Let’s hack! Membedah e-money Bank Mandiri

Kenapa e-money Bank Mandiri? Ada beberapa alasan mengapa saya penasaran dengan keamanan produk e-money ini.

  1. Saat ini produk e-money yg ada di dompet saya
  2. Saat ini produk e-money yg meluncurkan aplikasi reader (mandiri e-money info)

Dari dua alasan tersebut saya coba mem-”bedah” keamanan untuk produk e-money tersebut. Kenapa? Saya pikir memberikan aplikasi pembaca kartu seperti memberikan kunci yang patah untuk mengintip isi sebuah kotak yang dikunci dengan gembok. Pertanyaan selanjutnya apakah kunci patah tadi hanya bisa untuk mengintip saja? atau bahkan bisa membuka isi kotak?

Jika belum mudeng maksud analogi saya di atas, ada analogi lain: bayangkan anda akan masuk ke sebuah rumah yang memiliki dua lapis pintu. Di balik pintu pertama terdapat ruang tamu dengan foto-foto harta benda yang berada di dalam rumah itu. Di balik pintu kedua kemungkinan kita bisa menemukan harga yang sebenarnya. Di depan rumah tersebut ada pelayan yang bertugas hanya mengantar anda untuk masuk rumah melewati pintu pertama. Pelayan tersebut membawa beberapa kunci, bisa jadi salah satu kunci yang lain merupakan kunci untuk memasuki pintu kedua. Continue reading

e-KTP dan Security (Bagian II)

Melanjutkan postingan sebelumnya mengenai keamanan e-KTP karena terlalu panjang sebagai update postingan sebelumnya, maka saya putuskan untuk menjadi postingan terpisah.

Kembali ke tujuan awal dari postingan saya, yang sebenarnya adalah memberikan semacam alert kepada institusi pemerintahan pengelola e-KTP. Bahwa ada celah keamanan yang mungkin bisa dieksploitasi lebih lanjut oleh siapa pun di luar sana. Celah ini bukan pada desain sistem e-KTP, melainkan pada implementasi di lapangan. Sehingga memungkinkan orang yang tidak berkepentingan (red: non pemerintah) mendapat materi dalam hal ini aplikasi termasuk library untuk membaca e-KTP. Exploit lebih lanjut bisa saja dilakukan oleh expert-expert di luar sana :D

Lalu PoC untuk membaca e-KTP?

Continue reading

e-KTP dan Security (Bagian I)

Mungkin mengenai teknologi pengamanan data pada e-KTP sudah pernah dibahas secara detail di sini. Mulai dari enkripsi data dengan algoritma enkripsi yang katanya paling kuat (walaupun masih symmetric) sampai dengan penggunaan biometric untuk autentikasi data.

Lalu data aman? secara teori keamanan data selain dari teknologi ada faktor lain yaitu lingkungan penggunaan teknologi tersebut. Ingat bagaimana social engineering bekerja? kurang lebih begitu maksud saya.

Saya coba membedah mengenai keamanan e-KTP ini melalui pendekatan tersebut.

Continue reading