...

Trend Serangan Jaringan Komputer dari Internet

by user

on
Category: Documents
1

views

Report

Comments

Transcript

Trend Serangan Jaringan Komputer dari Internet
Trend Serangan Jaringan Komputer dari Internet
Deris Stiawan (Dosen FASILKOM UNSRI)
Sebuah Pemikiran, Sharing, Ide Pengetahuan, Penelitian
Pendahuluan ...
Tidak ada yang bisa menjamin perilaku dari setiap orang yang terkoneksi ke Internet, terdapat
banyak perilaku di internet dari yang berhati baik sampai yang berhati buruk, dari yang
mencari informasi umum sampai mencari informasi kartu kredit orang lain. Karena sifatnya
yang publik atau umum maka muncul masalah baru yaitu masalah keamanan data dan informasi
di Internet terutama informasi-informasi yang bersifat krusial dan konfiden.
Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat
dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel,
VSAT , VPN atau bahkan menggunakan jaringan publik (Internet), Maka ada suatu permasalahan
lain yang sangat krusial yaitu ”Keamanan atau Security”. Karena tidak ada yang sistem yang
aman didunia ini selagi masih dibuat oleh tangan manusia, karena kita hanya membuat
meningkatkan dari yang tidak aman menjadi aman dan biasanya keamanan akan didapat
setelah lubang / vurnability system diketahui oleh penyusup.
Ancaman masalah keamanan ini banyak sekali ditemui oleh pengguna seperti Virus, Trojan,
Worm, DoS, hacker, sniffing, defaced, Buffer Overflow, dan sebagainya dengan apapun istilah
underground yang banyak sekali saat ini, yang pasti akan menyusahkan kita pada saat
ancaman-ancaman ini ”menyerang”. Metode serangan saat ini sangat beragam, dari yang
sederhana yang dilakukan para pemula atau script kiddies sampai dengan serangan dengan
menggunakan metode terbaru. Karena akan semakin kompleksnya administrasi dari jaringan
skala luas (WAN) maka diperlukan suatu mekanisme keamanan dan metode untuk dapat
mengoptimalkan sumber daya jaringan tersebut, semakin besar suatu jaringan maka makin
rentan terhadap serangan dan semakin banyak vurnability yang terbuka.
Trend keamanan dan Serangan komputer| ver 1
1
Ada banyak metode yang dilakukan untuk masuk ke sistem lain walaupun sistem telah di kita
lakukan update/patching secara continue, karena ada banyak lubang yang dapat dimanfaatkan,
biasanya penyerang melakukannya dengan menggunakan beberapa metode yang akan
dijelaskan selanjutnya. Belum lagi saat ini banyak sekali tools-tools yang dapat dengan mudah
digunakan yang didownload dari Internet dan banyaknya websites yang menyediakan tools
untuk melakukan hacking. Dengan berbekal tools tadi seseorang yang biasa dapat mengancam
infrastruktur jaringan kita, ancaman dapat beruba hanya sekedar introgasi sistem kita
(footprinting atau analisa awal) atau analisa port yang digunakan sampai dengan mencoba-coba
celah vurnerability network kita.
Ada banyak anggapan yang salah dengan statetement “kami sudah memiliki firewall yang
banyak dan terbaru”, “kami mempunyai team yang tangguh dan hebat dalam bidang security”,
“kami mempunyai dana IT yang unlimitted” atau ”kami tidak ada musuh dan data yang kami
onlinekan tidak mengandung informasi penting”. Inilah beberapa faktor yang memicu
terjadinya kebocoran dari sistem pertahanan yang kita bangun, belum lagi tidak adanya rules
atau policy tentang sistem keamanan di perusahaan atau institusi kita, untuk memberikan
gambaran tentang framework membangun policy sistem keamanan dapat merujuk ke tulisan
penulis yang lain.
Serangan-Serangan ...
Ada banyak model serangan yang dapat diketahui saat ini, namun semakin hari model serangan
semakin beragam baik dari pengembangan model sebelumnya atau model-model baru yang
telah dicoba-coba dan dilakukan oleh penyerang.
Serangan Dos & DDoS
Denial of Services / Distributed DoS, yaitu serangan yang akan Melumpuhkan sistem agar
pengguna yang sah tidak dapat mengakses sistem tersebut, ada banyak Metode yang digunakan,
seperti Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way
handshake) dan akhirnya Membuat server ‘bingung’ hingga down
Serangan ini Sering dilakukan “script kiddies” yang tidak dapat masuk ke sistem atau hanya
sakit hati di komunitas
Trend keamanan dan Serangan komputer| ver 1
2
SYN Flood & UDP Flood, metode yang dilakukan oleh penuerang yang membuat sebuah server
di penuhi dengan permintaan dari paket-paket SYN yang tidak lengkap, Akhirnya akan membuat
overhead pada server dan hasilnya adalah DoS, sedangkan UDP bersifat connectionless, tidak
memperhatikan apakah paket telah diterima atau tidak Mirip dengan ICMP flood, UDP flood
dikirim dengan tujuan untuk memperlambat sistem sampai dengan sistem tidak bisa
mengendalikan koneksi yang valid
Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK
(3 way handshake). Proses 3 way handshake seperti gambar 1 adalah proses yang terjadi pada
saat sumber dan tujuan melakukan komunikasi dimana proses ini menggunakan protocol TCP
yang akan membagi-bagi paket data yang akan ditransmisikan sesuai dengan kesepakatan
antara sumber dan tujuan.
Gambar 1. metode 3 way handshake (cisco.com)
Serangan dilakukan dengan mesin lain yang disebut zombie, zombie adalah mesin server yang
telah dikuasai sebelumnya oleh penyerang untuk menyerang mesin server target lain, hal ini
dilakukan agar jejak yang berupa IP address di internet dapat ditutupi dengan menggunakan
mesin zombie tersebut. Pada gambar 2 dapat dilihat, penyerang menguasai mesin server lain
dahulu yang akan dijadikan zombie, dimana server zombie dipilih oleh penyerang biasanya yang
berada di backbone Amerika, kenapa backbone amerika ? karena bandwidth yang berada di
backbone amerika pasti besar. Hal ini merupakan syarat mutlak untuk menyerang server
tujuan, jika bandwidth mesin zombie kecil atau sama dengan bandwidth server yang akan
diserang maka serangan DoS ini akan dapat dicegah oleh mesin firewall.
Trend keamanan dan Serangan komputer| ver 1
3
Serangan DoS akan membuat mesin menjadi bingung karena banyaknya paket data SYN yang
datang sedangkan mesin tidak mengetahui mesin asal untuk mengembalikan ACK, akibatnya
mesin yang diserang disibukan dengan paket-paket data tersebut yang datangnya bertubi-tubi
dan banyak. Akibatnya user yang absah yang akan benar-benar memanfaatkan resources pada
server tersebut misalnya mail/ web menjadi tidak dapat dilayani karena mesin tersebut sedang
sibuk melayani paket-paket serangan tadi, makanya DoS sering disebut SYN FLOOD.
Gambar 2. mesin zombie menyerang server
Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services (DdoS), dimana DDoS
menggunakan banyak mesin zombie untuk menyerang server tujuan. Akibatnya tidak hanya
server tujuan menjadi down bahkan beberapa kasus provider / telco yang memberikan jasa
koneksi internet bagi server tersebut juga terkena imbasnya seperti gambar 4, hal ini
dikarenakan bandwidth serangan dari zombie akan menyebabkan bootleneck dari aliran
bandwidth ke server tujuan. Misalnya, sebuah mail / web server yang berada di server farm
sebuah perusahaan, dimana perusahaan ini menyewa pada sebuah ISP A. Bandwidth yang
disewa kepada ISP A adalah 512 kbps. Pada saat serangan datang dengan bandwidth misalnya
saja totalnya 200 mbps maka serangan tersebut tidak hanya mematikan server perusahaan
tersebut tapi juga akan mengganngu distribusi bandwidth di ISP A, apalagi jika ISP A
mempunyai bandwidth lebih kecil dari bandwidth serangan. Namun jika bandwidth serangan
lebih kecil dari bandwidth yang disewa ke ISP A atau total bandwidht ISP A lebih besar dari
serangan maka serangan tersebut dapat dengan mudah dilumpuhkan dengan mesin firewall.
Trend keamanan dan Serangan komputer| ver 1
4
Gambar 3. Serangan metode DDoS
Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar dan diatur untuk
menyerang secara serentak atau dalam jeda waktu tertentu. DdoS biasanya dilakukan oleh para
penyerang bukan amatiran karena penyerang mempunyai banyak mesin zombie yang tersebar
diseluruh dunia. Biasanya serangan model ini menyerang server-server pada perusahaan /
penyedia jasa yang besar, tercatat seperti Yahoo, e-bay, dan lain-lain telah pernah di DDoS
yang tentu saja efeknya mendunia dimana banyak para user yang tidak dapat masuk ke layanan
mereka.
Gambar 4. overload pada ISP pada serangan DDoS.
Trend keamanan dan Serangan komputer| ver 1
5
Metode penanganan DoS dan DDoS
Ada beberapa cara penanganan untuk serangan ini, seperti ;
1. Lihat ip source dan destination yang diserang, hal ini dilakukan untuk mengetahui ip
address dari penyerang dan yang diserang. Untuk melihat ip source dan destinationsnya
bisa dilakukan di server /router kita dengan memberikan command tertentu.
Contoh :
show log /var/tmp/sample | match 222.73.238.152
# Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152 33945 33903
# Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152 51457 33903
# Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152
# Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152 38455 33903
IP Destinations
IP Source
1315 33903
Port
2. Block IP address source & Port yang digunakan oleh penyerang dari mesin firewall /
router kita, pada saat serangan berlangsung pastilah terdapat ip address penyerang dan
port yang digunakan oleh penyerang seperti contoh diatas.
3. Block IP address source dari Firewall, contoh
iptables -I FORWARD -s
iptables -I FORWARD -s
222.73.238.152/32 -d 0/0 -j DROP
67.18.84.0/24 -d 0/0 -j DROP
Gambar 5. metode block port dan ip address di router / server
Trend keamanan dan Serangan komputer| ver 1
6
4. Kontak Provider untuk membantu block port dan ip source yang menyerang, makanya
kontak teknis provider harus diketahui dan sangat berguna jika kita sewaktu-waktu kita
membutuhkannya, kontak bisa berupa telpon langsung ke NOC/Admin atau bisa
dilakukan dengan chat dari YM.
5. Amati model serangan berikutnya, pengamatan ini dilakukan untuk melihat model
serangan berikutnya dan mungkin saja ip address lain dari sumber daya jaringan kita
6. Laporkan ke [email protected] pemilik IP address tersebut, jadi pada saat kita mengetahui
IP Address sumber serangan maka secepatnya mengirimkan abuse ke pemilik IP
tersebut agar bisa ditindaklanjuti lebih jauh. Untuk mengetahui pemilik IP address
tersebut bisa klik http://wq.apnic.net/apnic-bin/whois.pl dan masukan IP tersebut,
contoh :
% [whois.apnic.net node-1]
% Whois data copyright terms
http://www.apnic.net/db/dbcopyright.html
222.64.0.0 - 222.73.255.255
inetnum:
netname:
CHINANET-SH
descr:
CHINANET shanghai province network
descr:
China Telecom
descr:
No1,jin-rong Street
descr:
Beijing 100032
country:
CN
admin-c:
CH93-AP
tech-c:
XI5-AP
changed:
[email protected] 20031024
mnt-by:
APNIC-HM
mnt-lower:
MAINT-CHINANET-SH
mnt-routes:
MAINT-CHINANET-SH
status:
ALLOCATED PORTABLE
source:
APNIC
person:
Chinanet Hostmaster
nic-hdl:
CH93-AP
e-mail:
[email protected]
address:
No.31 ,jingrong street,beijing
address:
100032
phone:
+86-10-58501724
fax-no:
+86-10-58501724
country:
CN
changed:
[email protected] 20070416
mnt-by:
MAINT-CHINANET
source:
APNIC
person:
Wu Xiao Li
address:
Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country:
CN
phone:
+86-21-63630562
fax-no:
+86-21-63630566
e-mail:
[email protected]
Trend keamanan dan Serangan komputer| ver 1
7
7. Lakukan kerjasama dengan admin pemilik IP add penyerang dan lakukan cek dan ricek
sebelum membuat statement kalau memang IP Address tersebut adalah penyerangnya
karena bisa saja itu adalah mesin zombie.
8. Catat semua kejadian untuk menjadi pembahasan
untuk pembelajaran metode
serangan dan dokumentasi jika nanti diperlukan pada saat penyelesaian secara hukum.
9. Edukasi user untuk memperhatikan “etika” di internet, etika diinternet misalnya ;
•
Jangan pernah mendownload dari stus-situs yang tidak terpecaya
•
Jangan melakukan kegiatan hacking dan lainnya dari internal jaringan kita
•
Pada saat dikomunitas milist / forum jangan pernah memancing kemarahan
pihak lainnnya.
Kegiatan Port Scanning
Mencoba-coba untuk mengetahui port / layanan yang tersedia di server, dengan harapan sistem
akan menjawab request, dengan menggunakan tools script kiddies biasanya penyerang
melakukan scanning terlebih dahulu mesin tujuan, untuk mengetahui layanan apa saja yang
tersedia. Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna untuk mencari
celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan kita dengan harapan ada jawaban
dari dalam jaringan kita. Penangananya kita dapat menggunakan IDS yang akan dijelaskan nanti
dan catat dari log system serta Tutup / close layanan yang tidak digunakan
Gambar 6. port scanning yang dilakukan
Trend keamanan dan Serangan komputer| ver 1
8
Social Engineering
Metode serangan ini termasuk kategori non teknis karena ”serangannya” melalui penetrasi
secara sosial, metode ini Memanfaatkan human error karena erhubungan dengan psikologis
manusia, interaksi manusia & sifat dasar manusia, secara sosial manusia akan menjawab pada
saat ditanya oleh penanya apalagi dengan sikap dan atitude orang yang diajak bicara dengan
sopan secara alami kita akan merespon si penanya.
Cara ini biasanya untuk mendapatkan informasi (seperti password id) dari seseorang tanpa
melakukan penetrasi terhadap sistem komputer, Umumnya cara yang dilakukan tidak langsung
menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi
yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Biasanya kegiatan ini melakukan
seperti ;
•
Bertanya password ke pegawai via telp
•
Mencuri dari “kotak sampah”
•
Mencuri data/informasi dengan berpura-pura sebagai tamu, pegawai, atau inspektorat
•
Berlagak seperti “orang penting” dengan penetrasi orang
•
Menggunakan media telp, surat, email
Para penyusup yang menggunakan cara ini biasanya menggunakan beberapa langkah,
diantaranya ;
•
Information gathering, mengumpulkan sebanyak mungkin informasi awal
•
Development of relationship, melakukan pengenalan diri dan pendekatan secara pibadi
lewat telpon, chat, mail…
•
Exploitation of relationship, mencari informasi yang dibutukan, ex : password,
kekuatan server, jenis server, …
•
Execution to Archive Objective, pelaksanaan aksi
Ada beberapa contoh yang dapat penulis gambarkan tentang metode ini, jika kita analisa efek
dari social engineering sangat luar biasa karena mendapatkan informasi dengan cara yang
bukan teknis :
1. sebuah film yang berjudul ‘Take Down’ dimana film tersebut dibuat dari cerita asli tentang
pertempuran cyber antara hacker dan cracker yaitu Tsnomu Tsinomura dan Kevin mitnick.
Di film tersebut terlihat Kevin mitnick melakukan Social engineering untuk mendapatkan
informasi lewat menelpon korban, dengan suara yang menyakinkan dan dilator belakangi
dengan informasi yang cukup maka Kevin menelpon dan menanyakan beberapa informasi
awal untuk mendapatkan file atau informasi di mesin server korban.
Trend keamanan dan Serangan komputer| ver 1
9
2. seorang cracker ingin mencari informasi user name yang absah pada salah satu ISP (Internet
Service Providers), cracker akan mencoba menghubungi pihak customer service ISP tersebut
dan mengatakan bahwa ingin merubah password yang lama atau memberikan alasan bahwa
telah lupa password. Hal ini mungkin saja terjadi dan efektif dalam kasus-kasus tertentu,
contoh lainnya seorang mencari serpihan-serpihan informasi dari kotak sampah di sebuah
hotel berbintang, mencoba keberuntungan mencari nomer kartu kredit atau hal lainnya
yang berhubungan dengan informasi pengguna. Atau bekerja sama dengan pihak dalam
sendiri untuk mencuri informasi dari seorang user.
3. Acara promo CC disebuah mall, para sales dengan ramahnya memberikan penawaran dan
kemudahan CC dari sebuah bank baru yang menjanjikan. Aplikasi CC akan sangat cepat
diproses jika calon client mempunyai CC dari bank lain, tinggal di fotocopy beserta KTP dan
dalam 2 hari aplikasi CC dapat “approve”, dengan mudahnya kita memberikan salinan CC
dan KTP pada orang yang tidak kita kenal dan belum tentu “berhati bersih” bisa saja
salinan tadi digunakan untuk carder…
4. Contoh dibawah ini saya kutip dari majalah ebizzasia.com, yang menceritakan teknik social
engineering pada kasus sebuah bank. Teknik ini hanya bermodalkan penampilan yang
menarik, suara yang bersahabat, pujian, atau bisa juga dengan cara melakukan tekanan
agar lawan bicara menjadi panik dan menjadi irasional atau lupa terhadap prosedur yang
seharusnya dijalankan. Berikut ini contoh social engineering yang dilakukan dua orang,
katakanlah namanya Benny dan Lisa, untuk mendapatkan informasi PhoneID yang digunakan
untuk verifikasi transaksi perbankan melalui telephone.
Suatu hari, Benny dan Lisa sedang berada di suatu Bank XYZ, mengamati nasabah yang akan
mengajukan aplikasi layanan transaksi perbankan via telephone. Setelah melihat ada
seseorang yang akan mengajukan aplikasi tersebut, Beny turut mengantri di belakang lelaki
tersebut. Pada saat gilirannya, Benny mulai melancarkan aksinya dengan pertama-tama
memberikan sanjungan atas bros yang dipakai petugas bank tersebut dan sekaligus
mengingat nama yang tertulis dilencananya.
Selanjutnya Benny mengajukan beberapa pertanyaan berikut kepada customer service bank
tersebut:
Benny: Rasa-rasanya orang yang mengantri tadi adalah teman saya waktu di SMA .. tapi
saya ragu untuk menegur duluan, takut salah. Boleh tahu mbak, nama bapak tadi.
Lilis (petugas bank) : Oh ... tadi pak Darwin Sudarta.
Benny : Ah benar kan .. dia itu ketua OSIS, dulu teman baik saya .. kumisnya membuat
pangling. Sayang saya tidak menegur, padahal saya coba cari alamatnya ke teman-teman
yang lain tapi tidak ada yang tahu.
Benny : Mmm ... apakah si Darwin ada nomor handphonenya mbak ?
(Benny sengaja menggunakan kata si Darwin bukan pak Darwin supaya kelihatan memang
teman dekatnya).
Lilis : HPnya 0832 xxx (Dengan berpura pura Benny menekan nomor handphonenya dan
seolah olah berbicara dengan Darwin didepan Lilis sambil menunggu aplikasinya selesai
diperiksa.)
Trend keamanan dan Serangan komputer| ver 1
10
Sesaat kemudian dari telepon umum Lisa (teman Benny) menelpon Pak Darwin.
Lisa : Selamat siang Pak Darwin, saya Lilis petugas Bank XYZ yang menangani aplikasi bapak
tadi. Kelihatannya Bapak salah mengisikan tanggal lahir karena yang tercantum disini
adalah tanggal hari ini, dan saya juga mohon maaf karena tidak melakukan verifikasi
sebelumnya.
Darwin : Oh ya ? Ok tanggal lahir saya 17 Agustus 1965.
Lisa : Saya juga ingin memverifikasi data lainnya supaya tidak salah entry; nama bapak,
Darwin Sidarta ? (Lisa sengaja mengatakan Sidarta bukan Sudarta).
Darwin : Bukan Sidarta tapi Sudarta; Siera Uniform ...dan seterusnya
Lisa : Oh maaf pak .. boleh tolong dieja juga nama ibu kandung Bapak.
Darwin : Tanggo India ... dan seterusnya
Sampai tahap ini, Benny dan Lisa sudah dapat informasi yang cukup, hanya satu yang
kurang yaitu PhoneID. Tapi hal ini bukan kesulitan bagi mereka berdua, ke esokan harinya
Benny menelpon call center Bank XYZ berpura-pura sebagai Pak Darwin.
Petugas Bank (PB): Hallo Bank XYZ, ada yang dapat dibantu
Benny : Saya Darwin Sudarta, ada sedikit kesulitan untuk melakukan transaksi via
telephone karena lupa PhoneID dan kertas catatan PhoneID saya ada di laci kantor yang
terkunci sedangkan sekarang saya sedang di luar kota. Bisa minta tolong sebutkan nomor
PhoneID saya mbak ?
PB: Bisa, tetapi bapak harus datang ke kantor kami, atau dapat dikirim via pos
ke alamat yang tertulis pada lembar aplikasi.
Benny : Wah repot dong .. padahal saya akan seminggu di Banyuwangi dan perlu transaksi
sekarang. Tahu begini saya tidak menggunakan Bank XYZ karena Bank lain prosedurnya
gampang. Ngomong-ngomong saya bicara dengan siapa ? (Sengaja Benny membandingkan
dengan bank lain dan menanyakan nama petugas bank dengan nada sedikit tinggi).
PB : Mmm baik pak, apakah Bapak dapat memberikan informasi tanggal lahir dan nama Ibu
kandung Bapak ?
Benny : tanggal lahir saya ..
PB : PhoneID Bapak ..
Ping Of Death
Kegiatan yang mengirinkan ICMP dengan paket tertentu yang besar dengan harapan membuat
sistem akan crash, hang, reboot dan akhirnya DoS, tapi metode ini sangat gampang dicegah
dengan memasukan rules ICMP syn request di proxy/firewall/router. Misalnya rulesnya hanya
boleh melakukan ping ke subnet tertentu.
Java / Active X
Saat ini sejak berkembangnya Web 2.0 banyak sekali varian content yang beragam. Konsep
client-server yang digunakan di internet saat ini semakin beragam, penggunaan konsep clientserver ini juga yang banyak digunakan oleh para pembuat virus/trojan/cracker untuk masuk
dan melakukan penetrasi sistem. Komponen ActiveX yaitu executable program yang built-in
pada situs web, jadi jika masuk ke web site ini maka browser akan me-load halaman web ini
beserta built-in component-nya, dan menjalankannya pada komputer kita. Contoh real dari
client-server ini adalah Game online dari sites tidak terpecaya
Trend keamanan dan Serangan komputer| ver 1
11
Gambar 7. metode client-server melakukan koneksi ke server
Pada saat content sebuah web di load ke browser client, ada beberapa script yang di execute
disisi client. Script ini nantinya yang akan digunakan untuk dapat bertukar data data dengan
server misalnya saja kasus games-games online yang dibuat dengan flash script. Dimana script
di load sepenuhnya di client namun pada saat score/pergantian karakter dan sebagainya akan
diberikan dan diproses oleh server. Hal inilah yang memungkinkan sebuah malcode jahat bisa
mencuri informasi dari pc client dan diberikan ke server tujuan.
Gambar 8. Contoh popup untuk menjebak user
Sniffing Packet
Melakukan “mata-mata” paket data yang lewat pada jaringan lokal tertentu dalam satu
collision dan broadcast, biasanya untuk mendapatkan password. Metode ini Biasanya ditanam
pada server di NIC tertentu atau pada sebuah pc pada sebuah network. Serangan ini dapat
berhasil dengan baik jika jaringan kita menggunakan perangkat Hub.
Trend keamanan dan Serangan komputer| ver 1
12
Gambar 9. contoh penggunaan dsniff yang berguna capture paket data
Input Systems
Saat ini Web yang semakin beragam dan dinamis,trend ini menuju ke Content Web 2.0 yang
bersifat jejaring dan full interaksi antara pengunjung dan web tersebut. Sudah menjadi trend
dan menjadi hal yang biasa saat ini perusahaan/ institusi dan lain-lain mempunyai website dari
sekedar cuman menampilkan company profile sampai dengan system informasi yang berbasis
online, hal ini disebabkan karena Web yang bersifat cross platform yang dapat diakses dari
mana saja dengan perangkat apa aja asal menggunakan browser. Beberapa serangan yang
dapat dikategorikan sebagai Input Systems.
SQL Injections
suatu metode untuk memanfaatkan kelemahan pada mesin server SQLnya, misalnya
server yg menjalankan aplikasi tersebut. Hal ini dilakukan dengan mencoba
memasukkan suatu script untuk menampilkan halaman error di browser, dan biasanya
halaman error akan menampilkan paling tidak struktur dari hirarki server dan logika
program. Metode ini memasukan “karakter” query tertentu pada sebuah “text area”
Trend keamanan dan Serangan komputer| ver 1
13
atau di address browser dengan perintah-perintah dasar SQL seperti SELECT, WHERE,
CREATE, UPDATE, dan lain-lain.
Gambar 10. metode penggambaran request di web server
Ada beberapa metode yang digunakan penyerang untuk melakukan SQL Injection, dari
gambar diatas terlihat DB yang digunakan untuk menyimpan data. Biasanya digunakan
beberapa metode seperti 1-tier, 2-tier layer pengaksesan dari web server ke DB. Jadi
request dari client tidak akan langsung ke DB namun diterjemahkan oleh web server
dan diquerykan oleh web applications. Kelemahan yang biasanya dicoba adalah di
bagian web server dengan menyerang Daemon web servernya, Web Applications dengan
menginject bahasanya, dan DB yang digunakan (Oracle, Postgress, MySQL, SQL Server,
dan lain-lain).
Query-query yang sering diinjection, seperti ;
•
'anything' OR 'x'='x';
•
'x' AND email IS NULL; --';
•
'x' AND userid IS NULL; --';
•
'x' AND 1=(SELECT COUNT(*) FROM tabname); --';
•
[email protected]' AND passwd = 'hello123';
Trend keamanan dan Serangan komputer| ver 1
14
Cross site script (XSS)
Salah satu type lubang keamanan sistem yang biasa ditemukan di web based
applications dengan melakukan code injections dengan malicious web pengguna kepada
halaman web yang dilihat oleh user lainnya dimana memungkinkan penyerang untuk
mencuri cookies, menipu user dengan memberikan credentials mereka, memodifikasi
penampilan page, mengeksekusi seluruh sort dari malicious java-script code
RSS Feeds
Trend teknologi saat ini dalam dunia web 2.0 seperti RSS (Really Simple Syndication)
Sebuah format berbasis bahasa XML yang digunakan untuk sharing dan mendsitribusikan
content web ke web lain, seperti headlines. Dengan RSS Feeds ktia dapat melihat
berbagai sumber berita dari web yang kita gunakan langsung seperti headlines,
summaries hingga full storiesnya. Berita-berita bisa dikutip langsung dari web lain,
misalnya dari portal, web berita atau pages tertentu secara otomatis di halaman web
yang kita buat (metode dasar hyperlink/ linkupdate). Karena otomatis, berita / content
dapat diboncengi oleh trojan/ informasi lain
Trend keamanan dan Serangan komputer| ver 1
15
Gambar 11. Trend RSS Feeds
Google Adsense
Metode “iklan” yang sesuai dengan tema website yang dibuat tanpa harus melakukan
update yang Dilakukan secara online oleh google, dimana Google Adsense akan
mencocokan “iklan” dengan content dan kita akan mendapatkan uang pada saat
pengunjung menklik linknya
Trend keamanan dan Serangan komputer| ver 1
16
Trend keamanan dan Serangan komputer| ver 1
17
Gambar 12. Contoh Adsense
Buffer Overflow
Suatu metode penyerangan dengan memanfaatkan kesalahan / bug dari programming untuk
mengeksekusi dan menyisipkan code tertentu, biasanya terdapat pada aplikasi yang ditulis
dengan tidak baik atau versi percobaan. Melakukan “eksekusi” program dengan metode
berulang-ulang hingga sistem crash
Trend keamanan dan Serangan komputer| ver 1
18
Domain Redirect
Pada saat beli domain di domain registrations public, kita akan diberikan user n pass
• Membelotkan Domain ke alamat lain, dengan cara menyerang nameservernya atau
membuat DNS lain
• Menyerang mesin DNS dan membelokan nameserver
– Ns1.xxxx.com
– Ns2.xxxx.com
• Beberapa kasus hanya melakukan password crack untuk redirect domain ini
Gambar 13. Ilustrasi server DNS dunia (root DNS)
Trend keamanan dan Serangan komputer| ver 1
19
Gambar 14. Pendaftaran domain di PANDI
Trend keamanan dan Serangan komputer| ver 1
20
Gambar 15. Salah satu tampilan CP untuk mengatur Domain
DNS Poison
•
Melakukan injection pada DNS server / membuat DNS menjadi crash, hingga DNS
bingung
•
Metode dengan membuat / membeli nama domain yang identik
•
Metode membuat table routing DNS menjadi anomaly
Remote Login
•
Biasanya menyerang mesin FTP & SSH
•
Mencoba-coba password default
–
•
User : anonymous, pass : empty
Penanganan
–
Tutup daemon yang tidak diperlukan
–
Buat policy password
Web Spoofing
•
Web Spoofing
–
Membuat web lain yang “copy paste/ identik” dari web asli
–
Membeli domain yang yang hampir identik
–
•
•
Ex : klikbca.com (existing)
•
Lalu dibeli domain clikbca.com / clickbca.com / clickbca.net
Menangkap user dan password
Penanganan
Trend keamanan dan Serangan komputer| ver 1
21
–
–
Digital Certificate
•
Verisign, iTrust, …
•
CA (Certificate Authority)
https
Trend keamanan dan Serangan komputer| ver 1
22
Applications backdoor
Kalau kita cerna mengapa perusahaan sebesar microsoft membuat divisi khusus tentang
UPDATE/ FIX PROBLEM, jawabannya adalah software house sebesar Microsoft saja yang
mempunyai team khusus R&D yang handal masih mensisahkan bug/ problem/ anomaly dari
software-software yang mereka buat. Begitu juga di OS linux pasti distro-distro membuat
update-update untuk kernelnya.
Baik dari Sistem Operasi, Office, dan aplikasi lainnya begitupun beberapa Aplikasi s/w dengan
based OS apapun yang ada dipasaran mempunyai backdoor / vurnerability yang dapat dijadikan
backdoor. Para pembuat script tersebut pastilah tidak dapat sepenuhnya membuat secara
sempurna software mereka, hal inilah yang dijadikan oleh para penyerang untuk melakukan
serangan. Kebanyakan serangan dengan memanfaatkan celah ini adalah kesalahan-kesalahan
logika pemrograman atau aplikasi-aplikasi yang uncompatible dengan aplikasi lainnya yang jika
melakukan eksekusi tertentu menyebabkan / menghasilkan suatu proses tertentu.
Makanya beberapa vendor software menyiapkan service pack / update patch di web mereka
untuk mencegah atau menangani permasalahan ini, celah / vurnerability biasanya ditemukan
setelah produk tersebut dilauncing kepasar dan dicoba oleh banyak user atau ditemukan kasuskasus penyerangan yang masuk dari aplikasi tersebut.
Beberapa celah yang dimanfaatkan penyerang dari bug software, seperti ;
• System
– Webserver (apache, IIS)
– database server (MsSQL, Postgress, Oracle,…)
– Web based Language (PHP, ASP, JSP, …)
• Spreadsheet, download manager, P2P, …
• CMS systems vurnerability
Trend keamanan dan Serangan komputer| ver 1
23
SMTP Session Hijacking
• Simple Mail Transfer Protocol, metode untuk merebut daftar mail yang digunakan untuk
mengirimkan junk mail ke ratusan/ jutaan mail account lainnya, atau keperluan social
engineering
• Mengelabui dengan membuat email terkirim dari server yang telah di hijack
Email Bombs
Dahulu metode ini banyak ditemukan jika menggunakan daemon tertentu atau OS tertentu
untuk membuat mail server. Ilustrasinya, seseorang dapat mengirimkan banyak mail ke sebuah
account yang valid pada sebuah mail server, dimana satu mail yang dikirim mempunyai
attachment file misalnya saja 2 mega yang melebihi quotanya. Bayangkan saja satu file di
download dari account mail kita dengan menggunakan koneksi dial-up. Belum lagi kemampuan
dari daemon mail tersebut mempunyai banyak bug misalnya akan hang/crash disaat ada
account yang dikirimi secara serentak, apalagi dilakukan secara terus-menerus, serentak dan
bersamaan hingga server crash & down
Saat ini serangan ini dapat dicegah dengan membuat rules di firewall/Proxy / router kita
•
Atur di firewall paket data yang boleh masuk ke jaringan DMZ (mail server berada di
DMZ)
•
Drop jika ada paket data yang mencoba mengirim ke mail server melebihi nilai paket
tertentu
Password default
Keamanan yang paling mudah digunakan adalah authentikasi yang menggunakan user dan
password. Banyak sekali ditemukan para admin atau web master menggunakan user dan
password standar atau tidak dirubah sama sekali, dimana user dan password tersebut masih
menggunakan default dari vendor pembuatnya. Baik password default untuk di perangkat
jaringan atau password default untuk di aplikasi webbased. Sebut saja solusi Content
Management Systems (CMS) seperti pembanguan sebuah web/portal dengan solusi CMS ini,
penulis perhatikan banyak sekali masih menggunakan user dan password default dari
mamboo/joomla/drupal/Aura/ dan lain-lain.
Password default
–
•
Terutama web yang dibangun dengan CMS
Penanganan
–
Atur direktori administrator
Trend keamanan dan Serangan komputer| ver 1
24
–
Buat policy tentang password
–
Update pacth CMS yang digunakan
User n pass perangkat
Router, linksys, 3com, dsb
Trend keamanan dan Serangan komputer| ver 1
25
Fly UP