As a student, i always have to bring notebook and pen to write material from lecturer in the class. In 2nd grade, i realize there is an application that can help me to take note simpler, it's microsoft one note. If you compare one note and notebook, i believe you will never use your notebook anymore, but i know lecturer may see you dont pay attention in the class.
With one note, you can easily note everything like lecture material, task, discussion, movie list, expense and so on. And the most important is you can synchronize ever notes on you smartphone, tablet and laptop. It makes you easier use any media to note without depend to single thing, even if your gadet is broken and you buy the new one, you can still restore your notes.
One note also makes your note more expressive since you can add picture, voice recording and attachment inside it. For example if you are in bad mood for typing, you can just record your or lecturer's voice.
Rabu, 18 April 2018
Kamis, 15 Maret 2018
El Empleo Review
Hi All... i'm gonna review about short movie animation directed by Santiago Bou Grasso from Argentina and written by Patricio Plaza. After watching this i'm sure you will have some interpretations, because you will see a bizzare world and there is no dialog on all scenes.
It starts with a man (the main character) awoken by alarm and turn off lamp. Then he shaves and dresses on front of mirror played by unknown man. The man has breakfast, he sit on a man as the chair and two women as the table. Before go to work, the man take suitcase and coat on hanger that represented by a woman. In, street there are some people are waiting for public transportation. Unexpectedly, all people and he ride piggyback on the way to work. Two men hang at intersection, One opens his jacket and reveals a red shirt, then he closes his jacket and another guy open his jacket to reveal a green shirt. Arrived at office, the man go inside the building which has a automatic door that represented by some men. He takes an elevator ride up, using a human counterweight. Then, he open the locker, walk to the front of the door and lay there. in seconds, a man scrapes his feet on his back, open the door and enters the office.
Based on my perception, this movies wants to tell us the current situtation of the world, where people sometimes seems have a prosperous life, but behind of that they also have to work hard even harder than us to get it what they have now.
It starts with a man (the main character) awoken by alarm and turn off lamp. Then he shaves and dresses on front of mirror played by unknown man. The man has breakfast, he sit on a man as the chair and two women as the table. Before go to work, the man take suitcase and coat on hanger that represented by a woman. In, street there are some people are waiting for public transportation. Unexpectedly, all people and he ride piggyback on the way to work. Two men hang at intersection, One opens his jacket and reveals a red shirt, then he closes his jacket and another guy open his jacket to reveal a green shirt. Arrived at office, the man go inside the building which has a automatic door that represented by some men. He takes an elevator ride up, using a human counterweight. Then, he open the locker, walk to the front of the door and lay there. in seconds, a man scrapes his feet on his back, open the door and enters the office.
Based on my perception, this movies wants to tell us the current situtation of the world, where people sometimes seems have a prosperous life, but behind of that they also have to work hard even harder than us to get it what they have now.
Sabtu, 30 Desember 2017
Audit S.I Tentang Pembobolan E-Banking
Perbankan Elekronik (bahasa Inggris: E-banking)
E-banking yang juga dikenal dengan istilah internet banking ini adalah
kegiatan yang melakukan transaksi, pembayaran, dan transaksi lainnya
melalui internet dengan website milik bank yang dilengkapi sistem
keamanan. Dari waktu ke waktu, makin banyak bank yang menyediakan
layanan atau jasa internet banking yang diatur melalui Peraturan Bank
Indonesia No. 9/15/PBI/2007 Tahun 2007 tentang 7722Penerapan Manajemen
Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum.
Penyelenggaraan internet banking merupakan penerapan atau aplikasi
teknologi informasi yang terus berkembang dan dimanfaatkan untuk
menjawab keinginan nasabah perbankan yang menginginkan servis cepat,
aman, nyaman murah dan tersedia setiap saat (24 jam/hari, 7 hari/minggu)
dan dapat diakses dari mana saja baik itu dari HP, Komputer, laptop/
note book, PDA, dan sebagainya.
E-Banking menjadi sasaran favorit bagi pelaku Cybercrime karena kemungkinan diuntungkan secara finansial sangat besar. Metode yang paling umum digunakan adalah menggunakan web phising, dengan mengarahkan nasabah untuk mengunjungi website internet banking yang palsu. Proses pengarahannya sendiri bisa melalui email palsu yang seolah dikirimkan dari perbankan terkait dengan konten yang berisi link penggantian password kearah website palsu dan menjelaskan bahwa nasabah harus segera melakukan penggantian password karena suatu alasan. Jika nasabah mengunjungi dan tidak memperhatikan website palsu tersebut secara seksama kemungkinan besar nasabah akan menginput username dan password internet banking. Yang kemudian credential tersebut sebetulnya akan dikirimkan ke hacker.
E-Banking yang diterapkan saat ini setidaknya menggunakan dua autentikasi untuk memastikan pengguna tersebut memiliki autorisasi terhadap akun sebuah nasabah, pada internet banking biasanya pengguna menggunakan username password sebagai autentikasi pertama kemudian one time password berupa kode dari hard token. Terlebih kode dari hard token biasanya hanya valid kurang dari 5 menit baik digunakan atau tidak. Namun, nyatanya metode ini juga pernah di-hack dengan beberapa mekanisme, salah satunya yang paling populer di Indonesia adalah sinkronisasi token palsu.
Sinkronisasi token merupakan proses menyamakan waktu antara waktu yang ada di token dan di server perbankan. Mengapa hal tersebut perlu dilakukan ? karena kode yang di-generate keduanya selalu akan sama jika di-generate pada waktu yang sama sehingga valid untuk digunakan sebagai autentikasi, oleh karena itu perlu adanya sinkronisasi token. Istilah ini lebih populer dimasyarakat sebagai metode hacking karena banyaknya nasabah yang menjadi korban sinkronisasi token palsu. Metode ini diawali dengan PC/Smartphone nasabah yang terinfeksi malware sebelumnya, kemudian nasabah mengakses website internet banking dan memasukan username password, secara bersamaan credential tersebut dikirim ke website resmi dan oleh malware dikirim ke hacker. Sesaat setelah itu, muncul pop-up sinkronisasi token yang sebetulnya di-generate oleh malware namun seolah terlihat dari website perbankan. Ketika token dimasukan, yang terjadi adalah token dikirimkan ke hacker dan hacker menginput credential dan token tersebut untuk bertransaksi.
Dalam kondisi ini, hal pertama yang harus dilakukan adalah perbankan wajib mematuhi regulasi yang ISO 27000 yang merupakan standar keamanan yang diterapkan oleh instansi diseluruh dunia dan regulasi PCI-DSS yang khusus mengatur standar keamanan internasional bagi perbankan atau perusahaan yang memanfaatkan kartu debet dan kartu kredit sebagai media pembayaran. Dengan demikian, perusahaan yang terlibat dalam transaksi bisa dipastikan aman karena sudah memenuhi standar tersebut.
Evaluasi sistem keamanan internal perbankan perlu dilakukan secara berkala untuk memastikan sistem keamanan tersebut selalu up-to date dan meminimalisir cybercrime, hal ini tidak terbatas pada perangkat keamanan saja, melainkan juga sistem aplikasi yang selalu diperbaiki bugs dan vulnerability yang ada.
Peran aktif perbankan dalam mengedukasi nasabah juga harus dilakukan karena sistem keamanan akan tercipta jika perbankan dan nasabah memperhatikan keamanannya masing-masing.
referensi :
https://id.wikipedia.org/wiki/E-banking
E-Banking menjadi sasaran favorit bagi pelaku Cybercrime karena kemungkinan diuntungkan secara finansial sangat besar. Metode yang paling umum digunakan adalah menggunakan web phising, dengan mengarahkan nasabah untuk mengunjungi website internet banking yang palsu. Proses pengarahannya sendiri bisa melalui email palsu yang seolah dikirimkan dari perbankan terkait dengan konten yang berisi link penggantian password kearah website palsu dan menjelaskan bahwa nasabah harus segera melakukan penggantian password karena suatu alasan. Jika nasabah mengunjungi dan tidak memperhatikan website palsu tersebut secara seksama kemungkinan besar nasabah akan menginput username dan password internet banking. Yang kemudian credential tersebut sebetulnya akan dikirimkan ke hacker.
E-Banking yang diterapkan saat ini setidaknya menggunakan dua autentikasi untuk memastikan pengguna tersebut memiliki autorisasi terhadap akun sebuah nasabah, pada internet banking biasanya pengguna menggunakan username password sebagai autentikasi pertama kemudian one time password berupa kode dari hard token. Terlebih kode dari hard token biasanya hanya valid kurang dari 5 menit baik digunakan atau tidak. Namun, nyatanya metode ini juga pernah di-hack dengan beberapa mekanisme, salah satunya yang paling populer di Indonesia adalah sinkronisasi token palsu.
Sinkronisasi token merupakan proses menyamakan waktu antara waktu yang ada di token dan di server perbankan. Mengapa hal tersebut perlu dilakukan ? karena kode yang di-generate keduanya selalu akan sama jika di-generate pada waktu yang sama sehingga valid untuk digunakan sebagai autentikasi, oleh karena itu perlu adanya sinkronisasi token. Istilah ini lebih populer dimasyarakat sebagai metode hacking karena banyaknya nasabah yang menjadi korban sinkronisasi token palsu. Metode ini diawali dengan PC/Smartphone nasabah yang terinfeksi malware sebelumnya, kemudian nasabah mengakses website internet banking dan memasukan username password, secara bersamaan credential tersebut dikirim ke website resmi dan oleh malware dikirim ke hacker. Sesaat setelah itu, muncul pop-up sinkronisasi token yang sebetulnya di-generate oleh malware namun seolah terlihat dari website perbankan. Ketika token dimasukan, yang terjadi adalah token dikirimkan ke hacker dan hacker menginput credential dan token tersebut untuk bertransaksi.
Dalam kondisi ini, hal pertama yang harus dilakukan adalah perbankan wajib mematuhi regulasi yang ISO 27000 yang merupakan standar keamanan yang diterapkan oleh instansi diseluruh dunia dan regulasi PCI-DSS yang khusus mengatur standar keamanan internasional bagi perbankan atau perusahaan yang memanfaatkan kartu debet dan kartu kredit sebagai media pembayaran. Dengan demikian, perusahaan yang terlibat dalam transaksi bisa dipastikan aman karena sudah memenuhi standar tersebut.
Evaluasi sistem keamanan internal perbankan perlu dilakukan secara berkala untuk memastikan sistem keamanan tersebut selalu up-to date dan meminimalisir cybercrime, hal ini tidak terbatas pada perangkat keamanan saja, melainkan juga sistem aplikasi yang selalu diperbaiki bugs dan vulnerability yang ada.
Peran aktif perbankan dalam mengedukasi nasabah juga harus dilakukan karena sistem keamanan akan tercipta jika perbankan dan nasabah memperhatikan keamanannya masing-masing.
referensi :
https://id.wikipedia.org/wiki/E-banking
Audit S.I Tentang Pembobolan Cryptocurrency
Penjelasan Bitcoin
Digital Currency adalah tipe mata uang yang tidak memiliki bentuk fisik seperti mata uang traditional, oleh karena itu digital currency hanya bisa digunakan untuk transaksi yang dilakukan secara elektronik atau biasa dikenal dengan istilah e-payment. Ada beberapa jenis digital currency saat ini seperti centralized system, decentralized system (cryptocurrency) dan virtual currency.Cryptocurrency merupakan salah satu jenis mata uang digital yang memanfaatkan kriptografi dalam berbagai prosesnya, tidak hanya transaksi tapi juga penyimpanan, kontrol dan verifikasi aset. Salah satu jenis cryptocurrency yang paling populer saat ini adalah Bitcoin, yang pertama kali muncul pada tahun 2009. Selain bitcoin ada banyak lagi cryptocurrency yang sekarang sudah dikenal dan diperdagangkan secara internasional. Pada artikel ini, pembahasan akan difokuskan kepada bitcoin dengan alasan jumlah pengguna dan nilainya tukar yang paling tinggi dibandingkan cryptocurrency lain.
Bitcoin merupakan mata uang cryptocurrency yang tidak diatur oleh bank sentral seperti jika di Indonesia ada Bank Indonesia atau di Amerika ada Federal Reserve yang menjaga stabilitas nilai, menjaga suplai uang dan sebagainya. Transaksi e-payment bitcoin juga dilakukan secara langsung antara penjual dan pembeli, tidak melalui media perbankan seperti kartu kredit misalnya.
Blockchain
Untuk menjaga agar setiap user tidak bisa double spending (menggunakan bitcoin yang sama lebih dari satu kali) maka digunakanlah blockchain sebagai buku besar, setiap transaksi akan divalidasi dan dicatat dalam blockchain. Blockchain bersifat desentralisasi, dimana setiap request transaksi akan diverifikasi secara independen oleh node dan kemudian dibroadcast ke seluruh node yang menyimpan blockchain dan terkoneksi satu sama lain melalui internet jika transaksi valid. Hal ini membuat seluruh node memiliki catatan transaksi yang sama.
Kepemilikian
Bukti kepemilikan uang dibank biasanya berdasarkan rekening tabungan nasabah sebagai dasar autentikasi, lain halnya dengan bukti kepemilikan bitcoin yang menggunakan "wallet", pada prinsipnya wallet juga digunakan sebagai autentikasi jika user ingin melakukan transaksi. Wallet merupakan sebuah keypair yang terdiri dari private key dan public key, private key digunakan untuk menandatangi sebuah request transaksi dan akan divefifikasi secara independen menggunakan public key oleh setiap nodes. Jika private key yang digunakan salah, maka akan terdeteksi saat dilakukan verifikasi, oleh karena itu private key bersifat rahasia dan hanya disimpan oleh user, lain halnya dengan public key yang didistribusikan ke seluruh node. Kedua key ini digenerate secara random oleh setiap user, public key juga digunakan sebagai address untuk melakukan transaksi.
Minning
Setiap request transaksi harus disertai dengan transaksi sebelumnya, sebagai contoh jika user A mentransfer 2 bitcoin ke user B, user A harus menyertakan transaksi sebelumnya yang menyatakan user x mentransfer sejumlah bitcoin ke user A, transaksi sebelumnya ini dikirim dalam bentuk format hash. Para minner atau komputer yang melakukan minning akan melakukan percobaan dengan input yang sangat banyak untuk mendapatkan nilai hash yang sama. Untuk itu diperlukan proses komputer yang tinggi. Jika input sudah ditemukan, maka artinya minner berhak untuk mendapatkan sejumlah bitcoin sebagai kompensasi dan transaksi akan divalidasi oleh node.
Vulnerability Bitcoin
Sistem Bitcoin sudah didesain sedemikian rupa agar tidak bisa dilakukan untuk menghindari ancaman yang bisa memanipulasi transaksi bitcoin. Pada kenyataanya tidak ada ada sistem yang bisa 100% aman, bitcoin juga merupakan sistem yang bisa diserang dan sudah banyak terjadi.Dalam beberapa kasus yang sering terjadi adalah dengan melakukan pencurian private key, private key merupakan satu-satunya elemen autentikasi yang dimiliki user untuk melakukan proses transaksi dan bukti kepemilikan atas bitcoin, permasalahan yang terjadi adalah private key biasanya disimpan pada gadget user seperti laptop atau smartphone. Pencurian key bisa dilakukan dengan menginfeksi malware yang bertujuan untuk mengambil file private key dari perangkat user ke perangkat hacker.
Modus lainnya adalah dengan menginfeksi malware trojan ke gadget korban, malware tersebut kemudian aktif saat user melakukan transfer bitcoin dan merubahan alamat tujuan sebenarnya menjadi alamat bitcoin hacker.
Software bitcoin yang tidak didevelop secara benar seperti menggunakan metode SDLC misalnya, sehingga software tersebut rentan dengan serangan yang memungkinkan private key dapat diambil secara mudah, atau malah software bitcoin tersebut sengaja dibuat untuk mengambil private key user.
Prevention
Untuk memastikan proses transaksi bitcoin secara aman, jangan mempercayakan sepenuhnya kepada sistem yang sudah berjalan, sebagai pengguna tetap perlu melakukan pengamanan seketat mungkin untuk menghindari kerugian dari serangan hacker. Beberapa solusi bisa dilakukan untuk mencegah hal tersebut diantaranya :- Melakukan backup private key ke dalam external storage dan disimpan secara offline dan disimpan pada tempat yang aman sehingga jika penyimpanan di gadget mengalami kerusakan, hilang atau bahkan dicuri, user bisa melakukan recovery dengan merestore private key yang sudah dibackup sebelumnya.
- Jika Wallet tersimpan di provider, pastikan provider memiliki reputasi yang terpercaya dan berasal dari negara yang sudah melegalkan bitcoin. Karena tidak semua negara sudah melegalkan bitcoin seperti Indonesia, sehingga jika provider wallet di Indonesia melakukan penipuan atau kehilangan wallet karena suatu alasan, maka tidak ada perlindungan hukum.
- Gunakan software wallet yang memiliki reputasi bagus dan digunakan banyak user, terutama memiliki fitur keamanan terhadapat private key.
- Menggunakan software security seperti antivirus untuk mendeteksi malware dan harddisk encryption untuk mengantisipasi jika gadget dicuri orang lain, maka data didalamnya tidak bisa terbaca karena sudah dienkripsi.
https://www.youtube.com/watch?v=kubGCSj5y3k
https://bitcoin.org/bitcoin.pdf
https://en.wikipedia.org/wiki/Bitcoin
https://www.csoonline.com/article/3241121/cyber-attacks-espionage/hacking-bitcoin-and-blockchain.html
Audit S.I Tentang Pembobolan ATM
Anjungan Tunai Mandiri atau ATM merupakan mesin yang biasa ditemui sehari-hari ditempat umum yang disediakan oleh pihak Bank untuk memberikan kemudahan kepada nasabah agar bisa melakukan transaksi tanpa harus datang ke Bank tersebut. Umumnya ATM digunakan untuk melakukan transaksi penarikan uang secara tunai, sehingga setiap mesin ATM bisa dipastikan memiliki simpanan uang kas dalam jumlah besar, disisi lain ada juga mesin ATM yang hanya ditujukan untuk transaksi non-tunai.
Pada dasarnya ATM adalah mesin komputer seperti kebanyakan PC pada umumnya yang hampir sebagian besar menggunakan sistem operasi Windows dengan tampilan fisik yang sangat berbeda karena disesuaikan dengan fungsinya. Nasabah yang ingin bertransaksi di ATM harus memiliki minimal 2 autentikasi (two factor authentication) yaitu kartu Debit dan PIN, transaksi yang direquest nasabah akan ditransfer ke sistem pusat bank (core banking) yang menyimpan data seluruh nasabah dari bank tersebut, kemudian pusat bank akan memberikan respon setelah request diproses.
Mesin ATM sebetulnya sudah di desain sedemikian untuk menjaga keamanan transaksi ataupun uang yang tersimpan dimesin tersebut. Namun, kejahatan pada mesin ATM masih terus terjadi dari waktu ke waktu. Hal tersebut tidak bisa dipungkiri karena tidak ada sistem yang 100% aman dari serangan hacker, berbagai serangan bisa dilakukan dengan memanfaatkan celah keamanan dari sisi hardware ataupun software seperti beberapa kasus berikut :
1. Fake Processing Center adalah mekanisme pembobolan ATM dengan memutuskan koneksi kabel di ATM yang digunakan untuk berkomunikasi ke pusat bank dan mengkoneksikannya ke pusat bank palsu (biasanya mini komputer yang digunakan karena fleksibel). Hacker kemudian bisa menggunakan kartu debit dan pin palsu untuk membypass proses autentikasi sebelum melakukan transaksi penarikan uang tunai
2. Black Box Attack adalah mekanisme yang membutuhkan akses fisik ke dalam mesin ATM dengan mengkoneksikan ATM dengan komputer yang disebut blackbox (berupa mini komputer) yang bisa melakukan kontrol terhadap mesin ATM. Blackbox tersebut bisa juga memiliki konektivitas wireless sehingga setelahnya bisa dikontrol oleh hacker tanpa ada sentuhan fisik.
3. Malware Attack merupakan mekanisme yang memanfaatkan konektivitas jaringan untuk menyebarkan malware ke mesin ATM sehingga tidak membutuhkan sentuhan fisik. Dalam metode ini dibagi lagi menjadi beberapa jenis mekanisme, setiap mekanisme memanfaatkan celah dari sistem yang berbeda-beda. Salah satu mekanisme yang cukup sulit ditanggulangi saat ini adalah fileless malware, sesuai namanya fileless malware adalah malware yang tidak berbentuk file dan menginfeksi komputer dalam konteksi ini ATM melalui memory sehingga akan sulit diaudit karena malware akan hilang setelah mesin ATM di restart. Terlebih lagi proteksi seperti scanning antivirus, forensic software, emulation file tidak bisa digunakan karena malware tidak disimpan didalam disk sehingga tidak ada file yang bisa dianalisa.
Selain metode yang sudah disebutkan masih ada lagi metode lain yang memungkinkan untuk melakukan pembobolan ATM. Untuk itu, perlu dilakukan audit secara tepat agar bisa ditentukan sistem keamanan yang efektif dan efisien terhadap serangan tersebut, diantaranya :
1. Komunikasi sistem pusat bank dan ATM, harus dipastikan komunikasi antara keduanya harus menggunakan autentikasi baik request dari ATM ke sistem pusat bank ataupun sebaliknya
2. Segmentasi jaringan perlu dilakukan untuk menentukan level keamanan jaringan yang diperlukan antara mesin ATM dengan jaringan di Kantor Pusat atau Data Center tempat sistem pusat bank berada.
3. Evaluasi sistem pusat bank dan aplikasi di ATM untuk memastikan bahwa keduanya selalu di patch secara berkala untuk menghindari bugs atau vulnerability yang bisa dimanfaatkan hacker
4. Memastikan fungsi monitoring di ATM seperti CCTV selalu bekerja secara realtime agar bisa dilakukan audit jika ada pembobolan secara fisik
5. Keamanan fisik ATM seperti akses ke dalam mesin hanya bisa dilakukan oleh orang-orang yang terdaftar
6. Penempatan lokasi ATM yang sebaiknya ditempatkan pada lokasi-lokasi yang sebisa mungkin tertutup dan memiliki petugas keamanan
Referensi :
https://www.kaspersky.com/blog/4-ways-to-hack-atm/13126/
https://thehackernews.com/2017/04/atm-fileless-malware.html
Pada dasarnya ATM adalah mesin komputer seperti kebanyakan PC pada umumnya yang hampir sebagian besar menggunakan sistem operasi Windows dengan tampilan fisik yang sangat berbeda karena disesuaikan dengan fungsinya. Nasabah yang ingin bertransaksi di ATM harus memiliki minimal 2 autentikasi (two factor authentication) yaitu kartu Debit dan PIN, transaksi yang direquest nasabah akan ditransfer ke sistem pusat bank (core banking) yang menyimpan data seluruh nasabah dari bank tersebut, kemudian pusat bank akan memberikan respon setelah request diproses.
Mesin ATM sebetulnya sudah di desain sedemikian untuk menjaga keamanan transaksi ataupun uang yang tersimpan dimesin tersebut. Namun, kejahatan pada mesin ATM masih terus terjadi dari waktu ke waktu. Hal tersebut tidak bisa dipungkiri karena tidak ada sistem yang 100% aman dari serangan hacker, berbagai serangan bisa dilakukan dengan memanfaatkan celah keamanan dari sisi hardware ataupun software seperti beberapa kasus berikut :
1. Fake Processing Center adalah mekanisme pembobolan ATM dengan memutuskan koneksi kabel di ATM yang digunakan untuk berkomunikasi ke pusat bank dan mengkoneksikannya ke pusat bank palsu (biasanya mini komputer yang digunakan karena fleksibel). Hacker kemudian bisa menggunakan kartu debit dan pin palsu untuk membypass proses autentikasi sebelum melakukan transaksi penarikan uang tunai
2. Black Box Attack adalah mekanisme yang membutuhkan akses fisik ke dalam mesin ATM dengan mengkoneksikan ATM dengan komputer yang disebut blackbox (berupa mini komputer) yang bisa melakukan kontrol terhadap mesin ATM. Blackbox tersebut bisa juga memiliki konektivitas wireless sehingga setelahnya bisa dikontrol oleh hacker tanpa ada sentuhan fisik.
3. Malware Attack merupakan mekanisme yang memanfaatkan konektivitas jaringan untuk menyebarkan malware ke mesin ATM sehingga tidak membutuhkan sentuhan fisik. Dalam metode ini dibagi lagi menjadi beberapa jenis mekanisme, setiap mekanisme memanfaatkan celah dari sistem yang berbeda-beda. Salah satu mekanisme yang cukup sulit ditanggulangi saat ini adalah fileless malware, sesuai namanya fileless malware adalah malware yang tidak berbentuk file dan menginfeksi komputer dalam konteksi ini ATM melalui memory sehingga akan sulit diaudit karena malware akan hilang setelah mesin ATM di restart. Terlebih lagi proteksi seperti scanning antivirus, forensic software, emulation file tidak bisa digunakan karena malware tidak disimpan didalam disk sehingga tidak ada file yang bisa dianalisa.
Selain metode yang sudah disebutkan masih ada lagi metode lain yang memungkinkan untuk melakukan pembobolan ATM. Untuk itu, perlu dilakukan audit secara tepat agar bisa ditentukan sistem keamanan yang efektif dan efisien terhadap serangan tersebut, diantaranya :
1. Komunikasi sistem pusat bank dan ATM, harus dipastikan komunikasi antara keduanya harus menggunakan autentikasi baik request dari ATM ke sistem pusat bank ataupun sebaliknya
2. Segmentasi jaringan perlu dilakukan untuk menentukan level keamanan jaringan yang diperlukan antara mesin ATM dengan jaringan di Kantor Pusat atau Data Center tempat sistem pusat bank berada.
3. Evaluasi sistem pusat bank dan aplikasi di ATM untuk memastikan bahwa keduanya selalu di patch secara berkala untuk menghindari bugs atau vulnerability yang bisa dimanfaatkan hacker
4. Memastikan fungsi monitoring di ATM seperti CCTV selalu bekerja secara realtime agar bisa dilakukan audit jika ada pembobolan secara fisik
5. Keamanan fisik ATM seperti akses ke dalam mesin hanya bisa dilakukan oleh orang-orang yang terdaftar
6. Penempatan lokasi ATM yang sebaiknya ditempatkan pada lokasi-lokasi yang sebisa mungkin tertutup dan memiliki petugas keamanan
Referensi :
https://www.kaspersky.com/blog/4-ways-to-hack-atm/13126/
https://thehackernews.com/2017/04/atm-fileless-malware.html
Dampak Audit Sistem Informasi
Perkembangan teknologi telah mengakibatkan perubahan
pengolahan data yang dilakukan perusahaan dari sistem manual menjadi
secara mekanis, elektromekanis, dan selanjutnya ke sistem elektronik
atau komputerisasi. Peralihan ke sistem yang terkomputerisasi
memungkinkan data yang kompleks dapat diproses dengan cepat dan teliti,
guna menghasilkan suatu informasi. Dalam mendukung aktivitas sebuah
organisasi, informasi menjadi bagian yang sangat penting baik untuk
perkembangan organisasi maupun membaca persaingan pasar. Dalam hal
proses data menjadi suatu informasi merupakan sebuah kegiatan dalam
organisasi yang bersifat repetitif sehingga harus dilaksanakan secara
sistematis dan otomatis.
Dengan demikian, sangat diperlukan adanya pengelolaan
yang baik dalam sistem yang mendukung proses pengolahan data tersebut.
Dalam sebuah organisasi tata kelola sistem dilakukan dengan melakukan
audit. Menurut Juliandarini (2013) Audit sistem informasi (Information
Systems (IS) audit atau Information technology (IT) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur sistem informasi secara
menyeluruh.Menurut Romney (2004) audit sistem informasi merupakan
tinjauan pengendalian umum dan aplikasi untuk menilai pemenuhan
kebijakan dan prosedur pengendalian internal serta keefektivitasannya
untuk menjaga asset.
Sehingga menurut uraian teori diatas, maka penulis
dapat simpulkan bahwa audit sistem informasi adalah suatu proses
pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah
sistem komputer perusahaan telah menggunakan asset sistem informasi secara tepat dan mampu mendukung pengamanan asset tersebut memelihara kebenaran dan integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.
Menurut Weber (1999) terdapat beberapa alasan
mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan
pengendalian terhadap sistem yang digunakan oleh organisasi :
1. Pencegahan terhadap biaya organisasi untuk data yang hilang
Kehilangan data dapat terjadi karena ketidakmampuan
pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak
menyediakan backup yang memadai terhadap file data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.
2. Pengambilan keputusan yang tidak sesuai
Membuat keputusan yang berkualitas tergantung pada
kualitas data yang akurat dan kualitas dari proses pengambilan keputusan
itu sendiri. Pentingnya data yang akurat bergantung kepada jenis
keputusan yang akan dibuat oleh orang – orang yang berkepentingan di
suatu organisasi.
3. Penyalahgunaan komputer
Penyalahgunaan komputer memberikan pengaruh kuat
terhadap pengembangan EDP audit maka untuk dapat memahami EDP audit
diperlukan pemahaman yang baik terhadap beberapa kasus penyalahgunaan
komputer yang pernah terjadi.
4. Nilai dari perangkat keras komputer, perangkat lunak dan personel
Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software
dicuri maka informasi yang rahasia dapat dijual kepada kompetitor.
Personel adalah sumber daya yang paling berharga, mereka harus dididik
dengan baik agar menjadi tenaga handal dibidang komputer yang
profesional.
5. Biaya yang tinggi untuk kerusakan komputer
Saat ini pemakaian komputer sudah sangat meluas dan
dilakukan juga terhadap fungsi kritis pada kehidupan kita. Kesalahan
yang terjadi pada komputer memberikan implikasi yang luar biasa, sebagai
contoh data error mengakibatkan jatuhnya pesawat di Antartika
yang menyebabkan 257 orang meninggal atau seseorang divonis masuk
penjara karena kesalahan data di komputer.
6. Kerahasiaan
Banyak data tentang diri pribadi yang saat ini dapat
diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka
data mengenai seseorang dapat segera diketahui termasuk hal – hal
pribadi.
7. Pengontrolan penggunaan komputer
Teknologi adalah hal yang alami, tidak ada teknologi
yang baik atau buruk. Pengguna teknologi tersebut yang dapat menentukan
apakah teknologi itu akan menjadi baik atau malah menimbulkan gangguan.
Banyak keputusan yang harus diambil untuk mengetahui apakah komputer
digunakan untuk suatu hal yang baik atau buruk.
Menurut Weber (1999) terdapat empat tujuan utama mengapa perlu dilakukannya audit sistem informasi yaitu:
(1) Mengamankan asset
Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data,
dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan
aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan
memasang pengendalian internal. Perangkat keras bisa rusak karena unsur
kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data
dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan
untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut
berada pada lokasi pusat sistem informasi, maka pengamanannya pun
menjadi perhatian dan tujuan yang sangat penting.
(2) Menjaga integritas data
Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity).
Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan
potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah
penting di organisasi salah sasaran karena tidak didukung dengan data
yang benar.
(3) Menjaga efektivitas sistem
Sistem informasi dikatakan efektif hanya jika sistem
tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem,
auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem
atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem
tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan /
informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui
karakteristik user berikut proses pengambilan keputusannya.
(4) Mencapai efisiensi sumber daya
Suatu sistem sebagai fasilitas pemrosesan informasi
dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin
untuk menghasilkan output yang dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi kapasitas sistem yang menganggur.
Dari alasan dan tujuan tersebut sangat jelas bahwa
penting bagi sebuah organisasi untuk melakukan audit sistem informasi
guna melihat kembali apakah sistem yang berjalansudah tepat dan
terpenting sistem mampu untuk mendukung tercapainya tujuan organisasi.
Terlihat mudah namun percaya atau tidak penulis
menemukan masih banyak organisasi yang belum dengan secara konsisten
melakukan audit serta evaluasi terhadap sistem yang digunakan meskipun
secara sadar bahwa investasi yang ditanamkan tidak dalam jumlah yang
kecil, namun ironisnya yang justru terjadi adalah audit dan evaluasi
baru mulai secara rutin dilakukan setelah organisasi merasakan resiko
dan baru mulai mencari tahu penyebabnya.
Sedari dini, mulailah untuk dengan seksama
melakukan penilaian terhadap sistem yang digunakan agar tujuan awal
investasi tidak menjadi sia – sia.
Referensi :
https://sis.binus.ac.id/2015/06/24/pentingnya-audit-sistem-informasi-bagi-organisasi/
Audit Electronic Data Processing
ELECTRONIC DATA PROCESSING (EDP) AUDITING
Menurut Ron Weber, EDP auditing adalah proses mengumpulkan
dan menilai bukti untuk menentukan apakah sistem komputer mampu
mengamankan harta, memelihara kebenaran data maupun mencapai tujuan
organisasi perusahaan secara efektif dan menggunakan harta perusahaan
secara hemat.Perkembangan teknologi komputer yang semakin pesat dirasakan dampaknya pada dunia auditing. Sekarang hampir semua unit kerja dapat mengolah datanya sendiri dengan komputer yang mereka miliki. Data yang rumit dan banyak yang akan diolah menjadi informasi bentuk tertentu yang sukar dan khusus yang tidak dapat dikerjakan pada unit sendiri, dapat diserahkan pengolahannya pada Unit Pengolahan Data Elektronik (EDP). Pada umumnya, EDP hanya berfungsi membantu pengolahan data, sedangkan rancangan sistemnya disusun oleh unit kerja masing-masing karena unit kerja bersangkutan pasti lebih tahu akan jenis dan bentuk informasi yang diperlukannya. (Amsyah, 2005)
METODE AUDIT ELECTRONIK DATA PROCESSING
Pada saat kita menjadi auditor, ada baiknya kita tidak bersikap ‘sok galak’
atau menyeramkan di depan auditee. Karena dengan sikap tersebut,
auditee akan merasa takut karena mereka merasa sedang diaudit. Hal
tersebut akan menimbulkan ketakutan untuk mengeluarkan data yang
sebenarnya. Efek dari perilaku ‘sok galak’ juga dapat menimbulkan ketidaksukaan auditee terhadap sang auditor, sehingga dapat berdapak pada hasil auditnya.Para auditor sebaiknya melakukan audit tanpa disadari oleh sang auditee. Bersikap ramahlah kepada sang auditee, sehingga sang auditee pun merasa bahwa kita merupakan teman mereka yang hendak membantu mereka. Dengan bersikap ramah dan menjadi teman mereka, mereka tidak akan segan-segan memberikan info tentang perusahaan mereka.
Pada saat kita melakukan audit, kita juga perlu membuat proses tersebut senatural mungkin, seperti mengajak berbicara, sambil memperhatikan EDP perusahaan tanpa disadari oleh sang auditee. Dengan cara demikian, hasil yang didapat pun akan lebih akurat.
Dalam melakukan audit EDP, terdapat tiga metode, yaitu:
- Auditing-around the Computer
- Auditing-through the Computer
- Auditing-with the Computer
Referensi :
http://blog.pasca.gunadarma.ac.id/2012/06/08/edp-auditing/
Langganan:
Postingan (Atom)