Peretas Situs CIA Beri Panduan Keamanan Online: Sistem Perbankan Cacat - Simpanan Nasabah Rentan Ditembus
The Hacker`s Guide to Safety Online: `The Entire Banking System is Fundamentally Flawed - You`re Giving Access to Your Cash`
Editor : Ismail Gani
Translator : Novita Cahyadi
MUSTAFA Al-Bassam adalah pelajar sekolah menengah atas berusia 16 tahun ketika ia ditangkap karena perannya dalam kejahatan cyber yang dilakukan oleh LulzSec, nama kelompok hacker.
Pada 2011, ia menargetkan situs CIA di AS, Badan Kejahatan Terorganisir Serius di Inggris, Fox dan Sony.
Tindakan kelompok peretas ini mengakibatkan dampak finansial yang serius. Namun juga memberi hikmah untuk mengungkap sisi gelap dari dunia politik dan menguak kelemahan sistem virtual organisasi besar.
Pada musim gugur, mereka tampil di Royal Court Theatre di London dengan judul 'Internet adalah Bisnis Serius' untuk menceritakan kisah mereka.
Mustafa - dari London Selatan dan sebelumnya dikenal secara online sebagai tFlow - harus menjalani 20 bulan hukuman percobaan pada usia 18, sesaat sebelum mengambil A-level, dan diperintahkan untuk melaksanakan 300 jam pelayanan masyarakat yang harus dijalaninya.
Dia kini berusia 20 tahun dan mempelajari ilmu komputer di King College London.
Setelah ia memberi demonstrasi meretas sistem pada sebuah konferensi baru-baru ini tentang kejahatan keuangan, The Mail on Sunday menemuinya sehingga ia berbicara lebih banyak - dan kadang-kadang mengkhawatirkan - menjelaskan tentang keamanan online dan memberikan saran tentang bagaimana melindungi identitas dan keuangan nasabah.
Tanya (T): Bagaimana Anda mendapatkan keterampilan menggunakan internet pada usia muda?
Jawab (J): Saya menghabiskan banyak waktu di komputer ketika saya masih anak-anak dan belajar sendiri bagaimana membuat program ketika saya masih berusia sembilan tahun, dengan menggunakan sumber daya yang tersedia secara bebas via online.
Hal ini mungkin tampak luar biasa, tapi itu adalah cerita yang umum. Banyak orang belajar program ketika masih bocah, dan itu akan menjadi lebih umum saat ini bahwa Inggris mendorong untuk mata pelajaran pemrograman untuk diajarkan di sekolah-sekolah dasar dan menengah.
T: Dalam kehidupan masa lalu Anda yang bekerja menentang hukum, apakah Anda menganggap diri Anda seorang 'black hat' hacker, seseorang yang niat utamanya menembus keamanan internet? Dan dapatkah Anda menggambarkan diri Anda sekarang sebagai warga negara yang baik (topi putih)?
J: Saya pikir sebutan topi putih dibandingkan label topi hitam adalah penyederhanaan yang berlebihan tidak membantu suatu kegiatan yang mencakup seluruh rentang motivasi manusia. Etika hacking tidak hitam atau putih, tetapi lebih dari 256 warna abu-abu, seperti aktivitas lain dalam hidup.
[256 adalah jumlah warna abu-abu yang dapat dideteksi pada layar komputer.]
Sebutan topi putih dapat direkrut untuk melakukan kegiatan normal digambarkan sebagai topi hitam jika itu dilakukan oleh warga negara, seperti hacking ke dalam sistem komputer untuk mencuri informasi.
Jadi sejauh ini saya hanya lebih memilih istilah 'hacker'.
T: Mengesampingkan sejenak masalah moral, itu lebih menarik di sisi lain dari hukum?
J: Belum tentu. Saya pikir keamanan komputer merupakan masalah yang menarik hari ini yang telah memiliki jangkauan luas sebagai implikasi sosial terlepas dari peran Anda.
Keamanan profesional yang membuat perangkat keamanan mutakhir - seperti enkripsi end-to-end dalam layanan pesan WhatsApp - mungkin menikmati pekerjaan mereka digunakan dalam praktek untuk mengubah bagaimana kita hidup saat ini.
[Enkripsi End-to-end memastikan pesan hanya bisa dibaca oleh pengirim dan penerima, dan tidak dapat dipahami jika dicegat. Hal ini juga dapat digunakan untuk keamanan dalam pembayaran online.]
T: Apa adalah kegiatan favorit Anda dengan LulzSec, dalam hal apa yang Anda mampu tunjukkan kepada dunia?
J. Yang paling menarik adalah mengotori website Westboro Baptist Church - kelompok yang membenci kegiatan homophobic kontroversial di AS - pada siaran langsung di radio swasta.
Atau keterlibatan saya dengan Arab Spring sebagai aktivis membantu untuk mengamankan diri terhadap pengawasan dari server jahat yang didirikan oleh rezim pemerintah yang menindas rakyat.
[Pemerintah Tunisia telah memata-matai warganya menggunakan media sosial untuk mengidentifikasi pengunjuk rasa.]
T: Apakah tip terbaik bagi orang-orang perbankan atau belanja online?
J: Gunakan kartu kredit atau rekening bank terpisah saat berbelanja online. Dengan kartu kredit, Anda tidak bertanggung jawab jika biaya yang tidak sah dibuat pada kartu Anda. Jadi jika informasi kartu Anda dicuri, kerusakan terbatas.
T: Apakah bank meningkatkan keamanan sistemnya terkait dengan keamanan cyber?
J: Sebagian besar bank Inggris bahkan tidak menerapkan enkripsi HTTPS dengan benar pada website mereka, dan menunjukkan pemahaman yang buruk tentang bagaimana ini diterapkan dalam praktek ketika saya telah mencoba untuk menyelidiki mereka tentang hal itu.
Mereka diyakini tampaknya akan tertinggal dalam hal praktik keamanan standar modern.
Selain itu, saya pikir seluruh sistem kartu kredit/debit pada dasarnya cacat.
Jika kita membangun kembali cara kita melakukan pembayaran online hari ini, tampaknya keterlaluan bahwa kita akan memiliki sistem di mana Anda harus memberikan setiap website yang Anda gunakan mengakses penuh ke rekening bank Anda untuk menarik apa pun yang mereka inginkan, kapan pun mereka inginkan.
Itu adalah tindakan teknis yang dapat Anda lakukan ketika Anda mengisi informasi dari kartu kredit pada sebuah website.
[Bank mengatakan bahwa meskipun mereka tidak memiliki lapisan HTTPS keamanan di situs mereka, yang mereka lakukan setiap kali pelanggan log ke perbankan online. Seorang juru bicara untuk Asosiasi Bankir Inggris mengatakan: 'Bank memiliki proses keamanan yang ketat untuk mencegah penjahat mencuri uang nasabah. Server aman - atau HTTPS - sudah menjadi standar industri ketika datang untuk login menggunakan perbankan online'].
T: Apa bank perlu melakukannya untuk meningkatkan keamanan sistem?
J: Ada beberapa hal yang dilakukan secara benar oleh bank, seperti memaksa otentikasi dua faktor untuk online banking. [Dimana pelanggan harus menyelesaikan dua tindakan untuk membuktikan identitas.]
Namun banyak praktik keamanan standar modern yang masih tidak diikuti oleh lembaga-lembaga tradisional, tapi yang start-up melakukan pekerjaan yang jauh lebih baik untuk menerapkan - seperti menuntut prosedur bagi para peneliti keamanan untuk mengirimkan kelemahan keamanan.
T: Bagaimana kita bisa lebih baik mendidik diri kita sendiri tentang hacking dan kerentanan secara online?
J: Saya pikir mendidik orang tentang komputasi yang aman adalah masalah yang sama untuk mendidik orang tentang seks yang aman. Hal ini membutuhkan pergeseran budaya di mana ia menjadi norma bagi orang untuk memiliki pengetahuan dasar tentang apa yang terjadi pada data mereka.
Ada banyak kampanye yang bertujuan untuk mendidik masyarakat tentang kebersihan keamanan data dasar, seperti Cyber ​​Streetwise [kampanye Pemerintah Inggris untuk membantu konsumen - kunjungi cyberstreetwise.com].
T: Apakah masa depan ancaman cyber di Inggris jika kita terus tidak peduli pada keamanan cyber?
J: Saya pikir kita hanya perlu melihat berita-berita utama di media massa untuk mendapatkan informasi.
Dengan munculnya Internet of Things dan perangkat yang terhubung ke internet seperti mobil, pesawat dan bahkan senjata, konsekuensi keamanan yang buruk akan menjadi lebih drastis dan mengancam jiwa.
T: Tagihan rumah meminta debitur untuk mendaftar dan membayar secara online, tetapi dapatkah bank sebagai kreditor kemudian melindungi kita?
J: Mungkin tidak mempertimbangkan jumlah pelanggaran data catatan pelanggan utama yang kita lihat setiap tahun. Namun apakah Anda mendaftar secara online, data Anda akan disimpan dalam bentuk komputerisasi.
T: Bagaimana Anda memandang keamanan dari simpanan Anda sendiri di bank? Apakah Anda membayar dengan kartu kredit dan menggunakan perangkat lunak anti-virus pada komputer Anda?
A. Saya menggunakan rekening bank terpisah untuk pembayaran online tapi saya tidak menggunakan perangkat lunak anti-virus sama sekali. Dalam pandangan saya efektivitas perangkat lunak anti-virus adalah over-rated.
Pertama, hal ini sangat sepele untuk membuat virus yang tidak terdeteksi software antivirus dan kedua, hanya dua persen dari pelanggaran data perusahaan disebabkan oleh virus. Selanjutnya, karena memerlukan tingkat tinggi akses ke sistem untuk bekerja, software anti-virus terbukti malahan membuka peluang kerentanan baru pada sistem keamanan komputasi.
Yang paling penting pengguna biasa dapat melindungi sistem keamanan mereka adalah untuk memperbarui perangkat lunak dan sistem operasi yang digunakan.
MUSTAFA Al-Bassam was a 16-year-old schoolboy when he was arrested for his role in cybercrimes committed by LulzSec, a gang of hackers.
In 2011, it targeted the websites of the CIA in the US, the Serious Organised Crime Agency in the UK, Fox and Sony.
The group’s actions caused serious financial damage. But it also shone a light in some dark corners of world politics and exposed the virtual weaknesses of big organisations.
Last autumn, a play at the Royal Court Theatre in London called Teh Internet Is Serious Business told their story.
Mustafa – from South London and previously known online as tFlow – was handed a 20-month suspended sentence at the age of 18, shortly before taking his A-levels, and ordered to carry out 300 hours of unpaid community work.
He is now 20 and studying computer science at King’s College London.
After he gave a hacking demonstration at a recent conference on financial crime, The Mail on Sunday tracked him down so he could give his inside – and sometimes alarming – view of online security and provide advice on how we can protect our identity and finances.
Q. How did you gain your skills on the internet at such a young age?
A. I spent a lot of time on my computer as a child and taught myself how to program when I was about nine, using freely available online resources.
This might seem extraordinary, but it is a common story. Many people learn to program as a child, and it is going to become more common now that the UK is pushing for programming to be taught in secondary and primary schools.
Q. In your past life working on the other side of the law, did you consider yourself a ‘black hat’ hacker, someone whose prime intent was to breach internet security? And would you describe yourself now as a white hat wearer?
A. I think the white hat versus black hat label is an unhelpful oversimplification of an activity that covers the entire range of human motivation. The ethics of hacking are not black or white, but more 256 shades of grey, just like any other activity in life.
[256 is the number of shades of grey that can be detected on a computer screen.]
White hats may be recruited to carry out activities normally described as black hat if it was performed by a citizen, such as hacking into computer systems to steal information.
So to that extent I simply prefer the term ‘hacker’.
Q. Putting aside the moral issue for a moment, was it more interesting on the other side of the law?
A. Not necessarily. I think computer security is an interesting issue today that has wide-reaching social implications regardless of your role.
Security professionals who build cutting-edge security tools – such as the end-to-end encryption in the WhatsApp messaging service – probably enjoy seeing their work being used in practice to change the world we live in.
[End-to-end encryption ensures messages can only be read by the sender and recipient, and cannot be understood if intercepted. It can also be used for security in online payments.]
Q. What was your favourite activity with LulzSec, in terms of what you were able to demonstrate to the world?
A. The most interesting was defacing the website of Westboro Baptist Church – a controversial homophobic hate speech group in the US – during a live radio show.
Or my involvement with the Arab Spring in helping activists to secure themselves against surveillance from malicious servers set up by their government’s oppressive regimes.
[The Tunisian government was spying on citizens’ use of social media to identify protesters.]
Q. What is your single best tip for people banking or shopping online?
A. Use a credit card or a separate bank account when shopping online. ith a credit card, you are not liable if an unauthorised charge is made on your card. So if your card information is stolen, the damage is limited.
Q. Are banks behind the times when it comes to cyber security?
A. The majority of UK banks don’t even implement HTTPS encryption properly on their website, and show a poor understanding of how it is implemented in practice when I have tried to probe them about it.
They certainly seem to be lagging behind in terms of modern standard security practices.
Furthermore, I think the entire credit/debit card system is fundamentally flawed.
If we were to rebuild the way we make online payments today, it seems outrageous that we would have a system where you have to give every website that you use full access to your bank account to withdraw whatever they want, whenever they want.
That is what you are technically doing when you give a website your card information.
[Banks say that although they don’t have the HTTPS layer of security on their homepage, they do whenever a customer logs into online banking. A spokesman for the British Bankers Association says: ‘Banks have strict security processes in place to prevent criminals stealing customers’ money. Secure servers – or HTTPS – are standard across the industry when it comes to logging in to use online banking.’]
Q. What do the banks need to do to improve?
A. There are some things that banks are doing right, such as forcing two-factor authentication for online banking. [Where a customer must complete two actions to prove identity.]
But there are many modern standard security practices that are still not being followed by traditional institutions, but which start-ups are doing a much better job at implementing – such as having a procedure for security researchers to submit security flaws.
Q. How can we better educate ourselves about hacking and online vulnerability?
A. I think educating people about safe computing is a similar problem to educating people about safe sex. It requires a cultural shift where it becomes a norm for people to have basic knowledge on what happens to their data.
There are many campaigns that aim to educate people on basic data security hygiene, such as Cyber Streetwise [a Government campaign to help consumers – visit cyberstreetwise.com].
Q. What is the future of cyber threats in the UK if we continue to be lazy about security?
A. I think we only have to look at the headlines to see the warnings.
With the rise of the Internet of Things and more devices being connected to the internet such as cars, planes and even guns, the consequences of bad security will become more drastic and life-threatening.
Q. Household bill providers want us to sign up and pay online, but can they then protect us?
A. Probably not considering the number of major customer record data breaches we are seeing every year. But whether or not you sign up online, your data will be stored in computerised form.
Q. How do you look after your own finances? Do you pay with credit cards and use anti-virus software on your computer?
A. I use a separate bank account for online payments but I do not use anti-virus software at all. In my view the effectiveness of anti-virus software is over-rated.
First, it is extremely trivial to create a virus that evades anti-virus software and secondly, only two per cent of company data breaches are caused by viruses. Furthermore, because it requires a high level of access to the system in order to work, anti-virus software has been shown to introduce new security vulnerabilities.
The most important thing a typical user can do to protect the security of their system is to update their software and operating systems.
