Dari sekian banyak perangkat lunak yang ada, saya menggunakan nmap & openssl. Nmap  mampu melakukan scan berbagai port server di host yang tersambung ke Internet & IntraNet. Sebetulnya cukup banyak perangkat lunak setara nmap yang bisa digunakan, beberapa bahkan cukup berbahaya untuk melakukan serangan ke situs di Internet. Untuk mencheck kemampuan melakukan transaksi dengan aman saya menggunakan fasilitas s_client di openssl untuk melihat sertifikat digital situs.

Nmap dibuat oleh Fyodor di insecure.org merupakan sebuah perangkat lunak untuk melakukan eksplorasi jaringan & scanner keamanan jaringan. Nmap sendiri dirancang untuk memungkinkan seorang sistem administrator maupun individu yang iseng untuk men-scan jaringan yang besar untuk mengetahui mesin apa saja yang sedang beroperasi & servis apa saja yang mereka berikan. Cukup banyak teknik scan yang di dukung oleh nmap seperti UDP, TCP connect(), TCP SYN (half open), ftp proxy (bounce attack), Reverse-ident, ICMP (ping sweep), FIN, ACK sweep, Xmas  Tree,  SYN sweep, and Null scan. Di samping itu, ada beberapa fitur menarik seperti mengetahui sistem operasi mesin yang di scan melalui TCP/IP fingerprinting,  stealth  scanning,  dynamic   delay   dan retransmission  calculations, parallel scanning, detection of down hosts via parallel  pings,  decoy  scanning,  port filtering detection, direct (non-portmapper) RPC scanning fragmentation scanning, di samping flexible target & spesifikasi port.

Tergantung pada option yang di pilih, nmap juga dapat menunjukan beberapa karakteristik dari mesin remote, seperti sistem operasi yang digunakan, TCP sequencability, username yang menjalankan program yang ditempelkan pada setiap port, nama DNS dll.

Berbeda dengan nmap yang sifatnya untuk men-scan mesin di jaringan, openssl adalah sebuah toolkit kriptografi yang mengimplementasikan protokol jaringan Secure Sockets Layer (SSL v2/v3) dan Transport Layer Security (TLS v1) termasuk berbagai standar kriptografi lainnya yang di butuhkan. Openssl sendiri adalah program di Linux yang sifatnya command line tidak menggunakan grafik user interface (GUI), openssl mampu untuk digunakan untuk:

  • Membuat parameter kunci (key) RSA, DH & DSA.
  • Membuat sertifikat X.509, Certificate Signing Request (CSR) dan Certificate Revocation List (CRL).
  • Perhitungan Message Digest (atau sidik dokumen).
  • Enkripsi & dekripsi menggunakan cipher.
  • Uji SSL/TLS klien & server.
  • Menangani e-mail yang di tanda tangani & di enkrip mengunakan S/MIME.

Pada kesempatan ini saya hanya menggunakan fasilitas s_client pada openssl yang dirancang untuk membuka hubungan transparan ke server remote yang berbicara menggunakan SSL/TLS. Dari sekian banyak server yang di uji, kebetulan hanya https://ibank.klikbca.com yang berbicara menggunakan SSL/TLS pada port 443. Jadi scan menggunakan openssl hanya dilakukan ke situs ibank.klikbca.com milik KlikBCA. Situs lain kebetulan belum saya temukan lokasi port / server yang menjalankan SSL.

Cukup banyak option yang dapat di gunakan dalam mengoperasikan nmap secara penuh, pada kesempatan ini saya hanya membatasi pada perintah

            # nmap –v –sS –O nama-situs

Tentunya masih banyak sekali pilihan (option) yang dapat kita lakukan untuk menscan sebuah situs misalnya –sT, -sX, -sF, -sN dll. Untuk jelasnya berbagai kemampuan pilihan tipe scan ini dapat dilihat dengan menuliskan

            # man nmap

Khusus untuk pilihan paling sederhana yang saya lakukan –v –sS –O adalah untuk:

-v, mode verbose untuk memperoleh informasi apa yang sedang terjadi. Jika anda cukup gila dengan proses ini dapat juga men-dump semua hasil scan dengan mengaktifkan beberapa kali –d.

-sS, menggunakan TCP SYN scan. Menggunakan teknik ini hubungan komunikasi TCP/IP tidak dibuka penuh dalam mengevaluasi port, tapi hanya setengah terbuka (“half open”). Secara teknis, mesin kita akan mengirimkan SYN paket ke mesin tujuan. Jika SYN|ACK paket di kirim balik, berarti port tersebut mendengarkan. Jika RST paket yang dikirim balik, berarti port tersebut tertutup. Setelah memperoleh paket balasan, mesin kita akan menjawab dengan paket RST untuk me-reset hubungan yang hampir terjadi tadi.. Teknik ini hampir tidak terdeteksi oleh mesin lawan yang tidak secara maksimal mencatat aktifitas port-nya. Istilah keren-nya –sS adalah Stealth Scan (scan yang tidak terdeteksi).

-O, akan meminta nmap untuk berusaha mendeteksi sistem operasi yang dijalankan di mesin tujuan. Karena kadang-kadang membutuhkan waktu yang lama untuk mendeteksi sistem operasi di mesin lawan, option ini kadang tidak digunakan untuk mempercepat proses scan.

Beberapa situs Bank Indonesia di Internet yang secara iseng saya scan menggunakan Linux Madrake 8.0 di PC Pentium II 133MHz tersebut adalah:

            http://www.bi.go.id (Bank Indonesia)
            http://www.bni.co.id (BNI & lambat dari indonet)
            http://www.lippobank.com (Bank Lippo & lambat dari indonet)
            http://www.bankmandiri.co.id (Bank Mandiri)
            http://www.btn.co.id (BTN)
            http://www.bii.co.id (BII)
            http://www.bankdanamon.com (Bank Danamon)
            http://www.klikbca.com (BCA)
            http://ibank.klikbca.com (BCA)

Dari sekian banyak situs Bank, Bank Indonesia www.bi.go.di barangkali yang merupakan Bank yang paling asal-asalan masuk ke Internet & sangat besar lubang-nya. Port TCP yang terbuka di www.bi.go.id adalah 20, 21, 22, 23, 80, 5631; beberapa port TCP lain seperti 137, 138, 139, 1524, 2041, 12345, 12346, 27665 terbuka walaupun di filter melalui firewall. Belum lagi kalau kita evaluasi port UDP yang terbuka pasti akan membuat layar anda penuh dengan berbagai informasi menarik untuk memulai sebuah serangan ke sebuah situs J …..

Sebetulnya diluar situs Bank, ada banyak juga situs yang terbuka security-nya di Internet. Salah satu situs yang terbuka lebar-lebar keamanan jaringan adalah situs www.plasa.com milik TelkomNet terbuka cukup lebar security, bahkan lebih lebar daripada Bank Indonesia. Rekan-rekan di Telkom ada baiknya memperbaiki security situs mereka, karena bukan mustahil berbagai milik Telkom akan menjadi sasaran marah para cracker indonesia pada saat tarif telepon naik.

Situs bank BNI, Bank Lippo & Bank Mandiri, terbuka pada port 20, 21 & 80 berarti ftp server & web server dibuka ke Internet. Relatif agak tertutup dibandingkan dengan Bank Indonesia.

Situs BII, BTN & Bank Danamon ternyata lebih tertutup lagi yaitu hanya port 80 (web server) saja yang terbuka di Internet. Cukup OK untuk sebuah situs Bank yang memberikan servis Informasi ke masyarakat. Contoh layar komputer pada saat scan di lakukan pada salah satu situs ini, di lampirkan di bawah ini:

[root@yc1dav onno]# nmap -v -sS www.bii.co.id

Starting nmap V. 2.53 by fyodor@insecure.org (www.insecure.org/nmap/ )
Host www.bii.co.id (202.152.2.29) appears to be up ... good.
Initiating SYN half-open stealth scan against www.bii.co.id (202.152.2.29)
Adding TCP port 80 (state open).
The SYN scan took 332 seconds to scan 1523 ports.
Interesting ports on www.bii.co.id (202.152.2.29):
(The 1522 ports scanned but not shown below are in state: filtered)
Port       State       Service
80/tcp     open        http

TCP Sequence Prediction: Class=random positive increments
                         Difficulty=411558 (Good luck!)

Sequence numbers: C24AB963 C253AB47 C265AEC6 C2796858 C28974CE C2A5E185

Nmap run completed -- 1 IP address (1 host up) scanned in 394 seconds



Yang harus di akui paling sulit untuk di tembus & di scan di Internet adalah situs yang di operasikan oleh BCA. Hal ini memperlihatkan ke seriusan BCA dalam mengamankan situs mereka dari scan & serangan para hacker / craker. Dengan menggunakan nmap saya tidak berhasil men-scan situs www.klikbca.com  & ibank.klikbca.com. Tampak di bawah adalah tampilan layar yang akan di peroleh pada saat men-scan situs klikbca.com.

[root@yc1dav onno]# nmap -vv -sS -O ibank.klikbca.com

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Host  (202.158.15.52) appears to be down, skipping it.
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap run completed -- 1 IP address (0 hosts up) scanned in 43 seconds

Harus diakui bahwa rekan-rekan di BCA ternyata sangat serius menangani keamanan situs klikbca.com mereka sampai sampai tidak tembus di scan menggunakan nmap; padahal sudah menggunakan stealth scan dalam melakukan scanning.

Kebetulan penulis hanya mengetahui bahwa ibank.klikbca.com merupakan situs Internet Banking. Keamanannya harus demikian ketat untuk menjamin bahwa transaksi perbankan yang dilakukan melalui Internet tidak tembus. Cara mencek sertifikat digital situs ibank.klikbca.com dapat dilakukan dengan mudah melalui perintah:

            # openssl s_client –host ibank.klikbca.com –port 443

Port 443 adalah port yang digunakan untuk Secure HTTP (https://). Hasil membuka port 443 pada situs ibank.klikbca.com akan terlihat sertifikat digital klikbca yang di berikan oleh verisign.com (certificate authority) sebagai berikut:

subject=/C=ID/ST=Jakarta/L=Jakarta
/O=PT. Bank Central Asia
/OU=Divisi Sistem Informasi
/OU=Terms of use at www.verisign.com/rpa ©00
/CN=ibank.klikbca.com
issuer=/O=VeriSign Trust Network/OU=VeriSign, Inc.
/OU=VeriSign International Server CA - Class 3
/OU=www.verisign.com
/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign


Proses transaksi melalui Internet menggunakan protokol https-pun di enkrip menggunakan algoritma RC4 yang sulit sekali untuk di tembus. Tampak pada tampilan selanjutnya adalah berbagai informasi tentang Master-Key yang digunakan untuk meng-enkrip transaksi menggunakan https.

New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-MD5
    Session-ID: 850000001702595756FADE4AFEE7F652BC790CC606376
Session-ID-ctx:
    Master-Key: 3CD841954D698035E5C82941F608D200929A3636CA07D
    Key-Arg   : None
    Start Time: 991984495
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

Di sini kita bisa melihat bagaimana tingkat keseriusan beberapa situs Internet Banking Indonesia dalam memberikan servis kepada nasabahnya melalui Internet. Sekedar saran, tingkat keseriusan akan sama dengan tingkat keamanan situs – sebaiknya ambil situs yang aman; yang cukup mengenaskan & memalukan adalah situs Bank Indonesia.
Diposkan oleh di
Label:

No comments :

Post a Comment

Subscribe to: Post Comments ( Atom )