Tuesday, March 17, 2009

Ancaman Keamanan pada Digital Lifestyle



Dear all,

Saat ini sudah menjadi hal yang biasa jika seseorang mempunyai beberapa handphone termasuk nomernya, nomer rekening di bank, kartu kredit, akun email, akun Instant Messaging dan akun situs Social Networking. Bagi sebagian orang, hal-hal tersebut disebabkan bukan oleh kebutuhan tapi lebih kepada ikut-ikutan terhadap lingkungan terdekatnya (Life Style). Sepertinya terlihat keren dan modern, tapi jika tidak dikelola dengan baik hal-hal tersebut akan menjadi ancaman keamanan terutama privacy bagi pemiliknya.

Di dalam Digital Lifestyle, yang paling penting di masing-masing akun adalah adanya identitas pemilik. Identitas pemilik yang berupa ID yang unik berupa nomer KTP atau passport, akan diasosiasikan dengan database di perusahaan penyedia layanan (telekomunikasi, perbankan, email, Social Networking).

Menariknya lagi, antar ID di layanan berbeda akan saling berkaitan satu sama lain. Misal di dalam database rekening kita di bank, akan tercatat nomer handphone dan alamat email. Profil di dalam Social Networking (Friendster, Facebook dan sejenisnya) juga tercatat nomer handphone dan alamat email. Sebaliknya, dalam profil kita di handpone atau email kadang kita tulis alamat email bahkan nomer rekening bank atau kartu kredit. Bisa dilihat suatu benang merah, jika kita berhasil mendapatkan salah satu ID dari seseorang akan bisa membawa kita kepada ID-ID yang lain dari pemiliknya.

Yang lebih berbahaya lagi, sebagian orang karena tidak mau repot, menggunakan PIN atau password yang dihubungkan dengan ID dari layanan lain. Sebagai contoh, PIN ATM kadang menggunakan modifikasi tanggal lahir atau nomer handphone. Password email atau Social Networking bisa menggunakan modifikasi nomer ATM atau nama/tanggal lahir dan sebagainya. Sekarang tinggal mau dimulai dari mana kita akan melakukan penggalian informasi awal dari suatu ID (misal nomer handphone atau alamat email) untuk mendapatkan informasi berikutnya yang lebih penting (nomer rekening bank berikut PIN ATM). Teknik ini sering disebut sebagai Social Engineering Attack dimana penyerang (attacker) akan mulai mempelajari karakteristik seseorang, kemudian akan meminta informasi yang lebih detail dengan cara memancing korban melalui SMS, telepon atau email yang seolah-olah resmi dan bisa dipercaya.

Salah satu contoh skenario adalah mengirim SMS yang berisi pemberitahuan bahwa pemilik nomer tadi mendapatkan hadiah dari suatu perusahaan. Korban akan dipancing untuk ke ATM dan melakukan beberapa aktifitas dipandu melalui telepon, dimana tujuan akhirnya adalah mengirimkan sejumlah uang ke penyerang. Cara ini juga bisa dilakukan melalui email untuk meminta korban mengunjungi suatu situs (seolah-olah) asli suatu layanan Internet Banking, dan korban diminta mengisi data-data penting seperti username dan password.

Kenapa data-data kita bisa didapat dengan mudah oleh mereka? Langkah awal yang bisa dilakukan misal membaca data-data yang terdapat di handphone dari seseorang yang telah dijual, hilang atau dicuri. Handphone sekarang sudah menjadi digital wallet (dompet digital) dimana kita menyimpan semua nomer-nomer rekening bank, kartu kredit dan alamat email. Beberapa orang tidak menghapus data-data penting di handphone pada saat dia menjualnya. Cara lain adalah menyadap percakapan di fasilitas WiFi yang sekarang tersedia bebas dan gratis di café, hotel, kampus dan lain-lain. Saat ini kita dengan bebasnya menggunakan layanan tersebut dan secara tidak sadar mengirimkan data-data penting melalui chatting, email, diskusi di Social Networking dan lain-lain. Kebanyakan layanan WiFi yang ada sekarang tidak dilindungi oleh sistem keamanan seperti penyandian dan otentikasi sehingga sangat mudah disadap. Cara lain yang lebih sulit dan membutuhkan waktu adalah mempelajari karakteristik korban melalui Social Networking (Friendster/Facebook dll) dengan membaca profil, memahami isi percakapan antar teman, atau aktifitas-aktifitas lain. Setelah mendapatkan data yang cukup, penyerang akan mencoba menggali lebih dalam dengan berpura-pura menjadi teman dan menanyakan sesuatu atau menjadi pihak bank yang akan mengkonfirmasi rekening dengan memberikan data-data pribadi yang didapat dari situs tersebut dan lain-lain.

Sebagai penutup, kita harus lebih hati-hati dalam menyimpan data-data penting di dalam layanan digital yang menjadi trend saat ini (Digital Lifestyle). Pertama adalah karena data tersebut makin mudah diakses dibanding data analog (misal buku rekening bank). Kedua, antara data satu dan data lain semakin saling terkait sehingga sekali mendapatkan data di layanan A (misal nomer handphone atau email) akan bisa melangkah ke layanan B (misal perbankan). Dan yang terakhir, banyak orang yang tidak mau direpotkan dengan nomer PIN atau password sehingga menggunakan kode yang mudah ditebak, tidak pernah diganti dan bahkan menggunakan PIN/password yang selalu sama untuk semua layanan digital. Semoga memberikan pencerahan dalam menyikapi Digital Lifestyle yang menjadi trend saat ini. Salam, surahyo

No comments: