Inspektur Pembuka Dompet

Firman Azhari menempelkan selembar kartu prabayar keluaran sebuah bank nasional ke punggung Samsung Galaxy Note 2. Tak sampai lima detik, layar telepon seluler pintar itu memerah dan memunculkan deretan angka. Itu tandanya data identitas pemilik kartu berikut jumlah uang pada kartu sudah berpindah ke ponsel di genggamannya.

Demonstrasi yang dilakukan mahasiswa master Teknik Elektro Institut Teknologi Bandung itu kepada Tempo semata ingin menunjukkan ada lubang pengamanan kartu prabayar sehingga gampang dibobol. Firman sudah belasan kali melakukan uji coba pembobolan terhadap 15 jenis kartu yang beredar di Indonesia. Kartu dipilih acak, terdiri atas kartu pembayaran, kartu akses ruangan, kartu tiket, hingga kartu identitas mahasiswa. "Sebagian besar kartu bisa dibobol," katanya kepada Tempo di Bandung, akhir Maret lalu.

Keterampilan membobol kartu tak hanya ia demonstrasikan kepada Tempo. Pada 21-23 Maret lalu, Firman beraksi di hadapan dewan juri Kompetisi Kaspersky Academy tingkat Asia-Pasifik dan Timur Tengah di kampus National University of Singapore. Ketika itu, ia sukses membobol kartu tanda mahasiswa Multimedia University, Malaysia, yang berfungsi sebagai kartu identitas sekaligus kartu pembayaran tiket bus dan kereta api.

Menyaksikan kemampuan pria 23 tahun itu, dewan juri yang terdiri atas pakar keamanan dunia maya di Kaspersky, akademikus National University of Singapore dan Plymouth University, serta para jurnalis hanya bisa melongo. Akhirnya, karya ilmiah Firman yang dituangkan dalam makalah berjudul "Detection of Security Vulnerability in Indonesian NFC Application" tersebut dinobatkan sebagai yang terbaik. Dia mendapat ganjaran hadiah sebesar US$ 1.000 dari dewan juri—bukan dari saldo mahasiswa Malaysia yang dibobol kartunya itu. Akhir Juni nanti, temuan Firman akan diuji dalam Kompetisi Kaspersky tingkat dunia yang diadakan di Royal Holloway University of London.

Firman mengatakan dari belasan jenis kartu yang ia uji terdapat satu kesamaan: kartu harus ditepuk ke mesin pembaca agar terjadi perpindahan data. Ahli elektronika mengenal metode ini sebagai near field communication (NFC). Ringkasnya adalah dua perangkat didekatkan, sesaat kemudian terjadilah perpindahan data dalam waktu singkat.

NFC bekerja melalui induksi magnet. Alat pembaca kartu memancarkan medan magnet untuk membangunkan kartu dan meminta data. Informasi kemudian dipertukarkan melalui gelombang radio berfrekuensi 13,56 megahertz saat kartu didekatkan pada jarak 5-10 sentimeter. Adalah sirkuit mini pada kartu yang bertugas menangkap permintaan data dari pembaca kartu dan memberi balasan. Semua proses ini memakan waktu tak lebih dari satu detik. Kecepatan pemindahan data hingga 848 kilobit per detik. Dahsyat, bukan?

Kepraktisan teknologi NFC akhirnya diadopsi banyak perangkat. Sejak 2005, NFC melekat pada berbagai jenis kartu pembayaran dan identitas menggantikan kartu gesek. Cara ini sangat praktis jika dibandingkan dengan kartu gesek, yang banyak dipakai kartu kredit atau kartu debit.

Tidak hanya dimanfaatkan dalam kartu pembayaran. Produsen ponsel pintar juga ikut mengadopsi teknologi NFC. Beberapa ponsel yang sudah memiliki kemampuan ini antara lain Nokia 6131, Sagem my700X, Samsung D500E, BenQ T80, Google's Nexus S, Nokia C7, Samsung Galaxy S II, Samsung Galaxy SIII, Galaxy Note 2, serta BlackBerry 9900 dan Blackberry 9930. NFC pada ponsel bisa dipakai sebagai pengganti kartu.

Meski praktis, tak semua pengembang memakai NFC dengan pertahanan mumpuni. Celah keamanan inilah yang dicoba diintai Firman. Setelah sebulan mempelajari teknologi NFC, ia bisa membuat perangkat lunak untuk mengetahui keamanan sebuah kartu. Perangkat lunak yang ia pasang pada ponsel Android ini bernama NFC Inspector. "Proses pembuatan soft­ware berlangsung dua minggu saja," ujar finalis Abang-None Jakarta 2010 ini.

NFC Inspector ditemukan tak sengaja. Awalnya Firman ingin membuat aplikasi kartu pintar berteknologi NFC pembayaran untuk warga Bandung di BlackBerry Innovation Center ITB dua bulan lalu. Sebelum merancang kartu, ia merasa perlu mengetahui seluk-beluk kartu-kartu NFC yang beredar saat ini. Nah, agar bisa masuk ke dalam kartu itu, Firman perlu kunci pembukanya. Dia kemudian membuat algoritma aplikasi baru untuk membuka pengamanan kartu.

Kartu pertama yang bisa dia buka adalah kartu mahasiswa milik temannya. Selanjutnya Firman menjajal kartu-kartu pembayaran miliknya sendiri, juga milik rekannya, dari sejumlah bank.

Dengan NFC Inspector, Firman berhasil membuka sebagian besar jeroan kartu, dari identitas pemilik kartu, uang simpan­annya di bank, sampai kode pengaman kartu. Kesimpulan dari risetnya, pengamanan kartu-kartu itu belum paripurna. Pertahanan yang lemah itu ditemukan pada semua kartu pesanan bank. Ia juga menemukannya pada kartu yang dibanderol murah oleh berbagai penerbit kartu. Asisten peneliti untuk aplikasi smart transportation dan smart payment di BlackBerry Innovation Center ITB itu menduga pengamanan kartu dirancang sekadarnya, karena pemesan dan pemakai kartu dianggap tidak tahu banyak soal teknologi dan keamanannya.

Guru besar elektronika Institut Teknologi Bandung, Suhono Supangkat, mengatakan, di Indonesia, kasus pembobolan kartu berteknologi NFC sejauh ini belum terjadi. Namun, di Belanda, masalah itu pernah ditemukan pada OV-chipkaart. Ini kartu yang dipakai sebagai alat pembayaran transportasi publik, seperti bus dan kereta. Oleh pembobol, kata dia, kartu itu dikendalikan sedemikian rupa hingga rekening pemakai tetap utuh. Kejahatan yang merugikan pemerintah Belanda itu kini sudah ditangkal dengan pengamanan kartu yang lebih canggih.

Jenis kejahatan lain, ujar Suhono, kartu bisa dirusak pembobol sehingga pemilik tak bisa lagi memakainya. Isi data kartu asli juga bisa disalin ke kartu kosong polos (putih). Akibatnya, pembobol bisa melakukan transaksi apa saja dengan memakai duit pemilik kartu asli. Dia juga bisa menyelinap dengan mudah ke gedung atau kamar hotel.

Sebenarnya membobol kartu berteknologi NFC tidak semudah yang disangka. Tidak bisa hanya dari ponsel yang sudah beraplikasi NFC lalu ditempelkan ke kartu. "Kalau cuma begitu, hanya akan bunyi bip tapi data kartu tidak akan keluar," kata Suhono. Perlu aplikasi kunci seperti yang dibuat Firman untuk bisa membaca data kartu atau kunci kartu.

Dia menyarankan, agar tak sampai terjadi kasus pembobolan kartu berteknologi NFC di Indonesia, pengamanan kartu harus disempurnakan. "Tidak harus dengan menarik seluruh kartu, tapi bisa dibuat aplikasinya sambil pemakai tetap bertransaksi," ujar Suhono.

Kepada Tempo, Suhono menunjukkan jenis-jenis kartu yang sudah aman dan belum. Namun ia meminta informasi itu tidak dibuka ke publik. "Supaya pemilik dan pembuat kartu tidak geger dan panik," katanya. Suhono akan menawarkan solusi berupa standar pengamanan kartu NFC kepada Bank Indonesia.

Bank Indonesia menyatakan belum bisa berbicara banyak mengenai lubang keamanan pada kartu prabayar NFC. Alasannya hingga kini belum ada laporan pembobolan. Selain itu, Bank Indonesia sudah membuat standar keamanan yang harus dipenuhi lembaga keuangan. Bank juga tak bisa serta-merta menarik jutaan kartu karena akan menciptakan pembengkakan ongkos. "Jika ada lubang keamanan, kami bersedia menerima masukan," ujar juru bicara Bank Indonesia, Difi Ahmad Alamsyah, kepada Tempo pekan lalu.

Bank Mandiri, yang memiliki 1,3 juta nasabah kartu NFC berupa layanan prabayar e-Toll Card, menegaskan bahwa kartu mereka tak bisa dibobol. Sejak 2009, Bank Mandiri menggunakan kartu NFC dengan tingkat keamanan tinggi. Kartu NFC Mandiri dibeli dengan harga US$ 2 per lembar. Menurut Senior Vice President Banking Group Bank Mandiri Rico Usthavia Frans, data pengguna pada kartu Mandiri disandikan. Begitu pula setiap saluran informasi pada kartu dibentengi pengamanan ketat. "Kartu kami menggunakan teknologi NFC paling bagus yang sulit ditembus," katanya.

Firman berencana menunjukkan temuannya kepada Bank Indonesia. Ia sudah menyiapkan algoritma untuk menutup celah keamanan pada kartu NFC. Jika lembaga penerbit kartu ingin meningkatkan keamanan, kartu tak harus diganti, tapi dikirim ke kantor pelayanan untuk diperbaiki.

Firman mengingatkan para pemilik kartu NFC agar berhati-hati menyimpan kartu. Soalnya, lubang keamanan kartu NFC membuat pencopetan saldo bisa dilakukan semudah menempelkan ponsel pintar ke dompet di saku celana.

Anton William, Anwar Siswadi (Bandung)

Koneksi data nirkabel yang dapat diaktifkan dengan mendekatkan dua perangkat. Kepraktisannya membuat pertukaran informasi dilakukan dengan cepat.

Spesifikasi NFC