PIN ATM Nasabah Citibank BOCOR!
Oke, kita break bentar, diletakkan dulu semua urusan seo dengan segala tips dan trick nya barang semenit dua menit seperak dua perak.. kita tengok bentar ke dunia kita sehari-hari.
Udah agak lama juga aku ga posting tentang vulnerability, dan kayak menjawab panggilan purba tentang kepedulian di dunia security, dan betapa waktuku habis tak lewatin di dunia ginian beberapa tahun lalu.
Judul di atas, udah jelas kasi kita gambaran tentang topik yg akan tak tulis. He`eh, bener banget dab, PIN ATM Nasabah Citibank BOCOR! Judulnya udah bikin merinding gitu, tapi situasinya sebenernya emang beneran lebih mengerikan!
Baru aja aku kelar baca headline di Yahoo tentang hacker menerobos jaringan ATM Citibank di toko 7-Eleven (San Jose, California), dan ngembat code PIN ATM Nasabah Citibank, berdasarkan laporan dr pihak berwajib, ini merupakan kejadian yang menyebabkan terjabarkannya sebuah lobang security di satu bagian paling sensitif dari sebuah instansi bank.
Kerugian diduga bernilai jutaan dollar. Tapi point yg paling penting buat nasabah, kejadian ini menunjukkan bahwa si-pelaku kriminal telah berhasil meng-akses PIN — password berujud angka-angka yg secara teori, tak ulang sekali lagi, secara teori, adalah salah satu dari beberapa element yang paling terjaga keamanannya di dalam transaksi perbankan — dengan cara nyerang computer yg berfungsi memberikan approval untuk semua penarikan tunai.
Emang ini Beneran bisa terjadi?
Ehm, berdasar pengalaman yang lalu-lalu pas aku masi kerja di “ kerjaan yang ga dibayar bahkan sepeserpun, sebagai freelance security adviser, yang hampir semua orang ga ada yang tau bahwa kita ada, karena kita nulis advisory security pake nama samaran ”.. (baca:kumpulannya orang kurang kerjaan)
nggak ada tuh kata “nggak mungkin” di kamus-nya hacker.
Group ini, yg aku dulu pernah nongkrong sbg freelance (ga dibayar), kerjaan sehari-harine melakukan scan dan penetrasi test buat nyari kelemahan jaringan mana aja yg mungkin kita temuin, nge-check bug software, nulis advisory tentang penemuan bug dan hole, posting ke site-site security, ngontak vendor jaringan / software tsb untuk memberitahukan ada masalah dengan jaringan ato software mereka, dan bagian yg paling asik, tanpa bayaran! Hwa…
Beneran. Serius. Masi ada komunitas ginian, dengan tujuan yang gila-gilaan mulia-nya! Aku? Cuman mantan. Dah pamitan gabisa ngancani mereka lagi. Sejak aku mbangun sebuah dunia kecil terindah yg sering pada disebut “keluarga”, aku musti mati-matian meng-uangkan apa yg aku bisa, di dunia yg bujubuneng kejamnya ini.
Balik ke bahasan utama, Yup, Sangat mungkin terjadi! Nggak ada yang nggak mungkin. Kata nggak mungkin ga pernah ada di kamus bahasa hacker, bahkan gak pernah ada di kosa kata mereka. DAh pernah denger quote terkenal dr para hacker, ketika ditanya, kenapa melakukannya?
” Kami melakukannya karena kami bisa. ” Semangat nya itu lho..!!
Dari sini, akan tak pake kata, “sang maling” buat ngganti penggunaan kata hacker di topik ini, karena personally, Aku nggak sepakat dengan opini publik yang selalu menyamaratakan semua hacker itu selalu kriminal.
Gimana bisa Kejadian Menakutkan ini bahkan bisa Terjadi?
Oke, kita dah masuk mekanisme, Gimana caranya, dan hole yg mereka incer.
Sang maling, mengincar infrastruktur sistem ATM — yang akhir-akhir ini mulai pada berbondong-bondong di bangun nggunain OS windows — yang memberikan ijin ATM di-diagnosis dan di perbaiki secara jarak jauh dr internet. Di sini ini awal mulanya kejadian ini sangat mungkin terjadi.
Nha, walopun menurut standar industri mengharuskan PIN ini di protect menggunakan enkripsi — yg artinya, menyembunyikan-nya biar ga kebaca orang secara harfiah — beberapa operator ATM melakukannya dengan kurang benar. Yang menyebabkan PIN ini bocor didalam perjalanan dari ATM ke komputer yang meng-handle semua proses transaksi.
Bahasa Jawanya gini :
1. Ada lobang, yang memungkinkan buat kita-kita ( yang tau gimana caranya nyampe sono), buat mengambil keuntungan dari bocornya data PIN ini.
2. Lobang ini tercipta dari kurang benarnya beberapa ATM operator melakukan satu standar basic keamana perbankan yg kita tahu bernama enkripsi.
3. Dimana letak lobang tersebut? Diantara ATM dan komputer yang meng-handle semua proses transaksi, di jalan yg dilewati prosessing data tsb.
Avivah Litan, security analyst dari Gartner research ngasi komentar:
PIN tuh seharusnya jadi barang keramat dan sakral. Kejadian ini nunjukin ke kita bahwa PIN ternyata ngga selalu ter-enkripsi seperti seharusnya. Bank-bank kudu musti lebih bagus lagi dlm nyiptain system deteksi keamanan dan lebih kuat lagi dalam sistem autentikasi.
Gimana Caranya?
Asik… Sampe juga di bagian Gimana Caranya..! Bagian paling keren dari semua advisory artikel. Sebelum masuk ke sono, kita simpulkan dulu dikit..
Jadi.. Ada sebuah lobang, yg di sono terjadi bocornya data PIN ATM nasabah Citibank, bocornya parah lagi. Gimana caranya Sang maling bisa nyampe sono..? trus bawa ember besar buat nadahin tuh PIN lagi bocor..?
Caranya.. masi jadi misteri.
Huuuuuuuu…. (penonton kecewa)
Pasti kamu nunggu-nunggu sesuatu kayak: copas semua bagian dari script dibawah ini, di compile jadi sebuah script php yang bisa di eksekusi, upload, eksekusi gunain browser apa aja yg sering kamu pake…
Iya khan? Hayo0o, ngaku ajah! Ckk..Ckk..Ckk..
Update terkahir dari situasi ini dari pihak yg berwajib :
Masalah yg paling penting di dlm penyelidikan adalah gimana caranya sang maling nerobos systemnya, masi lom bisa kejawab.
Yang diketahui sementara, mereka nerobos masuk ke jaringan ATM nggunain sebuah server dari penyedia layanan pihak ketiga, yg artinya mereka sama sekali ngga perlu datang ke ATM sama sekali.
Yang aku tau seh, ini direct attack. Klo sang maling akhirnya nemuin kebocoran ini, artinya khan, lobang di system ini udah ada sejak hari pertama system ini dibuat. Ya to? Klo kita ngeliat dari sebelah kanan, sebenernya kita jadi terbantu untuk tahu, bahwa ada yang enggak beres dari system ini sejak awal.
Vendor ’s Respond
Citibank, bagian dari Citigroup Inc., menolak ngasi komentar tekhnis ato berapa banyak rekening nasabah yang ketahuan kebobolan. Mereka bilang, nasabah langsung dikabarin dan di ganti debit card baru.
“kami ingin nasabah tahu, kita nggak nuntut pertanggung jawaban ke mereka buat kebobolan-kebobolan di rekening mereka.” Pihak bank kasi statement kyk gitu.
Yah, kita semua sepakat, bagian paling menarik dari semua artikel vulnerability tuh bagian respon dari vendor. Kabar bagusnya seh.. nasabah langsung dikabarin dan di ganti debit card baru. Dan nggak di tuntut pertanggung jawaban atas kebobolan ginian.
Dana yg ilang pada diganti? Ga tau yah.. Moga ajah..
Alrite guys… Lebih waspada ‘en ati-ati ajah..
July 7th, 2008 at 8:02 am
Hacker mana nich om yang dah bisa njebol…?
July 7th, 2008 at 9:05 am
Kejadiane di San Jose, California. Hacker mana-nya masi lom ketahuan..
July 24th, 2008 at 11:02 pm
Aku jadi inget suatu kejadian kriminal beberapa waktu yg lalu Kang Djarot.. di Indonesia juga.. tepatnya di ATM Tol Bogor - Jakarta.. hmm.. pelakunya turis dari Srilanka, dia berhasil ngebobol sekitar 26an juta, dengan senjata beberapa/banyak buah Kartu ATM,.. masih bingung juga aku, gimana cara kerjanya, logika ato’ system yg berjalan..
cuman yg kepikiran ampe sekarang.. coba bisa tau rekening2 para koruptor yg doyan nilep duit rakyat.. wah pasti aku gag mo ketinggalan ikutan nguras.. haghaghagh.. trus dibagibagi ama rakyat yg laen.. (kek Robin Hood gitu deah)