Fiuhh.. Kira-kira tahun 2006 silam, saya pernah nulis artikel ini. Saya mengulas berita (kabar burung) yang menginformasikan bahwa jika Anda dalam keadaan diteror di mesin ATM (baca: ada abang-abang tukang siomay yg berencana nagih hutang ke anda setelah anda keluar dari mesin ATM ), maka masukkan PIN anda ke mesin ATM namun dengan sarat cara masukkinnya harus terbalik. Misalnya PIN ATM anda adalah 1254, maka baliklah sehingga menjadi 4521. Dengan segera polisi akan segera menuju ke mesin ATM tempat anda keringatan barusan (hee??).

Believe it? Or Not? Dari keterangannya, cukup masuk akal juga. Embedded System biasanya memiliki backdoor terhadap device nya. Dan trik PIN dibalik itu kelihatannya cukup meyakinkan. Ya sudah, lantas silahkan percaya dan lakukan hal tersebut suatu saat ketika dibutuhkan. Jangan salahkan diri anda atau siapa-siapa jika bantuan tak kunjung datang dan malah kartu anda di blokir setelah 10x (hiperbola mode ON) anda memasukkan PIN yang salah.

Why? Hello… Knock knock knock… Gak nyadar juga yahhh dari keterangan di atas? Keterangan tersebut benar-benar bodoh. Hayoo, buktikan IQ kita gak jongkok. Saya hitung 1 sampai 10, siapa yang bisa jawab dikasi balon… ???

Okay, saya beri 2 pendekatan supaya paham. Pendekatan pertama yaitu berdasarkan logika ajah dan yang kedua berdasarkan pengetahuan mengenai sistem IT dan enkripsi.

PENDEKATAN LOGIKA
Si Acong PIN ATM nya adalah 1254. Si Becong PIN ATM nya adalah 4521. Jika si Acong membalikkan PIN nya dan begitu juga dengan si Becong, apa yang terjadi? Bukankah PIN mereka ‘tertukar’? Lantas, siapa menjadi siapa?? Bagaimana mesin ATM bisa membedakan bahwa si Acong benar-benar Acong dan si Becong tidak menyamar menjadi Acong? Bingung? Sama…

PENDEKATAN IT
Yang namanya berbau finansial dan skala nya besar, pasti harus didukung dengan peran IT yang sangat signifikan. Lihat kartu kredit anda. Terdiri dari beberapa bagian yang penting. Misalnya nomor kartu kredit, scanner, CCV/CCV2/CID (International card such as Visa, MasterCard, etc), dan bahkan voto narcis anda. Pernah terbayangkan informasi apa yang tertera di kartu tersebut? Okay, skip this one. Ini berbau carder dan anda belum siap untuk mengetahui hal ini (serius!!).

Database! Okay, saya coba pendekatan IT menggunakan database. Saya beri contoh yang simpel. Watch this out!

Saya kira tabel di atas cukup jelas apa maknanya. Yang jadi pertanyaan adalah, kolom atau field mana yang patut anda curigai selain DOB (ada data unknown dan DOB itu adalah penting jadi tidak boleh kosong)? Bagi yang belum pernah mendesain sistem database dan membuat aplikasi atau programnya, wajar jika anda tidak tahu.

Yang patut dicurigai adalah kolom PIN. Langsung aja, apa anda percaya si Brad Jambret memiliki PIN 5541? Apakah PIN Becong sama dengan 4521? Hmm, okay. 1 skenario lagi. Ceritanya (cee lah) anda customer baru di perusahaan X. Lantas, setelah melewati beberapa tahap, pegawai mereka mengisi data-data yang berhubungan dengan finansial anda. Anggap aja lah seperti di atas (malas lah nampilin tabel yang bener²..hehehhe)

Lantas, di database mereka akan tampak menjadi

Pertanyaannya. Apakah sudah benar cara pengisian database nya? PIN saya benar-benar tersimpan dengan jelas, 1010. Ada yang aneh? Di tunggu dah jawabannya… Mau ke WC dulu yaakk…

…

PIN. Yup, itu yang aneh. Kenapa?

PIN tersebut layaknya password. Tidak boleh diketahui oleh siapapun kecuali anda (dan programmer sistemnya). Bahkan pegawai bank pun tidak bisa mengetahui password Anda walaupun mereka memiliki program banking. Jadi, jangan pernah jadi orang bego dengan menanyakan ke bank mengenai password atau pin anda. Mereka tidak tahu!

Loh!! Ngomong doank lo bacot gede! Kan dah jelas-jelas di tabelnya tersimpan PIN/Password customer. Masa gak tau? Heii domba!! Tabel di atas salah besar!! Jika saya yang mendesain sistem databasenya, maka setidaknya ada 3 kolom yang perlu saya tambahkan module security. Yaitu LastName, FirstName, dan PIN. Kolom-kolom tersebut harus dienkripsi terlebih dahulu sebelum disimpan secara permanen ke database. Yahh, paling banter 1 kolom deh, PIN doank.

Enkripsi? Ya. Melalui enkripsi, data asli akan diacak terlebih dahulu menggunakan rumus-rumus yang telah diakui secara Internasional sebelum disimpan ke tabel database. Misalnya, PIN anda 1234, maka setelah dienkripsi akan menjadi (misalnya) SDRERX213SFF8410500AAS!&. Nah, SDRERX213SFF8410500AAS!& ini lah yang akan disimpan ke database perusahaan. Perhatikan tabel berikut setelah mengalami enkripsi pada kolom PIN.

Terlihat perbedaannya? Data PIN pelanggan telah dienkripsi dan hasilnya disimpan ke database. Jadi, bukan data aslinya yang disimpan, melainkan data acak. Now it’s time for you to say….”OoOoOoOo….”. Hmm, okay. Lantas, darimana atau bagaimana caranya mengacak PIN yg hanya 4 digit menjadi sekumpulan karakter-karakter acak? Hehehe… Itu sih terdapat pada program nya. So, yang mengetahui password Anda di dunia ini hanya ada 3. Tuhan, Anda sendiri, dan tentunya…si programmer sistem tersebut. Dia lah yang menentukan jenis enkripsi serta metode-metode enkripsi apa yang dipakai pada sistem perusahaan.

Nah, bagi para carder pintar yang berhasil menjebol database finansial perusahaan, akan menghadapi 1 tantangan lagi. Yaitu memecahkan enkripsi yang dipakai, dikenal dengan Deskripsi. Bagaimana dengan yang bodoh? Carder yang bodoh akan percaya saja dengan data tersebut. Dia akan login ke sistem korban memakai salah satu ID yang ia dapatkan. Begitu juga dengan PIN/Password nya. Sudah ketebak, sistem akan menolak otorisasi login tersebut. Ya jelas lah, PIN si Acong kan 1254, bukan TTEC353542SDFE3210. Sistem hanya mengizinkan jika PIN yang dimasukkan SETELAH dienkripsi HARUS SAMA dengan yang di database.

Perhatikan skema berikut.

Jika dari awal login si Carder memasukkan PIN yang dia dapat dari database, maka PIN yang dia masukkan tersebut akan di enkripsi lagi (padahal sudah ter-enkripsi dari awal) dan dicocokkan ke tabel. Hasilnya? Tebak aja ndiri… Masa di kasi tau mulu si ah.. Hehe…

Encrypt dan Decrypt merupakan bagian dari ilmu Cryptography. Departemen hacking yang mengurusi masalah ini berada di divisi Cryptanalist.

So, kini saya yakin anda sudah paham mengenai isu PIN DIBALIK itu. Saya harap sih gda yang melakukannya karena benar-benar aneh. Paling-paling data yang sampai ke kepolisian seperti “pak, tolong pak… Ada rampok lagi nungging di sini”.

Nah, berhubung soal carder neh, kali ini saya berbicara sebagai programmer nya deh. Gimana cara nangkep si carder? Tentunya selain bisa menyerang, kita juga wajib bisa bertahan bukan? Cara simpel untuk menangkap para carder yang ceroboh adalah dengan memasang modul perangkap pada sistem login di atas. Namun, saya tidak bisa mengulasnya sekarang karena nanti sudah keluar dari topik utama. Tunggu aja ya..huehuehue. Yang penting kalian semua sudah mengerti bahwa isu PIN DIBALIK tersebut adalah donkey!!!

-sky73rx3 a.k.a sky73rx7-