PAPARAN MASALAH STATISTIK PENANGANAN INSIDEN Edisi: PEMERINTAHAN JAKARTA, 17 SEPTEMBER 2012

PAPARAN MASALAH STATISTIK PENANGANAN INSIDEN Edisi: PEMERINTAHAN JAKARTA, 17 SEPTEMBER 2012 ___________________________ Ahmad Alkazimy, MANAGER & RESEARCHER ID-CERT [email protected]

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Sejarah ID-CERT ●

Dimulai tahun 1997 sebagai respon terhadap kebutuhan pelaporan masalah security yang terkait dengan internet Indonesia;

●

Bersifat voluntir (come and go)

●

Telah memiliki domain dan situs web

●

Terdaftar sebagai anggota APCERT

●

Berkoordinasi dengan organisasi regional


Sejarah ID-CERT

●

●

Pendiri forum regional APCERT (Asia Pacific Computer Emergency Response Team) pada 2001-2003, dengan status Full Member; Kontak Utama untuk Indonesia (PoC) di APCERT;

“Morris Worm” (CMU - 1988) “CERT” (CMU - 1988) “RFC 2350” (IETF - 1998) “ID-CERT” (Budi Rahardjo - 1998) “APCERT” (ID-CERT pendiri forum 2001-2003)


Misi ●

●

●

●

●

Tujuan ID-CERT adalah untuk melakukan koordinasi penanganan insiden yang melibatkan pihak Indonesia dan luar negeri. ID-CERT tidak memiliki otoritas secara operasional terhadap konstituensinya baik di Indonesia maupun luar negeri, melainkan hanya menginformasikan berbagai keluhan atas insiden jaringan, serta bergantung sepenuhnya pada kerjasama dengan para-pihak yang terlibat dalam insiden jaringan terkait. ID-CERT dibangun oleh komunitas dan hasilnya akan kembali kepada komunitas. Memasyarakatkan pentingnya keamanan internet di Indonesia. Melakukan berbagai penelitian dibidang keamanan internet yang dibutuhkan oleh komunitas internet Indonesia. INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Tim Kami ●

Ketua: Budi Rahardjo, PhD

●

Wakil Ketua: Andika Triwidada

●

Manager & Researcher: Ahmad Alkazimy

●

Incident Response Officer – Helpdesk: Rahmadian

●

Didukung oleh sejumlah voluntir lainnya.


Tentang ID-CERT


Layanan ●

●

●

Jumlah laporan yang diterima di tahun 2011: 783.457 laporan Laporan terbesar adalah Network Incident: 780.318 laporan yang terdiri dari: ●

Brute Force (80%)

●

Open Proxy (15%)

●

DDoS, dll (5%)

Respon terhadap pengaduan ditahun 2011: 685 Laporan


Aktifitas ●

●

Respon “reaktif” berdasarkan laporan yang diterima dari komunitas internet; ●

Mencapai 783 ribu laporan dalam setahun.

●

Membantu koordinasi dengan pihak terkait

Riset Internet Abuse Indonesia, yang dimulai sejak 2010 dan 2011 ●

●

●

Sejak Maret 2012, aktifitas ini berubah nama menjadi Incident Monitoring Report dan bersifat permanen;

Koordinasi dengan tim CERT regional, (seperti: Malaysia CERT, Australian CERT, Japan CERT, dsb); Membangun kesadaran publik tentang pentingnya IT Security melalui Gathering dan Seminar publik. INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Kegiatan ●

●

●

●

Partisipasi dalam APCERT Drill Februari 2012 Menghadiri APCERT Annual General Meeting, 25 – 27 Maret 2012, BALI. Membantu pembentukan Roadmap CERT/CC, Regulasi CERT dan GovCERT yang diadakan oleh DITKAMINFO. Menghadiri forum IISF (Indonesia Information Security Forum) 14 Desember 2011 yang diadakan oleh DITKAMINFO.


APCERT Drill ●

●

Latihan bersama penanganan Keamanan Cyber secara virtual. Diadakan secara periodik oleh APCERT.


Layanan TERBARU

●

●

21 Desember 2011: ID-CERT mulai mengirimkan feed/berita harian tentang situs pemerintah yang terkena aksi Deface/Phishing. 01 Juni 2012: ID-CERT meluncurkan Nomor kontak Desk 0889-1400-700.


PAPARAN PERMASALAHAN STATISTIK PENANGANAN INSIDEN Edisi: PEMERINTAHAN


TREN UMUM INSIDEN 2012


2012


2012


2012 MALWARE TREN RATA-RATA 2011 & 2012

250

2011 2012

200

150 100

50

0 JAN

FEB MAR APR

MEI

JUN

JUL

AGU

SEP


OKT NOV

DES

2012


2012


2012


STATISTIK INSIDEN INSTANSI PEMERINTAHAN


NETWORK INCIDENT dari .GO.ID 250 200 150

2011

100

2012

50 0

JAN

2011 2012

216

FEB MAR APR

MEI

JUN

JUL

AGU SEP OKT NOV DES

0

92

164

96

102

126

89

43

54

47

89

136

245

131

191

282

207

101

BULAN

JUMLAH INSTANSI GO.ID NETWORK INCIDENT JUMLAH LAPORAN

JUMLAH LAPORAN

300

100 80 60 40

2011

20

2012

0

JAN

2011 2012

30

FEB MAR APR

MEI

JUN

JUL AGU SEP

0

3

3

4

3

3

5

37

20

5

34

55

88

38

BULAN


4

OKT NOV DES 6

5

8

Situs yang di Deface


Situs Yang Di Deface


Situs Yang di Deface ●

- http://bkd.sr***nkab.go.id/

●

- http://kp***umai.net/

●

- http://kli***bogor.net/

●

- http://www.litbang.de***n.go.id/

●

- http://dprd-teg***ab.go.id/

●

- http://lpse.rejanglebon****.go.id

●

- http://kpt.rejanglebon****.go.id

●

- http://dukcapil.rejanglebon****.go.id/

●

- http://dispar.rejanglebo****.go.id


Kasus Kebocoran Data Pribadi ●

●

●

Agustus 2012: kasus kebocoran data yang diposting di PASTEBIN. Juni 2012: Kasus LinkedIN, bocornya user name dan password; Juni 2012: Kasus kebocoran 5 ribu entry email dan password;

●

Kebocoran data yang diakibatkan ulah Malware;

●

Kebocoran data yang diakibatkan ulah oknum internal;

●

2004: Manipulasi data, contoh kasus KPU.


Manipulasi Data


Malware ZEUS ●

●

●

●

●

●

●

●

Juli 2007: Virus ini pertama kali teridentifikasi saat digunakan mencuri informasi dari Departemen Transportasi Amerika Serikat. Mar 2009: virus ini makin tersebar. Juni 2009, perusahaan keamanan Prevx menemukan bahwa Zeus telah menembus lebih dari 74,000 akun FTP 1 Oktober 2009, FBI mengumumkan bahwa telah ditemukan satu jaringan/network besar cyber crime internasional yang telah menggunakan Zeus to untuk meng-hack komputer2 di Amerika Serikat. Oktober 2011 versi terbaru source code Zeus bocor. blog abuse.ch melaporkan mengenai satu trojan baru yang telah dikostumasi yang mengandalkan pada kemampuan peer-to-peer yang lebih canggih. April 2012 versi terbaru Malware Zeus teridentifikasi menyerang Indonesia. Contoh-contohnya termasuk autorisasi login untuk online social network, e-mail account, online banking atau layanan keuangan online lainnya. Situs-situs yang tercuri autorisasi loginnya, menurut laporan Netwitness adalah Facebook, Yahoo, Hi5, Metroflog, Sonico dan Netlog.


DNS Changer (Kiamat Internet) ●

●

●

●

●

Dioperasikan oleh sebuah Perusahaan di Estonia sejak 2007; Terungkap pada 2011 oleh FBI; Lebih dari 4 juta PC terinveksi BOTNET dengan 2000 varian lebih; Tahap Pertama 08 Maret 2012: mematikan DNS palsu dan menggantinya dengan DNS sementara. Tahap Kedua: 09 Juli 2012: mematikan DNS Sementara;



Sengketa di Media Sosial ●

Pencurian akun

●

Pembajakan akun

●

Jual-beli fiktif

●

Mendiskreditkan kelompok tertentu

●

Motif lainnya.


Situs Pemerintah Yang di-Phishing dan di-Deface tahun 2011 ●

- http://www.di***s.go.id

●

- http://sd*.p*.go.id/

●

- http://www.sa***kab.go.id

●

- http://www.depk***nfo.go.id

●

- http://www.forumbumd***ar.com/bumd/lang/

●

- http://www.bapp***-bandung.go.id, terkena Phishing yang disusupi Malware (Trojan) sejak Juni 2011 dan baru tertangani pada 15 September 2011 setelah IDCERT mendatangi langsung kantor BAP***A BANDUNG. INDONESIA COMPUTER EMERGENCY RESPONSE TEAM



Situs Palsu Non Finansial: Mafiahukum.org

Darimana Informasi didapat? ●

●

●

Informasi dari aduan pengguna internet di dalam negri yang mengetahui kelemahan tersebut; Informasi dari aduan pengguna internet diluar maupun komunitas tertentu yang mengetahui kelemahan yang ada; Informasi dari media online dan mailing list;


Kesulitan yang ada Email tidak valid; Nomer Telpon tidak valid; Alamat tidak valid/berubah; Kontak yang ada merupakan kontak pihak ketiga yang sudah tidak valid; Terkait masalah Hukum;


Kesulitan yang ada Email tidak valid; Nomer Telpon tidak valid; Alamat tidak valid/berubah; Kontak yang ada merupakan kontak pihak ketiga yang sudah tidak valid;


Perlunya CERT Sektoral GovSIRT Tidak ada satupun CERT yang mampu bekerja sendiri, perlu kerjasama lintas CERT; CERT Sektoral berperan untuk lebih fokus terhadap sektornya; Kepercayaan(trust) yang dibangun diinternal sektor; Dapat “berbicara” dengan konstituennya dengan “bahasa” masing-masing sektor yang mudah dipahami;

Proses eskalasi masalah diharapkan dapat dilakukan lebih cepat; FYI: SOP ID-CERT, setiap aduan yang diterima akan direspon paling lambat 1x24 jam sejak laporan diterima. Misal: membuat milis IT PNS untuk saling bertukar info. INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Mengapa perlu respon cepat? Kelemahan (vulnerability) yang terjadi dapat menimbulkan berbagai peluang: Kebocoran data penting; Manipulasi data penting; Pemanfaatan oleh pihak lain untuk menyerang target lainnya; Penyebaran malware; Phishing/Spoofing serta “penempelan” situs palsu. Penyebaran email spam; Masalah Hukum (UU ITE, ataupun penuntutan dari pihak lain); Lain-lain;


Pertanyaan ●

Kesiapan Regulasi?

●

Kesiapan Pelaksana dilapangan?

●

Langkah Pencegahan dini?

●

Standard Operasi dan Prosedur (SOP)?

●

●

Bila melibatkan masalah hukum? (misal: Fraud, Phishing, IPR) Bila melibatkan lintas negara?


Rekomendasi ●

●

●

●

●

Perlu selalu mengupdate kontak kepada CERT Sektoral (dalam hal ini GovCSIRT) agar mudah dihubungi; Tugas GovCSIRT: perlu melakukan verifikasi kontak agar selalu tetap valid; Setiap institusi wajib mendaftarkan sekurang-kurangnya 1 (satu) orang kontak PNSnya kepada CERT Sektoral; lebih banyak lebih baik;Sedangkan pihak ketiga sebaiknya berada dibawah koordinasi kontak PNS; Email yang didaftarkan dipusat kontak adalah email aliases ; email personal (menggunakan email institusi) dimasukkan dalam aliases tersebut; Tindakan cepat: perlu regulasi yang jelas dan tegas agar bila tidak ada respon dari pihak yang diadukan, maka GovCSIRT akan memerintahkan ISP untuk membekukan nama domain tersebut hingga diperbaiki oleh instansi tersebut); INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Reading Room ●

●

●

www.cert.or.id DNS Changer https://www.hkcert.org/my_url/en/blog/12022901 Malware Zeus http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29


READING ROOM: cara melapor ke ID-CERT ●

●

●

Konsultasikan dengan ID-CERT melalui email: [email protected] (sangat direkomendasikan via email) atau telpon di 0889-1400-700; Sertakan informasi penting terkait hal yang diadukan, seperti: ●

Log file

●

URL / Link bermasalah?

●

Surat Keterangan dari instansi (untuk situs palsu)

Bila merupakan masalah hukum atau lainnya, ID-CERT akan mengarahkan/mengkonsultasikannya kepada pihak yang tepat. INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

TERIMA KASIH ●

●

●

●

●

●

APJII (Asosiasi Penyelenggara Jasa Internet Indonesia); www.apjii.or.id PANDI (Pengelola Nama Domain Internet Indonesia); www.pandi.or.id Kementrian Perdagangan, Direktorat Pengamanan Perdagangan, kontak: 021-385-7955 Kementrian Hukum dan HAM, Ditjen AHU. BAPPEBTI (Badan Pengawas Perdagangan Berjangka Komoditi).www.bappebti.go.id Seluruh konstituen ID-CERT; www.cert.or.id


PERTANYAAN, SARAN & MASUKAN? Kontak Desk ID-CERT: www.cert.or.id Telpon: (+62)899-1400-700 ______________________________ Ahmad Alkazimy(Manajer ID-CERT) [email protected] _________________________ Rahmadian L. Arbianita (Helpdesk ID-CERT) [email protected] __________________ Mailing List: [email protected] INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

PAPARAN MASALAH STATISTIK PENANGANAN INSIDEN Edisi: PEMERINTAHAN JAKARTA, 17 SEPTEMBER 2012

Recommend Documents