Rabu, 28 Mei 2008

E-Commerce and Internet Security

Ecommerce, atau Electronic Commerce merupakan salah satu teknologi yang berkembang pesat dalam dunia per-internet-an. Penggunaann sistem E-Com, begitu biasanya Ecommerce disingkat, sebenarnya dapat menguntungkan banyak pihak, baik pihak konsumen, maupun pihak produsen dan penjual (retailer). Di Indonesia, sistem Ecom ini kurang populer, karena banyak pengguna internet yang masih menyangsikan keamanan sistem ini, dan kurangnya pengetahuan mereka mengenai apa itu E-Com yang sebenarnya.

Bagi pihak konsumen, menggunakan E-Com dapat membuat waktu berbelanja menjadi singkat. Tidak ada lagi berlama-lama mengelilingi pusat pertokoan untuk mencari barang yang diinginkan. Selain itu, harga barang-barang yang dijual melalui E-Com biasanya lebih murah dibandingkan dengan harga di toko, karena jalur distribusi dari produsen barang ke pihak penjual lebih singkat dibandingkan dengan toko konvensional.

Online shopping menyediakan banyak kemudahan dan kelebihan jika dibandingkan dengan cara belanja yang konvensional. Selain bisa menjadi lebih cepat, di internet telah tersedia hampir semua macam barang yang biasanya dijual secara lengkap. Selain itu, biasanya informasi tentang barang jualan tersedia secara lengkap, sehingga walaupun kita tidak membeli secara on-line, kita bisa mendapatkan banyak informasi penting yang diperlukan untuk memilih suatu produk yang akan dibeli

Dalam prakteknya, berbelanja di web memerlukan koneksi ke internet dan browser yang mendukung transaksi elektronik yang aman, seperti Microsoft Internet Explorer dan Netscape Navigator. Microsoft dan Netscape, bekerja sama dengan perusahaan kartu kredit (Visa dan MasterCard), serta perusahaan-perusahaan internet security (seperti VeriSign), telah membuat standar enkripsi khusus yang membuat transaksi melalui web menjadi sangat aman. Bahkan, Visa dan MasterCard menyediakan jaminan keamanan 100% kepada pengguna credit cardnya yang menggunakan e-com.

Yang menandakan suatu retailer web site aman atau tidak adalah adanya tanda khusus yang muncul di status bar di bagian bawah layar browser. Pada IE, tanda yang muncul adalah tanda gembok terkunci di pojok kanan status bar. Sedangkan pengguna Netscape Navigator, akan melihat tanda kunci di pojok kiri status bar. Jika tanda-tanda tersebut muncul, berarti Anda sedang ter-connect pada server yang aman. Walaupun begitu, karena standar yang dipakai untuk secure connection ini relatif baru, belum semua cybershop menggunakan standar ini.

Kumpulan dari banyak cybershop yang telah terintegrasi dinamakan cybermall. Beberapa cybermall akan mengecek terlebih dahulu legitimasi dari cybershop yang akan masuk, sehingga dapat menghindari adanya cybershop yang palsu. Beberapa cybermall juga menyediakan jasa-jasa tambahan, seperti billing atau tagihan yang tersentralisasi, menjadikan proses belanja menjadi lebih mudah dan aman.

Di media massa cukup banyak berita tentang pembobolan sistem keamanan Internet, akan tetapi umumnya vendor dan analis komputer berargumentasi bahwa transaksi di Internet jauh lebih aman daripada di dunia biasa.
Sebenarnya sebagian besar dari pencurian kartu kredit terjadi di sebabkan oleh pegawai sales yang menghandle nomor kartu kredit tersebut. Sistem e-commerce sebetulnya menghilangkan keinginan mencuri tadi dengan cara meng-enkripsi nomor kartu kredit tersebut di server perusahaan. Untuk merchants, e-commerce juga merupakan cara yang aman untuk membuka toko karena meminimalkan kemungkinan di jarah, di bakar atau kebanjiran. Hal yang paling berat adalah meyakinkan para pembeli bahwa e-commerce adalah aman untuk mereka.
Umumnya pengguna kartu kredit tidak terlalu mempercayai-nya, tapi para pakar e-commerce mengatakan bahwa transaksi e-commerce jauh lebih aman daripada pembelian kartu kredit biasa. Setiap kali anda membayar menggunakan kartu kredit di toko, di restauran, di glodok, di mangga dua atau melalui telepon 800 – setiap kali anda membuang resi pembelian kartu kredit – anda sebetulnya telah membuka informasi kartu kredit tersebut untuk dicuri.
Sejak versi 2.0 dari Netscape Navigator dan Microsoft Internet Explorer, transaksi dapat di enkripsi menggunakan Secure Sockets Layer (SSL) http://www.builder.com/Business/Ecommerce20/ss05.html, sebuah protokol yang akan mengamankan saluran komunikasi ke server, memproteksi data pada saat dikirimkan melalui Internet. SSL menggunakan public key encryption, salah satu metoda enkripsi yang cukup kuat saat ini. Untuk melihat apakah sebuah Web site di amankan menggunakan SSL dapat dilihat pada awal URL digunakan https bukan http.
Pembuat browser dan perusahaan kartu kredit saat ini mempromosikan sebuah standar tambahan bagi keamanan di namakan Secure Electronic Transaction (SET) http://www.builder.com/Business/Ecommerce20/ss05.html. SET akan mengenkode nomor kartu kredit yang ada di server vendor di Internet – yang hanya dapat membaca nomor kartu kredit tersebut hanya bank dan perusahaan kartu kredit – artinya pegawai vendor / merchant tidak bisa membaca sama sekali sehingga kemungkinan terjadi pencurian oleh vendor menjadi tidak mungkin.
Terus terangnya memang tidak ada sistem e-commerce yang bisa menggaransi proteksi 100% kepada kartu kredit anda, tapi kemungkinan untuk di copet dompet anda di toko online akan jauh lebih rendah dibandingkan di tempat biasa.
Bagaimana cara saya memulai berjualan secara online? (How do I start selling online?)
Saat ini banyak sekali produk-produk yang memungkinkan kita mensetup situs e-commerce dan langsung berjualan dalam waktu beberapa hari / minggu, mulai dari yang simple, murah hingga mahal dan kompleks.
Para pengusaha kecil mungkin harus melihat jauh diluar ISP-nya untuk melihat solusi-solusi murah tadi. Contohnya, Forman interactive http://www.formaninteractive.com/ memberikan produk Internet creator seharga kurang dari US$150. Perangkat lunak tersebut menggunakan beberapa wizard untuk menolong anda membuat halaman web yang aman untuk menjual produk anda. Bahkan jika meletakan halaman web tersebut di server Forman, mereka akan membantu menangani pembayaran melalui CheckFree http://www.checkfree.com/.
Jika anda sudah siap untuk masuk ke bisnis ini, anda dapat juga menggunakan yahoo store http://store.yahoo.com/ yang akan memungkinkan anda untuk membangun situs web untuk bertransaksi melalui browser web di rumah anda. Yahoo akan berfungsi sebagai host, biaya di sesuaikan dengan jumlah barang yang di jual – yaitu US$100 / bulan untuk toko yang menjual 50 barang, US$300 / bulan untuk toko dengan barang sampai dengan 1000 barang.
Solusi-solusi yang murah dan menarik ini juga tampaknya juga diberikan oleh indosatcom sebuah anak perusahaan dari Indosat yang memfokuskan diri di e-commerce. Salah satu produk indosatcom adalah EDIWeb menjadi menarik untuk para pengusaha kecil yang hanya bermodal akses ke WARNET. Telkom juga meluncurkan plasa.com belum terhitung inisiatif lain seperti Wasantara dll.
Tentunya untuk solusi-solusi komplex yang membutuhkan kemampuan integrasi yang tinggi antara berbagai proses transaksi yang dilakukan ada banyak perangkat lunak yang berharga cukup tinggi di antara US$5000 s/d US$100000 cukup untuk membuat seorang pengusaha kecil jatuh bangkrut.
Tampaknya solusi paling menarik adalah jasa e-commerce hosting yang dijalankan banyak perusahaan termasuk indosatcom, AT&T http://www.ipservices.att.com/wss/, MCI http://www.wcom.net/commercehost/, dan GTE BBN Planet http://www.bbn.com/. Karena resiko & biaya rendah untuk melakukan e-commerce demikian dikatakan oleh Karl Lewis dari Proxicom http://www.proxicom.com/ yang merupakan perusahaan konsultan web yang mensetup situs e-commerce Day-Timer http://www.daytimer.com/ dan extranet untuk Mobil Oil dan distributor-nya.

Keamanan Internet Berbasis WAP
Akhir-akhir ini, beberapa produsen handphone merilis produk mereka yang dilengkapi fasilitas WAP (Wireless Application Protocol) atau Protokol Aplikasi Nirkabel. Dengan adanya WAP, pengguna handphone dapat mengakses informasi dan bertransaksi di Internet langsung dengan handphone. Sebagaimana akses Internet dengan komputer biasa, akses dengan WAP ini juga memerlukan keamanan tinggi, terutama untuk transaksi atau e-commerce.
Dalam bulan Juni 1999, Forum WAP secara formal menyetujui WAP Versi 1.1, dengan menyertakan spesifikasi Wireless Transport Layer Security (WTLS) yang menjelaskan keamanan Internet nirkabel. Saat ini WTLS telah memasuki pasar e-commerce pada Internet nirkabel, seperti SSL (Secure Socket Layer) yang telah diterima sebagai sistem keamanan untuk transaksi di Internet.

Keamanan di Internet
Langkah pertama untuk memahami bagaimana model keamanan WAP bekerja adalah dengan membahas cara kerja SSL dalam mengamankan e-commerce di Internet. SSL menjamin bahwa data dijaga aman dan kecurangan transaksi dapat dicegah.
Ada empat ciri yang berbeda tentang sistem yang aman, yaitu privacy (privasi), integrity (integritas), otenticity (otentisitas), dan non-repudiation (tidak terjadi penolakan). Privasi berarti meyakinkan bahwa hanya pengirin dan penerima pesan yang dapat membaca isi pesan tersebut. Untuk memperoleh privasi, solusi keamanan harus memastikan bahwa tidak ada seorang pun yang dapat melihat, mengakses, atau menggunakan informasi privat ( seperti alamat, nomor kartu kredit, dan nomor telepon) yang ditransmisikan melalui internet. Integritas menjamin pendeteksian adanya perubahan isi pesan di antara waktu pengiriman dan penerimaan. Sebagai contoh, ketika pengguna internet memberi instruksi kepada bank untuk mentransfer Rp 10 juta dari suatu rekening ke rekening yang lain, integritas memberi garansi bahwa nomor rekening dan jumlah yang ditulis tidak dapat diubah tanpa validasi bank atau pemberitahuan pengguna. Bila pesan diubah dengan cara apapun selama transmisi, sistem keamanan harus mampu mendeteksi dan memberi laporan perubahan ini. Dalam berbagai sistem jika terdeteksi adanya perubahan, sistem penerima akan meminta pesan dikirim ulang.
Otentikasi memberi jaminan bahwa semua pelaku dalam komunikasi adalah otentik atau mereka yang dapat di-klaim. Otentikasi server menyediakan aturan bagi pengguna untuk melakukan verifikasi bahwa mereka benar-benar berkomunikasi dengan web-site yang mereka yakini terkoneksi. Otentikasi client menjamin bahwa pengguna adalah orang yang dapat di-klaim. Contoh otentikasi dalam dunia nyata adalah menunjukkan KTP atau Passport untuk pengakuan identitas. Non-repudiation menyediakan metode untuk menjamin bahwa tidak terjadi kesalahan dalam melakukan klaim terhadap pihak yang melakukan transaksi. Dalam dunia nyata, tanda tangan digunakan untuk menjamin non-repudiation, sehingga yang bersangkutan tidak dapat mengelak. Ketika pelanggan berbelanja di supermarket, penunjukkan kartu kredit menjamin identitas pelanggan (otentikasi), sedangkan tanda tangan pada kuintansi menjamin bahwa pelanggan setuju untuk transaksi (non-repudiation).
Di internet, protokol Secure Socket Layer (SSL), sertifikat digital, user-name dan password atau tanda tangan digital digunakan secara bersama-sama untuk menghasilkan empat tipe keamanan.

Keamanan di Lingkungan Nirkabel
Tiga bagian dari model keamanan nirkabel ditunjukkan dalam gambar 1. Pada sisi kanan diagram, gateway WAP menggunakan SSL untuk komunikasi secara aman dengan server Web, menjamin privasi, integritas dan otentisitas server. Non-repudiation dipecahkan melalui metode transaksi elektronik yang ada, seperti nomor PIN yang hanya dapat digunakan satu kali. Pada sisi kiri, gateway WAP membawa pesan terenkripsi SSL dari Web, dan menerjemahkan transaksi untuk transmisi pada jaringan nirkabel dengan protokol keamanan WTLS. Transaksi pesan dari handphone ke server web adalah kebalikannya, yaitu konversi dari WTLS ke SSL. Pada dasarnya, gateway WAP merupakan jembatan antara protokol keamanan WTLS dan SSL. Kebutuhan translasi antara SSL dan WTLS meningkat karena kelemahan komunikasi nirkabel, yaitu transmisi dengan bandwidth rendah dan latency (potensi gangguan) tinggi. SSL didesain untuk lingkungan desktop dengan kemampuan proses yang tinggi dan tersambung pada koneksi internet dengan bandwidth relatif tinggi dan latency rendah. Akibatnya, pengguna telepon bergerak akan frustrasi karena lambatnya pemrosesan SSL. Selanjutnya, penerapan SSL pada handset akan meningkatkan biaya secara tajam.
WTLS secara khusus didesain untuk menjalankan transaksi aman tanpa memerlukan kekuatan pemrosesan setara desktop dan tanpa memori di handset. WTLS memroses algoritma keamanan lebih cepat dengan protocol overhead minimization (minimisasi overhead protokol), dan kompresi data yang lebih baik daripada pendekatan SSL tradisional. Hasilnya, WTLS mampu menghasilkan keamanan yang baik dengan keterbatasan jaringan nirkabel, sehingga dengan handphone kita dapat berkomunikasi secara aman melalui internet.
Transaksi antara SSL dan WTLS pada gateway WAP UP.Link (dari Phone.com) hanya dalam orde milidetik dan terjadi dalam memori. Ini memungkinkan koneksi virtual yang aman antara dua protokol tersebut. WTLS menyediakan privasi, integritas dan otentikasi antara gateway WAP dan browser WAP. Berdasar protokol standar Internet TLS 1.0 ( yang berbasis pada SSL 3.0 ), WTLS memiliki standar keamanan Internet yang tinggi di jalur nirkabel. Kemampuan WTLS berada di atas TLS 1.0 karena adanya fasilitas baru seperti support terhadap datagram, handshake yang dioptimalkan, dan dynamic key refreshing.
WTLS menghasilkan solusi sangat aman yang dibangun dengan teknologi terbaik dari dunia Internet dan nirkabel. Bila gateway WAP diaplikasikan sesuai prosedur keamanan operator standar, pelanggan dan content provider akan memperoleh jaminan bahwa data dan aplikasinya aman. Phone.com merupakan perusahaan pertama yang menyediakan komunikasi Internet nirkabel yang aman pada handset yang memiliki kemampuan browser berstandar HDTP2.0. HDTP2.0 telah tersedia secara komersial sejak 1997. Phone.com juga merupakan perusahaan pertama yang menyediakan gateway WAP 1.1-compliant, dengan mengimplementasikan WTLS 1.1 secara lengkap.
Hasilnya, Phone.com telah mampu membangun gateway WAP bernama UP.Link dengan kemampuan keamanan yang bagus. Sebagai contoh, UP.Link mendukung sertifikat untuk client yang memungkinkan server Web menyediakan otentikasi atas nama pengguna. Dengan menggunakan standar Internet yang telah ada dengan user-name dan password, content provider dapat segera mengimplementasikan aplikasi yang aman, yang memberikan privasi, integritas, otentikasi dan non-repudiation. Gateway WAP UP.Link juga mendukung otoritas sertifikat yang fleksibel, termasuk dukungan terhadap sertifikat server yang disediakan pihak lain. Fleksibilitas ini
Data yang tidak dienkripsi tidak pernah disimpan dalam media permanen, sehingga tidak ada rekaman isi transaksi.
Algoritma enkripsi/dekripsi UP.Link beropersi dalam proses UNIX single. Algoritma ini telah dioptimisasi untuk meminimalkan waktu penyimpanan data tidak terenkripsi dalam memori dan penghapusannya saat translasi protokol keamanan telah selesai.
Hanya root di sistem UNIX yang bisa melihat pesan yang tidak terenkripsi.
Sangat sulit untuk menemukan data di memori yang tidak terenkripsi. Tool khusus di UNIX hanya tersedia bagi root untuk melihat isi memori. Itupun membutuhkan banyak pekerjaan penggeseran data untuk menentukan kapan dan di mana transaksi terjadi.Karena transaksi terjadi di memori, maka pekerjaan ini sangat sulit.
Akses ke transmisi WTLS membutuhkan pengetahuan tentang implementasi WAP yang sangat tinggi. Beberapa informasi yang diperlukan untuk mencoba penetrasi gateway WAP tidak tersedia dalam dokumentasi yang diterima operator jaringan dari Phone.com. Meskipun telah ada lima proteksi di atas, usaha untuk transaksi yang curang pada gateway melalui console masih bisa terjadi. Untuk itu, fasilitas keamanan tambahan diperlukan sesuai tingkatan aplikasi nirkabel. Solusi WAP yang didesain untuk menyediakan transmisi aman pada jaringan nirkabel harus sesuai dengan kebutuhan pelanggan, operator jaringan dan content provider. Solusi ini harus terbuka sesuai standar sehingga dapat beroperasi dengan peralatan lain (interoperable). Sebagai contoh, Phone.com bekerja sama dengan WAP Forum untuk menghasilkan standar untuk solusi di masa depan, yang akan menjadikan e-commerce nirkabel dapat diterima pasar.

Tidak ada komentar: