Fair terhadap Zoom

Mukhammad Andri Setiawan, S.T., M.Sc., Ph.D. Kepala Badan Sistem  Informasi (BSI) Unversitas Islam Indonesia (UII)

= = =

 

Ini bukan posting berbayar, dan bukan karena UII juga pakai Zoom. Tapi untuk sekedar meluaskan pandangan, agar juga tidak menelan mentah-mentah semua yang ada di internet. Always take everything with a grain of salt, termasuk tulisan saya ini tentu saja.

  1. Zoombombing. Ini sudah menjadi word kayaknya hehe. Yakni menampilkan “ilicit” video di tengah meeting berlangsung. Ada orang-orang tidak dikenal masuk ke kanal meeting Zoom, terus menampilkan video-video yang tidak “baik”. Hal ini terjadi karena banyak orang yang menyebarkan link Zoom di publik, kemudian ada orang-orang yang join di meeting tersebut. Fitur share link bukan hanya dimiliki oleh Zoom, tapi hampir semua conferencing media memiliki hal yang sama. Potensi “zoombombing” pun bisa terjadi di seluruh platform conferencing yang lain. Isu utamanya bukan Zoom yang “bolong”, tapi karena orang ceroboh membuka link conferencing ke tempat publik. Platform lain? Ya tetap punya kerawanan yang sama, asal public link dibagi. Setidaknya sekarang di Zoom waiting room di-encourage, ada lock meeting, dlsb untuk mencegah zoombombing. Mengapa kok di platform lain nggak kedengaran isu ini? Karena mereka penggunanya sedikit hehe. Kalau mereka banyak, mungkin isu sama pun akan terjadi.
  2. Password Zoom bocor sebanyak 500.000. Jika merujuk ke beragam sumber yang ada, sebenarnya yang terjadi karena orang-orang menggunakan password yang sama di akun-akun mereka. Ya email, ya sosial media, ya Zoom. Akibatnya para “hacker” bisa masuk ke akun-akun Zoom tersebut. Same old lazy people who have been using the same password again. Kalau mereka pakai akun itu di Google, Microsoft, Cisco, dlsb gimana? Ya sama aja 🙂
  3. Zoom tidak end-to-end encryption. Betul. Tapi begitu juga mayoritas video conferencing yang lain. Hanya sebagian kecil, dan itu pun tidak aktif by default. Salah satu yg ada fitur end-to-end adalah Cisco Webex. So far, Google Meet? Nope. Microsoft Teams? Nope. Jitsi? AFAIK, Nope.
  4. Privacy Issue, attendance tracker. Ini tidak disukai banyak orang karena bisa tahu kalau ada peserta meeting yang Idle. Dosen suka fitur ini, karena tahu kalau mahasiswanya ngeZoom tapi malah ditinggal pergi (entah ke mana gitu) hehehe. Conference lain? Ada juga, Cisco WebEx sampai beberapa waktu lalu pun ada. Tapi fitur ini ditentang oleh banyak pegiat privasi, sehingga akhirnya fitur ini dibuang (dan dosen jadi sedih kembali hihihi)

Itu beberapa isu yang sering dimunculkan. Tentu Zoom tidak berarti tidak ada masalah, faktanya dia di-ban oleh Tesla dan Google (aneh aja sih kalau Google pake Zoom wkwk, orang dia punya platform sendiri) – meski untuk kepentingan individual, employee masih boleh pake Zoom.

Tapi setidaknya mereka mulai terbuka dengan beragam masukan. Wajar aja, tiga bulan lalu mereka cuma 10 juta pengguna, dan hari ini 200 juta pengguna. Anak kecil tiba-tiba jadi bongsor, tentu banyak pihak jadi shock, termasuk zoom sendiri.

Btw, sampai hari ini, kalau saya meeting sama partner-partner UII dari LN, semua juga masih pakai Zoom 😀 termasuk pagi ini, saya diskusi sama team Coursera, mereka juga masih pakai Zoom.

sumber : Facebook Andri Setiawan

/by

Nakes Tidak Di Garis Depan

Prof Fathul Wahid, ST, M,Sc., Ph.D,  Rektor Universitas Islam Indonesia

= =

 

Tenaga kesehatan (nakes), tenaga medis dan paramedis, memainkan peran yang sangat penting dalam penanganan pandemi Covid-19. Kita sudah selayaknya angkat topi untuk mereka sebagai tanda takzim.

Benteng terakhir

Mari tempatkan nakes sebagai benteng pertahanan terakhir di kala pandemi ini. Mereka bukan pasukan yang berada di garda terdepan, seperti narasi publik yang beredar saat ini. Tidak ada yang salah dengan narasi ini, tapi ini bisa memunculkan kesadaran yang keliru.

Alam bawah sadar sebagian kita akan mengatakan: “Kita punya nakes yang berada di garda terdepan. Kita aman. Mari, kita tetap menikmati hidup: rekreasi dan bercengkerama di tengah kerumunan. Beragam berita pembubaran keramaian dan kerumuman warga oleh aparat, menjadi bukti empiris.

Bayangkan kalau kita tidak menambah kerepotan para nakes di Puskesmas dan rumah sakit. Tanpa pasien terpapar Covid-19 pun, mereka sudah mempunyai banyak pasien yang membutuhkan bantuan. Pasien Covid-19 akan menambah beban mereka, meski penulis sangat yakin mereka, para nakes, akan melakukannya dengan sepenuh hati. Nakes berhati mulia di kala seperti ini, jika tidak dapat terlibat aktif, akan terasa teriris hatinya dan lunglai nuraninya.

Benteng pertahanan terakhir itu kadang jebol karena pasien atau keluarga pasien tidak jujur. Pasien ini ibarat Kuda Troya yang digagas Odysseus untuk menjebol dan menaklukkan Kota Troya, dalam mitologi Yunani, yang langsung menyerang ke jantung pertahanan. Beberapa yang terpapar dan meninggal merupakan nakes yang tidak berada di ruang isolasi dengan protokol ketat dan bahkan direktur rumah sakit.

Garda terdepan

Lantas, siapa yang berada di garda terdepan? Kita. Ya, kita. Kita adalah bak para bidak yang menahan serangan terhadap raja dan ratu dalam permainan catur. Ketika garda terdepan terkoyak, karena bidak tidak hati-hati dalam melangkah, raja dan ratu akan berada dalam ancaman. Tenaga medis adalah para raja dan ratu yang harus kita lindungi.

Caranya? Inilah saatnya, semua orang bisa mengambil peran untuk menyelamatkan umat manusia, termasuk dengan berdiam diri di rumah, menikmati waktu bersama keluarga. Jika terpaksa atau panggilan tugas mengharuskan keluar rumah, pastikan untuk menyiapkan: imunitas yang tinggi, istikamah dalam menjaga jarak fisik, menjaga kebersihan tangan, tidak latah mengusap hidup, mulut, dan mata, serta mengenakan alat pelindung diri yang mencukupi (seperti masker).

Sebagian dari kita mungkin merasa hebat, mempunyai imunitas yang baik. Tetapi jangan lupa, di rumah, ada orang tua dan anak kecil, orang-orang terkasih, yang rentan terpapar virus. Jangan egois. Setiap risiko paparan, harus diperhitungkan, karena frasa “memutar ulang waktu” hanya ada di kamusnya Doraemon. Pertimbangan matang selalu muncul di depan. Kalau di belakang, namanya penyesalan.

Dekatkan jarak sosial

Satu hal lagi, terakhir tetapi bukan afkir. Yang diperlukan saat ini adalah menjaga jarak fisik, bukan menjaga jarak sosial. Frasa dalam imbauan WHO sudah direvisi. Secara sosial justru kita harus saling mendukung dan menguatkan. Yang kuat, bantu yang lemah. Yang berpunya, sisihkan sebagian hartanya untuk yang papa. Sisihkan juga sebagian untuk penyediaan alat pelindung diri dan perangkat pendukung kesehatan lain, untuk nakes dan warga yang membutuhkan.

Tidak kalah penting, mari sebarkan semangat optimisme yang terukur, bukan optimisme yang meninabobokan, dan sebaliknya, bukan pula pesimisme yang menggerus energi positif. Hentikan juga mengirim informasi yang menyesatkan atau meningkatkan kegalauan di media sosial. Gantilah dengan pesan positif: kitalah yang berada di garda terdepan, untuk melindungi orang-orang terkasih yang rentan, dan para nakes yang menjaga benteng pertahanan terakhir.

Selain menunaikan beragam ikhtiar, mari jangan lelah mengetuk pintu langit, dengan iringan doa, semoga wabah ini lekas sirna dari muka bumi. Setelahnya, kita akan sambut wajah yang sumringah, hati yang tawaduk, dan rasa kesetiakawanan sosial yang mengental. Kengerian akan terurai, rasa jumawa bakal sirna, dan egoisme segera tergerus. Insyaallah.

Sumber : Republika

/by

100 Juta Masker Challenge

Analis Drone Emprit and Kernels Indonesia, Ismail Fahmi, menggagas gerakan memakai masker di akun media sosial Twitter. Gerakan itu lahir dengan tagar 100 juta masker challenge.

Ismail menceritakan, gerakan ini muncul karena kekhawatiran penyebaran Covid-19 melalui droplet, seperti percikan dari batuk, bersin, maupun air liur pada orang yang berbicara.

Selain itu, Ismail mendapati mahalnya harga masker bedah dan N95, serta stoknya yang terbatas. Ia pernah membeli kedua jenis masker tersebut dengan harga puluhan juta untuk disumbangkan ke rumah sakit.

“Saya dapat 5 boks N95 dan 20 boks masker bedah, harganya bisa beli motor, Rp 21 juta,” kata Ismail kepada Tempo, Senin, 6 April 2020.

Ismail mengatakan, masker jenis tersebut menjadi langka karena banyak dibeli dan dipakai oleh masyarakat umum. Padahal penggunaannya diprioritaskan bagi petugas kesehatan. Kemudian tercetus ide agar masyarakat bisa menggunakan masker tetapi dari bahan yang bisa dibuat dari rumah, yaitu masker berbahan kain.

Pada 21 Maret 2020, Ismail pun mencuit sebuah utas cara mengatasi kelangkaan masker. “Di semua negara, masker langka. Thread ini buat para ibu rumah tangga yang suka njahit, dan para tukang jahit. Tukang Jahit Bergerak,” cuitnya.

Ismail pun memaparkan kajian dari Cambridge University mengenai jenis-jenis masker. Untuk partikel virus berukuran besar, yaitu 1 mikron, masker bedah memiliki tingkat filtrasi hingga 97 persen

Masih dari penelitian Cambridge University, Ismail memaparkan bahwa masker berbahan kain bisa menyaring 50 persen partikel virus berukuran 0,02 mikron. Misalnya, bahan kain pada lap piring memiliki filtrasi 73 persen, kain bantal 57 persen, dan bahan katun 51 persen.

Lihat: Video Uji berbagai Bahan Masker

Namun, bahan kain yang nyaman untuk bernafas adalah kaus berbahan katun dan kain bantal. “Jadi, dari testing di atas, antara efektivitas dan kenyamanan, para peneliti di Cambridge merekomendasikan kain yang biasa dipakai untuk cover bantal dan t-shirt katun 100 persen sebagai bahan untuk bikin masker,” kata Ismail.

Menurut Ismail, jika masker berbahan katun digandakan, maka efektivitasnya naik menjadi 71 persen. Angka tersebut bisa lebih tinggi jika diberi filtrasi tambahan berupa tisu.

Ia kemudian memberikan foto mengenai langkah-langkah membuat masker berbahan kain. Juga memberikan informasi tentang masyarakat di luar negeri yang bergotong royong membuat masker dan mengirimkannya ke rumah sakit.

Gerakannya itu pun berhasil menggerakkan masyarakat umum. Terlihat dari sejumlah cuitan masyarakat yang diunggah kembali oleh akun Ismail. Seperti @TarjoSawud_Jady yang menunjukkan foto masker hasil jahitan yang hendak dijual. Keterangan foto itu tertulis, “Secara tidak langsung gerakan bang @ismailfahmi #100JutaMaskerChallenge telah menghidupkan UMKM yang bingung di saat Corona melanda. Alhamdulillah kini sudah bisa tersenyum kembali. Semoga #Covid_19 segera reda.”

Beberapa waktu lalu, kata Ismail, Gubernur Jawa Tengah Ganjar Pranowo juga membuat petunjuk membuat masker persis seperti yang ia tulis. “Beliau pertama kali meminta warganya bikin sendiri. Itu lima hari yang lalu sebelum BNPB,” ujarnya.

Sumber: TEMPO.CO

/by

RI Perlu Bangun Logistik Bebas COVID-19

Dr Zaroni, Analis senior Supply Chain Indonesia, Head of Consulting Division Supply Chain Indonesia, Dosen Program Studi Teknik Industri Program Magister FTI UII

Supply Chain Indonesia menyarankan pemerintah dan pelaku usaha logistik membangun sistem yang bebas dan aman dari penyebaran virus corona.

Analis senior Supply Chain Indonesia (SCI) Zaroni menjelaskan kunci pembangunan sistem logistik yang bebas Coronavirus Disease 2019 (COVID-19) adalah mencegah penyebaran virus yang bisa terjadi di sepanjang pergerakan barang pada saat interaksi antar orang.

Hal itu, paparnya, bisa dimulai dari pengirim, petugas loket, petugas gudang, pengemudi, petugas pemrosesan, petugas kargo di bandara atau pelabuhan, petugas pengantaran barang, dan penerima barang.

“Berarti juga menjaga dan mencegah penyebaran virus karena interaksi barang dan petugas dengan peralatan atau material handling equipment,” jelasnya, Rabu (25/3).

Zaroni membeberkan beberapa hal yang perlu diperhatikan yaitu menjaga kesehatan dan ketahanan fisik dan jiwa setiap insan logistik, termasuk di dalamnya adalah memperhatikan asupan gizi, kebersihan, dan pola hidup sehat.

Insan logistik, lanjutnya, tidak hanya menjaga tetapi juga perlu mencegah, karena bukan hanya masalah diri sendiri yang akan terkena, tetapi juga orang di sekitar yang mungkin lebih lemah kondisi kesehatannya.

Dari sisi pemimpin logistik, dia menyarakan harus mampu memberikan energi yang positif dan harapan agar tim logistik lebih tenang dan tetap produktif.

Sebaliknya, ketua tim logistik juga harus mengurangi energi-energi negatif yang dapat menurunkan kondisi mental timnya.

Sumber: Bisnis Indonesia 26 Maret 2020 – Logistik halaman 7

/by

Analisis Drone Emprit: Corona Virus

Ismail Fahmi., Ph.D – Drone Emprit and Media Kernels Indonesia, Founder

= =

Analisis Drone Emprit: Corona Virus

After having 2 days of complete data, Drone Emprit now release some insight and findings based on it’s analysis of conversation in social media and online media (Indonesian).

detail

/by

Java Script Sniffer Attack

Dr. Yudi Prayudi, M.Kom. Kepala Pusat Studi Forensika Digital FTI UII

– – 

Java Script Sniffer Attack (JS Sniffer Attack)

 

Berbagai kemudahan dan kenyamanan dalam hal memilih barang dan bertransaksi secara online, telah menumbuhkan pasar e-commnerce di seluruh dunia. Menurut survey dari Pew Research Center, delapan dari sepuluh orang dewasa di Amerika adalah merupakan konsumen dari e-commerce. Indonesia sendiri, menurut lembaga riset asal Inggris Merchant Machine adalah salah satu negara dengan pertumbuhan e-ecommerce tercepat. Pada tahun 2018 tercatat angka pertumbuhan 78% untuk pertumbuhan e-commerce di Indonesia. Sementara itu berdasarkan survey e-commerce yang dilakukan oleh BPS pada tahun 2019, tercatat angka 24. 82 juta transaksi e-commerce dari 13.485 usaha e-commerce dengan nilai transaksi mencapai 17, 21 T.

Diantara sekian banyak Bahasa pemrograman untuk membangun sebuah website, salah satunya adalah JavaScript. JavaScript (JS) adalah salah satu bahasa pemrograman tingkat tinggi yang dinamis. JavaScript banyak dipilih oleh programmer untuk membuat sebuah website. Salah satu kelebihannya adalah dukungan dari semua web browser modern sehingga memudahkan programmer untuk membangun sebuah website. JavaScript merupakan bahasa dari sisi klien yang berarti program diunduh di perangkat yang dimiliki oleh pengunjung situs, lalu diproses di perangkat klien. Saat pengguna mengunjungi situs web, maka file JavaScript akan diunduh dan dijalankan secara otomatis. Hal ini berbeda dengan bahasa di sisi server dimana program dijalankan pada server sebelum mengirimkan file ke pengunjung situs. Selain membangun sendiri website melalui Bahasa pemrograman, sebuah website E-Commerce dapat pula dibangun dengan mudah melalui ketersediaan berbagai jenis CMS (Content Management System) untuk e-commerce. Bahkan melalui CMS, dalam hitungan menit atau jam, sebuah website e-ecommerce dapat dibangun dengan mudah oleh siapapun.

Namun kenyamanan berbelanja online memiliki kelemahan transaksi data yang terjadi pada saat berbelanja online menjadi target tersendiri dari para pelaku kejahatan dunia maya. Khususnya data-data yang berkaitan dengan transaksi keuangan. Pelaku e-commerce yang menggunakan kartu pembayaran untuk belanja online menghadapi ancaman dunia maya yang tak terhitung jumlahnya, salah satunya adalah JavaScript-sniffer. Laporan yang dibuat oleh pada April 2019, menyebutkan bahwa sebuah malware baru yang dikenal dengan JavaScript- sniffers telah berhasil menginfeksi 2440 situs e-commerce di seluruh dunia. Malware ini dirancang untuk mencuri data pembayaran pelanggan dari toko online. JS-sniffer adalah salah satu type malware yang diinjeksi oleh pelaku kejahatan kepada website tertentu untuk melakukan intersep data yang dimasukkan oleh user seperti: kartu kredit, username, password dll.

Dalam hal kejahatan ATM dikenal dengan istilah teknik skimming, yaitu menambahkan alat tertentu pada mesin ATM sehinggga data-data nasabah yang tersimpan pada Kartu ATM/Kredit Card dapat dicuri melalui alat skimming yang terpasang di sekitar mesin ATM. JS sniffer sifatnya adalah sama dengan skimming namun dilakukan secara online melalui injeksi beberapa baris kode pada situs web tertentu. Baris-baris koder tersebut dalam menangkap data yang dimasukkan oleh pengguna, seperti nomor kartu kredit, nama, alamat, kata sandi, dll. Selain digunakan langsung oleh si pelaku kejahatan, data-data yang didapat dari aktivitas JS Sniffer dijadikan sebagai salah satu komoditas produk yang jual di forum-forum illegal atau black market.

JS Sniffer adalah termasuk dalam katagori Web/ Online Skimming yaitu suatu bentuk kejahatan siber dimana sebuah malware di injeksikan kepada sebuah website untuk

menjalankan aktifitas intersep data perbankan/transaksi keuangan yang dimasukkan oleh pengguna website tersebut. Aktivitas web/online skimming ini mulai marak sejak tahun 2016. Salah satu kasus terbesar dari web/online skimming ini adalah kasus yang menimpa perusahaan Briitish Airways dimana terdapat sekitar 380.000 data kartu kredit yang berhasil dicuri dari pelanggan perusahaan ini. Demikian juga dengan web Ticketmaster dimana terdapat 40.000 pelanggan website ini yang menjadi korban dari aktivitas web/online skimming.

Menurut riset dari Group-IB, pada tahun 2019 telah terdeteksi 38 varian dari JavaScript sniffers. Menurut riset tersebut, 70% malware JS Script berjalan pada platform (Content Management System) – CMS Magento, yaitu sebuah platform open source untuk e-commerce yang dibangun menggunakan bahasa pemrograman PHP. Magento sendiri adalah salah satu platform e-commerce yang sangat popular. Menurut statistic dari web Magento sendiri, saat ini terdapat lebih dari 250.000 web site e-commerce yang memanfaatkan Magento sebagai platform aktivitasnya. Selain, Magento, beberapa platform e-commerce lainnya juga seperti OpenCart, Shopify, WooCommerce dan WordPress telah berhasil ditembus oleh malware JS Sniffer walaupun prosentasenya tidak sebanyak Magento.

Hal yang mengkhawatirkan dari JS Sniffer adalah sulitnya melakukan deteksi terinfeksinya sebuah website oleh JS Sniffer. Attack JS Sniffer dapat dilakukan langsung kepada websitenya ataupun melalui library/plug in yang digunakan yang berasal dari pihak ketiga. Kekhawatiran lainnya adalah terkait dengan luasnya potensi pencurian data dari sebuah website e-commerce yang telah terinfeksi. Melihat cara kerja dari JS Sniffer ini, menurut Grup IB sangat dimungkinkan terjadinya korban berantai, yaitu tidak hanya pengunjung situs saja namun juga perusahaan pemilik situs serta pihak perbankan yang menjadi mitra transaksi pembayaran dari situs e-ecommerce tersebut juga berpotensi dicuri datanya. Hal ini mengingat banyaknya varian dari JSScript dengan cara kerja dan kemampuan yang berbeda-beda. Group-IB mengidentifikasi bahwa banyaknya varian JS Sniffer tersebut diduga karena dikembangkan oleh sebuah komunitas, bukan oleh individu. JS sniffer telah menjadi bagian dari komunitas underground yang luas dan hal ini tercermin dari adanya penjualan kode JS Script serta penjualan data-data yang diperoleh dari website yang terinfeksi JS Sniffer. Pada awal perkembangannya, JS Sniffer banyak mengarah pada aplikasi Magecart yang diduga dikembangkan oleh oleh sebuah grup hacking yang memuat berbagai script untuk kepentingan berbagai aktivitas pembayaran/payment. Tanpa sadar, pengguna script dari layanan Magecart tersebut akan langsung menjadi target dari aktivitas sniffing perusahaan tersebut.

Secara umum, terdapat 4 tahapan dari aktivitas JS Sniffer, yaitu:

  1. Mendapatkan akses kepada website target Web dengan vulnerabilitas yang rendah akan menjadi sasaran utama dari pelaku JS Sniffer.
  2. Mendapatkan kode JS Sniffer,baik dengan cara melalukan koding sendiri ataupun membeli dari forum
  3. Melakukan instalasi/injeksi kode JS
  4. Memanfaatkan (monetisasi) hasil pencurian data yang didapat, baik dijual melalui forum underground ataupun dimanfaatkan sendiri untuk pembelian barang-barang pada web e- ecomercer

Kunci pertamanya adalah pada langkah awal untuk mendapatkan akses kepada website. Disinilah pentingnya setiap website melakukan external pentest untuk mendapatkan feedback terhadap vulnerability dari website tersebut. Selain itu, melakukan assesmet ketat terhadap vendor atau pihak ketiga yang terkait langsung dengan aplikasi website kita sangatlah penting dilakukan untuk memastikan bahwa pihak ketiga juga telah menerapkan standar keamanan siber yang sesuai.

Untuk meningkatkan faktor keamanan dari website e-ecommerce, maka memanfaatkan layanan premium dari CMS adalah salah satu solusinya. Selain itu juga melakukan update secara berkala versi dari CMS yang digunakan. Selain itu, penggunaan plug-in untuk menambah fungsionalitas website juga harus dilakukan secara hati-hati. Secara umum, kerentan sebuah website e-commerce salah satunya dipengaruhi oleh setting keamanan yang tidak maksimal dari website tersebut. Karena itu, untuk pengelola website e-ecommerce hal yang dapat dilakukan untuk mencegah terinjeksinya JS Sniffer pada websitenya langkah yang dapat dilakukan antara lain:

  1. Gunakan kata sandi yang kuat dan unik untuk akun admin dan lakukan perubahan secara teratur.
  2. Lakukan pembaharuan secara lengkap terhadap semua sistim pada perangkat yang digunakan, terutama pada CMS. Library atau plug-in yang
  3. Lakukan pengecekan secara rutin terhadap keamanan system e-eccomerce yang
  4. Lakukan mekanisme pencatatan terhadap semua perubahan yang terjadi di situs, log ke panel kontrol, serta perubahan
  5. Pertama, pastikan semua infrastruktur server web dilakukan update/patching sepenuhnya ke versi terbaru. Hal ini meliputi perangkat lunak dan perangkat lunak serta sistim operasi yang berjalan pada masing-masing

Web/online skimming banyak menyerang website e-ecommerce dengan katagori kecil dan menengah. Salah satunya adalah karena kurangnya perhatian dari pemilik dan pengeloka website tersebut terhadap aspek keamanan siber. Website untuk usaha e-commerce kecil dan menengah umumnya berfokus pada pengembangan produk, jejaring pemasaran, promosi. Sementara aspek keamanan siber agak terabaikan. Hal inilah yang justru menjadi sasaran pelaku kejahatan siber. Dalam sebuah rantai bisnis, setiap aktivitas bisnis akan saling terhubung, termasuk keterhubungan dengan e-commerce yang besar. Sehingga mentargetkan website e-ecommerce kecil dan menengah adalah salah satu taktik pelakuk kejahatan untuk bisa menembus web ecommerce yang besar, yang relative telah didukung oleh sebuah sitim keamanan siber yang ketat.

Sejalan dengan keberhasilan Ditipidsiber Bareskrim dalam mengungkap pembobolan sejumlah toko online menggunakan JS Sniffer, maka hal yang perlu diapresiasi adalah kemampuan SDM dan teknologi yang dimiliki oleh Ditipidsiber Bareskrim untuk menerapkan teknik-teknik pengungkapan kejahatan siber yang semakin canggih. Hal ini tentunya didukung pula oleh koordinasi lintas negara yang dilakukan oleh penegak hukum dan perusahaan keamanan siber dalam mengidentifikasi terjadinya kejahatan siber.

Apakah pelaku yang diamankan adalah seorang hacker ? Bisa jadi ya bisa juga tidak. Dalam sebuah organized crime, pelaku umumnya memiliki peran masing-masing. Dalam kasus tersebut bisa jadi pelaku yang sudah dan maupun yang belum tertangkap menjalankan salah satu dari peran berikut yaitu:

  • programmer, yaitu yang mengembangkan langsung JS sniffer untuk diinjeksi ke website tertentu.
  • technology expert dan hosted system, yang berperan untuk membangun infrastruktur IT dan server
  • hacker, yang melakukan eksploitasi awal dari sebuah website sehingga didapat celah untuk melakukan injeksi JS Sniffer
  • cashier, money mules, teller, yang berperan dalam hal mekanisme dana yang didapat dari aktivitas criminal
  • distributor, yang berhubungan dengan pihak ketiga untuk menjual data yang didapat dari JS Sniffer
  • leader, pemimpin yang mengendalikan seluruh aktivitas

Bisa jadi diantara pelaku tersebut salah satunya adalah hacker atau salah satu dari tiga peran tersebut karena memang berhubungan langsung dengan sistim komputer dan jaringan serta bertugas untuk melakukan eksploitasi langsung website target serta melakukan injeksi kode JS Sniffer pada website tersebut. Atau bisa saja mereka yang tertangkap itu adalah pelaku yang termasuk salah satu dari tiga peran lainnya yang tidak secara langsung berhubungan dengan teknis computer dan aktivitas hacking. Pihak penegak hukum perlu melakukan pendalaman yang cermat atas peran masing-masing karena kana berkaitan dengan penerapan pasal hukum yang tepat untuk perbuatan yang telah mereka lakukan.

Yogyakarta, 25 Januari 2020

 

/by

Return on Investment

Dr  Zaroni, Head of Consulting Division Supply Chain Indonesia, Dosen Program Studi Teknik Industri Program Magister FTI UII

Profit bukanlah tujuan berbisnis. Sejatinya, tujuan berbisnis adalah menyediakan produk atau jasa terbaik yang diperlukan orang-orang. Atas dasar itu, bisnis tersebut menghasilkan keuntungan. – James Rouse, Pengembangan Real Estate Amerika, aktivis filantropis.

 Seringkali, banyak pengusaha berpikir bahwa mendapatkan profit menjadi tujuan utama berbisnis. Bagaimanapun, profit saja tidak cukup. Profit yang diperoleh harus dibandingkan dengan investasi yang telah digunakan untuk mendapatkan profit tersebut. Karenanya, return on investment atau ROI, atau tingkat return terhadap investasi seringkali lebih penting daripada profit itu sendiri.

Keberhasilan bisnis dalam jangka panjang seringkali diukur dari ROI ini. Untuk mencapai keberlangsungan bisnis, ROI harus lebih besar daripada biaya modal (cost of finance).

Mengapa ROI penting?

Untuk mencapai keberhasilan bisnis dalam jangka panjang, pemimpin perusahaan harus memonitor pencapaian target profitabilitas secara teratur. Karena untuk menghasilkan profit memerlukan investasi, maka ROI merupakan ukuran penting dalam mengevaluasi kinerja bisnis.

ROI dihitung sebagai berikut:

selengkapnya

/by

Modus dan Antisipasi Kejahatan Perbankan

Dr. Yudi Prayudi, M.Kom.  Kepala Pusat Studi Forensika Digital FTI UII

 

Ledakan teknologi informasi serta kemajuan teknologi telekomunikasi telah mengubah banyak hal dari manusia dalam cara hidup, bekerja dan berkomunikasi. Hal ini pula yang mendasari munculnya perubahan secara fundamental dalam teknologi perbankan, dari bank dengan konsep lama paper based menjadi bank modern dengan layanan digital. Muncullah kemudian konsep baru layanan perbankan dengan prinsip anytime – anywhere banking. Sebuah layanan perbankan yang memungkan interaksi antara nasabah dan perbankan dilakukan setiap saat, kapanpun dan dimanapun. Layanan tersebut adalah sebagai upaya perbankan untuk mengatasi keterbatasan penggunaan kartu ATM yang terbatas dari aspek fisik penggunaannya.

Secara umum terdapat 3 layanan digital perbankan, yaitu: SMS Banking, m-Banking (mobile banking) dan internet banking. Internet banking adalah layanan digital perbankan yang paling sederhana, platform utamanya adalah adanya koneksi internet. Layanan ini bisa dinikmati oleh nasabah menggunakan komputer desktop ataupun smartphone. Kuncinya adalah pada akun yang diverifikasi oleh pihak bank sebagai akun yang berkorelasi langsung dengan data diri nasabah. Sementara untuk SMS Banking dan m-Banking, selain verifikasi data nasabah, hal penting untuk dapat menjalankan layanan ini adalah verifikasi data nomor handphone serta SIM Card dari nasabah. Dalam hal ini, nomor handphone dan SIMCard harus didaftarkan kepada pihak bank agar nasabah dapat menjalankan layanan SMS Banking ataupun m- Banking. Melihat kemudahan layanan dalam menjalankan transaksi perbankan, m-banking cenderung meningkat penggunanya dibandingkan dengan SMS Banking.

Untuk internet banking, jenis kejahatan perbankan yang umumnya dilakukan adalah melakukan pencurian username dan password nasabah. Teknik phising melalui web aspal dari layanan perbankan sering dijadikan sebagai langkah awal untuk menjalankan jenis kejahatan pada internet banking ini. Nasabah harus cermat apabila akan membuka situs bank yang menjadi penyedia layanan perbankannya. Pelaku kejahatan akan membuat situs yang mirip dengan situs resminya baik dari sisi alamat ataupun tampilannya. Apabila nasabah terpedaya oleh web aspal ini, maka dengan modal username dan password yang dimasukkan kedalam web aspal tersebut, pelaku kejahatan akan melakukan langkah-langkah berikutnya untuk menggunakan username dan password tersebut untuk kepentingan dirinya. Termasuk didalamnya adalah melakukan transaksi perbankan tanpa sepengetahuan si pemilik nasabahnya.

Sementara untuk SMS Banking dan m-banking, jenis kejahatan yang dilakukan adalah melakukan SIM Card Swap, yaitu upaya untuk mengelabui operator selular untuk meminta pergantian SIM Card dari nomor tertentu. Teknik ini dilakukan untuk dapat mengambil alih nomor handphone dengan target melakukan akses terhadap akun perbankan yang terdaftar pada nomor handphone tersebut. Dalam hal ini, pelaku harus terlebih dahulu meyakinkan operator selular bahwa permohonan dirinya untuk melakukan pergantian SIM Card adalah valid dan dapat disetujui. Prosedur pergantian SIM Card itu sendiri sebenarnya sangatlah ketat, setiap operator selular walaupun memiliki SOP yang berbeda namun mereka berusaha untuk mencegah terjadinya pergantian SIM Card oleh orang yang tidak bertanggung jawab. Karena itu, adanya indikasi ke arah kejahatan terorganisasi adalah sebuah kesimpulan yang sangat wajar apabila ternyata proses pergantian SIM Card oleh orang yang tidak bertanggung jawab dapat dilakukan dengan mudah dan cepat. Pelaku kejahatan SIM Card Swap ini mengetahui dengan baik calon korbannya serta posisi terakhir dan rekam jejak transaksi perbankan dari calon korbannya. Mustahil pelaku melakukan SIM Card Swap pada calon korban yang tidak memiliki rekap jejak nasabah calon korbannya.

Salah satu indikasi bahwa telah terjadi upaya SIM Card Swap terhadap nomor selular milik kita adalah apabila ternyata tiba-tiba nomor handphone dan SIM Card tersebut tiba-tiba tidak bisa aktif digunakan. Dugaan wajar dari pemilik SIM Card adalah adanya keruksakan pada SIM Card miliknya atau adanya gangguan jaringan sehingga nomor handphone tidak bisa digunakan. Karena itu, apabila SIM Card pada ponsel kita mendadak tidak bisa digunakan maka harus secepatnya menghubungi operator selular kita. Hal lain yang juga menjadi prosedur pergantian SIM Card adalah harus melakukan mematikan handphone dimana SIM Card lama terpasang. Maka apabila tiba-tiba mendapat telepon/ SMS atasnama operator selular yang meminta kita untuk mematikan sementara handphone dengan dalih apapun, harus diabaikan dan dicurigai sebagai upaya untuk melakukan pengambil alihan SIM Card. Selain tidak dapat digunakannya SIM Card, maka identifikasi lain bahwa kemungkinan telah telah terjadi SIM Card Swap adalah adanya notifikasi bahwa terdapat aktifitas kita di tempat lain diluar kebiasaan dengan perangkat yang berbeda. Banyak aplikasi yang melakukan proses monitoring fraud melalui deteksi lokasi dan perangkat yang terkoneksi pada nomor handphone tertentu. Bila terdapat perubahan, maka aplikadi tersebut akan memberikan notifikasi via email adanya perubahan tersebut.

Mengaktifkan keamanan authentikasi dua faktor (2FA, Two Factor Authentication) adalah menjadi kontrol terhadap akun perbankan kita dari aktivitas illegal yang dilakukan diluar kendali kita. Melalui konsep keamanan tersebut, maka apabila terdapat permintaan kepada sistim untuk melakukan perubahan sesuatu dari data pada akun kita, maka akan melakukan konfirmasi dengan cara mengirimkan password OTP (One Time Password) kepada kita melalui media lainnya yang berada dalam kontrol kita (umumnya adalah konfirmasi melalui email dan SMS). Maka apabila tiba-tiba mendapat SMS/ Email yang berisi OTP dari akun perbankan yang kita miliki, harus segera dicurigai sebagai upaya untuk melakukan pengambil alihan akun tersebut. Konsep 2FA dan OTP ini menjadi tidak berlaku apabila ternyata telah dilakukan upaua SIM Card Swap. Karena begitu, proses penggantian SIM Card ini disetujui oleh operator selular, maka mekanisme 2FA dan OTP akan berpindah pada handphone yang berada dalam kendali di pelaku kejahatan. Selain itu, semua penyedia layanan m-banking menyediakan fitur untuk mengirimkan notifikasi via SMS dan Email apabila telah terjadi transaksi debit maupun kredit pada akun bank nasabahnya. Walaupun layanan ini umumnya membebankan biaya pengiriman SMS/Email pada nasabahnya, namun sangatlah penting sebagai bagian dari kontrol terhadap berbagai transaksi finansial pada rekening perbankan kita.

Kelemahan utama dari konsep 2FA adalah pada pesan OTP via SMS. Pesan text OTP yang dikirimkan melalui SMS/email ini dipandang adalah salah satu kelemahan yang dimanfaatkan oleh pelaku SIM Card Swap. Karena begitu, SIM Card sudah diambil alih, maka semua mekanisme OTP dari layanan yang terkoneksi pada SIM Card tersebut akan dengan sendirinya dapat diambil alih. Karena itu banyak analis keamanan system mulai mempertimbangkan penggunaan OTP melalui SMS. Teknologi alternative lainnya adalah penggunaan layanan dari Google Authenticator, Microsoft Authenticator, dan Authy sebagai bagian dari mekanisme 2FA. Teknologi tersebut tidak melakukan proses transmisi OTP melalui teks atau email,namun mensyaratkan akses fisik pada handphone langsung, sehingga selama hanbphone tersebut tidak berpindah kendalinya secara fisik maka maka proses OTP akan dapat dikendalikan langsung oleh si pemilik handphonenya.

Melakukan profiling melalui media sosial adalah salah satu tahapan dari pelaku kejahatan perbankan. Penggunaan Social Engingering Attack adalah salah satu mekanismenya.

Ketersediaan data data yang didapat dengan mudah melalui sosial media seperti: email, KTP, nomor handphone, nama anggota keluarga, aktivitas sehari-hari, posisi terakhir, jenis barang yang dibeli, toko tempat belanja, adalah data-data yang dapat dioleh oleh pelaku untuk menentukan layak tidaknya seseorang dijadikan target SIM Card Swap. Karena itu, untuk preventif kedepannya dari kemungkinan menjadi korban berbagai kejahatan perbankan, membedakan data pada akun media social dengan data perbankan adalah menjadi pilihan bijak. Memiliki nomor handphone dan email khusus untuk transaksi perbankan adalah menjadi pilihan aman bagi masyarakat. Memang menjadi tidak nyaman, tapi hal itu akan mempersempit celah bagi pihak tertentu yang mencoba melakuan profiling melalui ketersediaan data diri yang tersebar melalui media social.

Yogyakarta, 21 Januari 2020

/by