Black Hat : Mesin-Mesin ATM Berbasis Windows Rawan Hacking

Jika sebuah mesin ATM dengan mudahnya dapat dibobol dalam sebuah presentasi di konfrensi Black Hat, lalu seberapa rawankah fraud dapat dilakukan terhadap mesin-mesin ATM ketika dioperasikan oleh lembaga-lembaga keuangan dan retail? Inilah pertanyaan utama di dalam benak setiap pemimpin industri dalam merespon laporan-laporan hacking ATM yang didemonstrasikan di dalam Black Hat Technical Security Conference di Las Vegas yang diselenggarakan di awal Agustus ini.

Dalam sebuah presentasi yang dramatis yang berlangsung di Black Hat, Barnaby Jack seorang matan pegawai Juniper Networks, mendemostrasikan bagaimana seorang hacker dapat menginfeksi mesin ATM dengan sangat mudah, bahkan terkadang tanpa perlu melakukan kontak fisik.

Dua model ATM yang umum digunakan menjadi korban presentasi Jack yaitu; Triton RL2000 dan Tranax 1700 yang telah disuntik dengan malware, yang memberikan kontrol kepada hacker untuk memuntah sejumlah uang yang diinginkannya.

Pada mesin ATM Tranax, Jack mem-by pass sistem otentitifikasi jarak jauh. Pada mesin ATM Triton, Jack menginfeksi mesin dengan malware yang disimpan didalam sebuah USB flash disc. Dalam kedua kasus ini, Jack menggunakan rootkit buatannya yang menyerang sistem operasi CE Windows, sehingga memberikan keleluasaan kepadanya yaitu keistimewaan-keistimewaan sistem administrasi yang tak terdeteksi.

Bagi Rich Madley, seorang manajer electronic funds transfer USC Credit Union yang berbasis di Los Angeles dan memiliki aset US$350 juta, membaca berita mesin-mesin ATM yang di-hackin telah membangkitkan kewaspadaannya." Saya memiliki dua mesin ATM Triton di luar sana,"ujara Madley."Seberapa rapuhnya saya bila hal ini terjadi pada saya?"


Bob Douglas, VP engineering Triton Systems yang berbasis di Mississippi yang memproduksi RL2000, menyatakan bahwa Triton telah menyadari kerawanan pada mesinnya pada musim gugur November lalu sebagaimana yang dipertunjukan Jack, dan Triton telah mengeluarkan 2 patch ; XScale Security 2.2 Upadte dan X2 Security 2.1 Update.

Douglas mengakui bahwa Jack berhasil menaklukan metodologi otentifikasi yang dikembangkan Triton, namun patch yang kami keluarkan akan mengatasi kelemahan-kelemahan mesin ATM.

Tranax Technologies yang berbasis di California, yang pada Juni lalu telah mengajukan kebangkrutannya, tidak dapat dimintai komentarnya. Nicole Sturgill, seorang analis TowerGroup yang berbasis di Boston yang mengamati industri ATM berujar sejauh ini dia tidak melihat adanya update terkait hack pada mesin Tranax." Nampaknya mereka lebih memilih untuk diam terhadap hal ini,"ujarnya. Namun sejak lembaga-lembaga keuangan dan credit unions cenderung untuk menggunakan Triton ketimbang Tranax, saya pikir patch yang dikeluarkan menjadi jawabannya.

Namun masalah sesungguhnya, mungkin resiko di tingkat retail, ujar Sturgill. "Seberapa besar kemungkinan-kemungkinan bahwa mereka sedang menghadapi resiko, jika mereka tidak melihat langsung cerita di BlackHat?

Jack yang sesungguhnya telah berhasil meng-hack ATM pada tahun lalu, menggunakan demonstrasi ini sebagai cara untuk mengatakan kerapuhan-kerapuhan pada mesin-mesin ATM berbasis Windows. Tehnik-tehnik hacking yang umum digunakan untuk membobol terminal-terminal POS (point of sale) dan sistem-sistem melalui kerawanan-kerawanan internet yang ada pada sistem operasi Windows yang telah lama didiskusikan dai dalam industri ATM selama 10 tahun ini, diawali ketika perusahaan-perusahaan pembuat mesin ATM mulai melakukan migrasi platform dari sistem operasi IBM OS/2 ke Windows Microsoft. IBM sejak 2006 lalu tidak lagi mendukung OS/2.
Mike Lee, Chief Executive ATM Indutry Association, dilansir dari

bankinfosecurity.com (4/8/2010) bilang bahwa demonstrasi-demonstrasi yang memperlihatkan resiko-resiko keamanan membantu industri untuk tetap terdepan dalam memberikan keamanan. " Kita selalu melihat bangkitnya kewaspadaan-kewaspadaan sebagai upaya terus-menerus untuk memperbaiki keamanan ATM," jelas Lee. Untuk menjamin perlindungan yang paling efektif menghadapi beragam ancaman-termasuk internal, eksternal, fisik dan logikal- industri menyarankan kepada lembaga-lembaga finansial untuk mengimplementasikan dan menjalankan sebuah pendekatan keamanan berlapis dan komprehensif.

Selain kerawanan-kerawanan pada Windows, ada dua lubang keamanan yang sangat mengganggu terungkap :

• Lubang kemananan pertama : ATM Tranax diretas secara remote, setelah Jack dapat mem-bypass sitem monitor jarak jauh mesin-mesin ATM (Remote Monitoring Systems). Setelah berhasil menembusnya, Jack dapat mengontrol dan dapat mengambil nomor-nomor kartu.

• Lubang keamanan kedua : Paket RMS Triton, Triton Connect tidak di-bypass. Tetapi mem-bypass keamanan fisik mesin ATM. Dengan menggunakan kunci universal, Jack dapat membuka tutup ATM dan dengan mudah mengakses PC yang ada didalamnya. "90% mesin-mesin ATM yang beroperasi memiliki kunci-kunci yang generik," ujar Madley.

Douglas, Triton menyatakan semua pabrikan menawarkan kunci-kunci yang unik bagi kunci-kunci fisik mesin ATM yang mengamankan tutup bagian atas mesin ATM, dimana PC tersimpan. Tetapi beberapa institusi atau retailer memesan kunci-kunci unik."Hampir selalu yang digunakan adalah kunci-kunci universal," ujarnya.

Bagi lembaga-lembaga keuangan yang memiliki banyak mesin ATM yang tersebar diberbagai lokasi seperti di stasiun pengisian bahan bakar, ditambah dengan beberapa teknisi, sejumlah service provider yang memiliki akses ke mesin-mesin ATM, menjadi masalah tersendiri." Untuk memiliki sebuah kunci spesifik bagi setiap mesin ATM menjadi beban berat bagi mereka,"jelas Douglas. "Namun kunci-kunci unik dapat memberikan langkah-langkah pengamanan yang lebih baik.

(Martin Simamora)


Source:http://plazaegov.blogspot.com/2010/08/black-hat-mesin-mesin-atm-berbasis.html
17 Agt 2010

Fitur Cerdas Melindungi Keamanan Mesin ATM

Kejahatan perbankan adalah persoalan yang berada di sekitar kita sehari-hari dan sering kali dianggap menjadi bagian dari kehidupan layaknya seperti kecelakaan lalu lintas di jalan raya. Kejahatan perbankan pun menjadi semakin canggih merugikan pihak bank dan nasabah secara bersamaan.

Kejahatan perbankan dalam bentuk fisik seperti penodongan atau perampokan setelah nasabah ke luar dari bank atau mesin anjungan tunai mandiri (ATM) selalu berada di sekeliling kita. Orang pun berharap banyak kepada pengelola bank untuk bisa memperbaiki jasa keamanan nasabah, terutama di dalam atau sekitar ATM yang sering kali bermasalah.

Banyak lokasi ATM yang diperdaya oleh orang-orang jahat mengambil keuntungan dari persoalan teknologi ATM sebagai ”kasir yang tidak berbicara.” Banyak kasus, misalnya, rongga kartu ATM dihambat dan nasabah harus menghubungi nomor telepon tertentu dari stiker yang tertera di bawahnya.

Setelah menelepon, nasabah diminta nomor rahasia identifikasi personal (PIN) dan pelaku kejahatan pun bergegas masuk ke mesin ATM yang sudah diincar mengambil kartu ATM nasabah tersebut. Dan, dengan leluasa rekening nasabah dikuras sebanyak mungkin menggunakan kartu ATM nasabah yang sah, nomor PIN yang sah, tetapi oleh orang jahat.

Celakanya, sering kali nasabah tidak berdaya dan meyakinkan pihak bank kalau dirinya menjadi korban kejahatan. Proses layanan bank sangat lambat, nasabah menjadi stres karena kehilangan uang dan, sialnya, uang pun tidak bisa kembali dianggap seperti tabrak lari di jalan raya.

Keamanan nasabah

Ini adalah dilema teknologi, ketika mesin ATM yang tersebar di sejumlah kota di Indonesia menjadi rentan kejahatan, mulai mengelabui nasabah sampai menggondol mesin ATM. Dan mungkin hanya di Indonesia mesin ATM harus dijaga satpam karena sangat rawan terhadap berbagai kejahatan.

Kemajuan teknologi komunikasi informasi sebenarnya memberikan alternatif lain terhadap persoalan ini dengan memperluas kemampuan solusi keamanan dan pengintaian dengan melakukan monitoring atas orang, benda, ataupun perilaku lain di lingkungan mesin ATM. Dan yang menarik, kemampuan ini sekarang tersedia secara terjangkau dan memiliki berbagai fitur teknologi termasuk algoritme yang canggih yang melakukannya.

Salah satu produk yang dicoba Kompas adalah Trendline buatan BlueStar SecuTech Inc, perusahaan asal China yang menyediakan teknologi perangkat keras dan lunak berupa ATM Specialized Digital Video Recording yang mampu memberikan perlindungan menyeluruh lingkungan mesin ATM.

Perangkat Trendline BSR-5003AMN memiliki penyimpanan digital yang memudahkan pengarsipan video digital untuk digunakan pada saat terjadinya kejahatan mesin ATM. Perangkat ini memiliki rongga video input untuk empat buat kamera analog, yang secara tersembunyi di simpan di dalam ruang mesin ATM.

Fitur menarik dari produk Trendline ini adalah kemampuan inteligensi algoritme perangkat lunaknya melakukan analisis video. Trenline memiliki algoritme yang mampu untuk melakukan identifikasi atas obyek yang hilang atau tidak dijaga di wilayah yang terlindungi.

Analisis ini termasuk kemampuan untuk mengenali poster atau stiker yang seharusnya tidak boleh ada pada mesin ATM, kamera yang tidak diotorisasi, ataupun obyek-obyek lain. Perangkat Trendline akan memonitor terus-menerus dan ketika terdeteksi akan memicu alarm bagi pihak keamanan bank untuk bertindak.

Fitur cerdas

Fitur lainnya menghitung orang (people counting), di mana jumlah orang pada daerah tertentu di dalam mesin ATM bisa ditentukan jumlahnya. Fitur ini sangat berguna, terutama untuk melindungi nasabah yang menarik uang pada malam hari ketika masuk sendirian ke dalam ruang mesin ATM.

Ada juga fitur yang memungkinkan untuk melindungi ruang tertentu dengan menggunakan fitur pagar semu (virtual fence), misalnya, hanya satu arah tertentu dalam ruang di bank yang bisa dilalui. Dan, ketika ada orang yang melanggarnya, alarm dipicu dan obyek yang tertangkap dalam kamera akan ditandai dengan segi empat berwarna dan diikuti geraknya.

Fitur ini juga dilengkapi dengan fitur lain yang disebut sebagai perlindungan perimeter, menetapkan semacam zona panas di mana wilayah tertentu tidak boleh ada obyek atau orang. Dan, yang paling canggih dari fitur Trendline ini adalah kemampuan untuk mendeteksi muka dengan masker.

Pendeteksian ini termasuk canggih bukan karena picu alarm bunyi karena orang masuk mesin ATM dengan helm, tetapi mampu mendeteksi orang yang menutup mulutnya dengan masker dan menggunakan topi walaupun mata dan hidungnya tidak ditutupi. Fitur ini tidak banyak dimiliki oleh perangkat sejenis yang tersedia di pasaran.

Dilengkapi koneksi jejaring digital LAN, perangkat Trendline ini bisa menjadi solusi menarik bagi perbankan untuk bisa melindungi diri dari kejahatan atas mesin ATM. Instalasi Trendline juga mudah dan bisa dilakukan secara cepat dan penggunaannya dengan perangkat antarmuka yang sederhana, tetapi memiliki fitur-fitur canggih, termasuk stempel hari dan waktu untuk memudahkan pencarian.

Melalui teknologi seperti Trendline ini dan ketika digunakan dengan nomor identifikasi tunggal yang akan diterapkan di Indonesia, akan mudah melacak siapa yang melakukan kejahatan atas mesin-mesin ATM yang marak terjadi selama ini. Dan, sekaligus memberikan perlindungan kepada nasabah untuk bertransaksi secara aman dan nyaman. (RLP)

Senin, 19 Oktober 2009 | 15:09 WIB
Source:http://tekno.kompas.com/read/xml/2009/10/19/1509501/40.tahun.internet