Juru bicara UK Payments Administration mengakui kebenaran sebuah laporan riset yang dirilis ke publik oleh para peneliti Cambridge University tetapi menolak kesimpulannya."Kita sangat serius memperhatikan laporan riset Cambridge University, dengan menyempurnakan semua level keamanan hingga kepuncaknya, tetapi dengan tegas menolak kesimpulan yang menyatakan CHIP dan PIN telah runtuh", jelas Mark Bowerman pada Kamis 11 Februari 2010.
Seputar keamananan transaksi finansial :
Penggunaan smart card kini demikian meluas di berbagai belahan dunia, tak hanya sebatas sebagai instrumen transaksi finansial secara elektronik, namun kini diterapkan pada kartu identitas penduduk berformat smart card. Tetapi Cambridge University mengungkapkan temuan adanya celah keamanan kritikal pada CHIP dan PIN setelah melakukan serangkaian uji keamanan.
Para peneliti di Cambridge University telah menemukan sebuah celah keamanan pada protokol EMV (Europay,MasterCard,Visa). EMV adalah sebuah standar bagi pengoperasian (interoperation) semua kartu berfitur Chip dan yang berkemampuan berkomunikasi dengan semua terminal POS (Point of Sale) dan mesin-mesin ATM yang mengeksekusi otentifikasi pembayaran kartu kredit dan debit.
EMV yang awalnya dibangun sebagai sebuah standar oleh tiga perusahaan; Europay,MasterCard dan Visa (kemudian JCB-2004 dan American Express-2009 bergabung) menjadi sistem bagi semua kartu ber-IC dan digunakan secara luas di dunia dengan nama-nama seperti; "IC Card" dan "CHIP" dan "PIN".
EMV mendefinisikan bagaimana interaksi antarkartu IC dengan berbagai alat pemroses transaksi keuangan pada semua level;fisikal, elektronik, data dan aplikasi. Porsi terbesar penerapan standar terletak di dalam antarmuka IC Chip Card yang mengacu kepada ISO/IEC 7816.
Saat ini implementasi standard EMV yang dikenal secara luas adalah:
1.VSDC :VISA
2.MChip : MasterCard
3.AEIPS :American Express
4.J Smart - JCB
Cambridge University menyatakan kelemahan Protokol EMV terletak pada validasi Chip dan PIN pada kartu kredit dan kartu debit. Konsekuensi dari kelemahan tersebut adalah: terbukanya peluang untuk membuat sebuah alat dengan fungsi untuk memodifikasi dan mengintersepsi komunikasi antara sebuah kartu dengan sebuah terminal POS, dan memperdaya terminal tersebut untuk menerima verifikasi PIN.
Professor Ross Anderson kepada ZDNet UK menegaskan:"Chip dan PIN secara fundamental berhasil ditaklukan. Semua Bank dan toko (merchant) bergantung dengan performa "PIN yang terverifikasi" secara aman untuk menuntaskan transaksi, namun kini semuanya tak berarti.
Para peneliti Cambridge University melakukan serangkaian uji kemananan dan menemukan celah keamanan CHIP-PIN dengan sampel: 6 penerbit Kartu Kredit yaitu; Barclaycard,Co-operative Bank, Halifax, Bank of Scotland, HSBC dan John Lewis.
Cambridge University kemudian melancarkan "serangan" untuk memperdaya "Card reader" agar mengotentifikasi sebuah transaksi sekalipun transaksi menggunakan PIN yang tidak Valid. Pada tes berikutnya, tim Cambridge melakukan otentifikasi berbagai transaksi tanpa menggunakan PIN yang valid dengan menggunakan Kartu Kredit yang diterbitkan oleh; Barclaycard, Co-operative Bank, Halifax,Bank of Scotland, HSBC dan John Lewis.
Sentral masalah pada Protokol EMV : manipulasi pada protokol EMV menyebabkan kartu dan terminal menghasilkan data yang ambigu pada proses verifikasi, dimana Bank akan menerima verifikasi tersebut sebagai valid.
Terutama, terminal POS tetap merekam bahwa sebuah verifikasi PIN berlangsung sukses, sementara kartu menerima sebuah pesan verifikasi yang tak mengindikasikan bahwa PIN telah digunakan (oleh pihak lain). Otorisasi yang dikeluarkan oleh terminal selanjutnya diterima oleh Bank, dan transaksi pun berproses.
Sehingga dengan demikian saat sebuah PIN dimasukan dalam hal ini PIN apa pun,tetap dapat diterima dan diakui oleh terminal, jelas peneliti Cambridge dalam sebuah laporan bertajuk" "Chip and PIN is Broken".
Cambridge University menyatakan untuk memanipulasi celah keamanan ini, maka pelaku kejahatan membutuhkan seseorang yang memiliki keahlian tehnikal dan pemrograman untuk melancarkan aksinya. Steven Murdoch, Peneliti Cambridge University berujar: "Penyerangan tak memerlukan keahlian tehnikal yang terlalu hebat untuk mengemulasi.
Serangan akan menyasar ke serangkaian mekanisme keamanan interaksi saat pemegang kartu melakukan proses verifikasi. Dalam proses ini, CHIP di dalam Kartu dan Terminal memutuskan bagaimana mengotentifikasi transaksi. Kartu-kartu yang diteliti oleh Cambridge didapati melakukan runutan otentifikasi "menurun" sebagai berikut: PIN verification; signature verification; dan tanpa verifikasi.
Mayoritas transaksi membutuhkan verifikasi PIN. Konsumen akan memasukan angka pada alat untuk memasukan PIN, lalu PIN dikirimkan ke kartu dan membandingkannya dengan data PIN yang tersimpan di kartu pada Chip. Jika PIN benar, maka kartu akan mengirimkan kode verifikasi-0x9000 —ke terminal yang akan merampungkan transaksi.
Cambridge dalam uji keamanan yang dilakukannya berhasil menempatkan "seorang yang ahli dalam hal tehnik dan pemrograman, pada posisi antara alat yang membaca sebuah kartu dan, pada waktu yang tepat saat proses verifikasi berlangsung, mengirimkan sebuah kode 0x9000 ke terminal, dan terminal pun mengabaikan PIN yang dimasukan oleh konsumen.
Sebagai sebuah demonstrasi, Cambridge university menyisipkan sebuah kartu asli ke dalam sebuah Smartcard Reader dari Alcor Micro yang telah dikoneksi dengan sebuah Laptop yang menjalankan Pyton Script. Laptop tersebut dihubungkan dengan papan Field Programmable Gate Array (FPGA) melalui sebuah Serial Link. FPGA board yang digunakan oleh Cambridge University adalah: Spartan-3E Starter Kit, yang biasa digunakan untuk mengkonversi antarmuka kartu dan PC. Sekali saja sebuah kartu palsu dimasukan, Phyton Script pada Laptop akan merilei transaksi, menekan perintah verifikasi PIN yang diperintahkan terminal, dan meresponnya dengan kode 0x9000.
Cambridge University mengungkapkan bahwa para pelaku kejahatan keuangan elektronik dapat saja menggunakan sebuah kit yang serupa dengan yang digunakan dalam uji coba, yang disimpan di tas punggung (backpack), dengan sebuah kabel menjulur dibalik lengan baju, yang digunakan bersama dengan kartu kredit/debit asli yang dicuri.
Anderson menyatakan dalam perselisihan transaksi, jika transaksi telah diverifikasi berdasarkan PIN maka tanggung jawab kehilangan terletak pada konsumen ketimbang dibebankan kepada pihak bank atau toko / merchant.
UK Payments Administration yang mewakili kepentingan perusahaan-perusahaan kartu pembayaran, menyatakan:"Hampir semua transaksi melalui mesin kasir (POS) di Inggris-lebih dari 90%-dilakukan melalui CHIP dan PIN. Pada tahun 2008, Kartu Kredit,debit dan berbagai kartu transaksi telah digunakan untuk melakukan 7,4 miliar transaksi pembelian atau senilai £380 miliar untuk semua jenis kartu.
Jubir UK Payments Administration mengakui kebenaran laporan riset yang dirilis oleh para peneliti Cambridge University tetapi menolak kesimpulannya."Kita sangat serius memperhatikan laporan riset Cambridge University, dengan menyempurnakan semua level keamanan, tetapi dengan tegas menolak kesimpulan yang menyatakan CHIP dan PIN telah runtuh.
Sejauh ini belum ada bukti jenis serangan yang diskenariokan oleh Cambridge University pernah terjadi di Inggris, tegas Bowerman. Tetapi ia menambahkan bahwa riset yang dilakukan oleh Cambridge University sangat membantu UK Payments Administration untuk memetakan tren kriminal yang akan berkembang dan yang akan dihadapi.
(ZDNet UK |The Register | Martin Simamora)
Tidak ada komentar:
Posting Komentar