XecureBrowser Amankan Online Banking
Menggunakan online banking memang praktis. Cukup bermodalkan notebook dan koneksi internet, seluruh transaksi keuangan bisa dilakukan. Apalagi, online banking terbilang aman. Oops, benarkah aman? Ternyata tidak. Kasus perampokan uang nasabah perbankan melalui fasilitas online banking atau dikenal juga dengan Internet Banking (iBanking) di dalam dan luar negeri semakin marak.
Di Amerika Serikat, beberapa perusahaan mengalami kerugian hingga ratusan ribu USD akibat rekening iBanking korporat mereka dirampok. Perampokan uang nasabah tersebut dilakukan menggunakan trojan Zeus yang disusupi ke dalambrowser melalui serangan man-in-the-browser (MITB). Di Indonesia, amat sedikitnya kasus perampokan di iBanking yang diketahui publik merupakan fenomena gunung es. Dari empat kasus yang diketahui, satu kasus dipublikasikan karena berhasil diungkap pihak kepolisian. Dua kasus dikeluhkan nasabah melalui media massa. Satu kasus dikeluhkan nasabah melalui Facebook.
Di sinilah wawasan tentang sekuriti dunia maya diperlukan. Gildas Deograt, koordinator Komunitas Keamanan Informasi (KKI) memaparkan kepada wartawan akan pentingnya sikap waspada dalam iBanking. Gildas mengatakan, sejauh ini Bank Indonesia (BI) sebagai bank sentral Republik Indonesia masih menganggap aman transaksi perbankan melalui internet. Seperti kita ketahui, marketing bank selalu mengatakan iBanking aman. “Padahal kenyataan yang berlaku adalah sebaliknya, iBanking berbahaya,” tegas Gildas.
“Kondisi [dianggap] aman ini akan menguntungkan pencuri,” ujar Gildas. Pria yang juga menjabat sebagai Senior Consultant PT Iman Teknologi Informasi (XecureIT) ini menuturkan, kondisi yang aman ini bisa saja terjadi di tempat-tempat yang terdapat CCTV sekalipun. “Jadi, jangan kira bila sudah ada CCTV, semua akan aman,” jelasnya.
Perketat SSL dan Token
Sejak awal 2010, XecureIT melakukan riset kelemahan sistem keamanan internet banking untuk mengetahui secara pasti teknik-teknik perampokan iBanking sehingga dapat dilakukan langkah-langkah pencegahan yang efektif. Hasil riset menunjukkan, merampok di iBanking amat mudah dilakukan hanya dengan bermodalkan komputer dan beberapa alat bantu (tools) gratis yang tersedia di internet, lengkap dengan petunjuk penggunaannya.
Kejahatan ini terbukti dapat dilakukan terhadap sistem iBanking yang telah dilindungi oleh protokol enkripsi/pengacak (Secure Socket Layer/SSL) dan security token (alat seperti kalkulator, pembangkit password sekali pakai). Kondisi ini sudah tentu mengkhawatirkan jika dimanfaatkan sebagai sumber dana bagi pelaku terorisme. Apalagi resiko tertangkapnya juga kecil jika dilakukan dengan rapi.
“Penggunaan token di masing-masing bank pun berbeda-beda. Untuk mentransfer misalnya. Salah satu bank swasta terkemuka di Indonesia menggunakan 3 token. Sementara itu, salah satu bank pemerintah di Indonesia hanya menggunakan 1 token. Ini malah lebih parah lagi,” tukas pria pemegang sertifikat CISSP, CISA, dan ISO2701 ini. Hasil riset KKI juga menyebutkan sebanyak 98 persen pengguna internet di Indonesia mengoneksikan laptop mereka melalui jaringan nirkabel di tempat publik. Hal ini makin diperburuk oleh data lain yang menyebutkan 89 persen konsumen iBanking di Indonesia justru mengeklik “Yes” pada security warning perambannya.
Selain mengkhawatirkan, kondisi ini juga amat memprihatinkan nasabah perbankan di Indonesia mengingat perlindungan hak-hak konsumen yang lemah di bidang perbankan. Seluruh pengguna e-banking, seperti kartu debit, phone banking dan iBanking, diharuskan menandatangani perjanjian yang isinya membebankan seluruh tanggung jawab transaksi elektonik kepada nasabah sepenuhnya. Termasuk jika terjadi perbedaan antara catatan di sistem bank dengan buku tabungan atau laporan transaksi: catatan yang diakui sepenuhnya adalah catatan di sistem bank. Permasalahan serta teknik perampokan tersebut telah dipaparkan XecureIT Lab khususnya bagi dunia perbankan nasional. Bahkan Kementerian Komunikasi dan Informatika serta beberapa tokoh TI Indonesia juga sudah dilibatkan. Sayangnya, hingga saat ini belum terlihat langkah nyata dari dunia perbankan nasional untuk memperbaiki berbagai kelemahan tersebut secara sungguh-sungguh.
Untuk mengurangi risiko perampokan tersebut, XecureIT mengembangkanXecureBrowser (XB) sebagai solusi gratis berbasis sumber terbuka (free open source solution / FOSS). Versi pertamanya diluncurkan bersamaan dengan Indonesia Incident Response Team on Internet Infrastructure (ID-SIRTII) pada 20 Oktober 2010 lalu. XecureBrowser ini hanya dapat dipakai untuk mengakses iBanking, online payment (PayPal, KasPay) yang sudah didaftarkan. Perancangannya sendiri menggunakan engine Firefox yang telah diperkuat. Menurut Gildas, ada alasan tersendiri mengapa pihaknya menggunakan Firefox untuk dikembangkan dan bukan peramban yang lain. “Selain karena Firefox adalah open source, [aplikasi] yang kompatibel dengan Firefox juga lebih banyak,” ujarnya.
Gildas menuturkan, di rilis v.1 (versi pertama) ini, XB bisa membersihkan hingga 50 persen. “Jadi memang belum 100 persen, nanti di v.2, v.3, dan seterusnya, kita akan meningkatkan hingga 90 persen,” ujarnya. “Itu pun jika industri perbankan mendukung,” imbuh Gildas. Ke depannya, XecureIT juga meminta kepada Bank Indonesia agar mengeluarkan Peraturan Bank Indonesia mengenai keamanan internet banking yang memberi perlindungan keamanan nyata dan menyeluruh kepada para pengguna, khususnya di Indonesia.
Senjata Andalan XB Browser :
XB terbaru versi 1.1 bisa diunduh cuma-cuma di alamat https://www.xecureit.com/xb/, tersedia untuk Windows dan Linux. Berikut adalah fasilitas andalan yang dimiliki XB :
- Anti Phishing - Pengguna XB dapat terhindar dari situs palsu karena mereka hanya dapat mengakses ke website yang terdaftar di XB.
- Pencegah Pembajakan Browser - XB membatasi penggunaan hanya ke situs-situs internet banking dan pembayaran online yang relatif aman (PayPal, KasPay), sehingga mengurangi kemungkinan terinfeksi dari trojan(man-in-the-browser) secara signifikan. XB juga dilengkapi dengan fungsi self integrity checking yang akan menghentikan penggunaan XB jika terjadi perubahan yang tidak diinginkan.
- Anti Pembajakan Jaringan - XB akan segara menghentikan akses tanpa meminta ijin pengguna jika salah satu kondisi keamanan SSL tidak terpenuhi ketika mengakses situs iBanking. XB tidak akan bekerja jika fungsi keamanan peringatan dinonaktifkan.
- Portable - XB dapat digunakan langsung dari USB disk tanpa melakukan instalasi tntuk memberi kemudahan dan pemanfaatan XB seluas-luasnya bagi pengguna.
- Mendukung Berbagai Jenis Sistem Operasi - XB dapat digunakan pada sistem operasi Windows, Linux dan Mac OS X (on progress).
- Startup Cepat dan Mendukung Pelaporan ke PayPal.
(B.Patrick Setiabudi)