Jumat, 21 Oktober 2011

Internet Banking

Sesuai dengan tugas Pak Budi Hermana berikan kepada kelas kami 39 PLSI, saya mempunyai ide untuk membahas Internet Banking dan dikhususkan untuk Bank yang berada pada wilayah Indonesia. Sebelum lebih detail pembahasannya, saya mau basa-basi dahulu nih. Internet Banking masuk kedalam Electronic Banking dan untuk contoh dari E-Banking itu sendiri antara lain : Mobile Banking, ATM, Internet Banking, dll. Nah E-Banking itu mempunyai pengertian yaitu sebuah layanan yang diberikan oleh sebuah perbankan untuk digunakan oleh nasabah melakukan aktifitas seperti Cek Saldo Rekening, Transfer Rekening, Bayar Tagihan Listrik/Telfon, dll. Semua aktifitas itu jika dapat didefinisikan menurut saya adalah aktifitas komunikasi antar nasabah dengan bank, untuk memperoleh sebuah informasi dan melakukan aktifitas tersebut melalui alat elektronik. Nah begitulah gambaran menurut pemikiran saya loh. Dibawah ini adalah contoh gambar layanan E-Banking itu seperti apa saja.

Dari gambar diatas sudah jelas layanan-layanan E-Banking. Kenapa digambar diatas terdapat warna hijau ??? Sengaja saya memberi warna hijau, karena kali ini saya ingin membahas tentang "Internet Banking" walau hanya kulitnya saja.

Internet Banking itu apa sih ???. Klo anda banyak di Wikipedia, pasti penjabarannya panjang banget dan sampai males saya mau copy paste di blog ini. Gini aja deh, saya mencoba mendefinisikan lagi Internet Banking dengan bahasa yang tidak baku. I-Banking itu adalah sebuah aplikasi yang berbasiskan website yang disediakan pihak Bank untuk nasabah melakukan transaksi finansial atau non-finansial. Transaksi bisa berupa mendapatkan informasi saldo rekening, mengirim uang, isi pulsa, bayar listrik dan bisa buat beli tiket juga lagi sekarang.

Begitu canggih sekarang ini sehingga ga perlu lagi transfer uang harus dateng ke bank lagi, kecuali memang mau transfer dengan nominal yang besar ke bank lain. Misal ane mau transfer uang 600 juta, nah apa bisa itu pakai I-Banking ? Klo setahu saya sih tidak bisa dan biasanya I-Banking itu sendiri mempunyai limit untuk transaksi. Ada bank yang membuat limit transaksi untuk tabungan Rp.35 juta dan untuk rekening giro sebesar Rp.100 juta. Nah saya hanya mengambil contoh ketentuan dari salah satu bank yang berlogo Pohon dengan dominan warna hijau dan kuning (Pura2 gatau deh).

Kenapa hal itu dilakukan pembatasan limit, karena agar ada sebuah mekanisme kontrol yang diberikan oleh bank tsb. Klo kata saya agak berbahaya jika diberikan limit besar dan ntr orang yg ingin Money Laundring (Bahasa Bule yg Artinya Tukang Cuci Kali) dengan leluasa bisa menggunakan aplikasi ini dan asik banget ga ada verifikasi yang ketat euy, paling cuman suru masukkan PIN dan Token. Apalagi klo limitnya gede, attacker demen banget tuh. Wah jadi OOT nih, bisa2 nilai saya dikurangi, hehehe.

Oke sekarang masuk kedalam sistem I-Banking. Kenapa I-Banking menggunakan token, alamatnya menggunakan HTTPS dan menggunakan SSL Versi 3 atau super duper enkripsi. Coba baca deh Tulisan Om Gildas tentang SSL.
Jika anda membacanya pasti menjadi was-was kan karena mau algorithmanya dikeren2in tetep aja dibuat oleh manusia dan nantinya dipecahkan oleh manusia lain. Inti dari tulisan Auditor terkenal tsb yaitu memang tidak ada yang aman didunia ini kecuali dengan perlindungan Yang Maha Kuasa, tapi kita juga ga boleh patah arang dan pasrah saja. Jadi tidak dengan menggunakan enkripsi di SSL saja tapi diseluruh aspek IT di Bank tsb harus diketatin juga dan jgn santai2 karena udah pakai SSL3 trus leha-leha deh. Attacker ga akan menyerang dari situ saja, kan masih ada metode sosial engineering atau langsung aja culik database admin aplikasi I-Banking tsb.

Makannya sekarang dibuatkan alat Token atau SMS Token, jadi klo attacker udah mendapatkan akun I-Banking dia ga seenak udelnya maen transfer2 uang aja tapi harus lewat token dulu alias harus lewat pintu berikutnya dan belum tentu juga token itu aman loh. Coba liat tulisan di sini : TKP 

Nah sudah baca kan metode token itu sendiri. Jadi memang ga ada sebuah sistem yang bisa dibilang paling SECURE. Tergantung bagaimana pihak IT bank tersebut membuat Policy/kebijakan dari sistem2 yang digunakan. Jadi ada lelucon gini, buat apa capai2 attack sistemnya, klo mau rekrut saja Admin database dan Network Bank tsb, hehehehe. Dibawah ini contoh alat token yang diambil dari Wikipedia.


Jadi parameter apa saja yang harus diperhatikan ??? Klo menurut buku CISSP yang saya baca, yang harus diperhatikan adalah : Security Policies, Web Application, Third-Party Application, Databases, Operating Systems, Networks, Hardware dan Brainware (tambahan saya brainware). Hal itu yang harus diperhatikan dan tidak boleh dianggap remeh, karena bisa dari situlah attacker dapat memanfaatkannya.

Jika ingin menggunakan I-Banking, sebaiknya jangan ditempat free hotspot, warnet dll karena kadang user itu suka ga peka dan malah blunder sendiri loh. Memang skrg ada token tapi klo attacker bisa mendapatkan akun anda walau terhalang oleh token, tapi kn informasi tabungan anda dapat diintip sama dia.

Lantas bagaimana membuat I-Banking menjadi aman ???. Semua aspek yang saya utarakan diatas harus berjalan dengan baik, mau dari sisi Bank atau nasabah harus seimbang. Oh ya ampe lupa, untuk aplikasi I-Banking sebaiknya harus user friendly. Saya pernah mencoba mengintip I-Banking dari Bank Besar dan kayanya agak males2n gtu sih buatnya atau masih belum fokus dibidang itu. Jadi dulu ada menu Help yg kurang user friendly dan sekarang pas saya cek Alhamdulillah udah dirapihin. Eh barusan ane cek lagi, ada penggunaan bahasa yang ga sinkron. Jadi pertama menggunakan Bahasa Indonesia tapi klo dicoba sesuatu keluarnya bahasa Inggris masa. Hmmm klo kaya gini kenapa yah ??? (pura2 lugu).

You either do not have the authority or Your session has already timed out. Please check your last transaction in Transaction History
Diatas kutipan sedikit tulisan yg tiba2 ditranslate jd boso inggris. Jadi sebenarnya dia ada dual language tapi ga ada menu untuk merubah language tsb dan mungkin pak adminnya lupa kali membuat link utk merubah language. "action=form&lang=in_EN"--> nah itu url singkatnya dan jika ingin mengganti language, tinggal ganti in_EN menjadi in_ID pada url browser anda.

Sekian dahulu pembahasan mengenai Internet Banking dan mohon maaf apabila ada bahasa saya yang kurang tepat. Saya disini hanya sharing ilmu saja walau cuman dikit banget. Untuk pembahasan mengenai "language" salah satu aplikasi I-Banking, saya ga berniat menjelekkan loh tapi semoga bapak admin merespond masukkan dari saya untuk meningkatkan aplikasi tsb dikedepannya.


Sumber tulisan :
- Web Bank Indonesia dan PBI.
- Buku CISSP
- Wikipedia
- Web SecurityFirst
- Web IlmuHacking

Reaksi:

0 komentar: