Onnowpurbo: /* Pranala Menarik */

2015-08-24T07:25:16Z

Pranala Menarik

← Older revision		Revision as of 07:25, 24 August 2015
Line 276:		Line 276:

	* [[Linux Howto]]		* [[Linux Howto]]
			* [[openssl: Beberapa Situs e-Banking]]

Onnowpurbo: New page: Tulisan ini akan berusaha mengevaluasi / meneropong situs e-banking di samping menyarankan kepada pengguna, apa saja yang perlu dilakukan agar proses e-banking dapat dilakukan deng...

2010-01-13T23:09:18Z

New page: Tulisan ini akan berusaha mengevaluasi / meneropong situs e-banking di samping menyarankan kepada pengguna, apa saja yang perlu dilakukan agar proses e-banking dapat dilakukan deng...

New page

Tulisan ini akan berusaha mengevaluasi / meneropong situs [[e-banking]] di samping menyarankan kepada pengguna, apa saja yang perlu dilakukan agar proses [[e-banking]] dapat dilakukan dengan aman.

[[Image:E-banking01.jpg|right|200px|thumb]]
Gambaran topologi sambungan antara pelanggan / user ke situs [[e-Banking]] dapat dilihat pada gambar di atas. Pengguna akan menggunakan komputernya yang biasanya tersambung ke [[LAN]] di kantor. [[LAN]] di kantor biasanya tersambung ke [[Internet]] melalui [[Router]] (kemungkinan [[Router]] [[ADSL]]) ke Internet. Situs [[e-banking]] biasanya tersambung langsung ke [[Internet]] dan dapat berlokasi di hosting provider, atau di bank itu sendiri.

==Tip Bagi Pengguna e-Banking==

* Jangan Pernah Menggunakan [[WARNET]]
* Jangan Pernah Akses ke [[Situs Porno]] & non kerjaan di [[Internet]]
* Hati-hati dengan [[USB Flashdisk]]
* Hati-hati dengan “[[Social Engineering]]”
* Hati-hati situs [[e-banking]] palsu.
* Hati-hati [[Phissing]] melalui [[spam]] [[e-mail]].
* Install [[Antivirus]], [[Antiadware]], [[Antispam]] & pastikan komputer anda bebas [[virus]], [[trojan]], [[keylogger]], dll. – Paling mudah gunakan [[Linux]].

==Serangan di Internet==

Ada beberapa jenis serangan yang dapat terjadi pada seseorang yang sedang mengakses Internet, seperti,

* [[Social Engineering]]
* [[Virus]] / [[Trojan]] / [[Spyware]]
* [[Denial of Service]] ([[DoS]])
* [[Sniffing]]
* [[IP Spoofing]]
* [[Worm]]
* [[Replay Attack]]
* [[Man In The Middle]]

Serangan spesifik pada masing-masing komponen jaringan dapat di sederhanakan sebagai berikut,

* Serangan Pada [[computer]] pengguna akan banyak berupa [[virus]], [[Trojan]], [[spyware]], [[keylogger]]. Biasanya kondisi ini akan lebih parah lagi pada [[computer]] di [[WARNET]] yang menggunakan [[system operasi]] Windows.
* Serangan pada jaringan [[LAN]], biasanya berupa [[Sniffing]], [[Spoofing]], [[Man in the middle]] Attack. Mungkin relative aman untuk di kantor, yang lingkungannya relative terkontrol. Akan tetapi di [[WARNET]], biasanya kondisinya akan parah – apalagi jika banyak orang yang suka mengakses [[situs porno]] dll. Di situ sumber berbagai [[software]] yang tidak baik yang ada di [[Internet]].
* Di [[Internet]], kondisinya juga tidak berbeda jauh dengan [[LAN]] di [[WARNET]], biasanya di tambah dengan berbagai kemungkinan serangan lainnya seperti [[replay attack]] dll.
* Serangan pada [[server]]-[[server]] di [[Internet]] juga tidak kalah seru. Serangan pada [[server]] yang relative secure biasanya lebih banyak berupa usaha untuk mematikan [[server]] / jaringan pada [[server]] tersebut agar tidak dapat berfungsi ([[Denial of Service]]), melalui [[flood paket]], [[worm]] dll.
* Serangan secara [[computer]] biasanya dapat di tangani dengan relative mudah jika kita cukup berpengetahuan dan disiplin. Akan tetapi serangan yang bersifat non-IT serangan kepada manusia dalam bentuk “[[Social Engineering]]” akan sangat berbahaya sekali. Hal ini perlu di hayati oleh semua pengguna [[e-banking]]. Contoh paling sederhana adalah penawaran-penawaran hadiah yang menggiurkan, dan kita harus membayar pajaknya.

==Pertahanan Sistem==

Meminimalisasi kemungkinan serangan dapat dilakukan dengan beberapa cara, yaitu,

* Menggunakan enkripsi, dalam hal ini [[SSL]] 128bit yang sangat aman dari [[sniffer]]. Akan tetapi serangan seperti [[virus]], [[Trojan]], [[spyware]] di [[computer]] pengguna tapi “[[social engineering]]” masih harus di hadapi di sisi penguna.
* [[Firewall]] dapat di pasang di [[server]]. Akan tetapi, serangan berupa [[Distributed Denial of Service]] ([[DDOS]]), [[Flooding]] akan tetap menghantui [[server]]. Koordinasi dengan upstream provider menjadi penting.
[[Intrusion Detection & Prevention System]] biasanya di instalasi di [[server]]. Untuk mendeteksi adanya serangan dari luar. Biasanya menggunakan finger print packet serangan untuk mendeteksi adanya serangan tersebut.

Pertahanan di sisi teknologi Informasi akan bertambah sulit di tembus jika di tambahkan lapisan pertahanan tambahan disisi proses transaksi. Pada Bank Permata e-Business, tambahan proteksi pada proses transaksi meliputi

* Penggunaan User ID and Password

Tingkat Kewenangan, yaitu :

* System administrator, yang melakukan pendaftaran untuk seluruh pengguna yang menggunakan fitur dari Permatae-Business
* Maker, yang melakukan proses pembuatan atas transaksi
* Verifier, yang melakukan proses pemeriksaan atas transaksi
* Approver, yang melakukan proses persetujuan atas transaksi
* Persetujuan transaksi dilakukan oleh lebih dari 1 orang dan secara berjenjang
TIN & Token untuk Approver. Teknik Token merupakan teknik security [[One Time Password]] ([[OTP]]) yang hanya memungkinkan sebuah [[password]] digunakan satu kali saja, perhitungan password dilakukan menggunakan challenge-responds.
* Limit transaksi dan limit akses per fitur
* Audit trail melalui Permatae-Business

==Evaluasi Pertahanan situs www.permatae-business.com==

[[Image:Permata-ebusiness01.jpg|center|200px|thumb|Situs Bank Permata e-Businesss]]
situs www.permatae-business.com akan memaksa pengguna menggunakan protocol [[HTTPS]] ([[secure HTTP]]) untuk mengakses situs www.permatae-business.com.

Cek menggunakan perintah WHOIS untuk melihat siapa pemilik situs www.permatae-business.com

[root@yc0mlc ~]# whois permatae-business.com
[Querying whois.internic.net]
[Redirected to whois.opensrs.net]
[Querying whois.opensrs.net]
[whois.opensrs.net]
Registrant:
Permata Bank PT. Tbk.
Permata Bank Tower III, 8\\\'th
Jl. M.H. Thamrin Blok BI No. 1
Bintaro Jaya sektor 7
Tangerang, Lainnya 15224
ID

Domain name: PERMATAE-BUSINESS.COM

Administrative Contact:
CURYANI, DEDY dcuryani@permatabank.co.id
Permata Bank Tower III, 8\\\'th
Jl. M.H. Thamrin Blok BI No. 1
Bintaro Jaya sektor 7
Tangerang, Lainnya 15224
ID
62-021-7450664 Fax: 62-021-7452104

Technical Contact:
Simanungkalit, Toni tsimanungkalit@permatabank.co.id
Permata Bank Tower III, 8'th
Jl. M.H. Thamrin Blok BI No. 1
Bintaro Jaya sektor 7
Tangerang, Lainnya 15224
ID
62-021-7453018 Fax: 62-021-7452104

Registration Service Provider:
NamaDomain.com, info@namadomain.com
+62-21-6632363
+62-21-6602587 (fax)
http://www.namadomain.com
This company may be contacted for domain login/passwords,
DNS/Nameserver changes, and general domain support questions.

Registrar of Record: TUCOWS, INC.
Record last updated on 07-Jun-2006.
Record expires on 09-Jun-2011.
Record created on 09-Jun-2005.

Domain servers in listed order:
NS2.CBN.NET.ID
NS1.PERMATAE-BUSINESS.COM 202.191.2.66

Domain status: ACTIVE

Tampak bahwa permatae-business.com milik Bank Permata di Indonesia dengan status ACTIVE.

[[Image:Dnsstuff01.jpg|right|200px|thumb]]
Melalui situs www.dnsstuff.com kita dapat mengevaluasi apakah seluruh ROOT Server yang mengontrol domain di seluruh dunia mengenali permatae-business.com.

Hasil yang di peroleh terlihat jelas bahwa semua server Global Top Level Domain gtld mengetahui secara benar name server yang membawa permatae-business.com.

Untuk melihat kondisi server dan pertahanan yang ada di server, kita dapat melakukan port scanning menggunakan NMAP dengan hasil kira-kira

[root@yc0mlc ~]# nmap -v -sS -P0 -O www.permatae-business.com

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-07-30 10:44 WIT
Initiating SYN Stealth Scan against 202.191.2.5 [1663 ports] at 10:45
Discovered open port 443/tcp on 202.191.2.5
Discovered open port 80/tcp on 202.191.2.5
SYN Stealth Scan Timing: About 32.11% done; ETC: 10:46 (0:01:03 remaining)
The SYN Stealth Scan took 90.40s to scan 1663 total ports.
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
For OSScan assuming port 80 is open, 33737 is closed, and neither are firewalled
Host 202.191.2.5 appears to be up ... good.
Interesting ports on 202.191.2.5:
(The 1661 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Device type: firewall|general purpose
Running: IPCop Linux 2.2.X, Sun Solaris 9
OS details: IPCop 1.20 Linux 2.2.2X-based firewall, Sun Solaris 9
Uptime 14.293 days (since Sun Jul 16 03:43:59 2006)
TCP Sequence Prediction: Class=random positive increments
Difficulty=54120 (Worthy challenge)
IPID Sequence Generation: Incremental

Nmap finished: 1 IP address (1 host up) scanned in 99.154 seconds
Raw packets sent: 3359 (135KB) | Rcvd: 25 (1248B)

Secara umum ada dua port yang beroperasi secara terbuka, yaitu, 80 ([[HTTP]]) dan 443 ([[HTTPS]]). [[Server]] www.permatae-business.com berada pada sebuah mesin [[firewall]] yang mengkemungkinan menggunakan IPCop atau Sun Solaris 9. TCP Sequence prediction cukup sukar dilakukan dengan tingkat kesulitan sekitar 54120.

Cukup standard untuk pertahanan yang baik bagi sebuah Bank di [[Internet]]. Dalam artian relative sulit untuk di tembus, tapi masih dapat di tingkatkan lagi jika managemen Bank menghendaki.

Evaluasi enkripsi dapat dilakukan menggunakan [[OpenSSL]] untuk melihat [[sertifikat digital]] Bank dan berbagai protocol enkripsi yang digunakan.

[root@yc0mlc ~]# openssl s_client -connect www.permatae-business.com:443
CONNECTED(00000003)
depth=2 /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/C=ID/ST=DKI/L=Jakarta/O=Permata Bank/OU=Information Technology/OU=Terms of use at www.msctrustgate.com/rpa (c) 04/OU=Authenticated by MSC Trustgate.com Sdn. Bhd/OU=Member, VeriSign Trust Network/CN=www.permatae-b usiness.com
i:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
1 s:/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
2 s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIE3zCCBEigAwIBAgIQcbNTYxKbRovxfayO5FCYwDANBgkqhkiG9w0BAQQFADCB
ujEfMB0GA1UEChMWVmVyaVNpZ24gVHJ1c3QgTmV0d29yazEXMBUGA1UECxMOVmVy
aVNpZ24sIEluYy4xMzAxBgNVBAsTKlZlcmlTaWduIEludGVybmF0aW9uYWwgU2Vy
dmVyIENBIC0gQ2xhc3MgMzFJMEcGA1UECxNAd3d3LnZlcmlzaWduLmNvbS9DUFMg
SW5jb3JwLmJ5IFJlZi4gTElBQklMSVRZIExURC4oYyk5NyBWZXJpU2lnbjAeFw0w
NTA5MjAwMDAwMDBaFw0wNjA5MjAyMzU5NTlaMIIBIjELMAkGA1UEBhMCSUQxDDAK
BgNVBAgTA0RLSTEQMA4GA1UEBxQHSmFrYXJ0YTEVMBMGA1UEChQMUGVybWF0YSBC
YW5rMR8wHQYDVQQLFBZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MTgwNgYDVQQLEy9U
ZXJtcyBvZiB1c2UgYXQgd3d3Lm1zY3RydXN0Z2F0ZS5jb20vcnBhIChjKSAwNDE0
MDIGA1UECxMrQXV0aGVudGljYXRlZCBieSBNU0MgVHJ1c3RnYXRlLmNvbSBTZG4u
IEJoZDEnMCUGA1UECxMeTWVtYmVyLCBWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMSIw
IAYDVQQDFBl3d3cucGVybWF0YWUtYnVzaW5lc3MuY29tMIGfMA0GCSqGSIb3DQEB
AQUAA4GNADCBiQKBgQDVRBY0PTJlS9llVsLJvYbLxleHA6y8Vz0qL3T/nE0IrRJ2
9ZGt2o/sw97+PPJVIWGWn+AUlKDHhXPAiX1h+LrY/xP93A8O0UaOPm3IScKQA5Qp
g3m2ahg+vC2jowgL6HUVgZ8EyAx6DxYN20q3S1Zq/NYd7DIGtTyLLeeSLEY5wwID
AQABo4IBeTCCAXUwCQYDVR0TBAIwADCBrAYDVR0gBIGkMIGhMIGeBgtghkgBhvhF
AQcBATCBjjAoBggrBgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL0NQ
UzBiBggrBgEFBQcCAjBWMBUWDlZlcmlTaWduLCBJbmMuMAMCAQEaPVZlcmlTaWdu
J3MgQ1BTIGluY29ycC4gYnkgcmVmZXJlbmNlIGxpYWIuIGx0ZC4gKGMpOTcgVmVy
aVNpZ24wEQYJYIZIAYb4QgEBBAQDAgZAMCgGA1UdJQQhMB8GCWCGSAGG+EIEAQYI
KwYBBQUHAwEGCCsGAQUFBwMCMDQGCCsGAQUFBwEBBCgwJjAkBggrBgEFBQcwAYYY
aHR0cDovL29jc3AudmVyaXNpZ24uY29tMEYGA1UdHwQ/MD0wO6A5oDeGNWh0dHA6
Ly9jcmwudmVyaXNpZ24uY29tL0NsYXNzM0ludGVybmF0aW9uYWxTZXJ2ZXIuY3Js
MA0GCSqGSIb3DQEBBAUAA4GBAK/HHiyFN5M+ijdi8kwMZr5NtyZwJ+Ch+rBlevB4
w4uc4QESjA9DtwD8+ipU/fWgbXwHe3HWgjNAoyRIIM6uUUHYD290XwdIT19Xt6Yh
teVVSdkb/PwJykgV1ChN07NCfDKs/oWkWWpml3L1nRN2d8BVdeIOnnviUuWy1jzi
QX/2
-----END CERTIFICATE-----
subject=/C=ID/ST=DKI/L=Jakarta/O=Permata Bank/OU=Information Technology/OU=Terms of use at www.msctrustgate.com/rpa (c) 04/OU=Authenticated by MSC Trustgate.com Sdn. Bhd/OU=Member, VeriSign Trust Network/CN=www.permatae-business.com
issuer=/O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
---
No client certificate CA names sent
---
SSL handshake has read 2866 bytes and written 324 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID: C85797B38A9C4D96F24C0A5CFAEEE81D
Session-ID-ctx:
Master-Key: 97A8C1178297F961B0B62DC3FF030F1DC12578A2DCBE77D85A248CA1355B49EF181A94524D952161025F78F26CB3762E
Key-Arg : None
Krb5 Principal: None
Start Time: 1154231573
Timeout : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
---

Terlihat bahwa sertifkat benar-benar milik bank Permata di Jakarta. Sertikat di issue oleh Verisign (http://www.verisign.com) yang merupakan [[Certificate Authority]] terbesar dan terpercaya di [[Internet]]. Beberapa teknis enkripsi yang terdeteksi,

* Mekanisme [[enkripsi]] yang digunakan [[RC4]], untuk 128bit [[SSL]] akan membutuhkan waktu 12.710.204.652.610.000.000.000.000 tahun untuk menjebol.
* Fungsi hash standard MD5 untuk membuat [[tanda tangan digital]].
* [[Public key]] 1024 bit sulit di jebol.

Sedikit perbandingan waktu yang dibutuhkan untuk menjebol enkripsi menggunakan serangan brute force pada mekanisme enkripsi DES dan RC4 untuk memberikan gambaran tingkat kesulitan yang harus di hadapi oleh para penyerang.

'''Brute Force Attacked Pada DES'''

{| border="1" cellpadding=2 style="border-collapse: collapse"
! Kunci DES
! Waktu
|-
! 40 bit
| 0.4 detik
|-
! 56 bit
| 7 jam
|-
! 64 bit
| 74 jam 40 menit
|-
! 128 bit
| 157.129.203.952.300.000 tahun
|}

'''Brute Force Attacked Pada RC4'''

{| border="1" cellpadding=2 style="border-collapse: collapse"
! Kunci RC4
! Waktu
|-
! 40 bit
| 15 hari
|-
! 56 bit
| 2.691,49 tahun
|-
! 64 bit
| 689.021,57 tahun
|-
! 128 bit
| 12.710.204.652.610.000.000.000.000 tahun
|}

==Pranala Menarik==

* [[Linux Howto]]

Meneropong Situs e-banking - Revision history

Onnowpurbo: /* Pranala Menarik */

Onnowpurbo: New page: Tulisan ini akan berusaha mengevaluasi / meneropong situs e-banking di samping menyarankan kepada pengguna, apa saja yang perlu dilakukan agar proses e-banking dapat dilakukan deng...