Meneropong Situs e-banking

From OnnoWiki
Revision as of 14:25, 24 August 2015 by Onnowpurbo (talk | contribs) (→‎Pranala Menarik)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Tulisan ini akan berusaha mengevaluasi / meneropong situs e-banking di samping menyarankan kepada pengguna, apa saja yang perlu dilakukan agar proses e-banking dapat dilakukan dengan aman.

E-banking01.jpg

Gambaran topologi sambungan antara pelanggan / user ke situs e-Banking dapat dilihat pada gambar di atas. Pengguna akan menggunakan komputernya yang biasanya tersambung ke LAN di kantor. LAN di kantor biasanya tersambung ke Internet melalui Router (kemungkinan Router ADSL) ke Internet. Situs e-banking biasanya tersambung langsung ke Internet dan dapat berlokasi di hosting provider, atau di bank itu sendiri.

Tip Bagi Pengguna e-Banking

Serangan di Internet

Ada beberapa jenis serangan yang dapat terjadi pada seseorang yang sedang mengakses Internet, seperti,

Serangan spesifik pada masing-masing komponen jaringan dapat di sederhanakan sebagai berikut,

  • Serangan Pada computer pengguna akan banyak berupa virus, Trojan, spyware, keylogger. Biasanya kondisi ini akan lebih parah lagi pada computer di WARNET yang menggunakan system operasi Windows.
  • Serangan pada jaringan LAN, biasanya berupa Sniffing, Spoofing, Man in the middle Attack. Mungkin relative aman untuk di kantor, yang lingkungannya relative terkontrol. Akan tetapi di WARNET, biasanya kondisinya akan parah – apalagi jika banyak orang yang suka mengakses situs porno dll. Di situ sumber berbagai software yang tidak baik yang ada di Internet.
  • Di Internet, kondisinya juga tidak berbeda jauh dengan LAN di WARNET, biasanya di tambah dengan berbagai kemungkinan serangan lainnya seperti replay attack dll.
  • Serangan pada server-server di Internet juga tidak kalah seru. Serangan pada server yang relative secure biasanya lebih banyak berupa usaha untuk mematikan server / jaringan pada server tersebut agar tidak dapat berfungsi (Denial of Service), melalui flood paket, worm dll.
  • Serangan secara computer biasanya dapat di tangani dengan relative mudah jika kita cukup berpengetahuan dan disiplin. Akan tetapi serangan yang bersifat non-IT serangan kepada manusia dalam bentuk “Social Engineering” akan sangat berbahaya sekali. Hal ini perlu di hayati oleh semua pengguna e-banking. Contoh paling sederhana adalah penawaran-penawaran hadiah yang menggiurkan, dan kita harus membayar pajaknya.

Pertahanan Sistem

Meminimalisasi kemungkinan serangan dapat dilakukan dengan beberapa cara, yaitu,

Intrusion Detection & Prevention System biasanya di instalasi di server. Untuk mendeteksi adanya serangan dari luar. Biasanya menggunakan finger print packet serangan untuk mendeteksi adanya serangan tersebut.

Pertahanan di sisi teknologi Informasi akan bertambah sulit di tembus jika di tambahkan lapisan pertahanan tambahan disisi proses transaksi. Pada Bank Permata e-Business, tambahan proteksi pada proses transaksi meliputi

  • Penggunaan User ID and Password

Tingkat Kewenangan, yaitu :

  • System administrator, yang melakukan pendaftaran untuk seluruh pengguna yang menggunakan fitur dari Permatae-Business
  • Maker, yang melakukan proses pembuatan atas transaksi
  • Verifier, yang melakukan proses pemeriksaan atas transaksi
  • Approver, yang melakukan proses persetujuan atas transaksi
  • Persetujuan transaksi dilakukan oleh lebih dari 1 orang dan secara berjenjang

TIN & Token untuk Approver. Teknik Token merupakan teknik security One Time Password (OTP) yang hanya memungkinkan sebuah password digunakan satu kali saja, perhitungan password dilakukan menggunakan challenge-responds.

  • Limit transaksi dan limit akses per fitur
  • Audit trail melalui Permatae-Business

Evaluasi Pertahanan situs www.permatae-business.com

Situs Bank Permata e-Businesss

situs www.permatae-business.com akan memaksa pengguna menggunakan protocol HTTPS (secure HTTP) untuk mengakses situs www.permatae-business.com.

Cek menggunakan perintah WHOIS untuk melihat siapa pemilik situs www.permatae-business.com

[root@yc0mlc ~]# whois permatae-business.com
[Querying whois.internic.net]
[Redirected to whois.opensrs.net]
[Querying whois.opensrs.net]
[whois.opensrs.net]
Registrant:
 Permata Bank PT. Tbk.
 Permata Bank Tower III, 8\\\'th
 Jl. M.H. Thamrin Blok BI No. 1
 Bintaro Jaya sektor 7
 Tangerang, Lainnya 15224
 ID

 Domain name: PERMATAE-BUSINESS.COM

 Administrative Contact:
    CURYANI, DEDY  dcuryani@permatabank.co.id
    Permata Bank Tower III, 8\\\'th
    Jl. M.H. Thamrin Blok BI No. 1
    Bintaro Jaya sektor 7
    Tangerang, Lainnya 15224
    ID
    62-021-7450664    Fax: 62-021-7452104 

 Technical Contact:
    Simanungkalit, Toni  tsimanungkalit@permatabank.co.id
    Permata Bank Tower III, 8'th
    Jl. M.H. Thamrin Blok BI No. 1
    Bintaro Jaya sektor 7
    Tangerang, Lainnya 15224
    ID
    62-021-7453018    Fax: 62-021-7452104 

 Registration Service Provider:
    NamaDomain.com, info@namadomain.com
    +62-21-6632363
    +62-21-6602587 (fax)
    http://www.namadomain.com
    This company may be contacted for domain login/passwords,
    DNS/Nameserver changes, and general domain support questions. 

 Registrar of Record: TUCOWS, INC.
 Record last updated on 07-Jun-2006.
 Record expires on 09-Jun-2011.
 Record created on 09-Jun-2005. 

 Domain servers in listed order:
    NS2.CBN.NET.ID
    NS1.PERMATAE-BUSINESS.COM   202.191.2.66 

 Domain status: ACTIVE

Tampak bahwa permatae-business.com milik Bank Permata di Indonesia dengan status ACTIVE.

Dnsstuff01.jpg

Melalui situs www.dnsstuff.com kita dapat mengevaluasi apakah seluruh ROOT Server yang mengontrol domain di seluruh dunia mengenali permatae-business.com.

Hasil yang di peroleh terlihat jelas bahwa semua server Global Top Level Domain gtld mengetahui secara benar name server yang membawa permatae-business.com.

Untuk melihat kondisi server dan pertahanan yang ada di server, kita dapat melakukan port scanning menggunakan NMAP dengan hasil kira-kira

[root@yc0mlc ~]# nmap -v -sS -P0 -O www.permatae-business.com

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-07-30 10:44 WIT
Initiating SYN Stealth Scan against 202.191.2.5 [1663 ports] at 10:45
Discovered open port 443/tcp on 202.191.2.5
Discovered open port 80/tcp on 202.191.2.5
SYN Stealth Scan Timing: About 32.11% done; ETC: 10:46 (0:01:03 remaining)
The SYN Stealth Scan took 90.40s to scan 1663 total ports.
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
For OSScan assuming port 80 is open, 33737 is closed, and neither are firewalled
Host 202.191.2.5 appears to be up ... good.
Interesting ports on 202.191.2.5:
(The 1661 ports scanned but not shown below are in state: filtered)
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https
Device type: firewall|general purpose
Running: IPCop Linux 2.2.X, Sun Solaris 9
OS details: IPCop 1.20 Linux 2.2.2X-based firewall, Sun Solaris 9
Uptime 14.293 days (since Sun Jul 16 03:43:59 2006)
TCP Sequence Prediction: Class=random positive increments
                         Difficulty=54120 (Worthy challenge)
IPID Sequence Generation: Incremental

Nmap finished: 1 IP address (1 host up) scanned in 99.154 seconds
               Raw packets sent: 3359 (135KB) | Rcvd: 25 (1248B)

Secara umum ada dua port yang beroperasi secara terbuka, yaitu, 80 (HTTP) dan 443 (HTTPS). Server www.permatae-business.com berada pada sebuah mesin firewall yang mengkemungkinan menggunakan IPCop atau Sun Solaris 9. TCP Sequence prediction cukup sukar dilakukan dengan tingkat kesulitan sekitar 54120.

Cukup standard untuk pertahanan yang baik bagi sebuah Bank di Internet. Dalam artian relative sulit untuk di tembus, tapi masih dapat di tingkatkan lagi jika managemen Bank menghendaki.

Evaluasi enkripsi dapat dilakukan menggunakan OpenSSL untuk melihat sertifikat digital Bank dan berbagai protocol enkripsi yang digunakan.

[root@yc0mlc ~]# openssl s_client -connect www.permatae-business.com:443
CONNECTED(00000003)
depth=2 /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=ID/ST=DKI/L=Jakarta/O=Permata Bank/OU=Information Technology/OU=Terms of use at www.msctrustgate.com/rpa (c) 04/OU=Authenticated by MSC Trustgate.com Sdn. Bhd/OU=Member, VeriSign Trust Network/CN=www.permatae-b usiness.com
   i:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
 1 s:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
 2 s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=ID/ST=DKI/L=Jakarta/O=Permata Bank/OU=Information Technology/OU=Terms of use at www.msctrustgate.com/rpa (c) 04/OU=Authenticated by MSC Trustgate.com Sdn. Bhd/OU=Member, VeriSign Trust Network/CN=www.permatae-business.com
issuer=/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
---
No client certificate CA names sent
---
SSL handshake has read 2866 bytes and written 324 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-MD5
    Session-ID: C85797B38A9C4D96F24C0A5CFAEEE81D
    Session-ID-ctx:
    Master-Key: 97A8C1178297F961B0B62DC3FF030F1DC12578A2DCBE77D85A248CA1355B49EF181A94524D952161025F78F26CB3762E
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1154231573
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
--- 


Terlihat bahwa sertifkat benar-benar milik bank Permata di Jakarta. Sertikat di issue oleh Verisign (http://www.verisign.com) yang merupakan Certificate Authority terbesar dan terpercaya di Internet. Beberapa teknis enkripsi yang terdeteksi,

  • Mekanisme enkripsi yang digunakan RC4, untuk 128bit SSL akan membutuhkan waktu 12.710.204.652.610.000.000.000.000 tahun untuk menjebol.
  • Fungsi hash standard MD5 untuk membuat tanda tangan digital.
  • Public key 1024 bit sulit di jebol.

Sedikit perbandingan waktu yang dibutuhkan untuk menjebol enkripsi menggunakan serangan brute force pada mekanisme enkripsi DES dan RC4 untuk memberikan gambaran tingkat kesulitan yang harus di hadapi oleh para penyerang.

Brute Force Attacked Pada DES

Kunci DES Waktu
40 bit 0.4 detik
56 bit 7 jam
64 bit 74 jam 40 menit
128 bit 157.129.203.952.300.000 tahun


Brute Force Attacked Pada RC4

Kunci RC4 Waktu
40 bit 15 hari
56 bit 2.691,49 tahun
64 bit 689.021,57 tahun
128 bit 12.710.204.652.610.000.000.000.000 tahun

Pranala Menarik