Tugas Akhir 13510030 - Analisis Keamanan Dalam Pengembangan Sistem Transaksi ATM Menggunakan Otentikasi Pembuluh Darah

Sistem Transaksi ATMOtentikasi PembuluhDarah

Oleh:Satria Ady Pradana / 13510030

Dosen pembimbing:Achmad Imam Kistijantoro,

1

Detail Analysis

Design in Global

Problem

2

3

The Current Problems

• Meningkatnya ancaman keamanan di Sistem ATM.

• Meningkatnya kecanggihan teknologi dalam aktivitas kriminalitasATM.

• Kurangnya awareness / kesadaran akan keamanan informasi.

• Lemahnya otentikasi berbasis password / PIN (what you know).

• Identity fraud everywhere.

4

What We Need?

• Suatu desain sistem dan teknologi yang mampu meminimalisir risikodan ancaman tanpa mengganggu kenyamanan nasabah.

• Melindungi nasabah sebagai titik terlemah di sistem.

5

The Idea

• Menggantikan otentikasi berbasis PIN dengan otentikasi biometri.

• Mempersiapkan sistem yang mendukung kemampuan otentikasibiometri.

6

BIOMETRY?

IS THAT FOOD?

7

Sekilas Biometri

• Biometri = bio (hidup) + metrik (mengukur)

• Mengenal karakteristik manusia dan membedakan ataumengidentifikasi berdasarkan karakteristik unik yang dimiliki manusiaSidik jari

Iris

Retina

Pembuluh darah

Ukuran anggota badan

Kelakuan

• Statistik + matematik + biologi

8

Kenapa Pembuluh Darah?

• Sulit atau tidak bisa dipalsukan• Bagian internal tubuh• Membedakan benda mati dan makhluk hidup

• Akurasi tinggi. *

• Tidak mengurangi kenyamanan.

• Lebih mudah diterima masyarakat dibandingkan metode lain seperti iris, retina, dsb.

• Fokus: Palm Vein (pembuluh darah telapak tangan)

* Comparative Biometric Testing Round 6 Public Report (2006) by International Biometric Group

9

10

What are you protecting?

Protecting from what?

11

Aset (yang harus dilindungi)

• Dana nasabah

• Identitas nasabah

• Alamat nasabah

• Log transaksi nasabah

• Kartu nasabah

• Tagihan

• Dana di vault ATM

• ATM

• ATM controller

• Server

• Perangkat switching

12

Ancaman (yang harus dihindari)

• Card & Currency Fraud• Card Trapping, Card Skimming

• Logical Attack• Controller Poisoning, Injeksi Malware, Denial of Service, Message Forging,

Message Replay, Message Tamper, Identity Theft, Kompromi SistemKriptografi, Penggantian Sensor, Stray Machine, Human Error

• Physical Attack• Perusakan ATM (Vandalisme)

13

14

Basic Components

• Sensor

• Feature Extractor

• Matcher

• Template Database

15

The Work

16

Design in Global

• Sisi Terminal ATM

• Sisi Media Komunikasi

• Sisi Server

17

Perubahan

• ATMPerangkat sensor biometrik.

Perlindungan dari malware.

• Media KomunikasiProtokol

Perlindungan integritas dan keaslian pesan

• ServerFeature extractor

Matcher

Database biometri (template)

18

19

ATM

• Aspek yang dikaji• Pemilihan dan Pengaturan Sensor

• Lingkungan kerja ATM

• Sistem Operasi

• Perangkat Lunak ATM

• Ancaman saat ini• Card Trapping

• Card Skimming

• Injeksi Malware

• Identity Theft

• Kompromi terhadap mekanismekriptografi

• Penggantian scanner

• Stray Machine

20

Pemilihan dan Pengaturan Sensor

• Universality

• Distinctiveness

• Permanence

• Collectability

• Performance

• Acceptability

• Resistance to Circumvention

• False Acceptance Rate

• False Rejection Rate

21

Sistem Operasi

• Memory protection• W^X (Write xor Execute) atau NX (Non Executable)

• Address Space Layout Randomization (ASLR)

• Stack Protector

• Randomness

• Sandbox

22

Perangkat Lunak ATM

• Modul sensor biometrik

• Alert system

23

Media Komunikasi

• Aspek yang dikaji• Lightweight Public Key Infrastructure (LPKI)

• Protokol komunikasi

• Perlindungan pesan

• Ancaman saat ini• Controller Poisoning

• Message Forging

• Message Replay

• Message Tamper

24

Lightweight Public Key Infrastructure

• Apa yang salah dengan PKI (Public Key Infrastructure) sekarang?

• Sertifikat digital untuk sistem ATM, yang ideal• Server : nama subjek, kunci public subjek, waktu kadaluarsa sertifikat

• Terminal : nama subjek, kunci public terminal, waktu kadaluarsa sertifikat, tanda pengenal sendor

• ECC (Elliptic Curve Cryptography) based

• Signcryption/signcryption• Melakukan fungsi sertifikat digital dan enkripsi secara simultan

25

Signcryption

26

Unsigncryption

27

Protokol Komunikasi

• Transaction Request Message

• Transaction Reply Message

• State Table Load Message

• Financial Instiutions Table (FIT) Load Message

• Solicited Status Message

• MAC Field Selection Load Message

28

Perlindungan Pesan

• Message Authenticity & Integrity• Sertifikat digital (LPKI dengan signcryption/unsigncryption)

• Message Time Validity• Berdasarkan waktu generate di terminal, dibandingkan untuk menentukan

valid tidaknya transaksi (sinkron).

29

Server

• Aspek yang dikaji• Server Hardening Design Principle

• Biometric Database

• Distributed Database

• Ancaman saat ini• Denial of Service

• Biometric specific attacks

30

Server Hardening

• Simplicity• Mekanisme harus sesederhana mungkin

• Fail safe• State harus dijamin aman meski sedang terjadi kegagalan

• Separation of privilege• Pemisahan yang jelas kewenangan antar komponen

• Least privilege• Privilege yang dibutuhkan untuk menyelesaikan tas harus serendah mungkin

• Defense in depth• Mekanisme pertahanan yang berlapis

31

• apa saja informasi yang disimpan

• apa saja informasi yang diproses dan ditransmisikan melalui server

• apa security requirement untuk informasi ini

• dimana saja informasi akan disimpan (local atau tersebar)

• apa security requirement untuk host lain yang terhubung

• berapa banyak komponen yang terlibat

• dsb.

32

Biometric Database

• Memisahkan data antara akun dan data biometrik nasabah

• Data terkompres ?

• Indeks yang digunakan ?

33

Distributed Database

• Mencegah terjadinya Single-Point of Failure

• Skalabilitas

• Data template biometrik meningkat secara volume dan traffic

• Aspek yang dikejar?• Consistency

• Availability

• Partition tolerance

34

Ancaman Spesifik di Biometri

35

• Traits Spoofing

Deskripsi: memalsukan karakteristik atau menciptakan ciri-ciri palsu yang menyerupai data biometri yang dipindai. Penyerang menciptakan salinan yang valid sehingga menipu sensor.

• Digital Traits Spoofing

Deskripsi: mengirimkan aliran data digital yang merupakan bentuk digital dari data biometrik.

• Override Feature Extractor

Deskripsi: melakukan gangguan ke modul feature extractor sehingga modulmenghasilkan feature atau template yang telah dipilih oleh penyerang. Biasanyaberada di bagian firmware sensor.

36

• Feature Representation Tampering

Deskripsi: mengganti fitur / data yang telah diekstrak. Berada di antara feature extractiondan modul pencocokan. Data yang benar dicegat dan diganti oleh penyerang sehinggainformasi yang disimpan hanya informasi baru yang diberikan atau telah dimodifikasi.

• Override Matching Unit

Deskripsi: unit yang bertugas mencocokkan atau membandingkan diberikan nilai yang telah ditentukan, apapun data yang masuk.

• Tamper with Stored Templates

Deskripsi: penyerang yang dapat masuk ke database template biometrik dapatmemodifikasi satu atau lebih template untuk mengotorisasi dirinya. Serangan ini jugatermasuk menginjeksikan template palsu untuk akuisisi selanjutnya.

37

• Attack the Channel from the Stored Template of Matching Unit

Deskripsi: mengubah data yang mengalir dari database ke unit pencocokan.

• Override the Final Match Result Decision

Deskripsi: mengubah seluruh hasil otorisasi, melakukan bypass sehingga apapun yang terjadi akan menghasilkan nilai yang diinginkan(terverifikasi atau teridentifikasi sebagai seseorang)

38

BINGUNG?

HMMM...

39

40

T

H

A

N

K

Y

O

U