Security Warning Internet Banking

Apa yg harus dilakukan jika ada security warning pada Internet banking?
Lebih dari 1 tahun yang lalu, saya menghubungi call center beberapa bank yang memiliki layanan Internet banking untuk mengetahui seberapa jauh tanggung-jawab perbankan untuk mendidik atau meningkatkan kesadaran nasabahnya agar terhindar dari ancaman serius saat menggunakan fasilitas Internet banking. Namun tiap kali jawaban yang diberikan call center malah menjerumuskan nasabah..

Saat TSF2007 Seminar-1 di Cilegon pertengahan Agustus 2007, Toto yang mendapat jatah presentasi mengenai SSL man-in-the-middle (MITM) attack, memperdengarkan hasil rekaman pembicaraan serupa dari beberapa call center bank-bank terkemuka kepada para peserta seminar. Semua peserta hanya geleng-geleng kepala, tersenyum dan tertawa mendengar jawaban call center yang sedapat mungkin terdengar meyakinkan (namun menyakitkan nasabah kalau sampai transaksinya di-hack).

Ketika ditanya, “Apa yang harus dilakukan terhadap Security Warning saat mengakses Internet Banking?” Seluruh call center dari bank-bank yang dihubungi menjawab kurang lebih, “Klik Yes atau OK saja, pak.”

SSL Security Error Domain Name Mismatch

Contoh salah satu peringatan dari browser saat membuat sesi SSL

SSL MITM merupakan kelemahan dari implementasi protokol SSL yang setengah-setengah. Dalam dunia nyata, kedua belah pihak harus memastikan kebenaran identitas (otentikasi) pihak lain jika ingin aman bertransaksi. Demikian pula halnya dalam dunia maya. Protokol SSL memiliki kemampuan untuk melakukan otentikasi mutual, maksudnya server dan client sama-sama melakukan proses otentikasi. Saat ini hampir seluruh transaksi di Internet yang dilindungi protokol SSL hanya melakukan otentikasi client terhadap server, namun tidak sebaliknya. Banyak orang berpikir tehnik serangan SSL MITM sulit dilakukan. Dengan berbagai hacking tools yang tersedia bebas di Internet didukung dengan berbagai macam kelemahan yang ada pada sistem, prosedur dan manusia, melakukan serangan SSL MITM sudah bisa dilakukan oleh hacker berkategori script kiddies (pemula).

“Indah”-nya, serangan SSL MITM tidak akan terdeteksi oleh sistem keamanan disisi bank sehingga bank dengan mudah berkelit dari tanggung-jawab. Kondisi yang terjadi pada serangan SSL MITM dapat dianalogikan secara sederhana sebagai berikut…

1. Nasabah mengirim cek yang sudah ditanda-tangani dengan lampiran lembaran kertas biasa yang berisi nilai uang dan nama penerima dimasukan kedalam amplop biasa.
2. Siapapun yang dilalui amplop tersebut (tukang pos, pembantu yang dititipi, supir yang mengantar, satpam bank yang menerima, staf bank yang mengambil dari deposit box, dll) bisa menyobek amplop, mengganti kertas lampiran beserta isinya (nilai uang dan nama penerima) dan memasukan kedalam amplop yang baru.
3. Kasir bank yang menerima amplop tersebut hanya bisa memastikan bahwa cek tersebut sudah ditanda-tangani. Nilai uang dan nama penerima yang sudah diganti tidak akan terdeteksi.

Tingkat kesulitan untuk mencuri uang tanpa diketahui pada analogi diatas tergantung mekanisme ditiap bank saat melakukan transfer dana. Paling tidak bisa mengintip transaksi yang terjadi, termasuk mencuri username dan password. Sistem keamanan menggunakan token (kalkulator / one time password) dan sertifikat Verisign yang diiklankan oleh bank sebagai faktor pengaman yang tangguh tidak membantu dalam menghadapi serangan SSL MITM ini.

Keterbatasan keamanan dari suatu teknologi dan implementasinya merupakan hal yang lumrah. Tidak ada yang 100% aman. Tapi tingkat keberhasilan serangan SSL MITM akan menjadi jauh lebih kecil jika para nasabah diberi petunjuk apa yang harus dan jangan dilakukan saat dihadapi pada kondisi-kondisi tertentu.

(Sumber: http://think.securityfirst.web.id )