BAB 1 PENDAHULUAN 1.1
Latar Belakang Dalam beberapa tahun terakhir ini telah terjadi serangan malware yang
cukup mengganggu komunitas dunia TIK. Trend keamanan sekarang ini telah berubah dari serangan oleh perseorangan (hacker) menjadi espionage dari sebuah negara (cyberwar). Ditemukan bukti dari catatan serangan malware terhadap sistem komputer di dunia,bahwa malware dapat memberikan dampak yang lebih besar dalam segi kerugian material dan non-material (Skoudis dan Zeltser, 2004). Malicious software (malware) merupakan program komputer yang diciptakan dengan tujuan mencari kelemahan atau bahkan merusak software atau sistem operasi komputer. Malware dalam bentuk virus, worm, dan trojan horses merupakan ancaman utama bagi keamanan sistem jaringan computer (Skoudis dan Zeltser, 2004). Penelitian serangan malware ini dari host penyerang ke host target, dan mencoba mengetahui informasi malware dari wireshark kemudian memberikan solusi untuk memproleh keamanan dalam jaringan. Umumnya, malware memiliki ukuran yang relatif kecil, tetapi dengan akibat yang besar, seperti pencurian dan penghapusan data.
Pertumbuhan
malware berlangsung sangat cepat. Menurut laporan “The State of Malware 2013” dari McAfee, ada 100.000 sampel malware baru per harinya atau 69 malware setiap menitnya (McAfee, 2013).
1
Di sisi anti-virus, pertumbuhan malware yang sangat cepat ini berdampak pada semakin besarnya ukuran database signature. Database signature merupakan basis data yang digunakan anti-virus yang berisi penanda malware. yang telah diketahui; database ini digunakan untuk memeriksa file lain dengan dilakukan pembandingan signature file-nya apakah sama dengan signature yang ada di database. Signature suatu file umumnya berupa nilai hash yang merupakan nilai unik yang merepresentasikan data dalam filetersebut. Nilai hash dihasilkan oleh suatu Cryptographic Hash Function, seperti MD5, SHA-1, dan SHA256. Masing-masing hash function memiliki algoritma yang berbeda-beda sehingga nilai hashdan panjang karakter nilai hash yang dihasilkan berbeda-beda untuk file yang sama. Setiap satu malware memiliki atau dapat dikenali dengan satu signature yang unik (Nurjadi, 2013). Contohnya, untuk mengenali dua juta malware dibutuhkan dua juta signature dan jika ada 100.000 sampel malware baru per harinya (McAfee, 2013), maka dalam waktu sepuluh hari jumlah signature akan mencapai tiga juta. Diasumsikan tiga juta signaturetersebut menggunakan MD5 (bila dikonversi ke dalam string, panjanghash-nya 32 byte), maka ukuran yang diperlukan sekitar 32 x 3.000.000 = 92 Mbytes (Nurjadi, 2013). SMK Muhammadiyah 2 Palembang merupakan salah satu SMK swasta di Kota Palembang yang memiliki Jurusan Teknik Komputer dan Jaringan (TKJ) di Kota Palembang. Di dalam mendukung proses belajar-mengajar di Jurusan TKJ, SMK Muhammadiyah 2 Palembang memiliki laboratorium komputer yang komputer-komputernya terhubung satu sama lain yang membentuk jaringan
5
komputer dan terhubung ke Internet di dalam memenuhi fasilitas dan kebutuhan belajar komputer di Jurusan TKJ. Gangguan malware terhadap komputer dalam jaringan SMK Muhammadiyah 2 Palembang dapat mengganggu aktivitas belajarmengajar di SMK tersebut. Berdasarkan latar belakang di atas, maka dalam penelitian ini penulis tertarik untuk menyusun skripsi dengan judul “Analisis Serangan Malware Menggunakan Wireshark Pada Jaringan Komputer SMK Muhammadiyah 2 Palembang”.
1.2.
Rumusan Masalah Berdasarkan latar belakang yang telah diuraikan di atas, maka perumusan
masalahnya
adalah:
“bagaimana
melakukan
analisis
serangan
malware
menggunakan Wireshark pada jaringan komputer SMK Muhammadiyah 2 Palembang?”.
1.3.
Batasan Masalah Dari permasalahan di atas, batasan-batasan atau ruang lingkup
permasalahan yang akan ditangani yaitu: 1.
Mengidentifikasi alamat IP penyerang.
2.
Mengidentikasi serangan dilakukan oleh manusia atau malware.
3.
Menganalisis paket data dengan menggunakan perangkat lunak Wireshark.
6
1.4.
Tujuan dan Manfaat Penelitian
1.4.1. Tujuan Penelitian Tujuan dari penelitian ini adalah melakukan analisis serangan malware menggunakan Wireshark pada jaringan komputer SMK Muhammadiyah 2 Palembang. 1.4.2. Manfaat Penelitian Manfaat-manfaat yang diharapkan didapat dari penelitian ini adalah: 1.
Untuk lingkungan akademik Program Studi Informatika, Fakultas Ilmu Komputer, Universitas Bina Darma Palembang menambah kajian mengenai analisis serangan malware dan penggunaan perangkat lunak Wireshark.
2.
Membantu SMK Muhammadiyah 2 Palembang mengamankan jaringan komputernya dari gangguan serangan malware.
3.
Bagi penulis dapat menerapkan dan mengembangkan ilmu-ilmu yang didapat selama mengenyam pendidikan di Program Studi Informatika, Fakultas Ilmu Komputer, Universitas Bina Darma Palembang, serta memperluas wawasan dan pengetahuan.
1.5
Sistematika Penulisan Sistematika penulisan skripsi ini dimaksudkan agar dapat menjadi
pedoman atau garis besar penulisan laporan penelitian ini dan dapat menggambarkan secara jelas isi dari laporan penelitian sehingga terlihat hubungan antara bab awal hingga bab terakhir. Sistem penulisan laporan penelitian ini terdiri atas:
7
BAB I PENDAHULUAN Pada bab ini dibahas tentang latar belakang, perumusan masalah, batasan masalah, tujuan dan manfaat penelitian, metode penelitian yang digunakan, dan sistematika penulisan. BAB II TINJAUAN PUSTAKA Bab II ini berisi landasan teori, yaitu teori–teori umum dan khusus yang mendukung penulisan skripsi ini. Hal-hal yang tercakup di dalamnya adalah pembahasan mengenai malwaredan jenis-jenis malware, analisis malware, pengertian jaringan komputer, dan hasil penelitaian sebelumnya. BAB III METODE PENELITIAN Pada bab ini membahas tentang analisis dan penggunaan software wireshark untuk mengatasi serangan malware di SMK Muhammadiayah 2 palembang. BAB IV HASIL DAN PEMBAHASAN Bab ini berisi hasil dan pembahasan mengenai penerapan penggunaan wireshark untuk mengatasi serangan malware di SMK Muhammadiayah 2 palembang. BAB V KESIMPULAN DAN SARAN Bab ini berisi kesimpulan-kesimpulan yang didapat dari hasil penelitian dan saran-saran untuk perbaikan/pengembangan selanjutnya dari hasil penelitian ini.
8
BAB II TINJAUAN PUSTAKA 2.1.
Landasan Teori
2.1.1. Mengenal Malware Malicious software atau sering disebut dengan malware merupakan suatu program yang bertujuan untuk merusak, mengambil atau mengubah data-data yang dimiliki orang lain dengan tujuan tertentu, agar informasi-informasi yang didapat dimanfaatkan untuk kejahatan (Arifianto, 2009:1). Malware memiliki beberapa klasifikasi umum, contohnya seperti : Virus, Worm, dan Trojan. Sedangkan jenis lainnya seperti : Backdoor, Adware, Keylogger dan lain-lainnya, masuk ke dalam sub jenis dari Virus, Worm dan Trojan. Pada awal kemunculan malware (Virus, Worm, dan Trojan) dalam jaringan telah berevolusi melalui serangkaian inovasi yang berkelanjutan, sehingga menyebabkan penyebaran semakin luas. 2.1.1.1. Virus Virus pada umumnya merupakan program biasa saja, namun memiliki perbedaan tujuan dengan program lainnya. Virus sengaja diciptakan dengan tujuan untuk merusak sistem komputer milik orang lain, biasanya penciptanya hanya mementingkan popularitas semata. Selain memiliki kemampuan untuk menyebabkan gangguan maupun kerusakan, virus juga memiliki kemampuan dasar, seperti : 9
10
1.
Kemampuan untuk menambah jumlah dirinya, yaitu kemampuan untuk menduplikasi jumlah dirinya, sehingga menambah jumlah penyebarannya.
2.
Kemampuan untuk menyembunyikan diri, yaitu kemampuan untuk tidak terlalu dicurigai oleh korban, sehingga korban tidak sadar, jika sistem komputer yang dimilikinya telah terinfeksi oleh virus.
3.
Kemampuan untuk memanipulasi diri, yaitu dengan cara mengubah sistem dari keadaan normal, sehingga virus dapat menjadi sesuai dengan tujuan penciptanya. Dari awal terciptanya virus, biasanya virus hanya menyerang file
berekstensi .COM dan .EXE. Namun, mengikuti perkembangan yang ada, belakangan ini telah tercipta virus yang dapat menginfeksi boot sector. Sekali media penyimpanan ini dilakukan untuk booting, maka virus pun akan menyebar ke seluruh bagian memori dan siap menginfeksi media penyimpanan lainnya. Kebanyakan dari virus saat ini menginfeksi dan melakukan pemblokiran terhadap Task Manager dan Registry Editor. Task Manager dan Registry Editor dimanfaatkan oleh virus induk sebagai tempat untuk melindungi diri agar tidak terdeteksi oleh korban dari virus tersebut. (Resha, 2007) Dalam pembuatan virus dibedakan menjadi dua tingkatan bahasa pemrograman, yaitu low-level dan high-level. Bahasa pemrograman yang termasuk ke dalam tingkatan low-level, yaitu bahasa mesin dan assembler, sedangkan tingkatan highlevel, yaitu : Pascal, Visual Basic, Delphi, dan lain-lain.
11
2.1.1.2. Worm Worm atau cacing komputer merupakan suatu program yang dapat menggandakan dirinya sendiri pada sistem komputer. Berbeda dengan virus, worm tidak memerlukan induk inang sebagai media untuk dapat diinfeksinya. Worm dapat menggandakan diri dan menyebarluaskan infeksinya dengan memanfaatkan celah keamanan jaringan komputer (LAN/WAN/internet). Worm memiliki kemampuan yang lebih baik daripada virus, selain dapat menggandakan dirinya melalui celah jaringan, worm juga dapat mencuri data/dokumen, email, bahkan worm dapat merusak ataupun membuat file yang diinfeksinya menjadi tidak dapat digunakan lagi.
2.1.1.3. Trojan Istilah Trojan Horse (kuda Troya) diilhami oleh para hacker dari mitologi Yunani, dimana dalam peperangan tersebut terjadi antara kerajaan Yunani melawan kerajaan Troya. Pasukan Yunani telah mengepung kerajaan Troya selama
10 tahun lebih, namun karena pasukan Troya cukup tangguh maka
pasukan Yunani sangat sulit untuk mengalahkannya. Kemudian, pasukan Yunani membuat strategi dengan
membuat
kuda Troya sebagai
siasat
untuk
mengelabui pasukan Troya. Kuda Troya tersebut telah disisipi pasukan Yunani yang dapat menghancurkan kerajaan Troya, setelah kuda Troyan tersebut masuk kedalam kerajaan Troya. Akhirnya, pasukan Yunani dapat mengalahkan kerajaan Troya yang
sulit
untuk dikalahkan. Strategi penyerangan inilah yang pada
akhirnya diadaptasi oleh para hacker.
12
Trojan pada dasarnya menyerang dengan memanfaatkan celah dari TCP/IP, namun beberapa Trojan juga telah dapat menggunakan UDP. Trojan dapat menyembunyikan dirinya ketika telah menyusupi komputer korban, kemudian mulai “memantau” di beberapa port untuk melakukan koneksi dan memodifikasi registry. Selain itu, Trojan dapat menggunakan
melakukannya
dengan
metode autostarting. Hal ini dilakukan agar Trojan dapat
mengetahui IP address korban, sehingga hacker dapat terhubung ke komputer korban. Sebagian besar Trojan menggunakan
metode autostarting untuk
melancarkan serangannya, yaitu Trojan akan secara otomatis menyerang ketika sistem operasi komputer dijalankan. Beberapa celah pada file sistem yang dapat dimanfaatkan oleh Trojan adalah sebagai berikut : 1. Autostart Folder File sistem ini berada di lokasi “C:\Windows\Start Menu\Programs\Startup”, kemudian Trojan akan otomatis aktif di file sistem tersebut. 2. Win.Ini File sistem Windows menggunakan “load=Trojan.exe” dan “run=Trojan.exe” untuk menjalankan Trojan. 3. System.Ini System.Ini menjalankan “shell=explorer.exe”, kemudian dengan “Trojan.exe”.
Hal
menjalankan “explorer.exe”.
ini
yang
menggantinya
menyebabkan Trojan aktif
ketika
13
4. Wininit.Ini File sistem ini jika dijalankan akan menjadi auto-delete, sehingga Trojan akan semakin sulit untuk terdeteksi. 5. Winstart.Bat Trojan bertindak layaknya batch file yang normal, sehingga Trojan dapat menyembunyikan dirinya dari korban. 6. Autoexec.Bat File sistem ini digunakan Trojan untuk memanfaatkan file auto-starting DOS (Disk Operating System). 7. Explorer Start Explorer digunakan Trojan yang akan aktif, jika Startup dijalankan. Selain
memanfaatkan
celah
dari file sistem, Trojan juga
sering
memanfaatkan celah dari registry. Registry yang sering dimanfaatkan oleh Trojan, antara lain: 1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 2. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 3. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices] 4. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce]
5. Registry Shell Open a. [HKEY_CLASSES_ROOT\exefile\shell\open\command] b. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command c. ActiveX
Component
[HKEY_LOCAL_MACHINE\Software\Microsoft
\ActiveSetup \ InstalledComponents\KeyName]
14
Menurut Fred Cohen sebagai penemu virus modern pertama pada tahun 1983, secara
umum virus komputer
adalah
satu
set
instruksi
yang
mengandung setidaknya dua subroutine yang melekat atau berada di dalam suatu program atau file host. 1.
Subroutine pertama. Virus melakukan infeksi dengan mencari program lain dan melampirkan atau menimpa salinan instruksi virus atau file program - program tersebut. Cara seperti ini biasanya disebut sebagai metode “propagasi infeksi” atau “infeksi vector”.
2.
Subroutine kedua. Virus membawa “muatan” yang menentukan tindakan yang akan dijalankan pada host yang terinfeksi. Secara teoritis, virus dapat menyebabkan apa saja, misalnya penghapusan data, instalasi backdoors atau DOS (Denial of Service) agen, atau serangan terhadap perangkat lunak anti-virus.
3.
Subroutine opsional ketiga. Virus juga dapat menjadi “pemicu” yang memutuskan kapan harus memberikan payload. (Prayitno, 2010)
2.1.2. Analisis Malware Menurut Richardus Eko Indrajit selaku ketua dari Lembaga Indonesia Security Incident Response
Team On Internet Infrastructure (IDSIRTII)
periode
bahwa
2010, mengatakan
secara
umum
terdapat empat jenis
15
pendekatan untuk mendeteksi apakah program tersebut merupakan klasifikasi jenis malware atau bukan. Keempat pendekatan tersebut antara lain : 1.
Surface Analysis Program hanya dianalisis dengan mendeteksi sekilas mengenai ciri - ciri khas yang terdapat pada program, tanpa harus mengeksekusinya. Analisis ini memiliki ciri - ciri sebagai berikut : a. Program yang dikaji hanya dilihat pada bagian luarnya saja, dari sini akan ditemukan hal - hal yang patut untuk dicurigai karena memiliki perbedaan dengan ciri khas program lainnya. b. Peneliti tidak mengkaji mengenai struktur algoritma yang dimiliki oleh program.
2.
Runtime Analysis Pada dasarnya ada kesamaan antara runtime analysis dengan surface analysis, yaitu keduanya sama-sama berasal dalam mempelajari ciri - ciri khas yang selayaknya ada pada sebuah program yang normal. Model analysis ini menghasilkan kajian yang lebih mendalam lagi daripada analysis surface, dengan cara mengeksekusi malware, sehingga “skenario jahat” yang dihasilkan malware dapat terdeteksi.
3.
Static Analysis Dari ketiga metode yang ada, static analysis merupakan model pengkajian yang paling sulit untuk dilakukan, karena analisisnya menggunakan “white box” atau proses melihat dan mempelajari isi serta algoritma malware tersebut, sekaligus menjalankan/mengeksekusinya.
16
4.
Dynamic Analysis Pada proses ini, malware yang tertangkap dikirim ke Laboratorium Malware yang terpercaya dan handal dalam bidang analisis malware, salah satunya adalah Anubis. Anubis merupakan penyedia layanan dalam menganalisis malware secara akurat, sehingga jenis dan pola penyerangan malware dapat segera diketahui hasilnya. Anubis merupakan sistem layanan analisis malware yang dibangun oleh Vienna of University, dengan pengawasan dari organisasi CERT (Computer Emergency Response Team). (Indrajit, 2010) Berikut merupakan arsitektur dari penyedia layanan analisis malware
Anubis :
Gambar 2.1 :
Proses Dynamic Analysis Menggunakan Situs Anubis (Indrajit, 2010)
17
Sebelum mengenal static analysis, analisis dilakukan pada bagian eksternal malware saja, sehingga tidak memberikan informasi yang cukup pada biner programnya. Padahal binernya yang dimanfatkan debugger dalam menganalisis malware, dapat memberikan informasi yang terdapat pada malware.
Gambar 2.2 :
Alur Analisis Malware Menggunakan Surface Analysis (Indrajit, 2010)
Proses static
analysis mengandalkan disassambler untuk
memahami
struktur dasar pada sebuah program, dan diteruskan oleh debugger untuk mempelajari alur kerja program untuk melihat isi memori runtime-nya.
18
Gambar 2.3 :
Proses RE Disassambler (Indrajit, 2010)
Gambar 2.4 :
Proses RE Debugger (Indrajit, 2010)
Ollydbg merupakan salah satu disassembler yang dapat digunakan untuk menguraikan isi kode dari suatu malware dengan bahasa pemrograman assembly. Karena assembly adalah bahasa pemrograman tingkat rendah, maka sulit sekali dalam memahami alur kode malware. Selain Ollydbg masih terdapat beberapa aplikasi yang dibutuhkan dalam melakukan analisis, seperti :
19
SysAnalyzer, CFF Explorer, PE Explorer, Procmon dan masih banyak lainnya (Zeltser,2001) Pendekatan dinamis dalam menganalisis malware terjadi selama proses runtime. Meskipun pendekatan dinamis tidak lengkap dalam cangkupan mengenai kode yang dimiliki oleh malware, namun pendekatan dinamis dapat digunakan
untuk mengetahui
celah-celah register yang
digunakan
oleh
malware. Sedangkan, pendekatan statis dilakukan untuk menganalisis kodekode berbahaya yang dimiliki oleh malware. Pendekatan ini dilakukan dengan mempelajari biner yang kemudian diekstrak kembali dalam fragmen pengkodean. (Vasudevan, 2007)
2.1.3. Mengenal Wireshark Wireshark adalah digunakan untuk
suatu
open-source
packet
analyzer yang
troubleshooting network, analisis, serta
biasa
communication
protocol development. Wireshark mengizinkan pengguna untuk melihat lalu lintas paket data pada suatu jaringan dengan network interface controller, baik satu jalur ataupun
broadcast dan multicast.
Wireshark merupakan
suatu
software yang mengerti struktur dari banyak protokol yang berbeda. Karena Wireshark menggunakan pcap untuk menangkap paket data, Wireshark hanya dapat menangkap paket data dari network yang didukung pcap. Umumnya Wireshark digunakan oleh administrator jaringan komputer untuk memecahkan masalah jaringan, memeriksa masalah keamanan jaringan, dan sebagian pengembang untuk debug implementasi protokol jaringan dan belajar
20
internal protokol
jaringan.
Hal
ini
lebih
mudah
dilakukan
dan
diimplementasikan pada jaringan local. Hasil yang ditangkap oleh Wireshark dapat digunakan sebagai perbandingan antar jaringan. Sebelum
melakukan
pengambilan
paket,
perlu
diketahui
mode
pengambilan data yang dapat digunakan 1.
Menggunakan Hub: Pada mode ini pengguna dapat membatasi target device dan sistem penganalisis pada network segment yang sama dengan menghubungkan mereka langsung ke hub.
2.
Dengan Port Mirrorring: Mode ini dilakukan dengan menduplikasi traffic antara satu port switch atau lebih dan di’mirror’kan ke port yang diinginkan.
3.
ARP cache Poisoning: Menerjemahkan alamat layer 2 melalui protokol layer 3 pada ARP. Ini juga dikenal dengan ARP spoofing, yang mana proses ini mengirim ARP
messages ke Ethernet atau router dengan MAC
addresspalsu untuk mengganggu lintas data dari komputer lain. (Kaur & Saluja, 2014). Selain untuk analisis masalah pada jaringan, Wireshark juga dapat digunakan untuk melakukan
monitoring
dan
mengawasi
aktivitas
yang
sedang terjadi pada suatu jaringan. Wireshark dapat melihat elemen autentikasi seperti username dan password pada jaringan yang data-data informasinya belum terenkapsulasi dengan baik sehingga bisa jadi cukup berbahaya bila digunakan oleh orang-orang yang bermaksud untuk penting
untuk
melakukan
hal
negatif
mengambil
informasi
dengan memanfaatkan
data-data
21
tersebut. Meski demikian, hal ini juga dapat membantu orang-orang yang melakukan troubleshooting dan monitoring jaringan untuk mengetahui siapa saja yang sedang menggunakan jaringan tersebut dan aktivitas apa saja yang sedang dilakukan pada jaringan tersebut sehingga dapat dengan mudah mengetahui jika terjadi penyebaran atau pengambilan informasi ilegal. Dapat juga diketahui apakah data-data yang dikirim dimaksudkan untuk menyerang dan atau mengganggu jaringan sehingga dapat meminimalisir hal-hal buruk yang kemungkinan bisa terjadi pada suatu jaringan. 2.1.4. Pengertian Jaringan Komputer Jaringan komputer (computer network) adalah kumpulan dua atau lebih komputer yang masing-masing berdiri sendiri dan terhubung melalui sebuah teknologi. Hubungan antar komputer tersebut tidak terbatas berupa kabel tembaga saja, namun bisa juga melalui fiber optic, gelombang microwave, infrared, bahkan melalui satelit (Tanenbaum, 2003: 10). Pada dasarnya tujuan dari pembuatan jaringan adalah untuk : 1.
Dapat menghemat hardware seperti berbagi pemakaian printerdan CPU.
2.
Melakukan komunikasi, contohnya surat elektronik, instant messaging, chatting, dan sebagainya.
3.
Mendapatkan akses informasi dengan cepat, contohnya web browsing.
4.
Melakukan sharing data. Berdasarkan tipe transmisinya, network dibagi menjadi dua bagian besar
yaitu broadcast dan point-to-point. Dalam broadcast network, komunikasi terjadi dalam sebuah saluran komunikasi yang digunakan secara bersama-sama, dimana
22
data berupa paket yang dikirimkan dari sebuah komputer akan disampaikan ke tiap komputer yang ada dalam jaringan tersebut. Paket data hanya akan diproses oleh komputer tujuan dan akan dibuang oleh komputer yang bukan tujuan paket tersebut. Sedangkan pada point-to-point network, komunikasi data terjadi melalui beberapa koneksi antar sepasang komputer, sehingga untuk mencapai tujuannya sebuah paket mungkin harus melalui beberapa komputer terlebih dahulu. Oleh karena itu, dalam tipe jaringan ini, pemilihan rute yang baik menentukan bagus tidaknya koneksi data yang berlangsung. 2.1.4.1. Local Area Network (LAN) Local Area Network (LAN) adalah sebuah jaringan komputer yang jaringannya hanya mencakup wilayah kecil seperti jaringan komputer kampus, gedung, kantor, dalam rumah, sekolah atau yang lebih kecil. Biasanya LAN menggunakan teknologi IEEE 802.3 yang mempunyai kecepatan transfer 10, 100, 1000 Mbit/s. Pada sebuah LAN, setiap komputer mempunyai daya komputasi sendiri, berbeda dengan konsep dump terminal. Setiap komputer juga dapat mengakses sumber daya yang ada di LAN sesuai dengan hak akses yang telah diatur. Sumber daya tersebut dapat berupa data atau perangkat seperti printer. Pada LAN, seorang pengguna juga dapat berkomunikasi dengan pengguna yang lain dengan menggunakan aplikasi yang sesuai. Beberapa teknologi yang digunakan dalam LAN antara lain : 1.
Ethernet
2.
Token Ring
23
3.
FDDI
2.1.4.2. Wide Area Network (WAN) Wide Area Network (WAN) adalah jaringan komputer yang merupakan gabungan beberapa LAN. WAN dapat memberikan akses kepada komputer, printer ataupun device yang lain untuk saling berkomunikasi dan melakukan sharing sehingga untuk berkomunikasi dapat dilakukan tanpa mengenal jarak. Wide Area Network dirancang untuk : 1.
Menghubungkan antar jaringan pada skala geografisyang besar.
2.
Membuat userdapat melakukan komunikasi dengan user yang lain tanpa mengenal jarak.
3.
Mendukung email, internet, file transfer, dan service e-commerce. Untuk merancang sebuah Wide Area Network maka diperlukan beberapa
device maupun protocol. Biasanya jenis protocol yang digunakan dalam Wide Area Network antara lain : 1.
Multi Protocol Layer Switching (MPLS)
2.
Integrated Services Digital Network (ISDN)
3.
Digital subscriber line (DSL)
4.
Frame Relay
5.
X.25 Dan device yang biasa digunakan antara lain router, communication
server, modem CSU/DSU, dan frame relay switch.
24
2.1.4.3. Metropolitan Area Network (MAN) Metropolitan Area Network (MAN) adalah jaringan komputer yang merupakan gabungan beberapa LAN di satu wilayah geografis. MAN biasanya dibuat jika jaringan LAN tersebut hanyaberada dalam satu wilayah saja. Penggunaan devicedan protocolnya hampir sama dengan WAN.
2.1.4.4. Virtual Private Network ( VPN ) Menurut Stallings (2003) Virtual Private Network (VPN) adalah sebuah jaringan private yang dibuat di jaringan public dengan menggunakan internet sebagai media komunikasinya. VPN menggunakan proses tunneling yang meliputi authentication, encapsulation, dan encryption yang sangat berperan penting dalam terbentuknya solusi komunikasi VPN yang aman. Jenis Implementasi VPN 1. Remote Access VPN Remote access yang biasa juga disebut Virtual Private Dialup Network (VPDN), menghubungkan antara pengguna yang mobile dengan Local Area Network (LAN). Jenis VPN ini digunakan oleh pegawai perusahaan yang ingin terhubung ke jaringan khusus perusahaannya dari berbagai lokasi yang jauh (remote) dari perusahaannya. 1. Home user atau mobile user yang telah terkoneksi ke internet melakukan dial ke VPN gateway perusahaan. 2. User di-authenticate, dan akses diizinkan.
25
3. VPN gateway akan memberikan sebuah IP private dari perusahaan kepada home user tersebut, agar seolah-olah user tersebut berada di dalam jaringannya. Selain daripada itu, remote access VPN dapat digunakan untuk menghubungkan dua buah jaringan yang berbeda. 2. Site-to-Site VPN Site-to-site VPN disebut juga sebagai gateway-to-gateway atau router-torouter. Implementasi jenis ini menghubungkan antara dua kantor atau lebih yang letaknya berjauhan, baik kantor yang dimiliki perusahaan itu sendiri maupun kantor perusahaan mitra kerjanya. 1. Extranet VPN Extranet VPN digunakan untuk menghubungkan suatu perusahaan dengan perusahaan lain (contohnya mitra kerja, supplier atau pelanggan). 2. Intranet VPN Intranet VPN digunakan untuk menghubungkan kantor pusat dengan kantor cabang.
2.2.
Hasil Penelitian Sebelumnya Basilius Yance Pramono (2015) melakukan penelitian dengan judul
"Analisis Serangan Malware menggunakan Wireshark pada Simulasi Jaringan di Mininet". Dari hasil penelitiannya didapatkan hasil sebagai berikut: 1.
Pemasangan
firewall
pada
komputer
target berhasil
mengantisipasi
serangan malware dari komputer penyerang dengan memblok port yang
26
digunakan contohnya port 4444. Pada kondisi normal user hanya menggunakan port 80 untuk mengakses web. 2.
Analisis menggunakan Wireshark analyzer tool berhasil melihat traffic data dan protokol yang dibawa oleh malware.
3.
Penggunaan anti-virus yang terupdate juga sangat penting
untuk
meminimalisir virus yang disebarkan oleh pengguna internet yang tidak bertanggung jawab. Heru Ari Nugroho dan Yudi Prayudi (2015) melakukan penelitian dengan judul "Penggunaan Teknik Reverse Engineering Pada Malware Analysis Untuk Identifikasi Serangan Malware". Dari penelitian mereka didapatkan hasil: 1.
Proses
klasifikasi
atau
pengidentifikasian malware
dapat
dilakukan
dengan terlebih dahulu melakukan upload sample malware kedalam sistem repository malware. 2.
Proses reverse engineering malware dapat dilakukan dengan standar prosedur
sebagai berikut : Mendefinisikan malware, menentukan goal
malware analisis, menentukan MAER (malware analysis environment and requirement), mengidentifikasi malware untuk mendapatkan identitas dari malware. Identifikasi dapat dilakukan dengan mengetahui md5 dari sample malware, pencarian string yang ada didalam malware, dan linked libraries dari malware. Setelah semua tahap yang sebelumnya dilakukan maka tahap selanjutnya adalah memonitoring setiap gerakan malware untuk mendapatkan data atau informasi yang akan dilakukan analisa lebih lanjut. Tahap yag terakhir dari proses reverse engineering malware
27
adalah melakukan debugging, assembly code translate. Hal ini dilakukan untuk melakukan pengujian pada fungsi utama dari malware diciptakan oleh pembuatnya.
28
BAB III METODOLOGI PENELITIAN 3.1
Metode Penelitian Metode penelitian yang digunakan penulis dalam penelitian ini adalah
metode Deskriptif. Menurut Sugiyono (2005:21) menyatakan bahwa metode deskriptif adalah suatu metode yang digunakan untuk menggambarkan atau menganalisis suatu hasil penelitian tetapi tidak digunakan untuk membuat kesimpulan yang lebih luas. 3.2
Waktu dan Tempat Waktu penelitian dimulai dari awal bulan Mei 2016 sampai dengan akhir
bulan Juli 2016. Tempat penelitian berlokasi di SMK Muhammadiyah 2 Palembang, Jalan Jenderal Ahmad Yani, Silaberanti, Seberang Ulu I, Palembang 30252, Provinsi Sumatera Selatan 3.3
Alat dan Bahan Peralatan yang digunakan untuk melakukan penelitian ini adalah perangkat
keras (Hardware) dan perangkat lunak (Software). 1.
Perangkat Keras (Hardware)
Perangkat keras adalah peralatan sistem komputer yang secara fisik terlihat dan dapat dijamah. Adapun perangkat keras (hardware) yang digunakan adalah sebagai berikut : a. 1 buah laptop
29
b. Memory 4 GB c. Hardisk 500 GB d. Flashdisk 8 GB e. Printer 2.
Perangkat Lunak (Software) a. Sistem Operasi Windows 7 Ultimate b. Paket software Wireshark for Windows untuk sebagai Network Analyzer Tool c. Microsoft Word 2010 untuk penulisan proposal ini d. Microsoft Visio 2010 untuk menggambar berbagai diagram
3.
Bahan-bahan penunjang yaitu : a. Kertas A4 (80 gram). b. Tinta Printer. c. Buku-buku/literatur, E-book, E-Journal dan materi-materi online
3.4
Metode Pengumpulan Data Metode yang digunakan untuk pengumpulan data dalam penelitian ini
adalah sebagai berikut : a.
Wawancara (Interview) Merupakan suatu pengumpulan data yang dilakukan dengan cara tanya jawab atau dialog secara langsung dengan pihak-pihak yang terkait dengan penelitian yang dilakukan.
b.
Studi Pustaka
30
Mengumpulkan data dengan cara mencari dan mempelajari data-data dari buku-buku ataupun referensi lain yang berhubungan dengan penulisan laporan penelitian proposal ini. Buku yang yang digunakan penulis sebagai referensi, adapun metode yang digunakan penulis dalam merancang dan mengembangkan dapat dilihat pada daftar pustaka c.
Dokumentasi Mengumpulkan data-data atau dokumen mengenai obyek penelitian yaitu jaringan komputer yang ada di SMK Muhammadiyah 2 Palembang.
3.5
Metode Analisis Malware Metode analisis malware yang digunakan dalam penelitian ini adalah
Dynamic Analysis.
Menurut Triawan (2015), dynamic analysis merupakan
metode yang digunakan untuk melakukan analisa terhadap malware dengan mengamati kinerja sistem yang dapat terlihat dari perilaku sistem sebelum malware dijalankan dengan perilaku sistem setelah malware tersebut dijalankan pada sistem tersebut. Metode dynamic analysis umumnya menggunakan software virtual seperti VirtualBox, VMWare dan lain-lain, sehingga apabila malware yang dijalankan tersebut ternyata merusak sistem, maka sistem utama tidak mengalami kerusakan akibat malware tersebut. Tahapan-Tahapan analysis yang digambarkan dalam diagram-diagram alir berikut ini:
31
Mulai
File Biner Malware
Buat MD5 File
Regshort Sebelum Eksekusi
TCP View 8 Wireshark
Eksekusi File Malware
A
Gambar 3.1 : Flowchart Proses Analisis Dinamis
32
A
Validasi File Dengan MD5sum
Apakah File Valid?
Tidak
Trojan Melakukan Modifikasi Pada Struktur Biner
Trojan Tidak Melakukan Modifikasi
Regshort Setelah Eksekusi dan Bandingkan
Apakah Trojan Melakukan Manipulasi Registry
Ya
Trojan Melakukan Manipulasi Registry
Trojan Tidak Melakukan Manipulasi Registry
Selesai
Gambar 3.2 : Flowchart Proses Analisis Dinamis
33
BAB IV HASIL DAN PEMBAHASAN 4.1
Hasil Analisis Serangan Malware Dengan Wireshark Analisis serangan malware menggunakan wireshark pada jaringan smk
muhammadiyah 2 palembang dilakukakn dengan langkah-langkah sebagai berikut: 1. instal wireshark versi 2.0.5 pada laptop peneliti 2. menghubungkan laptop peneliti pada jaringan smk muhammadiyah 2 palembang. Menempati satu meja dalam ruangan laboraturium komputer. Menghubungkan laptop pada switch utama jaringan ethernet. Alamat ip laptop peneliti diset secara manual dengan alamat ip : 192.186.1.200.
4.1
Pembahasan
4.1.1 Menjalankan Aplikasi SANBOX
Untuk
Mengetahui Adanya
Serangan Malware Atau Tidak. Menurut Ian Goldberg dkk. (1996), dalam keamanan komputer, SANDBOX adalah mekanisme keamanan untuk memisahkan program yang berjalan. Hal ini sering digunakan untuk menjalankan program atau kode yang belum diuji atau tidak dipercaya, mungkin dari pihak ketiga yang belum diverifikasi atau tidak dipercaya, pemasok, pengguna atau website, tanpa risiko kerusakan pada mesin host atau sistem operasi.
34
Sebuah SANDBOX biasanya menyediakan satu set dikontrol ketat dari sumber daya untuk program tamu (guest) untuk berjalan dalam disk dan memori komputer. Kemampuan akses ke jaringan, kemampuan untuk memeriksa sistem host atau membaca dari perangkat input biasanya dilarang atau sangat dibatasi. Dalam arti menyediakan lingkungan yang sangat terkontrol, SANDBOX dapat dilihat sebagai contoh spesifik dari virtualisasi. Sandboxing sering digunakan untuk menguji program yang belum diverifikasi yang mungkin berisi virus atau kode berbahaya lainnya, tanpa membiarkan perangkat lunak untuk membahayakan perangkat host (Eric Geier, 2012) Menurut
Lenny
Zeltser
(https://zeltser.com/malware-analysis-tool-
frameworks/, 2016), saat ini ada lima (5) software/toolkit yang dapat dimanfaatkan untuk melakukan analisis malware secara terotomatisasi, yaitu: 1. Cuckoo Sandbox (website: https://www.cuckoosandbox.org), gratis, multi-platform (dibuat dalam bahasa pemrograman Python) 2. Zero Wine (website: https://sourceforge.net/projects/zerowine/), gratis, berbasis Linux 3. Buster Sandbox Analyzer (website : http://bsa.isoftware.nl/), tambahan untuk
analisis
malware
pada
software
Sandboxie
(website:
http://www.sandboxie.com), berbasis Windows 4. Malheur
(website:
http://www.mlsec.org/malheur/index.html),
untuk sistem operasi Linux, Mac OS X and OpenBSD
gratis,
35
5. REMnux (website: https://remnux.org/), membantu dalam analisis malware, berbasis Linux 6. Sampel
malware
diperoleh
dari
website
TEKDEFENSE
(http://www.tekdefense.com/downloads/malware-samples/):
Gambar 4.5 : Sample Malware
36
Melakukan analisis serangan malware yang telah ditangkap oleh aplikasi warishark dengan aplikasisanbox.
Gambar 4.6 : Melakukan analisis malware dengan menggunakan sandbox
Melakukan analisis serangan malware dengan menggunakan aplikasi sandbox yang telah disaring dan ditangkap oleh aplikasi wireshark untuk mendapatkan hasil analisis serangan malware pada suatu jaringan apakah terdapat malware atau tidak pada jaringan tersebut, maka inilah hasil yang didapat dan di simpan diterapkan pada gambar 4.7 dibawah ini.
37
Gambar 4.7 : Report dari analisis yang telah dilakukan. Dari riport yang telah disaring dan ditangkap oleh aplikasi wireshark melalui lalu lintas paket data dalam suatu jaringan pada sebuah komputer di smk muhammadiyah 2 palembang untxuk mengetahui apakah ada serangan malware
38
atau tidak, dan untuk membedakan yang mana dikatakan malware dan mana yang dikatakan bukan malware. Dan inilah hasil yang didapatkan oleh analisis yang telah dilakukan, diterapkan pada gambar 4.8 dibawah ini.
Gambar 4.8 : Terdeteksi serangan malware. Dari beberapa langkah-langkah
yang telah dilakukan menggunakan
aplikasi wireshark hingga dibantu dengan aplikasi sandbox, untuk mengetahui adanya serangan malware atau tidak, bisa kita lihat pada gambar 4.8 bahwa adanya serangan malware pada jaringan smk muhammadiyah 2 palembang.
39
BAB V KESIMPULAN DAN SARAN 5.1
Kesimpulan Kesimpulan yang dapat diambil dari hasil analisis serangan malware
dengan menggunakan wireshark pada jaringan komputer SMK Muhammadiyah 2 palembang ini adalah sebagai berikut: 1. perangkat lunak wireshark yang tersedia secara geratis terbukti sangat bermanfaat untuk menyadap paket data pada jaringan komputer. Hasil sadapan nya dapat disimpan untuk dianalisis lebih lanjut. 2. untuk menganalisis paket hasil sadapan wireshark apakah terjadi serangan malware atau tidak butuh keahlian khusus yg harus dipelajari. 3. wireshark akak lebih akan lebih bermanfaat jika digunakan bersama-sama dengan software-software lainnya, seperti, pemetaan jaringan, dan yang lain.
5.2
Saran Berikut adalah saran-saran untuk penelitian lebih lanjut terhadap analisis
serangan malware menggunakan wireshark pada jaringan komputer SMK Muhammadiyah 2 palembang.
40
1.
peneliti selanjutnya harus menggunakan banyak software-software yang lain, yang lebih mewadai untuk melakukan sebuah analisis.
2.
mahasiswa/mahasiswi, yang ingin melakukan penelitian mengenai malware
harus mempunyai skil yang lebih untuk
mempermudah
menganalisis malware tersebut. 3.
peneliti selanjutnya harus mempelajarinya, dan beradaptasi dengan lingkungan virtual dan tertutup agar tidak membahayakan komputerkomputer lainnya.
