Enkripsi Bobol, Tsunami bagi E-Commerce

13 Januari 2014
Enkripsi Bobol, Tsunami bagi E-Commerce?
Artikel Info Komputer Januari 2014
20140113I_enkripsibobol01
Enkripsi internet sejatinya membutuhkan milyaran tahun untuk dibobol dengan komputer yang tersedia pada saat ini http://www.youtube.com/watch?v=u2v5Dd9wJkY. Namun ternyata berhasil dibobol karena celah keamanan yang sengaja diselipkan atas tekanan NSA pada vendor penyedia enkripsi komersial dengan tujuan supaya NSA dapat mengetahui isi data terenkripsi yang berhasil mereka sadap tanpa harus bersusah payah. Hal ini secara tidak langsung membuat Google buru-buru meningkatkan perlindungan enkripsi dari 1024 bit menjadi 2048 bit pada akhir 2013 dan Yahoo yang sebelumnya tidak menerapkan enkripsi pada layanan emailnya dan secara teknis seluruh pengguna email Yahoo menjadi sasaran empuk penyadapan akan menerapkan enkripsi SSL 2048 bit pada tanggal 8 Januari 2014 http://yahoo.tumblr.com/post/67373852814/our-commitment-to-protecting-your-information dan pada kuartal pertama 2014 untuk semua layanan mereka termasuk komunikasi antar data center. Memang wajar kalau Yahoo dan Google khawatir ditinggalkan pelanggannya karena pelemahan enkripsi ini jelas merupakan ancaman bagi privasi semua pengguna layanannya. Selain itu, pihak mana lagi yang paling berkepentingan dengan enkripsi yang aman ? Salah satunya adalah organisasi yang berhubungan dengan transaksi keuangan seperti institusi keuangan, pelaku e-commerce dan kalangan perbankan. Namun kalau di tilik lebih jauh, sehubungan dengan pengamanan TFA Two Factor Authentication dan OTP One Time Password yang sudah menjadi standar de facto dalam pengamanan transaksi perbankan namun belum banyak diterapkan dalam dunia e-commerce lainnya dimana banyak transaksi e-commerce menggunakan kartu kredit masih belum mengadopsi OTP, maka sejatinya transaksi yang paling rentan mengalami kerugian finansial langsung atas pelemahan enkripsi ini bukanlah transaksi internet banking, karena mereka masih terlindungi dengan baik oleh OTP. Pihak pemilik e-commerce online dan penerbit kartu kreditlah yang harusnya paling khawatir dengan pelemahan enkripsi ini. Khususnya jika informasi eksploitasi celah keamanan dari enkripsi ini sampai ke tangan kriminal, sudah pasti semua informasi keuangan yang selama ini terlindungi dengan baik oleh enkripsi dan lalu lalang dengan aman di internet seperti nomor kartu kredit, CVV / CVC, jatuh tempo, nama pemilik kartu atau informasi apapun yang dikirimkan melalui internet akan bisa diketahui oleh kriminal. Hal ini jelas akan menjadi bencana besar bagi e-commerce.

Jika hal ini terjadi, kepercayaan masyarakat terhadap keamanan transaksi di internet akan menurun dan jelas akan menyurutkan minat menggunakan internet dalam melaksanakan transaksi. Hal ini akan menyebabkan inefisiensi dan kemunduran karena sampai saat ini, internet sudah terbukti sebagai sarana yang sangat efisien dan efektif dalam mendukung transaksi berbiaya tinggi yang selama ini berjalan sebelum adanya internet.

OTP One Time Password sang juru selamat
TFA atau otentikasi dua faktor paling sering disebut sebagai pengamanan transaksi keuangan yang baik dan sampai saat ini paling banyak digunakan oleh perbankan dalam pengamanan transaksi keuangan. Dimana prinsip dasarnya adalah pelaku transaksi harus memiliki dua faktor untuk otentikasi. Yang pertama adalah 'what you have' atau apa yang anda miliki dan faktor otentikasi yang kedua adalah 'what you know' atau apa yang anda ketahui. Walaupun anda belum pernah memiliki atau melakukan transaksi internet banking, sebenarnya TFA ini tanpa anda sadari sudah anda lakukan jika anda pernah menarik tunai dari ATM Anjungan Tunai Mandiri. Sebagai persyaratan untuk melakukan penarikan tunai anda harus memiliki 2 faktor, faktor pertama adalah kartu ATM (yang tentunya memiliki saldo yang cukup) dan yang kedua adalah anda mengetahui pin untuk melakukan transaksi menggunakan kartu ATM tersebut. Tanpa kedua hal ini, tidak mungkin anda bisa melakukan transaksi keuangan di ATM. Karena itu, sangat penting untuk menyimpan kartu ATM anda dengan baik dan jangan sekali-kali mencatat pin ATM di dalam dompet yang juga disimpan bersama dengan ATM, termasuk menggunakan pin yang mudah ditebak seperti tanggal lahir anda atau angka yang mudah ditebak sebagai pin transaksi ATM anda.

Namun, sekalipun sampai saat ini metode TFA di atas masih relatif aman dan tetap digunakan dalam pengamanan transaksi ATM, namun metode yang sama tidak akan memberikan pengamanan yang baik dalam transaksi internet banking. Alasan utamanya adalah karena penggunaan kredensial / informasi rahasia yang berulang akan sangat berbahaya jika diterapkan dalam pengamanan transaksi internet dan menjadi salah satu titik lemah dalam pengamanan internet banking. Kalau di mesin ATM, informasi kartu ATM dan pin anda yang sama digunakan berulang-ulang masih tetap aman karena menggunakan jaringan internal bank yang secara teknis tidak terbuka dan sulit diakses oleh kriminal. Namun dalam transaksi e-commerce di internet, informasi ini dikirimkan melalui jaringan internet yang secara teknis bisa disadap oleh siapapun di dunia ini, disamping kemungkinan adanya trojan yang berhasil bercokol di komputer yang anda gunakan untuk melakukan transaksi. Jika kredensial yang bisa digunakan berulang-ulang dikirimkan melalui jaringan internet dan pengamanan enkripsi yang selama ini menjadi andalan utama pengamanan data berhasil ditembus, dalam waktu tidak terlalu lama informasi ini akan diketahui oleh kriminal dan digunakan untuk melakukan transaksi.

Karena itulah implementasi TFA dalam pengamanan transaksi di internet banking berbeda dengan implementasi TFA di dalam transaksi di ATM. Untuk mengamankan transaksi di internet yang rentan penyadapan dimana hal ini tidak dapat dihindari karena nafas internet adalah keterbukaan dan keterbukaan membuka peluang penyadapan maka harus ada penyempurnaan dalam metode TFA dimana prinsip dasarnya adalah kredensial yang sama tidak boleh digunakan berulang untuk transaksi internet. Karena itulah muncul OTP dimana pin untuk melakukan transaksi internet harus berubah-ubah dan pin yang sama tidak bisa digunakan untuk melakukan transaksi lebih dari satu kali.

Sekalipun sudah menjadi standar dalam internet banking, OTP ini masih belum di implementasikan secara meluas dalam transaksi e-commerce khususnya transaksi yang menggunakan kartu kredit dimana kredensial yang digunakan untuk melakukan verifikasi transaksi dengan kartu kredit adalah nomor kartu, nama pemegang kartu, jatuh tempo kartu, CVC Card Verification Value atau CVC Card Verification Code atau alamat pengiriman kartu kredit. Tidak peduli berapa banyak informasi yang di minta pada pemegang kartu kredit, sekali informasi tersebut bisa digunakan berulang-ulang untuk melakukan transaksi menggunakan kartu kredit, maka metode tersebut kurang aman untuk digunakan pada data yang di transmisi menggunakan internet, khususnya jika pengamanan enkripsi tersebut berhasil dibobol seperti yang terjadi saat ini. Menurut pengamatan Vaksincom beberapa penerbit kartu kredit sudah mulai menyadari hal ini dan mulai menerapkan OTP khusus untuk transaksi penggunaan kartu kredit melalui internet dengan mengirimkan OTP melalui SMS dan USSD Code (Unstructured Supplementary Service Data).

Tidak semua OTP sama
Tidak dapat disangkal kalau pemilihan metode dan perangkat dalam pengamanan transaksi memegang peranan penting dalam mengamankan transaksi. Sekalipun OTP kelihatannya sudah menjadi standar dalam transaksi internet banking, namun pihak perbankan memiliki banyak pilihan dalam menetapkan metode dan perangkat OTP pengamanan transaksi. Dan sekalipun perbankan sudah memilih untuk mengimplementasikan OTP dalam pengamanan transaksinya, tingkat keamanan dan kehandalan OTP tersebut berbeda untuk setiap metode. Prinsip dasar yang perlu diperhatikan dalam memilih metode OTP adalah melibatkan sesedikit mungkin faktor / pihak yang terlibat dalam pengiriman OTP dan ketergantungan yang seminimal mungkin pada faktor eksternal yang berada diluar kontrol yang akan menyebabkan hambatan dalam distribusi OTP ini. Sebagai contoh, OTP yang menggunakan Token / kalkulator pin tentunya lebih aman dan handal daripada OTP yang mengandalkan SMS atau USSD Code. OTP dengan SMS dan USSD code tergantung pada kondisi jaringan operator dan tidak ada jaminan pin yang dikirimkan melalui SMS atau USSD code akan sampai tepat pada saat dibutuhkan. Memang ada antisipasi yang dilakukan untuk mengatasi kelambatan pengiriman PIN dengan SMS dimana pengiriman PIN dilakukan dalam bentuk gelondongan per sepuluh PIN dan berlaku untuk jangka waktu tertentu. Namun hal ini malah menimbulkan resiko lain dimana SMS PIN yang dikirimkan ke perangkat smartphone rentan kebocoran jika perangkat tersebut terinfeksi oleh trojan atau berhasil di remote oleh kriminal.

Menutup tulisan ini, OTP memang tidak disangkal menjadi benteng terakhir pengamanan dalam transaksi internet banking yang sifatnya terbuka. Karena itu bank penerbit kartu kredit seharusnya sudah menerapkan dalam pengamanan transaksinya. Namun perangkat pengiriman OTP tersebut yang memang menjadi kendala. Sekalipun kalkulator token menjadi pilihan terbaik saat ini, namun implementasi cukup sulit. Pilihan USSD dan SMS bisa menjadi alternatif namun tergantung pada kehandalan jaringan provider telko.

Bersambung pada tulisan berikutnya. Ancaman terhadap pengamanan transaksi internet banking dan antisipasinya.
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: