The Remote Attack (Mengatasi Remote Attack)
Pengertian Remote Attack adalah sebuah/beberapa serangan yang diaktifkan untuk menyerang sebuah mesin, di mana sebenarnya penyerang (cracker) sekarang tidak mempunyai kendali atas mesin tersebut; maksudnya serangan tersebut ditujukan kepada mesin selain mesin milik penyerang (apakah mesin tersebut berada dalam satu subnet penyerang maupun berada 10,000 mil jauhnya) Remote Machine adalah mesin (selain mesin yang sedang kita pakai) yang bisa dicapai melalui beberapa protokol baik mengakses melalui internet, network, maupun media yang lain
Sasaran Serangan l Institusi finansial & bank l Internet Service Provider (ISP) l Perusahaan farmasi l Lembaga pemerintah & pertahanan l Perusahaan multinasional
Beberapa lembaga di atas adalah lembaga yang paling rentan terhadap serangan cracker
Profil Cracker (Attacker) l Pria berusia antara 16-25 tahun l Meningkatkan kemampuan Cracking l Memakai resource network untuk keperluan pribadi l Opportunis (mencoba mencari celah) l Mengambil akses administrator (root) l Melakukan akses backdoor
Koneksi Perusahaan/Istansi dengan Internet Jaringan lokal (Intranet) Perusahaan
Jaringan luar atau Internet
Pengguna
Layanan Permintaan layanan
Pengguna
Permintaan layanan
Pengguna
Permintaan layanan
Proxy server & gateway/firewall
Proxy server mewakili permintaan dan penerimaan dari penyedia layanan
Layanan
Perusahaan/instansi menggunakan teknik-teknik firewall dan proxy server untuk hubungan berupa hosting webserver, service e-mail, dan akses internet lain untuk user
Modus Operasi l Mencari jalan untuk akses informasi intra corporate l Umumnya Cracker tidak menyerang webserver – Cracker yang menyerang webserver umumnya hanya (merubah file) untuk menjatuhkan citra perusahaan/lembaga
l Menyerang server e-mail – Server e-mail mempunyai saluran langsung ke dalam intranet untuk bertukar e-mail
Modus Operasi Lanj. l Menyerang router
(cracker yang cukup canggih)
– Menggunakan scanner terhadap protokol SNMP (Simple Network Management Protocol) yang pada akhirnya router menjadi jembatan memasuki intranet melalui internet
Cara Menyerang Menggunakan teknik cloak (sembunyi waktu menyerang sehingga administrator tidak sadar mesinnya sedang diserang) Teknik ‘cloak’ yang biasa digunakan : l Bouncing (melompat) dari mesin yang sebelumnya telah diserang melalui program telnet atau remote shell ssh l Bouncing dari mesin yang menjalankan windows melalui wingate mereka l Bouncing dari server proxy yang salah kofigurasinya
Teknik Mengumpulkan Informasi l Menggunakan Software nslookup dalam memberikan perintah ls <domain network> l Melihat file HTML di server web anda untuk mengidentifikasi host lain di intranet anda l Melihat berbagai dukumen yang ada di server file (FTP) anda l Melakukan hubungan ke server mail anda menggunakan perintah telnet host 25 dan memberikan perintah expn <user> l Mem-finger pengguna yang memiliki account di mesin yang terbuka di internet Teknik-teknik ini di jalankan di UNIX (bukan windows)
Implementasi l Identifikasi komponen jaringan (secure way) l Mencari mesin secure dengan cara cek daftar export dari Network File System (NFS) ke direktori /usr/bin, /etc dan /home l Mengeksploitasi kelemahan Common Gatewai Internet (CGI) untuk akses file /etc/hosts.allow l Selanjutnya identifikasi kelemahan mesin (biasanya dengan program-program scanner yang disembunyikan)
Scanning Target l Port Transmission Control Protocol (TCP) l Service Remote Procedure Call (RPC) memakai port mapper l Daftar export melalui NFSD (Network File System Directory) l Daftar share directory melalui samba/netbios l Melakukan finger untuk identifikasi account default l kelemahan CGI (Common Gateway Internet) l Identifikasi kelemaha software-software server yang dijalankan di mesin seperti : sendmail, IMAP, POP3, RPC status & RPC mounted
Final l Ambil kendali administrator/root l Clean up log l Pasang program backdoor (anti-cracker) l Pasang .rhosts file di /usr/bin untuk menjalankan rsh & csh l Menutup lubang security yang ada
The Machine Has Been Defeted l Menjadikan jembatan antara internet dan intranet network l Menginstalasi sniffer untuk melihat traffic ; password, no kartu kredit dll. l Menghancurkan mesin dengan perintah rm –rf /& jika perintah tersebut dijalankan mesin akan hancur lebur, butuh waktu berjam-jam sampai berbulan-bulan untuk memperbaikinya jika tidak pernah memback-up setting mesin
Antisipasi Firewall
Protect RPC and Remote Access
Turn Off auto-update
l Anti sniffer (www.cert.org/ftp/tools/cpm) l Protect NFS l Protect FTP l Blocked Unknown Application l Blocked Unknown IP Address l Blocked Unknown User l dll
Daftar Pustaka l Purbo, Onno W. 2006. Teknik Mengcrack l Riley, Charles and Friends, 2003, The Best Damn Cisco Internetworking Book Period Syngress Publishing, Inc. Rockland MA l Maximum Security: A Hacker's Guide to Protecting Your Internet Site and Network Macmillan, Computer Publishing l http://www.theargon.com l http://www.antionline.com/archives/documents/ advanced/ l http://www.rootshell.com
