Sistem ini mengusulkan penggunaan otentikasi biometri berbasis pembuluh darah telapak tangan untuk menggantikan otentikasi berbasis PIN pada sistem transaksi ATM. Hal ini dimaksudkan untuk meningkatkan keamanan dengan cara yang lebih nyaman bagi nasabah. Rangkaian perubahan yang diusulkan meliputi penambahan sensor biometrik pada ATM, protokol komunikasi dan perlindungan pesan yang lebih aman, serta penyimpanan dan pemrosesan template biome
4. The Current Problems
• Meningkatnya ancaman keamanan di Sistem ATM.
• Meningkatnya kecanggihan teknologi dalam aktivitas kriminalitas
ATM.
• Kurangnya awareness / kesadaran akan keamanan informasi.
• Lemahnya otentikasi berbasis password / PIN (what you know).
• Identity fraud everywhere.
4
5. What We Need?
• Suatu desain sistem dan teknologi yang mampu meminimalisir risiko
dan ancaman tanpa mengganggu kenyamanan nasabah.
• Melindungi nasabah sebagai titik terlemah di sistem.
5
6. The Idea
• Menggantikan otentikasi berbasis PIN dengan otentikasi biometri.
• Mempersiapkan sistem yang mendukung kemampuan otentikasi
biometri.
6
8. Sekilas Biometri
• Biometri = bio (hidup) + metrik (mengukur)
• Mengenal karakteristik manusia dan membedakan atau
mengidentifikasi berdasarkan karakteristik unik yang dimiliki manusia
Sidik jari
Iris
Retina
Pembuluh darah
Ukuran anggota badan
Kelakuan
• Statistik + matematik + biologi
8
9. Kenapa Pembuluh Darah?
• Sulit atau tidak bisa dipalsukan
• Bagian internal tubuh
• Membedakan benda mati dan makhluk hidup
• Akurasi tinggi. *
• Tidak mengurangi kenyamanan.
• Lebih mudah diterima masyarakat dibandingkan metode lain seperti iris, retina,
dsb.
• Fokus: Palm Vein (pembuluh darah telapak tangan)
* Comparative Biometric Testing Round 6 Public Report (2006) by International Biometric Group
9
11. What are you protecting?
Protecting from what?
11
12. Aset (yang harus dilindungi)
• Dana nasabah
• Identitas nasabah
• Alamat nasabah
• Log transaksi nasabah
• Kartu nasabah
• Tagihan
• Dana di vault ATM
• ATM
• ATM controller
• Server
• Perangkat switching
12
17. Design in Global
• Sisi Terminal ATM
• Sisi Media Komunikasi
• Sisi Server
17
18. Perubahan
• ATM
Perangkat sensor biometrik.
Perlindungan dari malware.
• Media Komunikasi
Protokol
Perlindungan integritas dan keaslian pesan
• Server
Feature extractor
Matcher
Database biometri (template)
18
20. ATM
• Aspek yang dikaji
• Pemilihan dan Pengaturan Sensor
• Lingkungan kerja ATM
• Sistem Operasi
• Perangkat Lunak ATM
• Ancaman saat ini
• Card Trapping
• Card Skimming
• Injeksi Malware
• Identity Theft
• Kompromi terhadap mekanisme
kriptografi
• Penggantian scanner
• Stray Machine
20
24. Media Komunikasi
• Aspek yang dikaji
• Lightweight Public Key Infrastructure (LPKI)
• Protokol komunikasi
• Perlindungan pesan
• Ancaman saat ini
• Controller Poisoning
• Message Forging
• Message Replay
• Message Tamper
24
25. Lightweight Public Key Infrastructure
• Apa yang salah dengan PKI (Public Key Infrastructure) sekarang?
• Sertifikat digital untuk sistem ATM, yang ideal
• Server : nama subjek, kunci public subjek, waktu kadaluarsa sertifikat
• Terminal : nama subjek, kunci public terminal, waktu kadaluarsa sertifikat,
tanda pengenal sendor
• ECC (Elliptic Curve Cryptography) based
• Signcryption/signcryption
• Melakukan fungsi sertifikat digital dan enkripsi secara simultan
25
28. Protokol Komunikasi
• Transaction Request Message
• Transaction Reply Message
• State Table Load Message
• Financial Instiutions Table (FIT) Load Message
• Solicited Status Message
• MAC Field Selection Load Message
28
29. Perlindungan Pesan
• Message Authenticity & Integrity
• Sertifikat digital (LPKI dengan signcryption/unsigncryption)
• Message Time Validity
• Berdasarkan waktu generate di terminal, dibandingkan untuk menentukan
valid tidaknya transaksi (sinkron).
29
30. Server
• Aspek yang dikaji
• Server Hardening Design Principle
• Biometric Database
• Distributed Database
• Ancaman saat ini
• Denial of Service
• Biometric specific attacks
30
31. Server Hardening
• Simplicity
• Mekanisme harus sesederhana mungkin
• Fail safe
• State harus dijamin aman meski sedang terjadi kegagalan
• Separation of privilege
• Pemisahan yang jelas kewenangan antar komponen
• Least privilege
• Privilege yang dibutuhkan untuk menyelesaikan tas harus serendah mungkin
• Defense in depth
• Mekanisme pertahanan yang berlapis
31
32. • apa saja informasi yang disimpan
• apa saja informasi yang diproses dan ditransmisikan melalui server
• apa security requirement untuk informasi ini
• dimana saja informasi akan disimpan (local atau tersebar)
• apa security requirement untuk host lain yang terhubung
• berapa banyak komponen yang terlibat
• dsb.
32
33. Biometric Database
• Memisahkan data antara akun dan data biometrik nasabah
• Data terkompres ?
• Indeks yang digunakan ?
33
34. Distributed Database
• Mencegah terjadinya Single-Point of Failure
• Skalabilitas
• Data template biometrik meningkat secara volume dan traffic
• Aspek yang dikejar?
• Consistency
• Availability
• Partition tolerance
34
36. • Traits Spoofing
Deskripsi: memalsukan karakteristik atau menciptakan ciri-ciri palsu yang
menyerupai data biometri yang dipindai. Penyerang menciptakan salinan yang valid
sehingga menipu sensor.
• Digital Traits Spoofing
Deskripsi: mengirimkan aliran data digital yang merupakan bentuk digital dari data
biometrik.
• Override Feature Extractor
Deskripsi: melakukan gangguan ke modul feature extractor sehingga modul
menghasilkan feature atau template yang telah dipilih oleh penyerang. Biasanya
berada di bagian firmware sensor.
36
37. • Feature Representation Tampering
Deskripsi: mengganti fitur / data yang telah diekstrak. Berada di antara feature extraction
dan modul pencocokan. Data yang benar dicegat dan diganti oleh penyerang sehingga
informasi yang disimpan hanya informasi baru yang diberikan atau telah dimodifikasi.
• Override Matching Unit
Deskripsi: unit yang bertugas mencocokkan atau membandingkan diberikan nilai yang
telah ditentukan, apapun data yang masuk.
• Tamper with Stored Templates
Deskripsi: penyerang yang dapat masuk ke database template biometrik dapat
memodifikasi satu atau lebih template untuk mengotorisasi dirinya. Serangan ini juga
termasuk menginjeksikan template palsu untuk akuisisi selanjutnya.
37
38. • Attack the Channel from the Stored Template of Matching Unit
Deskripsi: mengubah data yang mengalir dari database ke unit
pencocokan.
• Override the Final Match Result Decision
Deskripsi: mengubah seluruh hasil otorisasi, melakukan bypass
sehingga apapun yang terjadi akan menghasilkan nilai yang diinginkan
(terverifikasi atau teridentifikasi sebagai seseorang)
38