• Orang INDONESIA biasa! • Information Security Engineer Sering jadi SATPAM kalau kepepet
JIM GEOVEDI {
[email protected]}
• Natural Born Junker • Pendukung gerakan OpenSource Udah gak tau mo ngapain lagi di Internet(tm)
FreeBSD & OpenBSD developer - port maintainer
• “willhackforbandwidth” • ...
BUILDINGSECURITYAWARENESS
•
Information Security
•
Bahaya yg mungkin dapat terjadi seputar sekuriti
• •
Hacking - Motif, Metodologi, dan Tools
Lebih spesifik pada sekuriti komputer dan jaringan
System Cracking, DDoS, Full Disclosure, Espionage, Vandalism, etc.
Digital Defense Desain, Konsep, dan Implementasi
INFORMATION SECURITY PROBLEMS
•
Sebagian besar masalah yang menyangkut sekuriti informasi terjadi dari “dalam” Lebih dari 80%, menurut hasil survey FBI pada Computer Security Institute (CSI): http://www.computerworld.com/securitytopics/security/story/0,10801,64774,00.html
•
Jumlah komputer dan “devices” lainnya yang terhubung ke jaringan Internet semakin bertambah setiap harinya
•
Serangan yang terjadi akibat “computer hackers” dan “viruses/worms” telah menjadi sesuatu yang kerap terjadi
•
Mudahnya seorang “newbie” mendapatkan hacking tools. http://www.google.com/search?q=hacking+tools
INFORMATION SECURITY PROBLEMS (cont.)
•
“Cyberganks” yang bermunculan dan tumbuh subur
•
Kelambatan update dari “software vendors” menanggapi “bugs” dan “vulnerabilities”
• •
Kurangnya pemahaman soal sekuriti bagi pengguna
k-elektronik, hackerlink, indohack, antihackerlink, medanhacking, indosniffing, hiddenline, etc.
...
INFORMATION SECURITY PROBLEMS (cont.)
INFORMATION SECURITY PROBLEMS (cont.)
INFORMATION SECURITY PROBLEMS (cont.)
Microsoft DCOM worms attack data https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
WHEN SHOULD I CARE ABOUT INFOSEC?
• •
Setiap kali Anda menghidupkan komputer
• •
Setiap kali Anda menyimpan data ke dalam komputer
Setiap kali Anda menghubungkan komputer tersebut ke jaringan Internet
Setiap kali Anda merasa memiliki “pesaing”
BE PARANOID? Selalu waspada, gak perlu parno’, err, paranoid 8-)
WHY SHOULD I CONCERN ABOUT INFOSEC?
•
Masalah yang terjadi seputar sekuriti informasi akan menggangu kelangsungan pekerjaan Anda
• • •
Akurasi pekerjaan akan ikut terganggu Waktu pekerjaan menjadi “ngaret” Prospek bisnis menjadi terganggu?
BUT, HOW?
•
Lakukan “Risk Assessment”
•
Tentukan metode antisipasi dan penanganan masalah
•
Implementasi metode antisipasi dan penanganan masalah
•
“The plan for a failure”
Kumpulkan semua informasi mengenai aset dan tentukan mana yang berharga, bermasalah, dan berisiko memiliki masalah
Penggunaan password yang baik. Training sekuriti. Penggunaan “firewall” dan “intrusion detection system”
Menyediakan training sekuriti secara berkala. Audit sekuriti.
Mengembangkan sebuah “Operational Recovery Plan”
ADMINISTERING INFORMATION SECURITY
•
•
Administrasi secara terpusat (”network-based” via NOC)
• • • • •
Logon Password management Working schedule System transaction logging Network monitoring
Administrasi secara lokal (”host-based”)
• • • • • •
Logon Password management Physical controls Virus scanning System update Host monitoring
MONITORING INFORMATION SECURITY
•
Activity logging
•
Network & System Monitoring
• •
Menjadi BOFH (Bastard Operator From Hell) itu perlu 8-)
• • •
Availability monitoring Performance monitoring Security monitoring
Reporting Security Incidents Compliance Reviews Selalu menyiapkan “checklist”. Jangan terlalu sering ber-”improvisasi”.
HACK! HACK! HACK!
•
Hacker
•
Cracker
•
Script Kiddies (Hacker Wannabe)
Seseorang yang memiliki keinginan untuk melakukan eksplorasi dan penetrasi terhadap sebuah sistem operasi dan kode komputer pengaman lainnya, tetapi tidak melakukan tindakan pengrusakan apapun, tidak mencuri uang atau informasi. Seringkali media menggunakan isilah “hacker” sama seperti “cracker” sehingga publik beranggapan bahwa “hackers” adalah “badboys” dan “hacking” adalah kegiatan yang tidak baik.
Cracker adalah sisi gelap dari hacker dan memiliki kertertarikan untuk mencuri informasi, melakukan berbagai macam kerusakan dan sesekali waktu juga melumpuhkan keseluruhan sistem komputer.
Para pemula, menggunakan tools yang mudah didapat di Internet. Merupakan bahaya terbesar bagi insan sekuriti karena biasanya script-kiddies cenderung “merusak” dan tidak tahu soal bahaya yang dapat mereka lakukan.
CRACKING: THE MOTIVES
•
•
For fun-n-profit
• • • •
Adu gengsi dalam pergaulan Espionage Penyaluran rasa sakit-hati? ...
“Because they can” (doh!)
CRACKERS CAN USE:
• • • • • • •
Identitas “orang dalam” IP (Internet Protocol) Address Akses fisik terhadap infrastruktur Operating Systems Technical vulnerabilities Software piracy materials: crack, keygen ...
HOW CRACKERS CAN GET THE INFORMATION
• •
“Social Engineering”
• •
Hacking (Cracking?) Tools
•
Terjun langsung ke lapangan
Network Tools Network scanner & mapper
Public Information spots Website, E-mail, etc.
Akses ke infrastruktur
HOW CRACKERS CAN GET THE INFORMATION
HOW CRACKERS CAN GET THE INFORMATION
HOW CRACKERS CAN GET THE INFORMATION
HOW CRACKERS CAN GET THE INFORMATION
TYPICAL OF ATTACKS
• •
•
Buffer overflow attacks
• • •
Memanfaatkan kesalahan programming Eksploitasi secara local maupun remote Spesifik pada prosesor dan sistim operasi
Denial of Service
• •
Menjadikan service terganggu bahkan tidak dapat dipergunakan Target Denial of Service: koneksi jaringan sistim operasi yang digunakan aplikasi yang menyediakan service
• • •
Distributed Denial of Service
• • •
Sama seperti Denial of Service, namun menggunakan banyak “agents” terdistribusi “Agents” biasanya telah dikuasai secara penuh terlebih dahulu Eksekusi attack dilakukan bersamaan -- menggunakan master host
TYPICAL OF ATTACKS (CONT.)
• • • •
Trust Abusing
• • •
Berlaku pada jaringan skala kecil atau lingkungan internal Memanfaatkan “trust” pada sistim dan antar hosts Sulit dibedakan antara “intruder” dengan “real user”
Brute Force Attacks
• •
Target biasanya berupa proses/metode otentifikasi “Password guessing”
Web Attacks
• • •
buffer overflow: program/script tidak melakukan validasi terhadap user inputs command execution: mengeksekusi perintah tambahan subverting client-side: memanfaatkan “buffer overflow” dan “command execution” disisi pengguna
Backdoors & Trojans
•
“Social engineering agent”
ATTACK PHASES
•
• •
Preparation
• •
Mengumpulkan informasi sebanyak-banyaknya Internet registration, network/host scanning
Mengolah informasi yang didapat Membuat network map, menentukan titik lemah pada target, mengaudit source code aplikasi service dan membuat exploit, mencari exploit yang tersedia di Internet
Execution
• •
Exploit testing pada local systems Eksploitasi pada remote services yang vulnerable
Post-attack
• • •
menginstal backdoor, trojan, dan/atau toolkit memastikan bahwa kondisi victim telah sesuai dengan yang diingnkan menjadikan target yang telah dikuasainya sebagai “agents” bagi DDoS
Siapa yang bertanggungjawab menangani masalah InfoSec?
... dan bagaimana harus memulainya?
COMPONENTS OF A SECURE NETWORK ARCH.
• • • • • • •
Network Segmentation Firewall Classification Authentication Encryption Intrusion Detection System Host-based Security
NETWORK SEGMENTATION
•
Sekurang-kurangnya memiliki 1 DMZ (De-Militarized Zone) pada sebuah jaringan skala menengah ke atas
•
DMZ diletakkan diantara “hostile outside network” dan “internal network”
•
Dalam DMZ, terdapat hosts yang dapat diakses oleh publik
•
DMZ dilindungi oleh Firewall, dimonitor oleh Intrusion Detection System, dan dibatasi akses usernya oleh Authentication process
Webserver, mailserver, etc.
FIREWALL
•
Tipe Firewall:
•
Packet Filtering
•
Proxy/Circuit Level Gateway
•
Application Proxy
Membatasi “source” dan “destination” dari setiap paket data Contoh: iptables, ipfw, ipf, pf, Cisco PIX, etc.
Konsep: Sebelum request dari user diteruskan ke tujuan harus terkoneksi terlebih dahulu ke firewall. Firewall yang akan meneruskan request ke tujuan dan kemudian meneruskan reply dari request tersebut ke user. Contoh: OpenBSD’s authpf
Pengembangan konsep Proxy/Circuit Level Gateway pada level aplikasi Contoh: Squid, IRC bouncer/proxy, ftp-proxy
FIREWALL (CONT.)
•
Kontrol Firewall:
•
Permitted services
•
Restricted communication flow
•
Access Control
•
Network Address Translation (NAT)
•
Control Messages
User dan publik hanya boleh mengkases services yang diijinkan saja
Komunikasi langsung dibatasi oleh firewall
akses user dibatasi: “dari mana” dan “mau kemana”
NAT memungkinkan internal network address tersembunyi dari publik
Firewall dapat tidak memberikan reply terhadap request atau mengirimkan pesan seperti: “host unreachable”, “port unavailable”, atau “time exceed”
CLASSIFICATION
•
Data, sistim, dan jaringan harus ter-klasifikasi dalam terminologi:
• • • •
•
Confidentiality Intergrity Availability Critical to organization
Sebagai tindak-lanjut, organisasi harus membuat dokumentasi “policies” dan SOP indentifikasi setiap klasifikasi data
AUTHENTICATION
• •
Mengidentifikasi obyek seperti user, aplikasi, sistim
•
Metode authentication beragam, contoh sederhana adalah basis password atau biometric
Jika berjalan lancar, obyek tersebut akan diijinkan melintasi jaringan dan kemudian di monitor
ENCRYPTION
•
Merupakan bagian terpenting jika “confidentiality” menjadi prioritas
•
Umumnya “Encryption” hanya melindungi proses transit
•
Pada implementasi tingkat-lanjut, data juga di-enkrip
Penggunaan SSL, TLS
PGP, GnuPG, OpenPGP
INTRUSION DETECTION SYSTEM
•
IDS mencari informasi penggunaan dan akses ilegal pada sistim dan jaringan
•
Konsep global IDS adalah “mendeteksi”
•
• •
NIDS: Network-based IDS, memeriksa tipe dan konten setiap paket-data HIDS: Host-based IDS, memeriksa log dan aktifitas sistim
Metode Deteksi
• •
Misuse detection: mencari “signatures” pada packet atau log yang sudah teridentifikasi dengan baik Anomali detection: mengamati perilaku tidak wajar oleh user atau aktifitas sistim
HOST-BASED SECURITY
• • • • •
Sebagai perlindungan terakhir pada jaringan Melibatkan sistim operasi dan aplikasi Selalu “up-to-date” Sinkronisasi waktu antar host untuk memudahkan auditing Lakukan “activity logging” dan “full auditing”
WAITAMINUTE ... buat “end-user”, ada gak?
PASSWORD
•
Gunakan kombinasi UPPERCASE, angka, dan beberapa karakter lainnya
•
Pilih password yang dapat dengan mudah diketik tanpa harus melihat keyboard
• •
Ganti password secara reguler
•
Tidak menggunakan nama sendiri, nama pasangan, nama binatang kesayangan atau informasi lain yang berkaitan dengan personal sebagai password
Tidak menggunakan atau memasukkan User ID sebagai password (reversed, capitalized, etc.)
VIRUSES & WORMS
•
Computer viruses, Internet worms. Bagaimana mereka mempengaruhi kita?
•
Tips mengantisipasi masalah viruses & worms:
• • • • •
Tidak membuka attachment e-mail yang diragukan isinya, dikirimkan oleh pihak yang tidak dikenal, atau tidak mengharapkan mendapatkan e-mail tersebut Menghapus “junk mails” (SPAM), kecuali Anda memang mengharapkannya Tidak mendownload file dari orang yang tidak Anda kenal Selalu meng-update anti-virus Melakukan backup & restore secara berkala terhadap data penting yang Anda miliki
MORE INFO..
•
CERT/CC - Computer Emergency Response Team/Coordination Center
•
SecurityFocus
•
SANS Institute - Information and Computer Security Resources
http://www.cert.org/
http://www.securityfocus.com/ http://www.sans.org/resources/
Question?
[email protected] negative (irc.efnet.nl) - http://corebsd.or.id/