Keamanan dalam E-Commerce
Herwan Suwandi, S.Pd., M.Si
[email protected] Dipresentasikan di Seminar E-COMMERCE UNIVERSITAS KOMPUTER INDONESIA Bandung, 07 Juli 2009
Outline
E-Commerce Hambatan Dasar-dasar keamanan Upaya untuk meningkatkan keamanan informasi
E-COMMERCE
Apakah e-commerce? Keuntungan e-commerce Media e-commerce Resiko dari e-commerce
Mengapa E-Commerce Revenue stream baru Market exposure, melebarkan jangkauan Menurunkan biaya Memperpendek biaya Memperpendek waktu product cycle Meningkatkan customer loyality
Meningkatkan value chain
JENIS E-COMMERCE A. Business to Business (B2B)
Trading partners (relationship) Pertukaran data (data exchange). Inisiatif (Data sending) Model umum (peer-topeer)
B. Business to Consumer (B2C, retail).
Servis umum (generic) Servis permohonan (on demand). Pendekatan client/server
Peluang Peluang dan dan Kendala Kendala Pemanfaaatan Pemanfaaatan E-Commerce E-Commerce New Markets Su
liers
Customers Enter Enter rise
New Business Processes
New Products and Services Partners
Empat (4) elemen visi E-Commerce : •
Pasar baru (new markets)
•
Produk & pelayanan baru
•
Proses-proses bisnis baru
•
Extended enterprise
Hambatan
Internet bust! Hancurnya bisnis Internet
Infrastruktur telekomunikasi yang masih terbatas dan mahal Delivery channel Kultur dan Kepercayaan (trust) Munculnya jenis kejahatan baru
Permasalahan ECommerce
Keamanan (security), fraud Banyaknya standar Regulasi/hukum
Bagaimana status dari digital signature, Penggunaan Penggunaan teknologi kriptografi, cyber money, Aplikasi gambling, pornografi, HAKI
Kesiapan institusi keuangan, bank, e-payment
Perhatian terhadap keamanan
Mulai banyaknya masalah keamanan informasi
Virus, worm, trojan horse, spam Hacking & cracking Spyware, keylogger Fraud (orang dalam), penipuan, pencurian kartu kredit
Masalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi
Kasus Kejahatan
7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. 2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. 2004. Kejahatan “phising” (menipu orang melalui email yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan datadata pribadi seperti nomor PIN internet banking) mulai marak Berdasarkan laporan terakhir (2004), Indonesia: Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu) Nomor #3 dalam volume Akibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika
Security Lifecylce
Contoh Security System
Kriptografi (cryptography (cryptography )
Protokol dan jaringan (network (network & protocols) protocols)
Enkripsi & dekripsi: DES, AES, RSA, ECC Berbasis matematika
SSL, SET
Sistem dan aplikasi (system (system & applications) applications) Management, policy Management, policy & procedures
Security Aspek Confidentiality Integrity Availability Tambahkan lain
Non-repudiation Authentication Access Control Accountability
Klasifikasi: Dasar elemen sistem
Network security
Application security
fokus kepada saluran (media) pembawa informasi fokus kepada aplikasinya sendiri, termasuk di dalamnya adalah database
Computer security
fokus kepada keamanan dari komputer (end ( end system), system), termasuk operating system (OS)
Topologi Lubang Keamanan ISP
Network sniffed, attacked
Holes
Internet Network Network sniffed, attacked
Users Trojan horse
Userid, Password, PIN, credit card #
1. 2. 3.
System (OS) Network Applications + db
sniffed, attacked, flooded
Web Site
- Applications (database, Web server) hacked -OS hacked
www.bank.co.id
Keamanan Network
Banyak orang menyangka sumber utama lubang keamanan pada network Network dapat diamankan dengan menggunakan enkripsi (misal: SSL, SSH, TLS, RSA, ECC dll.) sehingga data susah disadap Summary: network dapat diamankan dengan baik
Kepercayaan Kepada Penjual Penjual Nomor kartu kredit
Pembeli www.jualjuga.co.id
Penjual Nomor kartu kredit privacy
Internet
Banyak penjual Masing-masing punya no. kartu kita Nomor kartu kredit kita dimana-mana
Penjual
www.palsu.co.id Nomor kartu kredit
www.jualan.co.id Nomor kartu kredit
Fungsi Payment Gateway Penjual
Nomor kartu kredit kredi t
Pembeli
Payment gateway www.jualjuga.co.id
Penjual Nomor kartu kredit privacy
Internet
Pembayaran via payment gateway
Penjual
Nomor kartu kredit hanya ada di payment gateway saja
www.jualan.co.id
www.palsu.co.id
layanan internet yang paling banyak memakan korban ialah e-commerce bagi attacker yang ingin memperkaya dirinya dengan mengerjai situs-situs e-commerce tentunya sangat-lah menguntungkan, maka untuk menjaga diri kita dari kemungkinan kita dirugikan oleh attacker sedikit kiranya kita memahami kerja dari attacker tersebut.
Cyber Crime yang banyak terjadi adalah “identity Theft”
Beberapa point penting dalam melakukan transaksi online / e-commerce
Selalu gunakan “Gateway Payment” seperti PayPal karena lebih aman menggunakan pihak ketiga yang terpecaya untuk melakukan pembayaran, dibandingkan kita membayar langsung menggunakan kartu kredit anda di situs Belanja Online.
Dalam bertransaksi online pastikan komputer atau laptop yang anda gunakan adalah milik pribadi, jika anda melakukannya di Warung Internet tentunya anda tidak tahu, jika terpasang keylogger atau trojan yang bisa merekam data-data di komputer anda, jika anda tidak punya koneksi internet di rumah, gunakanlah Linux LiveCD di komputer publik.
Selalu baca Email anda, sehingga anda bisa memantau transaksi yang telah anda lakukan, jika PayPal sebagai “Gateway Payment” atau penerbit kartu kredit anda seperti BCA anda mengkonfirmasi apakah anda melakukan transaksi tanggal sekian, harga sekian tapi anda tidak pernah melakukan transaksi tersebut, pastikan anda curiga bahwa anda sedang dirampok, segera konfirmasi penerbit kartu kredit anda seperti BCA untuk melakukan pembatalan transaksi.
Pastikan saat anda Login protokol http:// berubah yang menandakan anda sedang menjadi https:// menggunakan protokol Secure Socket Layer, yang dalam pengiriman datanya dilakukan enkripsi dulu sebelum di kirim, sehingga menyulitkan attacker untuk mengurainya. mengurainya.
Sebaikanya batasi limit kartu kredit anda hanya sampai 3 sampai 5 juta saja, untuk apa? seapes-apesnya anda anda hanya rugi di sekitar angka tersebut, bayangkan anda menggunakan limit sampai 30 Juta,, bisa dibayangkan ?
Sangat Baik jika anda berbelanja di suatu website cari logo VeriSign agar lebih aman, VeriSign adalah suatu perusahaan yang membuat sertifikat digital untuk standarisasi keamanan suatu website.
Selesai
