Pihak MasterCard telah mengkonfirmasi, sedang berkoordinasi dengan semua penyelenggara kartu pembayaran untuk melakukan peninjauan kemanan menyeluruh pada Chip dan PIN, dan prosesnya masih berlangsung.
Lembaga yang bertanggungjawab terhadap seluruh proses pembayaran berbasiskan Chip dikabarkan akan melakukan investigasi terkait sejumlah celah keamanan yang diungkapkan sejumlah lembaga semisal Cambridge University. Sikap yang ditunjukan EMVCo dapat dipahami dan layak mendapat apresiasi mengingat transaksi finansial selalu menjadi target para kriminal keuangan cyber.
EMVCo sebagai lembaga spesifikasi berujar akan menganalisa sebuah paper yang dikeluarkan oleh para ilmuwan Cambridge University yang telah mendemonstrasikan sebuah serangan dengan menggunakan sebuah kartu pembayaran (kartu kredit/debit) yang valid, yang bahkan tak memerlukan PIN untuk melakukan transaksi dengan mulus.
EMVCo yang dimiliki oleh American Express, JCB, MasterCard and Visa bilang bahwa lembaga keuangan atau bank penerbit kartu kredit dan debit yang digunakan dalam demonstrasi pun akan turut serta meneliti makalah ilmiah celah kemanan Chip & PIN yang dilakukan oleh Cambridge University.
"EMVCo akan melakukan analisa dan akan menyimpulkannya," jelas lembaga ini pada Rabu (17/2) lalu. Demikian juga dengan seluruh sistem pembayaran akan melakukan hal yang sama.
Beberapa waktu lalu para peneliti dari Cambridge University mengungkapkan hal paling sensitif berkait keamanan transaksi kartu kredit dan debit yaitu; adanya celah keamanan yang sangat fundamental pada EMV, sebuah protokol yang bekerja di dalam Chip dan PIN kartu-kartu kredit/debit.
Celah kemanan ini memungkinkan tim Cambridge University dapat menciptakan sebuah alat yang dapat memodifikasi dan mengintersepsi seluruh komunikasi antara sebuah kartu dengan sebuah POS terminal, dan memperdaya terminal tersebut sehingga menerima verifikasi PIN sebagai valid, yang jelas-jelas palsu.
Pihak MasterCard telah mengkonfirmasi, sedang berkoordinasi dengan semua penyelenggara kartu pembayaran untuk melakukan peninjaun kemanan menyeluruh pada Chip dan PIN, dan prosesnya masih berlangsung.
"Standard EMV selalu dalam peninjauan berkala oleh MasterCard dan oleh banyak pemain utama dalam industri ini untuk memastikan sistem keamanannya selalu berkembang seiring dengan bertumbuhnya kebutuhan produk," terang pihak MasterCard. Termasuk didalamnya peninjau rutin dan berkala agar sistem keamanan terkinilah yang diterapkan demikaina juga mekanisme prakteknya.
Sementara itu Professor Ross Anderson, Cambridge University yang memimpin riset Chip dan PIN berujar tak akan ada cara yang mudah untuk memperbaiki protokol yang bekerja dibalik Chip dan PIN ini.
"Ada terlalu banyak ketidaksepakatan dengan aspek keefektifitasan untuk memperbaiki celah keamanannya, jika anda memperhatikan ulasan blog kami yang mempublikasikan kelemahan Chip dan PIN, sejumlah pihak yang mengklaim dirinya sebagai pakar pun tak menyetujuinya,"ujarnya.
Seorang peneliti Cambridge University dalam makalah tersebut (Chip and Pin is Broken) menyatakan bahwa konsumen akan menanggung risiko transaksi atas kartu kredit/debit jika transaksi-transaksi yang terekam menunjukan adanya PIN lain yang masuk ke terminal.
UK Payments Administration yang berkapasitas sebagai Advisor bagi para penyelenggara kartu pembayaran berpendapat bahwa serangan cyber semacam ini dapat dideteksi, dan menegaskan sehingga sangat mungkin bagi bank atau penerbit kartu kredit/debit untuk menentukan mana transaksi yang menjadi tanggung jawab konsumen dan mana yang bukan tanggung jawab konsumen.
"Jejak forensik atau "forensic signature" yang diciptakan oleh serangan cyber terhadap transaksi finansial kartu kredit/debit dapat dilihat dengan meneliti 3 elemen data yang muncul, baik pada saat sebuah permintaan otorisasi berlangsung dan dalam tahapan penyelesaian pembukuan yang diterima oleh penerbit kartu, ungkap UK Payments Administration.
Dalam sebuah serangan yang diskenariokan oleh tim Cambridge University, atau yang dikenal sebagai "Wedge Attack" , yang terjadi adalah: terminal diduplikasi oleh sebuah alat yang disisipkan di tengah-tengah proses verifikasi pembayaran. Sebagai akibatnya, terminal menjadi 'percaya" bahwa PIN telah diverifikasi oleh kartu. Tetapi terminal tidak akan merekam bahwa sebuah PIN yang valid telah dimasukan, sebab dalam proses manipulatif ini, PIN sama sekali tak diperlukan, dan transaksi dianggap sebagai sebuah verifikasi offline atau signature. Dalam kasus semacam ini maka tanggungjawab resiko tidak dibebankan kepada konsumen.
Menanggapi pendapat UK Payments Administration, Anderson berkomentar bahwa dalam prakteknya, bank masih akan tetap mempertanyakan apakah konsumennya yang harus menanggung resiko. Anderson mengacu hal ini dengan perselisihan hukum antara Halifax dengan nasabahnya, Alin Job yang menuduh Halifax telah menghilangkan catatan-catatan data yang telah diotentifikasi berkait dengan transaksi-transaki bermasalah.
Anderson menyatakan jika mengacu ke skenario yang digunakan oleh UK Payments maka fraud hanya akan terdeteksi setelah adanya fakta dan bukan saat fraud berproses. Anderson pun mengungkapkan bahwa semua sitem nampaknya tak melakukan deteksi secara otomatis, deteksi baru dapat terjadi sangat bergantung pada permintaan konsumen untuk melakukan pemeriksaan forensik jika konsumen mencurigai sejumlah transaksi yang fraud telah terjadi.
Anderson mengungkapkan, kala salah satu tim Cambridge University menggunakan kartunya yang diterbitkan oleh Halifax Bank untuk melakukan transaksi tanpa PIN tak ada peringatan atau "warning" yang dimunculkan oleh bank saat transaksi bermodus jahat dilakukan.
"Inti soal adalah, fraud tak pernah terdeteksi, Halifax telah menjadi korban dan hingga kini bank tersebut tak jua menemukan fakta atas semua transaksi manipulatif.
(ZDNet | Martin Simamora)
Tidak ada komentar:
Posting Komentar