Kartu Kredit tanpa Pengaman

20, August, 2003

Ada kelemahan pada sistem keamanan PIN yang membuat kartu kredit Anda bisa dibobol orang.

ANIL dan Vanitha Singh bekerja sebagai penjaga toko buku di Durban, Afrika Selatan. Mereka jarang bepergian ke luar negeri, bahkan sepanjang Maret 2000 tak pernah meninggalkan kotanya.

Karena itu, betapa kagetnya dua pekerja ini ketika seorang petugas Citibank Afrika Selatan menelepon untuk mengkonfirmasikan bahwa telah terjadi 190 kali transaksi automatic teller machine (ATM) dan penarikan uang tunai senilai US$ 80 ribu menggunakan kartu Diners Club atas nama mereka di sejumlah tempat di Inggris.

“Bagaimana mungkin kami melakukan transaksi ATM di London, sementara kami tidak berada di sana?” ujar Anil Singh gusar. Namun pihak bank tak mau tahu. Dengan alasan keduanya telah melakukan penipuan, kartu mereka ditarik oleh bank. Dua nasabah Citibank ini ngotot membela diri.

Awalnya pihak bank bisa diyakinkan, tapi kemudian berubah pikiran. Selain menggugat nasabahnya, bank meminta mereka mengembalikan uang senilai penarikan itu. Citibank, selaku pengelola Diners Club secara internasional, meminta Pengadilan Tinggi London menyidangkan kasus ini. Sidang pertamanya mulai digelar Senin, 3 Maret ini. Dalam gugatannya, pihak bank berargumentasi, “Sistem bank aman, jadi Singh patut diduga melakukan penipuan.”

Benarkah sistem keamanan bank bisa dijamin? Sejumlah pakar keamanan perbankan tidak berani memastikan dan karena itu bersedia menjadi saksi ahli yang akan meringankan pasangan Sing ini. Seorang peneliti sistem keamanan bank dari Universitas Cambridge, Ross Anderson, dan mahasiswa bimbingannya, Michael Bond dan Piotr Zielinski, berkeyakinan bahwa penarikan yang disebut “penarikan hantu” (phantom withdrawal) itu bukan dilakukan oleh Singh dan bukan akibat kelalaiannya hingga kartu tersebut hilang dan disalahgunakan orang lain. “Ini justru masalah sistem keamanan bank itu sendiri,” ujar Anderson.

Masalah ini sudah diteliti oleh Bond dan Zielinski dan temuannya baru saja dipublikasikan. Ternyata ada sejumlah kelemahan dalam modul keamanan yang digunakan bank dalam melindungi personal identification number (PIN) nasabahnya dari kemungkinan pembobolan–bisa oleh orang dalam bank sendiri ataupun penyerang dari luar. Logikanya sangat sederhana: seorang nasabah tidak boleh keliru memasukkan PIN ketika melakukan transaksi di ATM.

Jika sampai tiga kali keliru, otomatis kartunya akan “tertelan” mesin ATM. Tapi tidak demikian dengan karyawan bank penerbit kartu. Karena itu, sistem semacam ini akan memudahkan karyawan bank “menggunakan program sederhana untuk membongkar PIN nasabahnya sendiri,” demikian tulis NewScientist.com.

Pembobolan ini memanfaatkan kelemahan pada model kriptografi yang digunakan oleh sejumlah hardware security module (HSM) dalam mengenkripsi, menyimpan, dan membaca PIN. Sistem ini akan membaca nomor account nasabah yang terdapat di dalam pita magnetis di kartu ATM. Software ini kemudian akan mengenkripsi nomor tersebut menggunakan sebuah kunci desimal. Seluruh nomor
account tersebut dikonversikan menjadi bentuk heksadesimal, kecuali empat digit pertama–yang tidak diubah sama sekali.

Empat digit ini lalu dimasukkan ke dalam sebuah tabel desimal dan kemudian dikonversikan kembali menjadi format yang sesuai dengan keypad ATM. Dengan memanipulasi isi tabel ini, kata Bond, sangat mungkin seorang pembobol secara progresif mengetahui sekian banyak PIN. “Dengan berbagai skema yang digambarkan dalam paper saya, seorang pembobol berpengalaman akan dapat menyikat
7.000 PIN dalam setengah jam saja sambil istirahat makan siang,” ujarnya. Jika PIN sudah di tangan, sang penyamun tinggal memesan atau membuat sendiri kartu yang akan dimasukkan ke ATM untuk bertransaksi.

Sebegitu lemahkah sistem keamanan PIN? Kelihatannya begitu setelah melihat reaksi pihak Citibank. Mereka tidak membantahnya, tapi malah meminta temuan itu tidak disebarluaskan karena akan mengurangi minat orang terhadap bank dan akan menghancurkan kredibilitas bisnis perbankan secara keseluruhan. “Mereka juga meminta persidangan yang melibatkan saksi ahli dari Cambridge ini dilakukan secara rahasia,” tulis Eweek.com.

Tapi Anderson cs dengan tegas menolak. Sebab, hasil penelitian tersebut sudah dipublikasikan secara luas dan merupakan bagian dari disertasi doktor kedua mahasiswanya itu. “Upaya menyensor jalannya persidangan kasus ini akan berdampak buruk terhadap masa depan studi keamanan sistem bank,” ujar Anderson.

Dengan sudah disebarluaskannya temuan ketiga peneliti tadi, boleh jadi Anil dan Vanitha Singh akan bebas dari segala tuntutan. Kali ini, bandul beralih ke Citibank, yang bisa digugat balik.

Budi Putra

TEMPO Edisi 030309-001/Hal. 50      Rubrik Teknologi Informasi

Advertisements

Perang untuk Medan Maya

20, August, 2003

Perang merebut masa depan Internet di Irak baru saja dimulai.

WAJAH lonjong berkacamata yang mengenakan topi baret itu tak lagi muncul di layar televisi. Sejak Bagdad jatuh ke tangan pasukan Amerika Serikat dan sekutunya, dua pekan lalu, Menteri Penerangan Irak Mohammad Said al-Sahaf menghilang dari hadapan 60 juta pasang mata pemirsa televisi Al-Jazeera di dunia.

Banyak yang merasa kehilangan anggota kabinet Saddam Hussein itu: selain penampilannya tampak percaya diri, komentarnya tajam. Beberapa petikan ucapannya menjadi populer. Misalnya, “Saya ingin menginformasikan kepada Anda bahwa Anda sudah terlalu jauh dari kenyataan,” atau, “Tak akan ada kafir Amerika di Bagdad!” atau, “Kami akan menyambut pasukan koalisi dengan senang hati–dan akan memotong-motongnya.”

Meski tak tampil di layar gelas, kini Al-Sahaf bisa “dijumpai” di Internet. Sebuah situs, WeLoveTheIraqiInformationMinister.com, sejak pekan lalu menjadi terkenal karena memuat kutipan-kutipan menteri Irak yang kini raib itu. Situs ini juga menjual kaus dan mug yang bertuliskan kutipan-kutipan Sahaf. “Al-Sahaf kini menjadi bintang di Internet,” tulis Reuters.

Namun, meski berisi soal Irak, situs WeLoveTheIraqiInformationMinister sama sekali tak dikelola
(hosting) di Irak dan juga tak ditangani oleh orang Irak. Oleh sekelompok orang pencinta damai, situs itu dikelola dan ditempatkan di sebuah server di Alaska, Amerika Serikat.

Memang tak mungkin berharap akan ada situs web yang dikelola di Irak saat ini. Terhitung sejak 31 Maret, tak ada lagi akses Internet, menyusul dihajarnya server dan piring-piring pemancar di Kantor Menteri Penerangan di Bagdad oleh rudal-rudal Amerika. Situs-situs web milik pemerintah dan media massa setempat juga sudah ditutup. Serangan bertubi-tubi ke sejumlah instalasi telekomunikasi memperburuk kondisi jaringan. Para wartawan peliput perang harus memanfaatkan akses satelit agar dapat mengirimkan e-mail ke markas besar medianya.

Sebenarnya, sebelum perang pun, Internet di Irak sangat tak memadai. Layanan itu bahkan baru dimulai pada awal 2000 dan terbatas untuk institusi pemerintah, universitas, dan pusat layanan medis. Selain pemerintah setempat mengawasinya dengan ketat, biaya untuk aksesnya cukup tinggi karena memang terkait dengan embargo ekonomi sejak 1991, yang mengakibatkan penggunaan komunikasi satelit menjadi mahal. Jumlah penggunanya relatif kecil, sekitar 22 ribu orang, dan sebagian besar memanfaatkan kafe Internet yang terdapat di Bagdad dan kota lainnya.

Setelah digilas mesin-mesin perang, semua itu harus dimulai dari nol lagi. “Perang di Irak memang hampir selesai, tapi perang merebut masa depan Internet di Irak baru saja dimulai,” tulis Kieren McCarthy di register.co.uk. Ia mencontohkan, perusahaan penyedia jasa Internet (ISP) yang berbasis di London kini sedang bergerilya untuk mendapatkan proyek pengadaan jaringan Internet
di Irak pascaperang.

Tidak hanya dalam urusan teknis server dan segala aksesorinya, sebuah perusahaan Inggris, Omega, juga berambisi menjadi lembaga pengelola domain khusus berakhiran “.iq” yang selama ini dinonaktifkan. Padahal, menurut perusahaan konsultan TeleGeography, hingga Januari 2002, tercatat 225 pemilik domain dengan akhiran itu.
Seperti kasus domain Afganistan yang dialihkan dari pemilikan individual ke institusi pemerintah transisi, hal yang sama terjadi pada domain Irak. Pada 9 Mei 1997, domain ini sudah
dipercayakan pengelolaannya kepada Elashi bersaudara, yang bermarkas di Texas, Amerika. Namun, pada Desember 2002, keempat bersaudara asal Palestina itu harus meringkuk di penjara Seagoville, Texas, karena dituduh ikut membiayai aksi teroris Hamas di Beirut.

Domain Irak ternyata cukup manjur. Komite Pembangunan Kembali Teknologi Informasi di Irak (CITRI), misalnya, akan melelang domain-domain cantik berakhiran “.iq”. “Hasilnya akan digunakan untuk membangun Internet Irak,” ujar Ben Fitzgerald-O’Connor, pemimpin komite itu.

Seperti dunia nyatanya, Internet Irak–dari jaringan, content, hingga domain–akan dikuasai asing. Tak ada yang bisa menyelamatkannya, termasuk Menteri Al-Sahaf, yang kini menjadi dagangan sebuah situs Amerika.

Budi Putra

TEMPO Edisi 030427-008/Hal. 86      Rubrik Teknologi Informasi