Apr 5

(Oleh : Annisa Dinda Amalia, Chandra Hartanto, Henna Nurdiansari, Puspita Sulistyaningrum, Wuri Listyarini)

Framework X.800 – X.805 merupakan kumpulan standar atau rekomendasi ITU (International Telecommunication Union) yang dibuat oleh suatu kelompok studi (Study Group 17) yang bernaung di bawah ITU. Kelompok studi ini berfokus pada topik mengenai keamanan pada jaringan telekomunikasi. Framework X.800, X.802, X.803 membahas mengenai arsitektur keamanan jaringan, sedangkan Framework X.805 merupakan pembaharuan dari Framework di atas. Framework X.805 memberikan standar atau rekomendasi yang lebih lengkap mengenai keamanan arsitektur dan dimensi jaringan yang menyediakan komunikasi end to end.

Pada Framework X.805, terdapat delapan dimensi yang menjadi pembahasan dalam keamanan jaringan telekomunikasi seperti dapat dilihat pada Gambar 1. Dimensi-dimensi tersebut adalah Access Control, Authentication, Non-repudiation, Data Confidentiality, Communication Security, Data Integrity, Availability, Privacy. Seluruh dimensi dalam framework X.805 ini menjadi parameter penting dalam merancang sebuah sistem telekomunikasi yang aman. Salah satu dimensi yang menjadi pokok utama dalam laporan ini adalah mengenai Authentication (Otentikasi).

Gambar 1. Hierarki Rekomendasi X.805

 

Authentication adalah suatu pembuktian bahwa identitas yang diklaim oleh suatu entitas adalah benar, asli, dan sah. Menurut rekomendasi X.805, Authentication memastikan bahwa entitas yang akan mengklaim suatu identitas bukanlah samaran, atau hanya sistem yang mencoba mengulangi sesi dari komunikasi sebelumnya. Authentication secara dasar merupakan suatu parameter yang berhubungan dengan kata tanya “siapa”. Siapa yang memasuki sistem, siapa yang mengakses, siapa yang mengubah. Dengan kata lain otentikasi memastikan siapa sebenarnya entitas ini.

Dalam suatu jaringan telekomunikasi, pertukaran informasi dan data harus sampai kepada entitas yang tepat. Perlu diperhatikan bahwa dalam masalah otentikasi, entitas tidak harus selalu berarti orang secara “in human” tetapi juga dapat berupa divais elektronik, komputer, aplikasi, dan layanan (service) sehingga hal ini menjadi tantangan tersendiri. Tantangan tersebut berupa memastikan siapa entitas yang asli memiliki otorisasi ke dalam suatu sistem, meskipun entitas tersebut bukanlah manusia.

Dalam dimensi Authentication, ancaman yang dapat terjadi adalah adanya resiko spoofing. Spoofing merupakan suatu kejadian dimana seseorang atau sebuah sistem menggunakan ID atau nama orang lain agar benar-benar dikenal sebagai orang yang akhirnya diizinkan untuk mengakses setiap data milik orang tersebut. ID atau nama yang digunakan oleh Spoofer (orang yang melakukan Spoofing) biasanya diperoleh dengan berbagai cara seperti mencuri informasi, Social Engineering, atau bahkan menggunakan aplikasi.

Otentikasi dalam suatu jaringan komputer sederhana biasanya digunakan dengan fasilitas memasukkan nama ID dan kata sandi (password) atau dengan PIN (Personal Identification Number). Proses otentikasi dengan cara ini biasanya cukup lemah terhadap ancaman keamanan, terutama jika kata sandi yang digunakan terlampau mudah dan tidak diubah secara berkala. Untuk meningkatkan level keamanan dalam suatu jaringan, terdapat beberapa fasilitas yang ditambahkan ke dalam suatu sistem jaringan. Fasilitas tersebut dapat berupa digital signature, public key, digital certificate, dan lain sebagainya.

Laporan ini akan membahas mengenai fasilitas yang dapat meningkatkan level keamanan jaringan telekomunikasi seperti yang telah disebutkan di atas, bagaimana masalah yang timbul, serta bagaimana solusi mengenai masalah tersebut. Meskipun fasilitas tambahan seperti yang disebutkan di atas merupakan suatu terobosan teknologi di bidang keamanan jaringan, namun masalah selalu saja ada. Melalui laporan ini hal tersebut akan dibahas lebih mendalam.

 

  1. A.     Public Key Infrastructure

Dalam suatu transaksi informasi dapat digunakan berbagai metode otentikasi seperti penggunaan password, passphrase, biometrik, dan lain sebagainya. Metode lain yang saat ini mulai banyak digunakan menggunakan Public Key Infrastructure (PKI).  PKI menyediakan suatu identitas elektronik kepada pengguna dengan menerbitkan suatu sertifikat digital dan private key untuk melakukan enkripsi yang dapat disimpan dalam media penyimpanan apapun. Hal ini akan memudahkan user untuk menandai transaksinya secara digital dengan tingkat keamanan yang tinggi.

Tujuan dari penggunaan PKI antara lain adalah :

  1. Mengurangi risiko penipuan dalam transfer uang secara elektronik dan aktivitas keuangan lainnya
  2. Memaksimalkan penggunaan infrastruktur jaringan publik yang berbiaya lebih murah daripada jaringan VPN
  3. Memastikan hanya pelanggan tertentu yang dapat mengakses dan menjalankan transaksi bernilai tinggi

Ide awal penggunaan PKI ialah skema otentikasi dengan menggunakan symmetric key, dimana kedua pengguna yang melakukan transaksi informasi menggunakan key yang sama dalam melakukan enkripsi dan dekripsi data. Namun hal ini menjadi celah kerawanan dalam validitas otentikasi, karena pengguna harus memberikan key yang sama untuk melakukan enkripsi dan dekripsi. Untuk itulah konsep PKI dibuat dimana pada PKI dikenal adanya public key dan private key yang dianalogikan sebagai gembok dan anak kunci. Kedua key ini terdiri dari kode yang berbeda namun berpasangan.

PKI sendiri adalah suatu framework berdasarkan arsitektur dari IETF X.509 untuk menggunakan sertifikat digital beserta public-private key untuk melakukan verifikasi identitas (otentikasi) dalam suatu transaksi informasi. Framework ini menjadi suatu sistem untuk penerbitan, pengelolaan, dan pencabutan sertifikat digital.

Beberapa komponen yang terdapat dalam framework PKI antara lain:

  1. Certification authority (CA), merupakan suatu server yang menjalankan perangkat lunak penyedia layanan sertifikat digital yang berfungsi untuk menerbitkan sertifikat digital.
  2. Policies yang mengatur pengoperasian PKI serta proses penerbitan, pembaharuan, dan pencabutan sertifikat, masa kadaluarsa, dan lain sebagainya. PKI publik biasanya menerbitkan suatu dokumen yang disebut CPS (Certificate Practice Statement) yang berisi tentang bagaimana key dibuat dan disimpan, penerbitan dan pencabutan sertifikat, dan lain sebagainya.
  3. Sertifikat digital yang digunakan user terdiri dari dua buah key yaitu private key yang disimpan dan ditandatangani oleh pengguna yang membuat sertifikat serta public key yang dikirim ke CA. Sertifikat biasanya disimpan pada komputer pengguna yang membuat sertifikat namun dapat juga dipindah ke media penyimpanan lainnya.
  4. Aplikasi untuk menggunakan PKI, yaitu aplikasi yang dapat bekerja dengan menggunakan sertifikat digital yang telah dibuat sebagai salah satu metode otentikasi.

Dengan penggunaan PKI, dapat mengatasi ancaman berupa removal dan disclosure (berdasarkan ITU-T X.805), yakni dimana informasi tidak dapat disadap dari posisi tengah antara pengirim dan penerima karena informasi dienkripsi dengan key yang hanya dimiliki oleh penerima. Hal ini tentu menjamin integritas dari informasi yang dikirim.

Penggunaan PKI saat ini sudah sangat membantu meningkatkan keamanan informasi yang dikirim melalui suatu jaringan publik. Akan tetapi, kembali lagi kepada tingkat kesadaran pengguna akan pentingnya menjaga keamanan private key yang dimiliki agar tidak dimiliki oleh orang lain yang dapat menyebabkan informasi dapat disadap dan didekripsi secara valid. Sebab, metode yang digunakan dalam otentikasi, celah kerawanannya terdapat pada private key yang dimiliki oleh pengguna yang keamanannya hanya dapat dijamin oleh user itu sendiri.

 

  1. B.     Digital Signature

Salah satu bentuk authentication adalah digital signature. Digital signature yang dimaksud disini bukanlah tanda tangan seseorang yang di-scan atau dimasukkan ke komputer, tapi merupakan hasil dari proses enkripsi yang bergantung pada pesan dan pengirim pesan. Dengan kata lain digital signature ini seperti “stempel” unik (hanya berlaku untuk pesan tersebut) yang dibubuhkan seseorang pada sebuah dokumen, dan sangat sulit dipalsukan.

Digital signature ini dipakai untuk membuktikan keaslian sebuah dokumen, apakah isi dokumen tersebut masih asli -sama seperti saat dibuat oleh pengirim pesan- atau tidak.

Berdasarkan referensi dari Otentikasi Dokumen Elektronik Menggunakan Tanda Tangan Digital oleh Ronald Makaleo Tandiabang, Tomy Handaka Patria, Anang Barnea dan dari PENGGUNAAN TANDA-TANGAN DIGITAL UNTUK MENJAGA INTEGRITAS BERKAS PERANGKAT LUNAK oleh Rinaldi Munir, teknik yang umum digunakan untuk menghasilkan digital signature adalah dengan fungsi hash dan mnggunakan “public key cryptography” (kriptografi kunci publik),

Fungsi hash adalah sebuah algoritma yang membentuk representasi digital atau semacam “sidik jari” dalam bentuk nilai hash (hash value) dan biasanya jauh lebih kecil dari dokumen aslinya dan unik hanya berlaku untuk dokumen tersebut. Perubahan sekecil apapun pada suatu dokumen akan mengakibatkan perubahan pada nilai hash yang berhubungan dengan dokumen tersebut. Fungsi hash yang seperti ini disebut juga “fungsi hash satu arah” dikarenakan nilai hash ini tidak dapat digunakan untuk membentuk kembali dokumen aslinya.

Sedangkan  public key cryptography algoritmanya menggunakan dua buah kunci, yaitu privat key dan public key. Privat key adalah kunci yang hanya dimiliki oleh pengirim pesan, digunakan untuk mengenkripsi pesan. Sedangkan public key adalah kunci yang bisa disebarluaskan kepada orang-orang yang akan dikirimi pesan, berfungsi untuk mendekripsi pesan. Kedua kunci yang digunakan ini mempunyai hubungan secara matematis sehingga suatu pesan yang dienkripsi dengan suatu kunci hanya dapat didekripsi dengan kunci pasangannya. miliknya. Konsep ini juga dikenal sebagai“assymmetric cryptosystem” (sistem kriptografi non simetris). Disebut assymmetric karena kunci yang digunakan untuk proses enkripsi dan dekripsi tidak sama.

Proses pembentukan dan verifikasi digital signature dapat dijelaskan sebagai berikut:

  • Di tempat pengirim pesan, fungsi hash (H) akan mengubah pesan (M) menjadi pesan ringkas yang disebut message digest (h). Pesan ringkas tersebut dienkripsi dengan privat key pengirim pesan. Hasil enkripsi inilah yang disebut sebagai digital signature. Digital signature dapat ditambahkan pada pesan atau terpisah dari pesan dan dikirim secara bersamaan.

  • Di tempat penerima pesan, digital signature didekripsi dengan menggunakan public key pengirim pesan, menghasilkan message digest (h).

  • Penerima pesan akan mengubah pesan (M) menjadi message digest (h’) dengan menggunakan fungsi hash yang sama yang dipakai pengirim pesan.

  • Jika h’ = h, berarti tanda-tangan yang diterima asli dan berasal dari pengirim yang benar

Gambar 2. Proses pembentukan dan verifikasi digital signature

Dengan adanya digital signature, kemungkina terjadinya pemalsuan dokumen digital dapat dikurangi. Akan tetapi, apabila terjadi kejahatan pidana, digital signature belum dapat diajukan sebagai alat bukti yang sah di persidangan. Hal ini dikarenakan alat bukti di Indonesia telah diatur secara terbatas dalam pasal 184 KUHAP (Kitab Undang-undang Hukum Acara Pidana). Dalam KUHAP masih belum dikenal adanya konsep electronic evidence sebagai alat bukti yang sah untuk diajukan di persidangan. Walaupun dalam praktek peradilan di Indonesia, hakim sudah menerima dokumen elektronik sebagai alat bukti. Karena itu perlu segera diatur mengenai penggunaan dan pengakuan digital signature sebagai alat bukti yang sah.

 

  1. A.     Digital Certificate

Digital certificate bisa juga disebut public key certificate adalah pasangan file pada komputer yang dapat dipergunakan untuk menciptakan bentuk digital dari tandatangan dan amplop. Setiap bagian terdiri dari dua bagian, public key dan private key. Public key adalah bagian yang dibagikan, sedangkan private key adalah bagian yang hanya kita yang mempunyai akses. Komputer dan program mengerti bahwa hanya public key yang dibagikan sehingga orang lain dapat melihatnya, dan menjaga private key tetap terjaga.

Keuntungan mempergunakan digital certificate adalah sebagai berikut. Mengirimkan email yang sudah ditandai. Hal ini memastikan ke penerima bahwa email tersebut datang dari kita dan bukan dari seseorang yang berpura-pura sebagai kita. Mengenskripsi isi dari email dan attachment, melindungi dari pembacaan oleh orang lain yang bukan kepada siapa email tersebut ditujukan. Mengenskripsi file dan folder di computer, hal ini sangat berguna bila terjadi pencurian terhadap laptop atau handphone karena hanya yang memiliki password saja yang dapat mengakses file-file tersebut. Memperlancar urusan bisnis dengan memungkinkan seseorang mempergunakan digital certificate untuk menandatangani secara online suatu dokumen atau menyetujui sesuatu pada suatu tahap proses.

Digital certificate, digitally signed oleh  otoritas yang terpercaya untuk ikatan semacam ini. Otoritas yang terpercaya dikenal sebagai Certification Authority (CA). Format standar dari public key certificate adalah standart X.509. Pada X.509, public key certificate terdiri dari identifikator dari algoritma asimetrik yang dipergunakan dengan public key, nama dari pemilik pasangan key pair, nama dari CA yang membuktikan kepemilikan tersebut, serial number dan waktu validasi dari certificate, versi X.509 yang dipergunakan pada certificate tersebut, dan  beberapa set ekstensi yang memuat informasi tentang certificate policy dari CA.

Jelas bahwa  untuk memvalidasi public key certificate dari user, seseorang membutuhkan akses ke public key yang valid dari CA yang mengeluarkan user certificate tersebut, sehingga dapat mengecek  signature dari user. Sebuah CA mungkin harus membuat public keynya disertifikasi oleh sebuah CA yang lain. Rantai tersebut harus berakhir pada CA yang memiliki self signed certificate yang merupakan root of trust. Root CA public key didistribusikan sebagai self signed certificate. Signature memungkinkan kita untuk memvalidasi key dan nama CA tidak dirusak sejak sertifikat diciptakan. Tapi kita tidak bisa mengambil nama CA secara langsung. Karenanya komponen kritis dari PKI adalah distribusi yang aman dari root CA public key, dengan cara yang dapat menjamin bahwa public key tersebut memang dimiliki oleh root CA yang ada pada self signed certificate. Tanpa ini, kita tidak dapat secara yakin bahwa seseorang bertindak sebagai root CA.

Contoh penggunaan digital certificate adalah dalam pengiriman email. Bila pada dunia nyata kita melindungi surat yang dibuat dengan cara menutupnya dengan amplop, maka pada email kita menggunakan digital certificate. Bila kita tidak menggunakan digital certificate maka email tersebut dapat saja di buka oleh orang lain yang bukan kepada siapa email tersebut ditujukan. Prosesnya juga tidak terlalu rumit. Contoh saat mengirimkan email, kita dapat digitally sign email tersebut dengan mengattach digital certificate yang dimiliki oleh pengirim. Saat email sudah diterima, penerima dapat memverifikasi bahwa email tersbut memang dating dari pengirim dengan melihat aatachment yang merupakan informasi public key. Hal ini melindungi kita dari orang-orang yang mencoba untuk mengirimkan email yang tampaknya dikirimkan oleh pengirim tapi sebenarnya dikirim dari email akun yang lain. Digital certificate juga dapat dipergunakan untuk menandatangani dokumen secara elektronik. Hal ini merupakan alasan penting kenapa kita harus melindungi private key dan jangan pernah membagikannya ke orang lain. Karena kita bisa saja terikat secara legal ke suatu perjanjian, dan akan sangat sulit untuk membuktikan bahwa bukan kita yang menandatanganinya sacara digital.

Kelompok kami berpendapat bahwa digital certificate sangat diperlukan pada masa sekarang dimana komunikasi bukan saja dibentuk dari sesuatu yang hanya dari pembicaraan atau sebuah hasil print semata, melainkan sudah merambah ke jagad maya. Seperti yang sudah disebutkan sebelumnya, dengan menggunakan fasilitas ini maka nama kita tidak akan disalah gunakan dan file-file penting juga tidak dapat dibaca ataupun dirusak oleh orrang lain, hal-hal itu sangat penting karena menjadi bukti jati diri kita pada dunia maya.

 

  1. B.     Shared Secret
  • Enkripsi adalah proses pengkodean pesan untuk menyembunyikan content
  • Algoritma enkripsi modern menggunakan kunci (key)
  • Kunci kriptografi adalah parameter yang digunakan dalam algoritma enkripsi dimana hasil enkripsi tidak dapat di dekripsi jika tanpa kunci yang sesuai

Gambar 3. Tipe Algoritma Enkripsi

  • Ada 2 tipe algoritma enkripsi :
    • Shared secret key

Pengirim dan penerima harus berbagi kunci dan tidak diberikan pada orang lain

  • Public/private key pair

Pengirim pesan menggunakan public key kunci yang dipublikasikan ke penerima) untuk mengenkripsi pesan

Penerima menggunakan private key yang cocok (miliknya) untuk mendekripsikan pesan.

Manajemen Kunci

  • Dua kelas kunci
    • Short term session keys

Disebut juga dengan ephemeral keys

Secara umum dibuat secara outomatis dan tidak tampak. Biasa digunakan untuk satu pesan atau session dan di buang

  • Long term keys

Dihasilkan secara eksplisit oleh pemakai

  • Long term keys digunakan untuk dua tujuan
    • Authentication

Termasuk kontrol akses, integrasi dan non repudiation

  • Confidentiality (enkripsi)

Membuat session key dan melindungi data yang tersimpan

Sistem Authentication pada shared secret menggunakan kriptografi

  • Kriptografi digunakan untuk mendukung mekanisme authentication antar sepasang node
  • Seorang pelaku jika berhasil mendekripsikan pesan menggunakan suatu kunci yang cocok, berarti pesan tersebut dari pengirim yang sebenarnya.
  • Dikembangkan pertama kali oleh Roger Needham dan Michael schroeder.

Blok diagram authentication menggunakan kriptografi

 

Secret sharing

Secara formal, pada skema secret sharing  terdapat satu dealer  dan beberapa players. Dealer  memberikan secret  ke player, tapi hanya pada kondisi tertentu. Dealer menyelesaikan ini dengan memberikan setiap pemain share sedemikian rupa sehingga setiap kelompok t ( for threshold ) atau pemain yang lain X dapat  bersama sama merekonstruksi secret  tetapi tidak ada group  t  lain yang dapat membaca. Sistem seperti ini disebut (t, n)-threshold scheme kadang ditulis juga sebagai (n, t)-threshold scheme). Secret sharing di temukan oleh Adi Shamir and George Blakley in 1979.

Pentingnya Skema Secret sharing

Skema Secret sharing ideal untuk menyimpan informasi yang sangat sensitif dan sangat penting. Contohnya: encryption keys, kode peluncuran rudal, dan nomer rekening bank. Masing-masing potongan informasi harus disimpan sangat rahasia, karena risikonya tinggi, namun penting juga bahwa potongan informasi tersebut tidak hilang.

Metode tradisional untuk enkripsi yang tidak cocok untuk kerahasiaan dan kehandalan tingkat tinggi. Hal ini karena ketika menyimpan encryption keys, orang harus memilih antara menjaga satu salinan kunci dalam satu lokasi untuk kerahasiaan maksimum, atau menjaga beberapa salinan dari kunci di lokasi yang berbeda untuk keandalan yang lebih besar. Tetapi semakin banyak salinan maka tingkat keamanan semakin menurun.

Secret sharing scheme

Sebuah skema secret sharing yang aman mendistribusikan secret sehingga orang yang tidak memiliki share akan semakin tidak tahu dibanding dengan yang mimiliki t share.

Perhatikan skema pembagian secret  di mana frase secret “password” dibagi ke dalam saham “pa ——,” “- ss —-,” “—- wo -,” dan “rd, ——”.

  • Seseorang dengan 0 share hanya tahu bahwa password terdiri dari delapan huruf. Dia harus menebak password dari 268 = 208 miliar kemungkinan kombinasi.
  • Seseorang dengan 1 share harus menebak hanya enam huruf, dari 266 = 308 juta kombinasi.

Sistem ini bukan skema secret sharing yang aman, karena pemain dengan kurang dari t share tetap memperoleh informasi penting tentang isi rahasia itu. Sedangkan parameter skema  yang aman, meskipun pemain kehilangan hanya satu share dia masih harus menghadapi 268 = 208 miliar kombinasi.

Jadi sistem yang sederhana dapat digunakan sebagai sistem otentikasi, tetapi akan memiliki tingkat keamanan yang minim, karena akan relatif mudah bagi para pelaku penipuan untuk menentukan kunci share secret  yang benar dan kemudian membuat informasi palsu, yang akan lulus tes sistem authentication. Untuk mengurangi risiko perhitungan ‘trial and error’ yg ditemukan pada ‘shared secret key’, perlu menggunakan kriptosistem dengan key yang lebih baik. Dalam kriptografi umum yang memiliki possible key dalam jumlah besar akan lebih aman dibandingkan dengan possible key dengan jumlah kecil, karena memerlukan lebih banyak waktu untuk menguji banyak kemungkinan key dengan ‘trial and error’.

Semakin banyak waktu yang diperlukan untuk menguji semua kunci yang mungkin, semakin aman sistem. Sebagai contoh, dalam sebuah kriptosistem dengan keamanan rendah, semua kunci yang mungkin dapat dites di beberapa menit, sedangkan di cryptosystem keamanan yang tinggi mungkin butuh sepuluh tahun untuk menguji semua kunci yang mungkin.

 

 

 

 

Daftar Referensi

http://www.windowsecurity.com/articles/Understanding_the_Role_of_the_PKI.html

http://www.mbaknol.com/business-finance/public-key-infrastructure-pki/

http://www.ietf.org/rfc/rfc2459.txt

http://acs.lbl.gov/~mrt/talks/secPrimer.ppt

http://www.ietf.org/proceedings/63/slides/saag-3/saag-3.ppt

http://elibrary.ub.ac.id/handle/123456789/26598

http://journal.uii.ac.id/index.php/Snati/article/viewFile/1364/1145

http://informatika.stei.itb.ac.id/~rinaldi.munir/Kriptografi/Makalah/Makalah12.pdf

http://en.wikipedia.org/wiki/Shared_secret

http://www.ethent.com/SharedSecretKey.html

Security in Telecommunications and Information Technology: An overview of issues and the deployment of existing ITU-T Recommendations for secure telecommunications. Dec, 2003.

 

Posted in Keamanan dan Kehandalan pada Jaringan | No Comments »
Mar 3

Carding merupakan istilah untuk menyebutkan kejahatan di dunia teknologi (IT) dengan cara memalsukan kartu kredit orang lain. Kejahatan ini merupakan salah satu bentuk kejahatan bermotif ekonomi yang banyak dilakukan oleh penjahat cyber. Praktek pemalsuan kartu kredit ini semakin menjamur saat ini, Sampai dengan tahun 2003, kerugian akibat kasus pemalsuan kartu kredit mencapai hingga 50 miliar rupiah, dan jumlah tersebut hanya didapat dari membongkar 16 kasus. Dapat dibayangkan dalam satu kasus keuntungan yang didapatkan dari bisnis haram ini dapat mencapai ratusan juta hingga miliaran rupiah. Pelaku dalam kasus ini bukan hanya pakar IT, melainkan bisa saja orang awam yang mendapatkan ilmu atau tutorial melalui internet

Pada setiap kasus, dari tangan pelaku bisa didapatkan ratusan, bahkan ribuan kartu kredit. Pada tahun 2008, ada satu kasus yang jumlah kartu kredit palsunya mencapai 7000 kartu dan yang telah dipakai untuk bertransaksi sebanyak 6900 kartu! Dan yang menjadi target pemalsuan adalah kartu kredit dari bank-bank ternama seperti Bank BNI, Bank Danamon, Bank Central Asia (BCA), Bank Internasional Indonesia (BII), bahkan bank internasional seperti CitiBank, Standard Chartered Bank, Hong Kong and Shanghai Banking Corporation (HSBC), Hong Kong Bank, American Express Bank, dan Bank National Australia. Sungguh menyeramkan!

Ada beberapa Modus bagi penjahat cyber ini untuk melakukan Carding, yaitu :

 

1. Skimming

Sederhananya, skimming adalah pengopian data kartu magnetik secara ilegal, dengan menggunakan perangkat magnetic card reader. Pencurian data terjadi pada saat pemilik betransaksi di kasir, sebelum kartu kredit digesekkan ke mesin EDC, terlebih dahulu di gesek pada alat mungil bernama Skimming Device yang dapat membaca dan merekam data pada magnetic stripe kartu kredit asli.Modus ini jelas melibatkan Merchant staff tersebut. Setelah data tersimpan dalam skimming device, data tersebut dipindahkan ke kartu palsu yang datanya masih kosong, sehingga kartu baru sekarang dapat bertindak sebagai kartu kredit yang “asli”.

2. Membobol database bank

Melalui modus ini, attacker dapat membobol database bank dan mencuri informasi mengenai pengguna kartu kredit yang ada sehingga data-data yang ada dapat digunakan dalam pembuatan kartu kredit palsu. Sebagai cara lain, database bank ini juga dapat diperoleh melalui kerjasama dengan orang “dalam” bank. Berita di tempointeraktif.com Edisi 4 Maret 2008, Badan Reserse Kriminal Mabes Polri telah mengungkap jaringan pemalsu kartu kredit diduga melibatkan tiga karyawan Bank Internasional Indonesia. Polisi menuduh mereka menjual data kartu kredit ke anggota jaringan internasional. Tiap data itu dibanderol Rp 300-500 ribu oleh penadah. Dari pengakuannya kepada penyidik, karyawan tersebut menjalani aksinya sejak 2002-2005.

3. Transaksi merchant Attacker membaca dan bisa saja merekam dengan kamera, tiga angka di balik kartu kredit Anda. Angka ini merupakan kode Card Verification Value (CVV) dari kartu kredit Anda. Sebuah transaksi hanya akan berhasil jika kasir menginput tiga digit angka ini. Tiga angka ini bersifat sangat rahasia sehingga sebisa mungkin tidak ada orang lain yang tahu.

Modus-modus di atas merupakan modus-modus yang paling sering dilakukan oleh penjahat cyber. Nah, selanjutnya, antisipasi apa yang dapat kita lakukan?

1. Kenali dan waspadai modus carding Seperti dijelaskan di atas, terdapat sejumlah modus carding. Pengguna kartu kredit perlu lebih waspada saat melakukan transaksi merchant. Pastikan kartu kredit Anda tidak terlihat oleh orang lain saat akan menggeseknya. Attacker bisa ada di sekeliling Anda, dan bekerja dalam tim. Saat salah satu pelaku menarik perhatian Anda, pelaku yang lain mengamati kode CVV di balik kartu kredit. Hanya butuh waktu sekian detik untuk mengingat tiga angka tersebut.

2. Tutup kode CVV dengan selotip Cara sederhana yang dapat kita lakukan adalah menutupi kode CVV dengan selotip. Kode CVV merupakan bagian paling penting dan krusial dari kartu kredit. Cara ini membantu melindungi kartu kredit dari incaran pelaku carding.

3. Harus awasi gerak-gerik kasir pada saat anda bertransaksi, apalagi anda sebagai pemilik Kartu Kredit Platinum yang memang menjadi incaran para penjahat seperti ini.

4.Hati-hatilah dalam melaporkan kerusakkan mesin EDC anda, pastikan bahwa memang sesuai prosedur dan orang yang memang memiliki otoritas untuk hal ini. Jangan mengizinkan sembarang orang memeriksa mesin EDC anda.

5. Jangan menyimpan password atau nomor rekening dalam ponsel Informasi data adalah aset paling berharga yang diincar oleh pelaku. Dengan menyimpan semua data penting di ponsel, saat ponsel hilang, celah inilah yang menjadi peluang ekonomi ilegal bagi para attacker. Kartu kredit merupakan salah satu cara pembayaran yang paling diminati di dunia. Selain karena alasan kemudahan tidak perlu membawa uang tunai, alasan keperluan dan manajemen keuangan tentunya menjadi yang paling penting karena dengan kartu kredit, seseorang tidak perlu membayar saat itu juga, namun dapat dibayar di akhir bulan, atau saat masa jatuh tempo pembayaran tagihan kartu kredit. Dengan menjamurnya kartu kredit, semakin banyak dan beragam pula berbagai metode untuk memalsukan kartu kredit. Menurut saya, sebagai mahasiswa, apabila belum diperlukan, sebaiknya tidak usah memiliki kartu kredit, bahkan lebih dari 1 buah. Namun apabila ada yang sudah memilikinya, tetap harus waspada dan selalu memperhatikan kerahasiaan kartu kredit kita. Sebagai pemegang kartu kredit, apabila ada transaksi dengan jumlah mencurigakan dan tagihan membengkak, ada baiknya segera laporkan ke pihak penerbit kartu kredit (dalam hal ini bank) agar segera diusut mengapa hal ini mencurigakan. Selain pemegang kartu kredit, menurut saya, kasir dalam transaksi juga sebaiknya tidak lalai dan ceroboh dalam melayani pembeli yang membayar dengan kartu kredit. Terkadang, kasir begitu malas dan lalai untuk kembali melakukan verifikasi data seperti nama, tanda tangan, dan foto pemilik kartu kredit.

 

Kartu Kredit menawarkan kemudahan dalam akses transaksi jual beli, namun yang namanya teknologi, pasti ada saja celah bagi orang-orang yang tidak bertanggung jawab untuk merugikan orang lain, apalagi motifnya uang (ekonomi). Sebagai pengguna, ada baiknya kita selalu waspada dan selalu menjaga kerahasiaan yang ada pada diri kita sehingga teknologi yang diterapkan pada kartu kredit menjadi tepat guna, memudahkan dan menguntungkan, bukannya malah merugikan.

 

Referensi :

http://female.kompas.com/read/2010/03/12/17073492/Lindungi.Kartu.Kredit.dari.Pemalsuan

http://www.majalahtrust.com/verboden/verboden/502.php

http://id.shvoong.com/business-management/1965141-modus-pemalsuan-kartu-kredit/

http://www.tempo.co.id/hg/nasional/2008/03/04/brk,20080304-118556,id.html

http://www.tempointeraktif.com/hg/nasional/2008/03/05/brk,20080305-118684,id.html

Posted in Keamanan dan Kehandalan pada Jaringan | No Comments »
Oct 9

Dalam minggu-minggu ini saya disibukkan dengan beberapa aktivitas riset dan kuliah. 5 mata kuliah yang menurut saya, cukup banyak menyita waktu yaitu Sistem Basis Data, Komunikasi Fotonik (S2), Keamanan Jaringan, Pemrosesan Sinyal Dijital (S2) dan Teori Coding.

Semua mata kuliah ini memiliki kesulitan dan tugas masing-masing. Ada beberapa tugas untuk dikerjakan di rumah yang diberikan minggu ini, dan 3  mata kuliah memberikan PR, yaitu PSD, Keamanan Jaringan, dan Sistem Basis Data. Cukup menyita waktu riset saya, apalagi minggu depan akan diadakan kuis Fotonik!

Perkembangan riset sudah mencapai pemahaman makro mengenai skripsi melalui studi literatur dari jurnal atau buku teks yang tersedia. Pemahaman mengenai Shape Recognition, Colour, Intensity Recognition, dan lain-lain dapat dipahami dengan baik. Selanjutnya dalam 2 minggu ke depan akan dilakukan penentuan metode makro yang cocok untuk riset.

Tulisan ini menjadi salah satu laporan untuk BPKLN Kemdiknas dan SEAMOLEC, info lebih lanjut mengenai monitoring silahkan menuju http://seamolec.org/ft/

Posted in Scholarship | No Comments »
Sep 25

Pengenalan objek yang dilakukan oleh mata manusia terasa begitu mudah, dengan beberapa saat, mata dapat mengenali objek yang berbeda-beda dari sudut pandang yang berbeda pula. Pada komputer, atau sistem dijital, pengenalan objek dilakukan dengan pengolahan citra (image processing). Pengenalan objek pada pengolahan citra merupakan suatu proses identifikasi objek pada sebuah gambar dua dimensi dengan bantuan karakteristik objek tersebut. Terdapat beberapa metode dalam mengenali objek pada pengolahan citra, di antaranya adalah deteksi tepi (edge detection), deteksi titik penting (interest point detection), SIFT, dan lain-lain. Tugas akhir ini akan membahas metode terbaik dengan pertimbangan efisiensi dan kemudahan. Dalam aplikasi dan implementasi selanjutnya, tugas akhir ini akan membahas bagaimana mengenali objek yaitu berbagai tipe kapal perang khususnya milik TNI-AL.

 

Topik Riset ini menjadi salah satu laporan untuk BPKLN Kemdiknas dan SEAMOLEC, info lebih lanjut mengenai monitoring silahkan menuju http://seamolec.org/ft/

Posted in Scholarship | No Comments »
Sep 24

Beasiswa Fast-Track merupakan beasiswa yang diberikan oleh BPKLN (Biro Perencanaan dan Kerjasama Luar Negeri) di bawah naungan Kementrian Pendidikan Nasional. Untuk saat ini, penerima beasiswa fast-track adalah mahasiswa-mahasiswa tingkat akhir di beberapa perguruan tinggi negeri ternama di Indonesia seperti UI, ITB, UGM, UB, ITS, dan lain-lain. Beasiswa ini menanggung biaya pendidikan sesuai dengan SPP yang berlaku di Universitas asal. Melalui beasiswa ini, seorang mahasiswa dimungkinkan untuk mendapatkan gelar S1 dan S2 hanya dalam rentang waktu 5 tahun.

Mahasiswa S1 semester 7, langsung merangkap sebagai mahasiswa S2 semester 1, selanjutnya semester ke 8 sebagai mahasiswa S2 semester 2. Setelah wisuda S1, penerima beasiswa melanjutkan setahun lagi kuliah sebagai mahasiswa S2 semester 3 dan Semester 4. Program beasiswa ini merupakan beasiswa baru yang dirintis oleh BPKLN dengan nama Beasiswa Unggulan. Program dengan nama serupa juga dimiliki oleh Dikti, namun program yang di Dikti mengharuskan penerima beasiswa adalah dosen atau calon dosen.

 

Untuk informasi lengkap mengenai program beasiswa , bisa langsung saja menuju : beasiswaunggulan.kemdiknas.go.id

 

Untuk info penerima beasiswa dan blog-blog mereka, bisa menuju ke http://seamolec.org/ft/

Posted in Scholarship | No Comments »
Aug 12

Welcome To My First Blog

Let Me introduce myself, I’m Chandra Hartanto

I’m student at University of Indonesia majoring in Electrical Engineering with Telecommunication concentration.

This blog is containing my task, my research, and my social responsibility as a student for the scholarship programme.

Yes, I have my Scholarship for Fast-Track Programme from BPKLN-Kementerian Pendidikan Nasional (National Ministry of Education), so i can get my bachelor and my master degrees for only 5 years! Thank to God and BPKLN for this scholarship.

I’m a newbie in blogging, so your comments and tips will help me a lot!

 

Happy READING!

Posted in Uncategorized | 1 Comment »