SlideShare a Scribd company logo

Analisis Kemanan Dalam Pengembangan Sistem Transaksi ATM Menggunakan Otentikasi Pembuluh Darah

Satria Ady Pradana
Satria Ady Pradana

Presentasi pada seminar tugas akhir. Program Studi Teknik Informaika Fakultas Sekolah Teknik Elektro dan Informatika (STEI) Institute Teknologi Bandung. Bagaimana jika kita dapat menggunakan "apa yang kita miliki" untuk membuktikan identitas kita? Bagaimana jika sangat penting, misal informasi finansial kita? Apakah biometri menjamin keamanan data kita?

Technology
1 of 40
Download to read offline
Sistem Transaksi ATM Otentikasi Pembuluh Darah Oleh: Satria Ady Pradana / 13510030 Dosen pembimbing: Achmad Imam Kistijantoro, 1
Detail Analysis Design in Global Problem 2
3
The Current Problems • Meningkatnya ancaman keamanan di Sistem ATM. • Meningkatnya kecanggihan teknologi dalam aktivitas kriminalitas ATM. • Kurangnya awareness / kesadaran akan keamanan informasi. • Lemahnya otentikasi berbasis password / PIN (what you know). • Identity fraud everywhere. 4
What We Need? • Suatu desain sistem dan teknologi yang mampu meminimalisir risiko dan ancaman tanpa mengganggu kenyamanan nasabah. • Melindungi nasabah sebagai titik terlemah di sistem. 5
The Idea • Menggantikan otentikasi berbasis PIN dengan otentikasi biometri. • Mempersiapkan sistem yang mendukung kemampuan otentikasi biometri. 6
BIOMETRY? IS THAT FOOD? 7
Sekilas Biometri • Biometri = bio (hidup) + metrik (mengukur) • Mengenal karakteristik manusia dan membedakan atau mengidentifikasi berdasarkan karakteristik unik yang dimiliki manusia Sidik jari Iris Retina Pembuluh darah Ukuran anggota badan Kelakuan • Statistik + matematik + biologi 8
Kenapa Pembuluh Darah? • Sulit atau tidak bisa dipalsukan • Bagian internal tubuh • Membedakan benda mati dan makhluk hidup • Akurasi tinggi. * • Tidak mengurangi kenyamanan. • Lebih mudah diterima masyarakat dibandingkan metode lain seperti iris, retina, dsb. • Fokus: Palm Vein (pembuluh darah telapak tangan) * Comparative Biometric Testing Round 6 Public Report (2006) by International Biometric Group 9
10
What are you protecting? Protecting from what? 11
Aset (yang harus dilindungi) • Dana nasabah • Identitas nasabah • Alamat nasabah • Log transaksi nasabah • Kartu nasabah • Tagihan • Dana di vault ATM • ATM • ATM controller • Server • Perangkat switching 12
Ancaman (yang harus dihindari) • Card & Currency Fraud • Card Trapping, Card Skimming • Logical Attack • Controller Poisoning, Injeksi Malware, Denial of Service, Message Forging, Message Replay, Message Tamper, Identity Theft, Kompromi Sistem Kriptografi, Penggantian Sensor, Stray Machine, Human Error • Physical Attack • Perusakan ATM (Vandalisme) 13
14
Basic Components • Sensor • Feature Extractor • Matcher • Template Database 15
The Work 16
Design in Global • Sisi Terminal ATM • Sisi Media Komunikasi • Sisi Server 17
Perubahan • ATM Perangkat sensor biometrik. Perlindungan dari malware. • Media Komunikasi Protokol Perlindungan integritas dan keaslian pesan • Server Feature extractor Matcher Database biometri (template) 18
19
ATM • Aspek yang dikaji • Pemilihan dan Pengaturan Sensor • Lingkungan kerja ATM • Sistem Operasi • Perangkat Lunak ATM • Ancaman saat ini • Card Trapping • Card Skimming • Injeksi Malware • Identity Theft • Kompromi terhadap mekanisme kriptografi • Penggantian scanner • Stray Machine 20
Pemilihan dan Pengaturan Sensor • Universality • Distinctiveness • Permanence • Collectability • Performance • Acceptability • Resistance to Circumvention • False Acceptance Rate • False Rejection Rate 21
Sistem Operasi • Memory protection • W^X (Write xor Execute) atau NX (Non Executable) • Address Space Layout Randomization (ASLR) • Stack Protector • Randomness • Sandbox 22
Perangkat Lunak ATM • Modul sensor biometrik • Alert system 23
Media Komunikasi • Aspek yang dikaji • Lightweight Public Key Infrastructure (LPKI) • Protokol komunikasi • Perlindungan pesan • Ancaman saat ini • Controller Poisoning • Message Forging • Message Replay • Message Tamper 24
Lightweight Public Key Infrastructure • Apa yang salah dengan PKI (Public Key Infrastructure) sekarang? • Sertifikat digital untuk sistem ATM, yang ideal • Server : nama subjek, kunci public subjek, waktu kadaluarsa sertifikat • Terminal : nama subjek, kunci public terminal, waktu kadaluarsa sertifikat, tanda pengenal sendor • ECC (Elliptic Curve Cryptography) based • Signcryption/signcryption • Melakukan fungsi sertifikat digital dan enkripsi secara simultan 25
Signcryption 26
Unsigncryption 27
Protokol Komunikasi • Transaction Request Message • Transaction Reply Message • State Table Load Message • Financial Instiutions Table (FIT) Load Message • Solicited Status Message • MAC Field Selection Load Message 28
Perlindungan Pesan • Message Authenticity & Integrity • Sertifikat digital (LPKI dengan signcryption/unsigncryption) • Message Time Validity • Berdasarkan waktu generate di terminal, dibandingkan untuk menentukan valid tidaknya transaksi (sinkron). 29
Server • Aspek yang dikaji • Server Hardening Design Principle • Biometric Database • Distributed Database • Ancaman saat ini • Denial of Service • Biometric specific attacks 30
Server Hardening • Simplicity • Mekanisme harus sesederhana mungkin • Fail safe • State harus dijamin aman meski sedang terjadi kegagalan • Separation of privilege • Pemisahan yang jelas kewenangan antar komponen • Least privilege • Privilege yang dibutuhkan untuk menyelesaikan tas harus serendah mungkin • Defense in depth • Mekanisme pertahanan yang berlapis 31
• apa saja informasi yang disimpan • apa saja informasi yang diproses dan ditransmisikan melalui server • apa security requirement untuk informasi ini • dimana saja informasi akan disimpan (local atau tersebar) • apa security requirement untuk host lain yang terhubung • berapa banyak komponen yang terlibat • dsb. 32
Biometric Database • Memisahkan data antara akun dan data biometrik nasabah • Data terkompres ? • Indeks yang digunakan ? 33
Distributed Database • Mencegah terjadinya Single-Point of Failure • Skalabilitas • Data template biometrik meningkat secara volume dan traffic • Aspek yang dikejar? • Consistency • Availability • Partition tolerance 34
Ancaman Spesifik di Biometri 35
• Traits Spoofing Deskripsi: memalsukan karakteristik atau menciptakan ciri-ciri palsu yang menyerupai data biometri yang dipindai. Penyerang menciptakan salinan yang valid sehingga menipu sensor. • Digital Traits Spoofing Deskripsi: mengirimkan aliran data digital yang merupakan bentuk digital dari data biometrik. • Override Feature Extractor Deskripsi: melakukan gangguan ke modul feature extractor sehingga modul menghasilkan feature atau template yang telah dipilih oleh penyerang. Biasanya berada di bagian firmware sensor. 36
• Feature Representation Tampering Deskripsi: mengganti fitur / data yang telah diekstrak. Berada di antara feature extraction dan modul pencocokan. Data yang benar dicegat dan diganti oleh penyerang sehingga informasi yang disimpan hanya informasi baru yang diberikan atau telah dimodifikasi. • Override Matching Unit Deskripsi: unit yang bertugas mencocokkan atau membandingkan diberikan nilai yang telah ditentukan, apapun data yang masuk. • Tamper with Stored Templates Deskripsi: penyerang yang dapat masuk ke database template biometrik dapat memodifikasi satu atau lebih template untuk mengotorisasi dirinya. Serangan ini juga termasuk menginjeksikan template palsu untuk akuisisi selanjutnya. 37
• Attack the Channel from the Stored Template of Matching Unit Deskripsi: mengubah data yang mengalir dari database ke unit pencocokan. • Override the Final Match Result Decision Deskripsi: mengubah seluruh hasil otorisasi, melakukan bypass sehingga apapun yang terjadi akan menghasilkan nilai yang diinginkan (terverifikasi atau teridentifikasi sebagai seseorang) 38
B I N G U N G ? H M M M . . . 39
40 T H A N K Y O U

Recommended

Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanBab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanStephen Setiawan
 
Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2Ahmad Khaidir Ali Fullah
 
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxfile_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxirvaimuhammad
 
pembahasan kemanan komputer
pembahasan kemanan komputerpembahasan kemanan komputer
pembahasan kemanan komputerGisnu Gintara
 
Information system control for system reliability
Information system control for system reliabilityInformation system control for system reliability
Information system control for system reliabilityUmi Badriyah
 
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxKeamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxEnsign Handoko
 
Anti cybercrimeavinantatayangan
Anti cybercrimeavinantatayanganAnti cybercrimeavinantatayangan
Anti cybercrimeavinantatayanganFtrhee Azkhadippaa
 
Komponen hardware dan software
Komponen hardware dan softwareKomponen hardware dan software
Komponen hardware dan softwareamron_AG
 

Recommended

Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanBab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanStephen Setiawan
 
Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2Keamanan jaringan komputer kelompok 2
Keamanan jaringan komputer kelompok 2Ahmad Khaidir Ali Fullah
 
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxfile_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptx
file_2013-08-19_23_10_46_Heru_Lestiawan,_M.Kom__Keamanan_JaringanNirkabel.pptxirvaimuhammad
 
pembahasan kemanan komputer
pembahasan kemanan komputerpembahasan kemanan komputer
pembahasan kemanan komputerGisnu Gintara
 
Information system control for system reliability
Information system control for system reliabilityInformation system control for system reliability
Information system control for system reliabilityUmi Badriyah
 
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxKeamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxEnsign Handoko
 
Anti cybercrimeavinantatayangan
Anti cybercrimeavinantatayanganAnti cybercrimeavinantatayangan
Anti cybercrimeavinantatayanganFtrhee Azkhadippaa
 
Komponen hardware dan software
Komponen hardware dan softwareKomponen hardware dan software
Komponen hardware dan softwareamron_AG
 
Kuliah 3
Kuliah 3Kuliah 3
Kuliah 3PERIE ANUGRAHA WIGUNA
 
9. kriptografi yudha
9. kriptografi yudha9. kriptografi yudha
9. kriptografi yudhaYudha Arif Budiman
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2D Istigfarin
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2D Istigfarin
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rhara Apriliant
 
PRESENTASI CYBERSECURITY REKTOR
PRESENTASI CYBERSECURITY REKTORPRESENTASI CYBERSECURITY REKTOR
PRESENTASI CYBERSECURITY REKTORWalid Umar
 
presentasirektorung-cybersecurity-220123020500.pdf
presentasirektorung-cybersecurity-220123020500.pdfpresentasirektorung-cybersecurity-220123020500.pdf
presentasirektorung-cybersecurity-220123020500.pdfEndahtriyuliani1
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponsePanji Ramadhan Hadjarati
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptimman qori
 
Zulyanti Megasari - Sistem Keamanan
Zulyanti Megasari - Sistem KeamananZulyanti Megasari - Sistem Keamanan
Zulyanti Megasari - Sistem Keamananbelajarkomputer
 
01-Pengantar Keamanan Kr.ppt
01-Pengantar Keamanan Kr.ppt01-Pengantar Keamanan Kr.ppt
01-Pengantar Keamanan Kr.pptMuhamadAgung20
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.pptGarGadot
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.pptSteveVe1
 
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdfHendroGunawan8
 
pengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxpengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxBudiHsnDaulay
 
IDS & Log Management
IDS & Log ManagementIDS & Log Management
IDS & Log ManagementJim Geovedi
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptirvaimuhammad
 
4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.pptagusmulyanna
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptncoment131
 
Cyber Security.pdf
Cyber Security.pdfCyber Security.pdf
Cyber Security.pdfSonyaSinaga3
 
Malware for Red Team
Malware for Red TeamMalware for Red Team
Malware for Red TeamSatria Ady Pradana
 
Down The Rabbit Hole, From Networker to Security Professional
Down The Rabbit Hole, From Networker to Security ProfessionalDown The Rabbit Hole, From Networker to Security Professional
Down The Rabbit Hole, From Networker to Security ProfessionalSatria Ady Pradana
 

More Related Content

Similar to Analisis Kemanan Dalam Pengembangan Sistem Transaksi ATM Menggunakan Otentikasi Pembuluh Darah

Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2D Istigfarin
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2D Istigfarin
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rhara Apriliant
 
PRESENTASI CYBERSECURITY REKTOR
PRESENTASI CYBERSECURITY REKTORPRESENTASI CYBERSECURITY REKTOR
PRESENTASI CYBERSECURITY REKTORWalid Umar
 
presentasirektorung-cybersecurity-220123020500.pdf
presentasirektorung-cybersecurity-220123020500.pdfpresentasirektorung-cybersecurity-220123020500.pdf
presentasirektorung-cybersecurity-220123020500.pdfEndahtriyuliani1
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponsePanji Ramadhan Hadjarati
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptimman qori
 
Zulyanti Megasari - Sistem Keamanan
Zulyanti Megasari - Sistem KeamananZulyanti Megasari - Sistem Keamanan
Zulyanti Megasari - Sistem Keamananbelajarkomputer
 
01-Pengantar Keamanan Kr.ppt
01-Pengantar Keamanan Kr.ppt01-Pengantar Keamanan Kr.ppt
01-Pengantar Keamanan Kr.pptMuhamadAgung20
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.pptGarGadot
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.pptSteveVe1
 
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdfHendroGunawan8
 
pengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxpengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxBudiHsnDaulay
 
IDS & Log Management
IDS & Log ManagementIDS & Log Management
IDS & Log ManagementJim Geovedi
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptirvaimuhammad
 
4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.pptagusmulyanna
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptncoment131
 
Cyber Security.pdf
Cyber Security.pdfCyber Security.pdf
Cyber Security.pdfSonyaSinaga3
 

Similar to Analisis Kemanan Dalam Pengembangan Sistem Transaksi ATM Menggunakan Otentikasi Pembuluh Darah (20)

Kuliah 3
Kuliah 3Kuliah 3
Kuliah 3
 
9. kriptografi yudha
9. kriptografi yudha9. kriptografi yudha
9. kriptografi yudha
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2
 
Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2Rekayasai perangkatlunak 2
Rekayasai perangkatlunak 2
 
PRESENTASI CYBERSECURITY REKTOR
PRESENTASI CYBERSECURITY REKTORPRESENTASI CYBERSECURITY REKTOR
PRESENTASI CYBERSECURITY REKTOR
 
presentasirektorung-cybersecurity-220123020500.pdf
presentasirektorung-cybersecurity-220123020500.pdfpresentasirektorung-cybersecurity-220123020500.pdf
presentasirektorung-cybersecurity-220123020500.pdf
 
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and ResponseCyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
CyberOps Associate Modul 28 Digital Forensics and Incident Analysis and Response
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.ppt
 
Zulyanti Megasari - Sistem Keamanan
Zulyanti Megasari - Sistem KeamananZulyanti Megasari - Sistem Keamanan
Zulyanti Megasari - Sistem Keamanan
 
01-Pengantar Keamanan Kr.ppt
01-Pengantar Keamanan Kr.ppt01-Pengantar Keamanan Kr.ppt
01-Pengantar Keamanan Kr.ppt
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt
 
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf
1. UTS_KRIPTOGRAFI_DAN_STEGANOGRAFI_HENDRO_GUNAWAN_200401072103_IT-701.pdf
 
pengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxpengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptx
 
IDS & Log Management
IDS & Log ManagementIDS & Log Management
IDS & Log Management
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.ppt
 
4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.ppt
 
Cyber Security.pdf
Cyber Security.pdfCyber Security.pdf
Cyber Security.pdf
 

More from Satria Ady Pradana

Down The Rabbit Hole, From Networker to Security Professional
Down The Rabbit Hole, From Networker to Security ProfessionalDown The Rabbit Hole, From Networker to Security Professional
Down The Rabbit Hole, From Networker to Security ProfessionalSatria Ady Pradana
 
MITM: Tales of Trust and Betrayal
MITM: Tales of Trust and BetrayalMITM: Tales of Trust and Betrayal
MITM: Tales of Trust and BetrayalSatria Ady Pradana
 
Python-Assisted Red-Teaming Operation
Python-Assisted Red-Teaming OperationPython-Assisted Red-Teaming Operation
Python-Assisted Red-Teaming OperationSatria Ady Pradana
 
IoT Security - Preparing for the Worst
IoT Security - Preparing for the WorstIoT Security - Preparing for the Worst
IoT Security - Preparing for the WorstSatria Ady Pradana
 
Silabus Training Reverse Engineering
Silabus Training Reverse EngineeringSilabus Training Reverse Engineering
Silabus Training Reverse EngineeringSatria Ady Pradana
 
Practical Security - Modern Day Software
Practical Security - Modern Day SoftwarePractical Security - Modern Day Software
Practical Security - Modern Day SoftwareSatria Ady Pradana
 
Reverse Engineering: The Crash Course
Reverse Engineering: The Crash CourseReverse Engineering: The Crash Course
Reverse Engineering: The Crash CourseSatria Ady Pradana
 
The Offensive Python: Practical Python for Penetration Testing
The Offensive Python: Practical Python for Penetration TestingThe Offensive Python: Practical Python for Penetration Testing
The Offensive Python: Practical Python for Penetration TestingSatria Ady Pradana
 
From Reversing to Exploitation: Android Application Security in Essence
From Reversing to Exploitation: Android Application Security in EssenceFrom Reversing to Exploitation: Android Application Security in Essence
From Reversing to Exploitation: Android Application Security in EssenceSatria Ady Pradana
 
Android Security: Art of Exploitation
Android Security: Art of ExploitationAndroid Security: Art of Exploitation
Android Security: Art of ExploitationSatria Ady Pradana
 
Bypass Security Checking with Frida
Bypass Security Checking with FridaBypass Security Checking with Frida
Bypass Security Checking with FridaSatria Ady Pradana
 
Malware: To The Realm of Malicious Code (Training)
Malware: To The Realm of Malicious Code (Training)Malware: To The Realm of Malicious Code (Training)
Malware: To The Realm of Malicious Code (Training)Satria Ady Pradana
 
Reverse Engineering: Protecting and Breaking the Software (Workshop)
Reverse Engineering: Protecting and Breaking the Software (Workshop)Reverse Engineering: Protecting and Breaking the Software (Workshop)
Reverse Engineering: Protecting and Breaking the Software (Workshop)Satria Ady Pradana
 
Reverse Engineering: Protecting and Breaking the Software
Reverse Engineering: Protecting and Breaking the SoftwareReverse Engineering: Protecting and Breaking the Software
Reverse Engineering: Protecting and Breaking the SoftwareSatria Ady Pradana
 
Memory Forensic: Investigating Memory Artefact (Workshop)
Memory Forensic: Investigating Memory Artefact (Workshop)Memory Forensic: Investigating Memory Artefact (Workshop)
Memory Forensic: Investigating Memory Artefact (Workshop)Satria Ady Pradana
 
Memory Forensic: Investigating Memory Artefact
Memory Forensic: Investigating Memory ArtefactMemory Forensic: Investigating Memory Artefact
Memory Forensic: Investigating Memory ArtefactSatria Ady Pradana
 

More from Satria Ady Pradana (20)

Malware for Red Team
Malware for Red TeamMalware for Red Team
Malware for Red Team
 
Down The Rabbit Hole, From Networker to Security Professional
Down The Rabbit Hole, From Networker to Security ProfessionalDown The Rabbit Hole, From Networker to Security Professional
Down The Rabbit Hole, From Networker to Security Professional
 
MITM: Tales of Trust and Betrayal
MITM: Tales of Trust and BetrayalMITM: Tales of Trust and Betrayal
MITM: Tales of Trust and Betrayal
 
Berkarir di Cyber Security
Berkarir di Cyber SecurityBerkarir di Cyber Security
Berkarir di Cyber Security
 
IOT Security FUN-damental
IOT Security FUN-damentalIOT Security FUN-damental
IOT Security FUN-damental
 
Python-Assisted Red-Teaming Operation
Python-Assisted Red-Teaming OperationPython-Assisted Red-Teaming Operation
Python-Assisted Red-Teaming Operation
 
IoT Security - Preparing for the Worst
IoT Security - Preparing for the WorstIoT Security - Preparing for the Worst
IoT Security - Preparing for the Worst
 
Silabus Training Reverse Engineering
Silabus Training Reverse EngineeringSilabus Training Reverse Engineering
Silabus Training Reverse Engineering
 
Practical Security - Modern Day Software
Practical Security - Modern Day SoftwarePractical Security - Modern Day Software
Practical Security - Modern Day Software
 
Firmware Reverse Engineering
Firmware Reverse EngineeringFirmware Reverse Engineering
Firmware Reverse Engineering
 
Reverse Engineering: The Crash Course
Reverse Engineering: The Crash CourseReverse Engineering: The Crash Course
Reverse Engineering: The Crash Course
 
The Offensive Python: Practical Python for Penetration Testing
The Offensive Python: Practical Python for Penetration TestingThe Offensive Python: Practical Python for Penetration Testing
The Offensive Python: Practical Python for Penetration Testing
 
From Reversing to Exploitation: Android Application Security in Essence
From Reversing to Exploitation: Android Application Security in EssenceFrom Reversing to Exploitation: Android Application Security in Essence
From Reversing to Exploitation: Android Application Security in Essence
 
Android Security: Art of Exploitation
Android Security: Art of ExploitationAndroid Security: Art of Exploitation
Android Security: Art of Exploitation
 
Bypass Security Checking with Frida
Bypass Security Checking with FridaBypass Security Checking with Frida
Bypass Security Checking with Frida
 
Malware: To The Realm of Malicious Code (Training)
Malware: To The Realm of Malicious Code (Training)Malware: To The Realm of Malicious Code (Training)
Malware: To The Realm of Malicious Code (Training)
 
Reverse Engineering: Protecting and Breaking the Software (Workshop)
Reverse Engineering: Protecting and Breaking the Software (Workshop)Reverse Engineering: Protecting and Breaking the Software (Workshop)
Reverse Engineering: Protecting and Breaking the Software (Workshop)
 
Reverse Engineering: Protecting and Breaking the Software
Reverse Engineering: Protecting and Breaking the SoftwareReverse Engineering: Protecting and Breaking the Software
Reverse Engineering: Protecting and Breaking the Software
 
Memory Forensic: Investigating Memory Artefact (Workshop)
Memory Forensic: Investigating Memory Artefact (Workshop)Memory Forensic: Investigating Memory Artefact (Workshop)
Memory Forensic: Investigating Memory Artefact (Workshop)
 
Memory Forensic: Investigating Memory Artefact
Memory Forensic: Investigating Memory ArtefactMemory Forensic: Investigating Memory Artefact
Memory Forensic: Investigating Memory Artefact
 

Analisis Kemanan Dalam Pengembangan Sistem Transaksi ATM Menggunakan Otentikasi Pembuluh Darah

  • 1. Sistem Transaksi ATM Otentikasi Pembuluh Darah Oleh: Satria Ady Pradana / 13510030 Dosen pembimbing: Achmad Imam Kistijantoro, 1
  • 3. 3
  • 4. The Current Problems • Meningkatnya ancaman keamanan di Sistem ATM. • Meningkatnya kecanggihan teknologi dalam aktivitas kriminalitas ATM. • Kurangnya awareness / kesadaran akan keamanan informasi. • Lemahnya otentikasi berbasis password / PIN (what you know). • Identity fraud everywhere. 4
  • 5. What We Need? • Suatu desain sistem dan teknologi yang mampu meminimalisir risiko dan ancaman tanpa mengganggu kenyamanan nasabah. • Melindungi nasabah sebagai titik terlemah di sistem. 5
  • 6. The Idea • Menggantikan otentikasi berbasis PIN dengan otentikasi biometri. • Mempersiapkan sistem yang mendukung kemampuan otentikasi biometri. 6
  • 8. Sekilas Biometri • Biometri = bio (hidup) + metrik (mengukur) • Mengenal karakteristik manusia dan membedakan atau mengidentifikasi berdasarkan karakteristik unik yang dimiliki manusia Sidik jari Iris Retina Pembuluh darah Ukuran anggota badan Kelakuan • Statistik + matematik + biologi 8
  • 9. Kenapa Pembuluh Darah? • Sulit atau tidak bisa dipalsukan • Bagian internal tubuh • Membedakan benda mati dan makhluk hidup • Akurasi tinggi. * • Tidak mengurangi kenyamanan. • Lebih mudah diterima masyarakat dibandingkan metode lain seperti iris, retina, dsb. • Fokus: Palm Vein (pembuluh darah telapak tangan) * Comparative Biometric Testing Round 6 Public Report (2006) by International Biometric Group 9
  • 10. 10
  • 11. What are you protecting? Protecting from what? 11
  • 12. Aset (yang harus dilindungi) • Dana nasabah • Identitas nasabah • Alamat nasabah • Log transaksi nasabah • Kartu nasabah • Tagihan • Dana di vault ATM • ATM • ATM controller • Server • Perangkat switching 12
  • 13. Ancaman (yang harus dihindari) • Card & Currency Fraud • Card Trapping, Card Skimming • Logical Attack • Controller Poisoning, Injeksi Malware, Denial of Service, Message Forging, Message Replay, Message Tamper, Identity Theft, Kompromi Sistem Kriptografi, Penggantian Sensor, Stray Machine, Human Error • Physical Attack • Perusakan ATM (Vandalisme) 13
  • 14. 14
  • 15. Basic Components • Sensor • Feature Extractor • Matcher • Template Database 15
  • 17. Design in Global • Sisi Terminal ATM • Sisi Media Komunikasi • Sisi Server 17
  • 18. Perubahan • ATM Perangkat sensor biometrik. Perlindungan dari malware. • Media Komunikasi Protokol Perlindungan integritas dan keaslian pesan • Server Feature extractor Matcher Database biometri (template) 18
  • 19. 19
  • 20. ATM • Aspek yang dikaji • Pemilihan dan Pengaturan Sensor • Lingkungan kerja ATM • Sistem Operasi • Perangkat Lunak ATM • Ancaman saat ini • Card Trapping • Card Skimming • Injeksi Malware • Identity Theft • Kompromi terhadap mekanisme kriptografi • Penggantian scanner • Stray Machine 20
  • 21. Pemilihan dan Pengaturan Sensor • Universality • Distinctiveness • Permanence • Collectability • Performance • Acceptability • Resistance to Circumvention • False Acceptance Rate • False Rejection Rate 21
  • 22. Sistem Operasi • Memory protection • W^X (Write xor Execute) atau NX (Non Executable) • Address Space Layout Randomization (ASLR) • Stack Protector • Randomness • Sandbox 22
  • 23. Perangkat Lunak ATM • Modul sensor biometrik • Alert system 23
  • 24. Media Komunikasi • Aspek yang dikaji • Lightweight Public Key Infrastructure (LPKI) • Protokol komunikasi • Perlindungan pesan • Ancaman saat ini • Controller Poisoning • Message Forging • Message Replay • Message Tamper 24
  • 25. Lightweight Public Key Infrastructure • Apa yang salah dengan PKI (Public Key Infrastructure) sekarang? • Sertifikat digital untuk sistem ATM, yang ideal • Server : nama subjek, kunci public subjek, waktu kadaluarsa sertifikat • Terminal : nama subjek, kunci public terminal, waktu kadaluarsa sertifikat, tanda pengenal sendor • ECC (Elliptic Curve Cryptography) based • Signcryption/signcryption • Melakukan fungsi sertifikat digital dan enkripsi secara simultan 25
  • 28. Protokol Komunikasi • Transaction Request Message • Transaction Reply Message • State Table Load Message • Financial Instiutions Table (FIT) Load Message • Solicited Status Message • MAC Field Selection Load Message 28
  • 29. Perlindungan Pesan • Message Authenticity & Integrity • Sertifikat digital (LPKI dengan signcryption/unsigncryption) • Message Time Validity • Berdasarkan waktu generate di terminal, dibandingkan untuk menentukan valid tidaknya transaksi (sinkron). 29
  • 30. Server • Aspek yang dikaji • Server Hardening Design Principle • Biometric Database • Distributed Database • Ancaman saat ini • Denial of Service • Biometric specific attacks 30
  • 31. Server Hardening • Simplicity • Mekanisme harus sesederhana mungkin • Fail safe • State harus dijamin aman meski sedang terjadi kegagalan • Separation of privilege • Pemisahan yang jelas kewenangan antar komponen • Least privilege • Privilege yang dibutuhkan untuk menyelesaikan tas harus serendah mungkin • Defense in depth • Mekanisme pertahanan yang berlapis 31
  • 32. • apa saja informasi yang disimpan • apa saja informasi yang diproses dan ditransmisikan melalui server • apa security requirement untuk informasi ini • dimana saja informasi akan disimpan (local atau tersebar) • apa security requirement untuk host lain yang terhubung • berapa banyak komponen yang terlibat • dsb. 32
  • 33. Biometric Database • Memisahkan data antara akun dan data biometrik nasabah • Data terkompres ? • Indeks yang digunakan ? 33
  • 34. Distributed Database • Mencegah terjadinya Single-Point of Failure • Skalabilitas • Data template biometrik meningkat secara volume dan traffic • Aspek yang dikejar? • Consistency • Availability • Partition tolerance 34
  • 35. Ancaman Spesifik di Biometri 35
  • 36. • Traits Spoofing Deskripsi: memalsukan karakteristik atau menciptakan ciri-ciri palsu yang menyerupai data biometri yang dipindai. Penyerang menciptakan salinan yang valid sehingga menipu sensor. • Digital Traits Spoofing Deskripsi: mengirimkan aliran data digital yang merupakan bentuk digital dari data biometrik. • Override Feature Extractor Deskripsi: melakukan gangguan ke modul feature extractor sehingga modul menghasilkan feature atau template yang telah dipilih oleh penyerang. Biasanya berada di bagian firmware sensor. 36
  • 37. • Feature Representation Tampering Deskripsi: mengganti fitur / data yang telah diekstrak. Berada di antara feature extraction dan modul pencocokan. Data yang benar dicegat dan diganti oleh penyerang sehingga informasi yang disimpan hanya informasi baru yang diberikan atau telah dimodifikasi. • Override Matching Unit Deskripsi: unit yang bertugas mencocokkan atau membandingkan diberikan nilai yang telah ditentukan, apapun data yang masuk. • Tamper with Stored Templates Deskripsi: penyerang yang dapat masuk ke database template biometrik dapat memodifikasi satu atau lebih template untuk mengotorisasi dirinya. Serangan ini juga termasuk menginjeksikan template palsu untuk akuisisi selanjutnya. 37
  • 38. • Attack the Channel from the Stored Template of Matching Unit Deskripsi: mengubah data yang mengalir dari database ke unit pencocokan. • Override the Final Match Result Decision Deskripsi: mengubah seluruh hasil otorisasi, melakukan bypass sehingga apapun yang terjadi akan menghasilkan nilai yang diinginkan (terverifikasi atau teridentifikasi sebagai seseorang) 38