Trend Serangan Jaringan Komputer dari Internet Deris Stiawan (Dosen FASILKOM UNSRI) Sebuah Pemikiran, Sharing, Ide Pengetahuan, Penelitian
Pendahuluan ... Tidak ada yang bisa menjamin perilaku dari setiap orang yang terkoneksi ke Internet, terdapat banyak perilaku di internet dari yang berhati baik sampai yang berhati buruk, dari yang mencari informasi umum sampai mencari informasi kartu kredit orang lain. Karena sifatnya yang publik atau umum maka muncul masalah baru yaitu masalah keamanan data dan informasi di Internet terutama informasi-informasi yang bersifat krusial dan konfiden. Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel, VSAT , VPN atau bahkan menggunakan jaringan publik (Internet), Maka ada suatu permasalahan lain yang sangat krusial yaitu ”Keamanan atau Security”. Karena tidak ada yang sistem yang aman didunia ini selagi masih dibuat oleh tangan manusia, karena kita hanya membuat meningkatkan dari yang tidak aman menjadi aman dan biasanya keamanan akan didapat setelah lubang / vurnability system diketahui oleh penyusup. Ancaman masalah keamanan ini banyak sekali ditemui oleh pengguna seperti Virus, Trojan, Worm, DoS, hacker, sniffing, defaced, Buffer Overflow, dan sebagainya dengan apapun istilah underground yang banyak sekali saat ini, yang pasti akan menyusahkan kita pada saat ancaman-ancaman ini ”menyerang”. Metode serangan saat ini sangat beragam, dari yang sederhana yang dilakukan para pemula atau script kiddies sampai dengan serangan dengan menggunakan metode terbaru. Karena akan semakin kompleksnya administrasi dari jaringan skala luas (WAN) maka diperlukan suatu mekanisme keamanan dan metode untuk dapat mengoptimalkan sumber daya jaringan tersebut, semakin besar suatu jaringan maka makin rentan terhadap serangan dan semakin banyak vurnability yang terbuka.
Trend keamanan dan Serangan komputer| ver 1
1
Ada banyak metode yang dilakukan untuk masuk ke sistem lain walaupun sistem telah di kita lakukan update/patching secara continue, karena ada banyak lubang yang dapat dimanfaatkan, biasanya penyerang melakukannya dengan menggunakan beberapa metode yang akan dijelaskan selanjutnya. Belum lagi saat ini banyak sekali tools-tools yang dapat dengan mudah digunakan yang didownload dari Internet dan banyaknya websites yang menyediakan tools untuk melakukan hacking. Dengan berbekal tools tadi seseorang yang biasa dapat mengancam infrastruktur jaringan kita, ancaman dapat beruba hanya sekedar introgasi sistem kita (footprinting atau analisa awal) atau analisa port yang digunakan sampai dengan mencoba-coba celah vurnerability network kita. Ada banyak anggapan yang salah dengan statetement “kami sudah memiliki firewall yang banyak dan terbaru”, “kami mempunyai team yang tangguh dan hebat dalam bidang security”, “kami mempunyai dana IT yang unlimitted” atau ”kami tidak ada musuh dan data yang kami onlinekan tidak mengandung informasi penting”. Inilah beberapa faktor yang memicu terjadinya kebocoran dari sistem pertahanan yang kita bangun, belum lagi tidak adanya rules atau policy tentang sistem keamanan di perusahaan atau institusi kita, untuk memberikan gambaran tentang framework membangun policy sistem keamanan dapat merujuk ke tulisan penulis yang lain.
Serangan-Serangan ... Ada banyak model serangan yang dapat diketahui saat ini, namun semakin hari model serangan semakin beragam baik dari pengembangan model sebelumnya atau model-model baru yang telah dicoba-coba dan dilakukan oleh penyerang. Serangan Dos & DDoS Denial of Services / Distributed DoS, yaitu serangan yang akan Melumpuhkan sistem agar pengguna yang sah tidak dapat mengakses sistem tersebut, ada banyak Metode yang digunakan, seperti Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way handshake) dan akhirnya Membuat server ‘bingung’ hingga down Serangan ini Sering dilakukan “script kiddies” yang tidak dapat masuk ke sistem atau hanya sakit hati di komunitas
Trend keamanan dan Serangan komputer| ver 1
2
SYN Flood & UDP Flood, metode yang dilakukan oleh penuerang yang membuat sebuah server di penuhi dengan permintaan dari paket-paket SYN yang tidak lengkap, Akhirnya akan membuat overhead pada server dan hasilnya adalah DoS, sedangkan UDP bersifat connectionless, tidak memperhatikan apakah paket telah diterima atau tidak Mirip dengan ICMP flood, UDP flood dikirim dengan tujuan untuk memperlambat sistem sampai dengan sistem tidak bisa mengendalikan koneksi yang valid Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way handshake). Proses 3 way handshake seperti gambar 1 adalah proses yang terjadi pada saat sumber dan tujuan melakukan komunikasi dimana proses ini menggunakan protocol TCP yang akan membagi-bagi paket data yang akan ditransmisikan sesuai dengan kesepakatan antara sumber dan tujuan.
Gambar 1. metode 3 way handshake (cisco.com) Serangan dilakukan dengan mesin lain yang disebut zombie, zombie adalah mesin server yang telah dikuasai sebelumnya oleh penyerang untuk menyerang mesin server target lain, hal ini dilakukan agar jejak yang berupa IP address di internet dapat ditutupi dengan menggunakan mesin zombie tersebut. Pada gambar 2 dapat dilihat, penyerang menguasai mesin server lain dahulu yang akan dijadikan zombie, dimana server zombie dipilih oleh penyerang biasanya yang berada di backbone Amerika, kenapa backbone amerika ? karena bandwidth yang berada di backbone amerika pasti besar. Hal ini merupakan syarat mutlak untuk menyerang server tujuan, jika bandwidth mesin zombie kecil atau sama dengan bandwidth server yang akan diserang maka serangan DoS ini akan dapat dicegah oleh mesin firewall. Trend keamanan dan Serangan komputer| ver 1
3
Serangan DoS akan membuat mesin menjadi bingung karena banyaknya paket data SYN yang datang sedangkan mesin tidak mengetahui mesin asal untuk mengembalikan ACK, akibatnya mesin yang diserang disibukan dengan paket-paket data tersebut yang datangnya bertubi-tubi dan banyak. Akibatnya user yang absah yang akan benar-benar memanfaatkan resources pada server tersebut misalnya mail/ web menjadi tidak dapat dilayani karena mesin tersebut sedang sibuk melayani paket-paket serangan tadi, makanya DoS sering disebut SYN FLOOD.
Gambar 2. mesin zombie menyerang server Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services (DdoS), dimana DDoS menggunakan banyak mesin zombie untuk menyerang server tujuan. Akibatnya tidak hanya server tujuan menjadi down bahkan beberapa kasus provider / telco yang memberikan jasa koneksi internet bagi server tersebut juga terkena imbasnya seperti gambar 4, hal ini dikarenakan bandwidth serangan dari zombie akan menyebabkan bootleneck dari aliran bandwidth ke server tujuan. Misalnya, sebuah mail / web server yang berada di server farm sebuah perusahaan, dimana perusahaan ini menyewa pada sebuah ISP A. Bandwidth yang disewa kepada ISP A adalah 512 kbps. Pada saat serangan datang dengan bandwidth misalnya saja totalnya 200 mbps maka serangan tersebut tidak hanya mematikan server perusahaan tersebut tapi juga akan mengganngu distribusi bandwidth di ISP A, apalagi jika ISP A mempunyai bandwidth lebih kecil dari bandwidth serangan. Namun jika bandwidth serangan lebih kecil dari bandwidth yang disewa ke ISP A atau total bandwidht ISP A lebih besar dari serangan maka serangan tersebut dapat dengan mudah dilumpuhkan dengan mesin firewall.
Trend keamanan dan Serangan komputer| ver 1
4
Gambar 3. Serangan metode DDoS Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar dan diatur untuk menyerang secara serentak atau dalam jeda waktu tertentu. DdoS biasanya dilakukan oleh para penyerang bukan amatiran karena penyerang mempunyai banyak mesin zombie yang tersebar diseluruh dunia. Biasanya serangan model ini menyerang server-server pada perusahaan / penyedia jasa yang besar, tercatat seperti Yahoo, e-bay, dan lain-lain telah pernah di DDoS yang tentu saja efeknya mendunia dimana banyak para user yang tidak dapat masuk ke layanan mereka.
Gambar 4. overload pada ISP pada serangan DDoS.
Trend keamanan dan Serangan komputer| ver 1
5
Metode penanganan DoS dan DDoS Ada beberapa cara penanganan untuk serangan ini, seperti ; 1. Lihat ip source dan destination yang diserang, hal ini dilakukan untuk mengetahui ip address dari penyerang dan yang diserang. Untuk melihat ip source dan destinationsnya bisa dilakukan di server /router kita dengan memberikan command tertentu. Contoh : show log /var/tmp/sample | match 222.73.238.152 # Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152 33945 33903
# Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152 51457 33903
# Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152
# Oct 17 15:34:04
202.xxx.xxx.xx
222.73.238.152 38455 33903
IP Destinations
IP Source
1315 33903
Port
2. Block IP address source & Port yang digunakan oleh penyerang dari mesin firewall / router kita, pada saat serangan berlangsung pastilah terdapat ip address penyerang dan port yang digunakan oleh penyerang seperti contoh diatas. 3. Block IP address source dari Firewall, contoh iptables -I FORWARD -s iptables -I FORWARD -s
222.73.238.152/32 -d 0/0 -j DROP 67.18.84.0/24 -d 0/0 -j DROP
Gambar 5. metode block port dan ip address di router / server
Trend keamanan dan Serangan komputer| ver 1
6
4. Kontak Provider untuk membantu block port dan ip source yang menyerang, makanya kontak teknis provider harus diketahui dan sangat berguna jika kita sewaktu-waktu kita membutuhkannya, kontak bisa berupa telpon langsung ke NOC/Admin atau bisa dilakukan dengan chat dari YM. 5. Amati model serangan berikutnya, pengamatan ini dilakukan untuk melihat model serangan berikutnya dan mungkin saja ip address lain dari sumber daya jaringan kita 6. Laporkan ke
[email protected] pemilik IP address tersebut, jadi pada saat kita mengetahui IP Address sumber serangan maka secepatnya mengirimkan abuse ke pemilik IP tersebut agar bisa ditindaklanjuti lebih jauh. Untuk mengetahui pemilik IP address tersebut bisa klik http://wq.apnic.net/apnic-bin/whois.pl dan masukan IP tersebut, contoh : % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html 222.64.0.0 - 222.73.255.255 inetnum: netname: CHINANET-SH descr: CHINANET shanghai province network descr: China Telecom descr: No1,jin-rong Street descr: Beijing 100032 country: CN admin-c: CH93-AP tech-c: XI5-AP changed:
[email protected] 20031024 mnt-by: APNIC-HM mnt-lower: MAINT-CHINANET-SH mnt-routes: MAINT-CHINANET-SH status: ALLOCATED PORTABLE source: APNIC person: Chinanet Hostmaster nic-hdl: CH93-AP e-mail:
[email protected] address: No.31 ,jingrong street,beijing address: 100032 phone: +86-10-58501724 fax-no: +86-10-58501724 country: CN changed:
[email protected] 20070416 mnt-by: MAINT-CHINANET source: APNIC person: Wu Xiao Li address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC country: CN phone: +86-21-63630562 fax-no: +86-21-63630566 e-mail:
[email protected]
Trend keamanan dan Serangan komputer| ver 1
7
7. Lakukan kerjasama dengan admin pemilik IP add penyerang dan lakukan cek dan ricek sebelum membuat statement kalau memang IP Address tersebut adalah penyerangnya karena bisa saja itu adalah mesin zombie. 8. Catat semua kejadian untuk menjadi pembahasan
untuk pembelajaran metode
serangan dan dokumentasi jika nanti diperlukan pada saat penyelesaian secara hukum. 9. Edukasi user untuk memperhatikan “etika” di internet, etika diinternet misalnya ; •
Jangan pernah mendownload dari stus-situs yang tidak terpecaya
•
Jangan melakukan kegiatan hacking dan lainnya dari internal jaringan kita
•
Pada saat dikomunitas milist / forum jangan pernah memancing kemarahan pihak lainnnya.
Kegiatan Port Scanning Mencoba-coba untuk mengetahui port / layanan yang tersedia di server, dengan harapan sistem akan menjawab request, dengan menggunakan tools script kiddies biasanya penyerang melakukan scanning terlebih dahulu mesin tujuan, untuk mengetahui layanan apa saja yang tersedia. Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna untuk mencari celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan kita dengan harapan ada jawaban dari dalam jaringan kita. Penangananya kita dapat menggunakan IDS yang akan dijelaskan nanti dan catat dari log system serta Tutup / close layanan yang tidak digunakan
Gambar 6. port scanning yang dilakukan
Trend keamanan dan Serangan komputer| ver 1
8
Social Engineering Metode serangan ini termasuk kategori non teknis karena ”serangannya” melalui penetrasi secara sosial, metode ini Memanfaatkan human error karena erhubungan dengan psikologis manusia, interaksi manusia & sifat dasar manusia, secara sosial manusia akan menjawab pada saat ditanya oleh penanya apalagi dengan sikap dan atitude orang yang diajak bicara dengan sopan secara alami kita akan merespon si penanya. Cara ini biasanya untuk mendapatkan informasi (seperti password id) dari seseorang tanpa melakukan penetrasi terhadap sistem komputer, Umumnya cara yang dilakukan tidak langsung menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Biasanya kegiatan ini melakukan seperti ; •
Bertanya password ke pegawai via telp
•
Mencuri dari “kotak sampah”
•
Mencuri data/informasi dengan berpura-pura sebagai tamu, pegawai, atau inspektorat
•
Berlagak seperti “orang penting” dengan penetrasi orang
•
Menggunakan media telp, surat, email
Para penyusup yang menggunakan cara ini biasanya menggunakan beberapa langkah, diantaranya ; •
Information gathering, mengumpulkan sebanyak mungkin informasi awal
•
Development of relationship, melakukan pengenalan diri dan pendekatan secara pibadi lewat telpon, chat, mail…
•
Exploitation of relationship, mencari informasi yang dibutukan, ex : password, kekuatan server, jenis server, …
•
Execution to Archive Objective, pelaksanaan aksi
Ada beberapa contoh yang dapat penulis gambarkan tentang metode ini, jika kita analisa efek dari social engineering sangat luar biasa karena mendapatkan informasi dengan cara yang bukan teknis : 1. sebuah film yang berjudul ‘Take Down’ dimana film tersebut dibuat dari cerita asli tentang pertempuran cyber antara hacker dan cracker yaitu Tsnomu Tsinomura dan Kevin mitnick. Di film tersebut terlihat Kevin mitnick melakukan Social engineering untuk mendapatkan informasi lewat menelpon korban, dengan suara yang menyakinkan dan dilator belakangi dengan informasi yang cukup maka Kevin menelpon dan menanyakan beberapa informasi awal untuk mendapatkan file atau informasi di mesin server korban.
Trend keamanan dan Serangan komputer| ver 1
9
2. seorang cracker ingin mencari informasi user name yang absah pada salah satu ISP (Internet Service Providers), cracker akan mencoba menghubungi pihak customer service ISP tersebut dan mengatakan bahwa ingin merubah password yang lama atau memberikan alasan bahwa telah lupa password. Hal ini mungkin saja terjadi dan efektif dalam kasus-kasus tertentu, contoh lainnya seorang mencari serpihan-serpihan informasi dari kotak sampah di sebuah hotel berbintang, mencoba keberuntungan mencari nomer kartu kredit atau hal lainnya yang berhubungan dengan informasi pengguna. Atau bekerja sama dengan pihak dalam sendiri untuk mencuri informasi dari seorang user. 3. Acara promo CC disebuah mall, para sales dengan ramahnya memberikan penawaran dan kemudahan CC dari sebuah bank baru yang menjanjikan. Aplikasi CC akan sangat cepat diproses jika calon client mempunyai CC dari bank lain, tinggal di fotocopy beserta KTP dan dalam 2 hari aplikasi CC dapat “approve”, dengan mudahnya kita memberikan salinan CC dan KTP pada orang yang tidak kita kenal dan belum tentu “berhati bersih” bisa saja salinan tadi digunakan untuk carder… 4. Contoh dibawah ini saya kutip dari majalah ebizzasia.com, yang menceritakan teknik social engineering pada kasus sebuah bank. Teknik ini hanya bermodalkan penampilan yang menarik, suara yang bersahabat, pujian, atau bisa juga dengan cara melakukan tekanan agar lawan bicara menjadi panik dan menjadi irasional atau lupa terhadap prosedur yang seharusnya dijalankan. Berikut ini contoh social engineering yang dilakukan dua orang, katakanlah namanya Benny dan Lisa, untuk mendapatkan informasi PhoneID yang digunakan untuk verifikasi transaksi perbankan melalui telephone. Suatu hari, Benny dan Lisa sedang berada di suatu Bank XYZ, mengamati nasabah yang akan mengajukan aplikasi layanan transaksi perbankan via telephone. Setelah melihat ada seseorang yang akan mengajukan aplikasi tersebut, Beny turut mengantri di belakang lelaki tersebut. Pada saat gilirannya, Benny mulai melancarkan aksinya dengan pertama-tama memberikan sanjungan atas bros yang dipakai petugas bank tersebut dan sekaligus mengingat nama yang tertulis dilencananya. Selanjutnya Benny mengajukan beberapa pertanyaan berikut kepada customer service bank tersebut: Benny: Rasa-rasanya orang yang mengantri tadi adalah teman saya waktu di SMA .. tapi saya ragu untuk menegur duluan, takut salah. Boleh tahu mbak, nama bapak tadi. Lilis (petugas bank) : Oh ... tadi pak Darwin Sudarta. Benny : Ah benar kan .. dia itu ketua OSIS, dulu teman baik saya .. kumisnya membuat pangling. Sayang saya tidak menegur, padahal saya coba cari alamatnya ke teman-teman yang lain tapi tidak ada yang tahu. Benny : Mmm ... apakah si Darwin ada nomor handphonenya mbak ? (Benny sengaja menggunakan kata si Darwin bukan pak Darwin supaya kelihatan memang teman dekatnya). Lilis : HPnya 0832 xxx (Dengan berpura pura Benny menekan nomor handphonenya dan seolah olah berbicara dengan Darwin didepan Lilis sambil menunggu aplikasinya selesai diperiksa.) Trend keamanan dan Serangan komputer| ver 1
10
Sesaat kemudian dari telepon umum Lisa (teman Benny) menelpon Pak Darwin. Lisa : Selamat siang Pak Darwin, saya Lilis petugas Bank XYZ yang menangani aplikasi bapak tadi. Kelihatannya Bapak salah mengisikan tanggal lahir karena yang tercantum disini adalah tanggal hari ini, dan saya juga mohon maaf karena tidak melakukan verifikasi sebelumnya. Darwin : Oh ya ? Ok tanggal lahir saya 17 Agustus 1965. Lisa : Saya juga ingin memverifikasi data lainnya supaya tidak salah entry; nama bapak, Darwin Sidarta ? (Lisa sengaja mengatakan Sidarta bukan Sudarta). Darwin : Bukan Sidarta tapi Sudarta; Siera Uniform ...dan seterusnya Lisa : Oh maaf pak .. boleh tolong dieja juga nama ibu kandung Bapak. Darwin : Tanggo India ... dan seterusnya Sampai tahap ini, Benny dan Lisa sudah dapat informasi yang cukup, hanya satu yang kurang yaitu PhoneID. Tapi hal ini bukan kesulitan bagi mereka berdua, ke esokan harinya Benny menelpon call center Bank XYZ berpura-pura sebagai Pak Darwin. Petugas Bank (PB): Hallo Bank XYZ, ada yang dapat dibantu Benny : Saya Darwin Sudarta, ada sedikit kesulitan untuk melakukan transaksi via telephone karena lupa PhoneID dan kertas catatan PhoneID saya ada di laci kantor yang terkunci sedangkan sekarang saya sedang di luar kota. Bisa minta tolong sebutkan nomor PhoneID saya mbak ? PB: Bisa, tetapi bapak harus datang ke kantor kami, atau dapat dikirim via pos ke alamat yang tertulis pada lembar aplikasi. Benny : Wah repot dong .. padahal saya akan seminggu di Banyuwangi dan perlu transaksi sekarang. Tahu begini saya tidak menggunakan Bank XYZ karena Bank lain prosedurnya gampang. Ngomong-ngomong saya bicara dengan siapa ? (Sengaja Benny membandingkan dengan bank lain dan menanyakan nama petugas bank dengan nada sedikit tinggi). PB : Mmm baik pak, apakah Bapak dapat memberikan informasi tanggal lahir dan nama Ibu kandung Bapak ? Benny : tanggal lahir saya .. PB : PhoneID Bapak ..
Ping Of Death Kegiatan yang mengirinkan ICMP dengan paket tertentu yang besar dengan harapan membuat sistem akan crash, hang, reboot dan akhirnya DoS, tapi metode ini sangat gampang dicegah dengan memasukan rules ICMP syn request di proxy/firewall/router. Misalnya rulesnya hanya boleh melakukan ping ke subnet tertentu. Java / Active X Saat ini sejak berkembangnya Web 2.0 banyak sekali varian content yang beragam. Konsep client-server yang digunakan di internet saat ini semakin beragam, penggunaan konsep clientserver ini juga yang banyak digunakan oleh para pembuat virus/trojan/cracker untuk masuk dan melakukan penetrasi sistem. Komponen ActiveX yaitu executable program yang built-in pada situs web, jadi jika masuk ke web site ini maka browser akan me-load halaman web ini beserta built-in component-nya, dan menjalankannya pada komputer kita. Contoh real dari client-server ini adalah Game online dari sites tidak terpecaya Trend keamanan dan Serangan komputer| ver 1
11
Gambar 7. metode client-server melakukan koneksi ke server Pada saat content sebuah web di load ke browser client, ada beberapa script yang di execute disisi client. Script ini nantinya yang akan digunakan untuk dapat bertukar data data dengan server misalnya saja kasus games-games online yang dibuat dengan flash script. Dimana script di load sepenuhnya di client namun pada saat score/pergantian karakter dan sebagainya akan diberikan dan diproses oleh server. Hal inilah yang memungkinkan sebuah malcode jahat bisa mencuri informasi dari pc client dan diberikan ke server tujuan.
Gambar 8. Contoh popup untuk menjebak user
Sniffing Packet Melakukan “mata-mata” paket data yang lewat pada jaringan lokal tertentu dalam satu collision dan broadcast, biasanya untuk mendapatkan password. Metode ini Biasanya ditanam pada server di NIC tertentu atau pada sebuah pc pada sebuah network. Serangan ini dapat berhasil dengan baik jika jaringan kita menggunakan perangkat Hub.
Trend keamanan dan Serangan komputer| ver 1
12
Gambar 9. contoh penggunaan dsniff yang berguna capture paket data Input Systems Saat ini Web yang semakin beragam dan dinamis,trend ini menuju ke Content Web 2.0 yang bersifat jejaring dan full interaksi antara pengunjung dan web tersebut. Sudah menjadi trend dan menjadi hal yang biasa saat ini perusahaan/ institusi dan lain-lain mempunyai website dari sekedar cuman menampilkan company profile sampai dengan system informasi yang berbasis online, hal ini disebabkan karena Web yang bersifat cross platform yang dapat diakses dari mana saja dengan perangkat apa aja asal menggunakan browser. Beberapa serangan yang dapat dikategorikan sebagai Input Systems. SQL Injections suatu metode untuk memanfaatkan kelemahan pada mesin server SQLnya, misalnya server yg menjalankan aplikasi tersebut. Hal ini dilakukan dengan mencoba memasukkan suatu script untuk menampilkan halaman error di browser, dan biasanya halaman error akan menampilkan paling tidak struktur dari hirarki server dan logika program. Metode ini memasukan “karakter” query tertentu pada sebuah “text area” Trend keamanan dan Serangan komputer| ver 1
13
atau di address browser dengan perintah-perintah dasar SQL seperti SELECT, WHERE, CREATE, UPDATE, dan lain-lain.
Gambar 10. metode penggambaran request di web server Ada beberapa metode yang digunakan penyerang untuk melakukan SQL Injection, dari gambar diatas terlihat DB yang digunakan untuk menyimpan data. Biasanya digunakan beberapa metode seperti 1-tier, 2-tier layer pengaksesan dari web server ke DB. Jadi request dari client tidak akan langsung ke DB namun diterjemahkan oleh web server dan diquerykan oleh web applications. Kelemahan yang biasanya dicoba adalah di bagian web server dengan menyerang Daemon web servernya, Web Applications dengan menginject bahasanya, dan DB yang digunakan (Oracle, Postgress, MySQL, SQL Server, dan lain-lain). Query-query yang sering diinjection, seperti ; •
'anything' OR 'x'='x';
•
'x' AND email IS NULL; --';
•
'x' AND userid IS NULL; --';
•
'x' AND 1=(SELECT COUNT(*) FROM tabname); --';
•
'
[email protected]' AND passwd = 'hello123';
Trend keamanan dan Serangan komputer| ver 1
14
Cross site script (XSS) Salah satu type lubang keamanan sistem yang biasa ditemukan di web based applications dengan melakukan code injections dengan malicious web pengguna kepada halaman web yang dilihat oleh user lainnya dimana memungkinkan penyerang untuk mencuri cookies, menipu user dengan memberikan credentials mereka, memodifikasi penampilan page, mengeksekusi seluruh sort dari malicious java-script code RSS Feeds Trend teknologi saat ini dalam dunia web 2.0 seperti RSS (Really Simple Syndication) Sebuah format berbasis bahasa XML yang digunakan untuk sharing dan mendsitribusikan content web ke web lain, seperti headlines. Dengan RSS Feeds ktia dapat melihat berbagai sumber berita dari web yang kita gunakan langsung seperti headlines, summaries hingga full storiesnya. Berita-berita bisa dikutip langsung dari web lain, misalnya dari portal, web berita atau pages tertentu secara otomatis di halaman web yang kita buat (metode dasar hyperlink/ linkupdate). Karena otomatis, berita / content dapat diboncengi oleh trojan/ informasi lain
Trend keamanan dan Serangan komputer| ver 1
15
Gambar 11. Trend RSS Feeds Google Adsense Metode “iklan” yang sesuai dengan tema website yang dibuat tanpa harus melakukan update yang Dilakukan secara online oleh google, dimana Google Adsense akan mencocokan “iklan” dengan content dan kita akan mendapatkan uang pada saat pengunjung menklik linknya
Trend keamanan dan Serangan komputer| ver 1
16
Trend keamanan dan Serangan komputer| ver 1
17
Gambar 12. Contoh Adsense
Buffer Overflow Suatu metode penyerangan dengan memanfaatkan kesalahan / bug dari programming untuk mengeksekusi dan menyisipkan code tertentu, biasanya terdapat pada aplikasi yang ditulis dengan tidak baik atau versi percobaan. Melakukan “eksekusi” program dengan metode berulang-ulang hingga sistem crash
Trend keamanan dan Serangan komputer| ver 1
18
Domain Redirect Pada saat beli domain di domain registrations public, kita akan diberikan user n pass • Membelotkan Domain ke alamat lain, dengan cara menyerang nameservernya atau membuat DNS lain • Menyerang mesin DNS dan membelokan nameserver – Ns1.xxxx.com – Ns2.xxxx.com • Beberapa kasus hanya melakukan password crack untuk redirect domain ini
Gambar 13. Ilustrasi server DNS dunia (root DNS)
Trend keamanan dan Serangan komputer| ver 1
19
Gambar 14. Pendaftaran domain di PANDI Trend keamanan dan Serangan komputer| ver 1
20
Gambar 15. Salah satu tampilan CP untuk mengatur Domain
DNS Poison •
Melakukan injection pada DNS server / membuat DNS menjadi crash, hingga DNS bingung
•
Metode dengan membuat / membeli nama domain yang identik
•
Metode membuat table routing DNS menjadi anomaly
Remote Login •
Biasanya menyerang mesin FTP & SSH
•
Mencoba-coba password default –
•
User : anonymous, pass : empty
Penanganan –
Tutup daemon yang tidak diperlukan
–
Buat policy password
Web Spoofing •
Web Spoofing –
Membuat web lain yang “copy paste/ identik” dari web asli
–
Membeli domain yang yang hampir identik
– •
•
Ex : klikbca.com (existing)
•
Lalu dibeli domain clikbca.com / clickbca.com / clickbca.net
Menangkap user dan password
Penanganan
Trend keamanan dan Serangan komputer| ver 1
21
–
–
Digital Certificate •
Verisign, iTrust, …
•
CA (Certificate Authority)
https
Trend keamanan dan Serangan komputer| ver 1
22
Applications backdoor Kalau kita cerna mengapa perusahaan sebesar microsoft membuat divisi khusus tentang UPDATE/ FIX PROBLEM, jawabannya adalah software house sebesar Microsoft saja yang mempunyai team khusus R&D yang handal masih mensisahkan bug/ problem/ anomaly dari software-software yang mereka buat. Begitu juga di OS linux pasti distro-distro membuat update-update untuk kernelnya. Baik dari Sistem Operasi, Office, dan aplikasi lainnya begitupun beberapa Aplikasi s/w dengan based OS apapun yang ada dipasaran mempunyai backdoor / vurnerability yang dapat dijadikan backdoor. Para pembuat script tersebut pastilah tidak dapat sepenuhnya membuat secara sempurna software mereka, hal inilah yang dijadikan oleh para penyerang untuk melakukan serangan. Kebanyakan serangan dengan memanfaatkan celah ini adalah kesalahan-kesalahan logika pemrograman atau aplikasi-aplikasi yang uncompatible dengan aplikasi lainnya yang jika melakukan eksekusi tertentu menyebabkan / menghasilkan suatu proses tertentu. Makanya beberapa vendor software menyiapkan service pack / update patch di web mereka untuk mencegah atau menangani permasalahan ini, celah / vurnerability biasanya ditemukan setelah produk tersebut dilauncing kepasar dan dicoba oleh banyak user atau ditemukan kasuskasus penyerangan yang masuk dari aplikasi tersebut. Beberapa celah yang dimanfaatkan penyerang dari bug software, seperti ; • System – Webserver (apache, IIS) – database server (MsSQL, Postgress, Oracle,…) – Web based Language (PHP, ASP, JSP, …) • Spreadsheet, download manager, P2P, … • CMS systems vurnerability
Trend keamanan dan Serangan komputer| ver 1
23
SMTP Session Hijacking • Simple Mail Transfer Protocol, metode untuk merebut daftar mail yang digunakan untuk mengirimkan junk mail ke ratusan/ jutaan mail account lainnya, atau keperluan social engineering • Mengelabui dengan membuat email terkirim dari server yang telah di hijack Email Bombs Dahulu metode ini banyak ditemukan jika menggunakan daemon tertentu atau OS tertentu untuk membuat mail server. Ilustrasinya, seseorang dapat mengirimkan banyak mail ke sebuah account yang valid pada sebuah mail server, dimana satu mail yang dikirim mempunyai attachment file misalnya saja 2 mega yang melebihi quotanya. Bayangkan saja satu file di download dari account mail kita dengan menggunakan koneksi dial-up. Belum lagi kemampuan dari daemon mail tersebut mempunyai banyak bug misalnya akan hang/crash disaat ada account yang dikirimi secara serentak, apalagi dilakukan secara terus-menerus, serentak dan bersamaan hingga server crash & down Saat ini serangan ini dapat dicegah dengan membuat rules di firewall/Proxy / router kita •
Atur di firewall paket data yang boleh masuk ke jaringan DMZ (mail server berada di DMZ)
•
Drop jika ada paket data yang mencoba mengirim ke mail server melebihi nilai paket tertentu
Password default Keamanan yang paling mudah digunakan adalah authentikasi yang menggunakan user dan password. Banyak sekali ditemukan para admin atau web master menggunakan user dan password standar atau tidak dirubah sama sekali, dimana user dan password tersebut masih menggunakan default dari vendor pembuatnya. Baik password default untuk di perangkat jaringan atau password default untuk di aplikasi webbased. Sebut saja solusi Content Management Systems (CMS) seperti pembanguan sebuah web/portal dengan solusi CMS ini, penulis perhatikan banyak sekali masih menggunakan user dan password default dari mamboo/joomla/drupal/Aura/ dan lain-lain. Password default – •
Terutama web yang dibangun dengan CMS
Penanganan –
Atur direktori administrator
Trend keamanan dan Serangan komputer| ver 1
24
–
Buat policy tentang password
–
Update pacth CMS yang digunakan
User n pass perangkat Router, linksys, 3com, dsb
Trend keamanan dan Serangan komputer| ver 1
25