2015.03.31 analisis serangan internet banking dan usulan perbaikan protokol keamanan
TRANSCRIPT
1 of 30 Cyber Security Update & Solution
Analisis Serangan Internet Banking dan
Usulan Perbaikan Protokol Keamanan
olehBudi Sulistyo
Masagus Krisna
2 of 30 Cyber Security Update & Solution
Serangan Internet bankingMemakai halaman login asli bank mandiri.1.Knp kok tau? Krn ummu biasanya selalu buka ib mandiri dari #bookmark, dan pastinya yg dibookmark itu link asli dong...udah lama pake ib mandiri jg kan dr thn 2000 awal. Dan bukanya jg pake laptop milik sendiri.2. Pada saat kita masukkan user id, pin, dan tekan login/masuk/enter. Keluarlah popup yg tulisannya: sinkronisasi token pin mandiri. Disitu ada challenge code, kolom pin dan tampilannya miripppp sm ib mandiri sampe ke font2nya.3. Setelah memasukkan kode token, ada tulisan "TUNGGU YA". ummu smpt aneh disini kok bahasa ib mandiri gak pro bgt dan ana komen ke suami, ini capture jg utk suami sbnrnya. Tp blm ngeh.4. Pagi td jam 6 cek mutasi...daaarr!! Duit tinggal 300rb. Dan ada trx sbesar xxjuta ke bni 46 a.n ASEP SUPRIANSYAH dgn sistem #KLIRING.5. Lgsg ummu tlp ke cs 14000, tlp ke2x sm csnya disuruh blokir ib nya dgn cr masukkin 3x salah pin.6. Jam 8 udah ke bank lapor ke cs..alhamdulillah si phisher pake KLIRING jd prosesnya blm dijalankan dan SUDAH DIHOLD dananya oleh mandiri. 7. Tinggal menunggu proses refund bbrp hari smg lbh cpt krn cs hrs buat laporan yg dittd kepala bank. 8. Alhamdulillah kalo rejeki tak kemana smile emoticon#
Ibroh:Walau login di gadget sendiri tdk menjamin keamanan jd jika diminta masukkan kode token diluar kebiasaan JANGAN DITERUSKAN, cb pake browser atau gadget lain.
#ibmandiri #internetbanking #phishing #phising #bankmandiri #cybercrime #phishingbankmandiri #customercaremandiri #14000 #mandiricare #bni46
Testimoni salah satu korban
3 of 30 Cyber Security Update & Solution
Sejumlah Tips untuk mitigasi
• membersihkan personal computer yang digunakan dari infeksi virus,
• menghentikan transaksi ketika muncul permintaan sinkronisasi token dan segera melaporkan kejadian tersebut kepada customer service, dan
• memeriksa bahwa alamat web internet banking adalah alamat yang benar.
http://www.bca.co.id/id/tips-keamanan/tips-keamanan.jsp
http://www.bni.co.id/Portals/0/TIPS_PENGAMANAN_BERTRANSAKSI.pdf
4 of 30 Cyber Security Update & Solution
Efektifkah??• Tidak selalu mudah bagi nasabah
untuk memastikan bahwa personal computer yang digunakan telah benar-benar bersih dari virus.
• Virus bukanlah satu-satunya cara untuk melakukan serangan terhadap pengguna internet banking.
• Nasabah tidak memiliki informasi yang cukup untuk membedakan prosedur valid yang memang berasal dari bank, dari prosedur tidak valid yang disisipkan oleh penyerang.
• Nasabah mungkin ceroboh atau tidak teliti ketika memeriksa validitas alamat internet banking yang valid.
• Tetap ada kemungkinan bahwa sebagian nasabah tetap tidak mengindahkan ataupun lalai terhadap himbauan atau tips mitigasi yang diberikan
5 of 30 Cyber Security Update & Solution
Titik Lemah dalam Ekosistem e-Channel untuk Layanan Finansial
Core Banking & Switching
Core Bankin
g Syste
m
Switching
System
HSM (opt)
Telco, Utilities & Other Billing
System Internet & Mobile Banking
Internet & Mobile Banking Applicatio
nHSM (opt)
Token Server
Internet / Mobile Network
(Telco)Internet Banking Client
Mobile Banking ClientSMS Banking
SMS Banking
Application
Internet / Mobile Network
(Telco) SMS Network
SMS Gateway
3rd Party Switching Company
(ATM Bersama, Link, Prima, Visa, MasterCard, dsb)
Secure Network
EDC
Bank WAN
ATM/ADMDebt / Credit Card
Top-Up Device
EDC
e-Purse
e-money
User + Token
User + Tokene-MoneyDebit / Credit Card
People (Developer, Operator, User) Security Policy & SOP (termasuk Manual, Guide Line)
6 of 30 Cyber Security Update & Solution
Titik Lemah Ekosistem E-ChannelTitik lemah di jaringan/kanal
Titik lemah di device user (handphone, kartu,
laptop/PC )
Titik lemah pada aplikasi
Titik lemah di core/server
Titik lemah pada terminal (ATM,EDC)
Titik lemah pada user
• Sniffing• SMS Spoofing• Man in the middle attack• DoS• Session hijacking
• Skimming• Kloning kartu• Spam• IP Spoofing• Penanaman malicious
software• Token attack• Phising
• Spam• Virus • Malware
• Pencurian info dari data log (oleh insider)• Virus• Malware• Brute force attack• Manipulasi web site
• Password expose/sharing
• User surveilance
• Skimming
7 of 30 Cyber Security Update & Solution
Penyerang mencari mata rantai paling lemah
8 of 30 Cyber Security Update & Solution
• Mengidentifikasi – (a) titik kerawanan yang mana yang
berhasil dieksploitasi oleh penyerang dan juga
– (b) mekanisme keamanan yang mana yang berhasil dipatahkan atau tidak berjalan dengan efektif?
• Mengidentifikasi skenario dasar serangan – juga mengkaji berbagai alternatif
kemungkinan serangan yang dapat dibangun berdasarkan skenario dasar tersebut.
• Merumuskan alternatif solusi – Rumusan solusi ini hendaknya juga
mempertimbangkan tingkat kesulitan serta biaya dalam implementasi.
Bagaimana mencari solusi?
Analisis
Aset-aset yang membutuhkan perlindungan
Lingkungan Fisik sistem
Menetapkan ruang
lingkup keamanan
Asumsi
Ancaman(Threat)
dan Vulnerabil
ity
Impact
Merumuskan Security
Objectives
Identifikasi
Desain Sistem
Security
Implementasi Sistem
Security
PeopleProcessTechnology (PPT)
9 of 30 Cyber Security Update & Solution
Pengamanan eksisting
Deskripsi serangan
Solusi perbaikan protokol keamanan
10 of 30 Cyber Security Update & Solution
• Internet banking saat ini diamankan dengan beberapa mekanime:– Two factor authentication:
• Prosedur login dengan menggunakan username dan password. Ini merupakan faktor ‘what you know’, yaitu informasi rahasia yang hanya diketahui oleh user.
• Token. Ini merupakan faktor “what you have”, yaitu informasi rahasia (berupa one time password atau otp) yang hanya dimiliki user karena ia memiliki perangkat tertentu. Saat ini ada dua cara pembangkitan token: (1) menggunakan token device, (2) mengirimkan otp melalui sms
– Koneksi internet banking dengan menggunakan protokol https. Protokol https ini secara umum memiliki dua mekanisme pengamanan:
• Memastikan validitas website internet banking dengan memeriksa digital certificate.
• Melakukan koneksi terenkripsi.
Gambaran pengamanan internet banking eksisting (1)
11 of 30 Cyber Security Update & Solution
Gambaran pengamanan internet banking eksisting (2)
User + Token
Internet / Mobile Network
(Telco)
Internet banking server
What you know: Username + password
What you have: token Koneksi https yang terenkripsi dan sudah melalui validasi certificate
2 factor authentication
12 of 30 Cyber Security Update & Solution
HTTPS
13 of 30 Cyber Security Update & Solution
Token
Hardware token Soft token SMS token
14 of 30 Cyber Security Update & Solution Via gsm networkOTP One Time Password
SMSToken
Via internet dengan protokol https
Transaksi: acc + amount
OTP token via gsm network
Token OTP
Notifikasi transaksi
Permintaan input token Token generator server
Sms gateway
+ sms center
userInternet banking
server
OTPTrigger
Username + Password
UserInternet banking
server
Transaksi: acc + amount
Konfirmasi + token challenge
Token OTP
Token Device
Username + Password
Notifikasi transaksi
Gambaran pengamanan internet banking eksisting (3)
15 of 30 Cyber Security Update & Solution
• Jaminan keamanan pengamanan Internet banking (kondisi saat ini):– Apakah sistem pembangkit token aman??
• Perlu upaya (sumber daya) yang sangat besar untuk menyerang sistem token ini. Ini karena sistem token menggunakan algoritma standar yang sudah melalui proses review keamanan (dan hingga saat ini terus direview).
– Apakah protokol https aman??• Protokol ini juga menggunakan algoritma standar yang sudah
direview, yang mencakup algoritma enkripsi simetris ataupun asimetris.
Gambaran pengamanan internet banking eksisting (4)
Fakta serangan yang terjadi bukan disebabkan karena terbongkarnya keamanan token ataupun keamanan protokol
https.
16 of 30 Cyber Security Update & Solution
Pengamanan eksisting
Deskripsi serangan
Solusi perbaikan protokol keamanan
17 of 30 Cyber Security Update & Solution
Gambaran kasus serangan internet banking:
Metode serangan yang terjadi• Serangan yang dilakukan adalah
man-in-the-middle-attack– Attacker memotong jalur
komunikasi di antara user dan web server internet banking.
– Attacker dapat secara aktif mengirim dan memodifikasi pesan yang terkirim di antara user dan web server.
UserInternet banking
serverAttacker
...
Protokol https dirancang untuk mencegah terjadinya serangan
MITM. Mengapa serangan ini tetap
dapat dilakukan ???MITM dilancarkan sebelum https
terbentuk , dengan kata lain serangan ini:
(1) mencegah terjadinya https antara user dan web server,
(2) selanjutnya melakukan MITM
18 of 30 Cyber Security Update & Solution
• Menanamkan tool di dalam proxy server– Ini dapat dilakukan di lingkungan tertentu pengguna yang harus melalui proxy server untuk
koneksi internet.– Dalam kasus ini serangan umumnya dilakukan oleh orang dalam.
• Menyerang DNS server (DNS poisoning)– Tujuannya adalah untuk me-redirect alamat web server valid yang diketikkan oleh user ke
server attacker.– Serangan dapat dilakukan terhadap DNS server di lingkungan perusahaan. Serangan umumnya
dilakukan orang dalam– Serangan dapat juga dilakukan terhadap DNS server yang dijalankan oleh ISP. Serangan mungkin
dilakukan oleh orang luar dan orang dalam.• Memodifikasi perangkat user (PC, smartphone, tablet).
– Yaitu dengan mengubah file system tertentu dalam perangkat.– Tujuannya adalah untuk me-redirect alamat web server valid yang diketikkan oleh user ke
server attacker. – Dapat dilakukan dengan
• Memodifikasi perangkat secara langsung• Menggunakan virus.
Beberapa metode untuk melakukan MITM (1)
19 of 30 Cyber Security Update & Solution
MITM terjadi !!
User + Token
Internet banking server
What you know: Username + password
What you have: token
2 factor authentication
httpsxhttps
attacker
x
20 of 30 Cyber Security Update & Solution
• Untuk kasus internet banking dengan token device
Apa yang dilakukan attacker selanjutnya?? (1)
attackerInternet banking
server
Transaksi: acc + amount
Konfirmasi + token challenge
Token password
Konfirmasi transaksi
user
Penyerang menampilkan halaman web palsu ataupun berbagai pop up window yang meminta user untuk:1. Memasukkan username
dan password,2. memasukkan password
tokenUser menjawab
berbagai request dari attacker
Username + Password
21 of 30 Cyber Security Update & Solution
• Untuk kasus internet banking dengan sms token
Apa yang dilakukan attacker selanjutnya?? (2)
Internet bankingserverattackeruser
Penyerang menampilkan halaman web palsu ataupun berbagai pop up window yang meminta user untuk:1. Memasukkan username
dan password,2. memasukkan password
tokenUser menjawab
berbagai request dari attacker
Transaksi: acc + amount
OTP token via gsm network
Token password
Konfirmasi transaksi
Permintaan input token Token generator server
Sms gateway
+ sms center
OTPTrigger
Username + Password
22 of 30 Cyber Security Update & Solution
Kerawanan serangan MITM terhadap internet banking
Internet banking dengan pengamanan token device ataupun dengan sms token,
kedua-duanya saat ini rawan terhadap serangan MITM seperti dijelaskan di atas
23 of 30 Cyber Security Update & Solution
Pengamanan eksisting
Deskripsi serangan
Solusi perbaikan protokol keamanan
24 of 30 Cyber Security Update & Solution
• Masalah utama:1. Link komunikasi antara user dan web-server untuk mempertukarkan
informasi rahasia (username, password, password token) hanya melalui satu channel, yaitu link internet.• Jika link internet ini diserang dengan MITM, maka maka informasi rahasia di atas akan
bisa dicuri.2. User tidak memiliki kemampuan ataupun informasi yang cukup untuk
membedakan request_valid dengan request_palsu yang berasal dari penyerang.
• Catatan untuk kasus internet banking dengan token sms.– Informasi rahasia (password token) disampaikan melalui channel yang berbeda.
Namun demikian, ini tetap tidakdapat mencegah serangan MITM seperti yang dijelaskan di atas
• Masalahnya adalah: user tetap tidak dapat membedakan apakah password token yang dikirim tersebut ditriger oleh transaksi user atau oleh transaksi penyerang.
Problem pengamanan internet banking eksisting
25 of 30 Cyber Security Update & Solution
1. Solusi untuk kasus internet banking dengan device token:– challenge token dikirim melalui channel lain (sms)– challenge ini harus menyertakan informasi mengenai :
• (a) tujuan transfer, • (b) nilai transfer.
2. Solusi untuk kasus internet banking dengan sms token.– Sms token harus menyertakan informasi tambahan yaitu
• (a) tujuan transfer,• (b) nilai transfer.
3. Solusi dengan menambahkan proses verifikasi tujuan transfer di backend system:– Nasabah harus mendaftarkan tujuan transfer terlebih dahulu sebelum bisa melakukan transfer.– Ketika melakukan transfer, user hanya dapat memilih tujuan transfer dari list yang sudah
didaftarkan sebelumnya.– Pendaftaran hanya dapat dilakukan melalui channel yang berbeda (bukan melalui halaman
internet banking)• Bisa melalui call-center ataupun jalur sms.
– Jalur sms dan phone call dapat digunakan jika nomor ponsel user sudah dipasangkan dengan nomor rekeningnya
Alternatif solusi
26 of 30 Cyber Security Update & Solution
Deskripsi alternatif solusi 1Token Device
Pengguna memverifikasi tujuan transfer +nilai transfer
UserInternet banking
server
Transaksi: acc + amountKonfirmasi +
permintaan input token
Token OTP
Notifikasi transaksi
Token ServerSms
gateway +
sms centerTrigger +Tujuan Transfer+
Nilai transfer
Token Challenge + Tujuan Transfer +
Nilai Transfer
Token Challenge + Tujuan Transfer + Nilai Transfer via GSM network
meng-entri token challenge
untuk mendapatkan token password
Username + Password
Token OTP
27 of 30 Cyber Security Update & Solution
• (1) Penyerang sulit untuk melakukan modifikasi terhadap pesan yang dikirim melalui SMS.
• (2) Pengguna dapat melakukan verifikasi kebenaran transaksi yang dilakukan dengan memeriksa nilai uang dan tujuan mutasi rekening.
• (3) Penyerang tidak dapat memperoleh kode challenge dari jalur yang terserang MITM.
• (4) Berdasarkan no (3), karena penyerang tidak mengetahui kode challenge, maka ia tidak dapat memancing pengguna untuk memberikan token-OTP.
Tujuan alternatif 1
28 of 30 Cyber Security Update & Solution
Deskripsi alternatif solusi 2SMSToken
UserInternet banking
server
Transaksi: acc + amount
Token OTP
Notifikasi transaksi
TokenServer
Sms gateway
+ sms centerTrigger +
Tujuan Transfer+Nilai transfer
Token OTP + Tujuan Transfer +
Nilai Transfer
Token OTP+ Tujuan Transfer + Nilai Transfer via GSM network
User memverifikasi tujuan transfer +nilai transfer
Konfirmasi + token requestUser meng-entri token password
Username + Password
29 of 30 Cyber Security Update & Solution
• (1) Penyerang sulit untuk melakukan modifikasi terhadap pesan yang dikirim melalui SMS.
• (2) Pengguna dapat melakukan verifikasi kebenaran transaksi yang dilakukan dengan memeriksa nilai uang dan tujuan mutasi rekening.
Tujuan alternatif 2
30 of 30 Cyber Security Update & Solution
Deskripsi alternatif solusi 3User
Internet bankingserver
amount
Notifikasi transaksi
dst
Username + Password
User mendaftarkan nomor rekening tertentu sebagai tujuan transferBank meng-otentikasi pengguna. (nomor ponsel, KTP)
Bank memasukkan nomor rekening tsb ke dalam daftar tujuan transfer
Bank meng-update daftar nomor rekening tujuan transfer
ke internet banking server
Pendaftaran menggunakan channel selain internet banking, alternatifnya: SMS, USSD, call center atau datang ke customer service.
Memilih tujuan transfer dari daftar yang ada
...
......
Transaksi melalui jalur internet dengan pengamanan:- Protokol https- Username+
password- Token (device
atau sms)
31 of 30 Cyber Security Update & Solution
• (1) Penyerang MITM tidak dapat melakukan transfer ke sembarang rekening tujuan transfer.
• (2) Penyerang MITM tidak dapat mendaftarkan tujuan transfer lewat halaman web internet banking.
Tujuan alternatif 3
32 of 30 Cyber Security Update & Solution
• Apakah kasus sinkronisasi token selesai dengan solusi di atas??– Ketiga solusi merupakan solusi sementara– Dapat dilakukan dengan cepat dengan memodifikasi
protokol yang sudah ada– Tidak dapat menangkal serangan yang lebih canggih
SOLVED??
33 of 30 Cyber Security Update & Solution
Serangan yang lebih canggih
• Teknik yang digunakan– Man in the middle
browser with phishing– Man in the mobile
• Zitmo• Citmo
Perlukah membangun
protokol keamanan baru??
Bagaimana???
Merci bienArigatooMatur Nuwun
Hatur NuhunMatur se KelangkongSyukronKheili MamnunDanke
Terima Kasih