Embed Size (px)
Citation preview
iv
Penetration Testing Sistem Jaringan Komputer Untuk Mengetahui
Kerentanan Keamanan Server Dengan Menggunakan Metode Penetration
Testing Execution Standart (PTES) studi kasus Rumah Sakit Santa Clara
Madiun.
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
Untuk memperoleh gelar Sarjana Komputer
Oleh :
Eka Leonardus Dian Suradji (672009317)
Dian Widiyanto Chandra, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Oktober 2014
v
Penetration Testing Sistem Jaringan Komputer Untuk Mengetahui
Kerentanan Keamanan Server Dengan Menggunakan Metode Penetration
Testing Execution Standart (PTES) studi kasus Rumah Sakit Santa Clara
Madiun.
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
Untuk memperoleh gelar Sarjana Komputer
Peneliti :
Eka Leonardus Dian Suradji (672009317)
Dian Widiyanto Chandra, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Oktober 2014
i
ii
iii
iv
v
vi
Penetration Testing Sistem Jaringan Komputer Untuk
Mengetahui Kerentanan Keamanan Server Dengan
Menggunakan Metode Penetration Testing Execution Standart
(PTES) studi kasus Rumah Sakit Santa Clara Madiun. 1)
Eka Leonardus Dian Suradji, 2)
Dian Widiyanto Chandra
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
Email: 1)
2)
Abstract
Server network security is highly needed to avoid data or information stealing, but
sometimes it is ignored because the companies has already felt secure with the server
network security’s condition and the existing problems have not disturbed the work
activities by installing antivirus on the server, the companies feel that cybercrimes can be
avoided but they do not know that the existing vulnerability if the server is installed by
default, moreover, with the opening of port which is used by the companies to share data
with other computers. As the implication is, penetration testing is needed to be done to
know the vulnerability of the server using Penetration Testing Executable Standard
(PTES) method, where the vulnerability of Server Message Block (SMB) and Remote
Procedure Call (RPC) in the server can be exploited and gives the permission to the
hacker to manipulate data on the capable server found in this study.
Keywords: server network security, penetration testing, exploitation, penetration testing
executable standard (PTES).
Abstrak
Keamanan jaringan server sangat diperlukan untuk menghindari pencurian informasi atau
data tetapi keamanan server sering diabaikan karena perusahaan sudah merasa aman
dengan kondisi keamanan jaringan server yang perusahaan miliki dan permasalahan yang
ada belum mengganggu aktivitas kerja dengan memasang antivirus pada server,
perusahaan merasa kejahatan dunia maya dapat dihindari tetapi tidak mengetahui
kerentanan yang ada jika server hanya terinstal secara default terlebih dengan terbukanya
port yang digunakan oleh perusahaan untuk berbagi data dengan komputer lain, sehingga
perlu dilakukan penetration testing untuk mengetahui kerentanan pada server dengan
menggunakan metode pada PTES (Penetration Testing Executable Standart) dimana
pada penelitian ini ditemukan kerentanan SMB (server message block) dan RPC (remote
procedure call) pada server yang dapat dieksploitasi serta memberi penyerang hak akses
terhadap server yang mampu memanipulasi data pada server.
Kata kunci : Keamanan Jaringan Server, Penetration testing, eksploitasi, PTES
(Penetration Testing Executable Standart).
1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas
Kristen Satya Wacana 2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana
1
1. Pendahuluan
Perkembangan teknologi yang begitu pesat memungkinkan manusia untuk
berkomunikasi serta bertukar data dengan lebih mudah dan cepat. Sehingga
diperlukan suatu sistem untuk menyimpan informasi yang akan diolah menjadi
sebuah data. Dalam jaringan komputer keamanan server sangat diperlukan untuk
mengatur trafic dari jaringan, memanagemen autentifikasi dari user dan
menghindari pencurian informasi/data. Keamanan server ini sering diabaikan
karena perusahaan merasa aman dengan kondisi keamanan jaringan yang dimiliki
sehingga kejahatan dunia maya sering terjadi dan merugikan perusahaan. Dari
permasalahan tersebut maka penetration testing perlu dilakukan untuk mengetahui
kerentanan terhadap sistem sehingga administrator dapat melakukan pencegahan
terhadap tindakan penyerangan pada server. Dalam melakukan penetration testing
para praktisi keamanan jaringan membuat sebuah standarisasi untuk
mempermudah para pelaku penetration testing melakukan pengujian, PTES
(Penetration Testing Executable Standart) merupakan salah satu standar yang
dibuat oleh para praktisi tersebut. Penelitian ini akan melakukan pengujian
terhadap kerentanan dari keamanan server dalam jaringan baik dari kesalahan
user maupun dari keamanan sistem untuk mengetahui seberapa besar kerentanan,
serangan dan resiko yang dapat terjadi. Pengujian ini bertujuan untuk memberikan
gambaran tentang kondisi keamanan jaringan dan bagaimana serangan tersebut
dapat terjadi sehingga administrator dapat mengetahui kondisi keamanan jaringan
pada Rumah Sakit Santa Clara.
2. Tinjauan Pustaka
Penetration testing merupakan akusisi (pengambil alihan) secara tidak sah
dari otoritas yang sah dimana praktek ini menunjukkan kelemahan yang
didapatkan dan memanfaatkan celah tersebut untuk sebuah kepentingan tertentu.
Mengetahui tingkat keamanan jaringan dapat dilakukan dengan teknik controlled
hacking. Penetration testing lebih cenderung fokus kepada seni hacking dari pada
ilmu pengetahuan, perbedaan ini didasarkan karena penetration testing belum
tentu dapat membuktikan adanya kerentanan. Pengujian yang gagal menemukan
kerentanan juga belum tentu hasil dari penetration testing yang buruk [1].
Pre – engagement, Sebelum memulai pengujian membutuhan beberapa
pertimbangan seperti cakupan pengujian, batasan pengujian, jangka waktu
pengujian, tipe pengujian (whitebox, blacbox), dan persetujuan dari pihak – pihak
berkaitan [2]. Pre – engagement merupakan tahap yang akan muncul saat tester
berbicara kepada client mengenai ruang lingkup dari penetration test yang akan
dilakukan. Hal ini sangat penting saat tester menyampaikan tujuan dari
mengadakan pengujian. Tahapan ini juga merupakan tahapan pengumpulan data
sebelum melakukan penetrasi terhadap sistem [3]. Intelligence gathering,
merupakan tahap dimana peneliti mengumpulkan informasi mengenai perusahaan
yang berpotensi untuk dijadikan media dalam merencanakan model penyerangan
seperti social enginering attack, serangan fisik, ataupun serangan logika [2].
Salah satu kemampuan yang paling penting dari pelaku penetration testing adalah
kemampuan untuk mempelajari target seperti seperti apa kebiasaan korban,
bagaimana cara kerjanya, dan bagaimana akhirnya dapat diserang [3].
2
Thread modeling, ketika didapatkan model ancaman yang paling mungkin
terjadi maka perlu ditentukan serangan yang efektif digunakan, jenis informasi
yang akan didapat, dan seperti apa perusahaan tersebut dapat diserang serta
menentukan apa yang diinginkan dari penyerang saat menemukan kerentanan
tersebut [3]. Penetration testing merupakan model ancaman menyerupai tree
flowchart yang dikembangkan dan menemukan celah dimana setelah melakukan
penyerangan dapat dikembangkan untuk membuat jenis serangan baru [4].
Vulnerability analysis, setelah mengidentifikasi serangan yang mungkin terjadi
maka perlu dicari tahu bagaimana dapat melakukan akses kepada target dengan
melakukan analisis terhadap kerentanan yang didapat dengan mengkombinasi
semua informasi yang diperoleh dan menentukan serangan yang sesuai dan dapat
dilakukan [3]. Mengidintifikasi kerentanan sangat diperlukan untuk menentukan
celah yang berpotensi untuk diuji dari lingkungan secara keseluruhan [2].
Informasi dari kerentanan, sistem komputer dan jaringan yang telah diuji dan
dianalisa untuk mencari kelemahan khusus dengan mempertimbangkan
konfigurasi, kerentanan, dan topologi [5].
Exploitation testing, eksploitasi adalah serangan terstruktur dan terukur
berdasarkan celah yang didapat, serangan yang berlebihan dan berharap dengan
shell tidak akan produktif, mengganggu dan hanya memberikan kontribusi yang
kecil kepada pelaku penetretion test dan bagi perusahaan [3]. Setelah hacker
mengumpulkan cukup informasi dan telah disatukan dengan jumlah yang wajar
dari informasi jaringan ataupun sistem yang mereka serang, dan memiliki
rancangan rencana awal serangan, maka hacker dapat memulai eksploitasi dan
invasi [6]. Post exploitation, mempertahankan dan meningkatkan hak akses
istimewa, meningkatkan kemampuan meterpreter, merubah hak akses account
dari tipe OS (Operating System) yang berbeda, dan membersihkan jejak setelah
meninggalkan sistem yang diserang [2]. Penyerang membedakan aktivitas dari
yang sebelumnya dan bertindak jauh lagi dalam sistem dengan mengidentifikasi
infrastruktur yang kritis, mengetahui spesifikasi dari sistem, dan mengetahui
informasi atau data yang paling berharga dari perusahaan yang dicoba untuk
diamankan jika perlu juga diadakan demonstrasi serangan yang akan berdampak
besar pada perusahaan [3]. Reporting, merupakan bagian penting dari penetration
test dimana saat berperan sebagai penyerang ditemukan beberapa poin penting
yang jarang sekali perusahaan ketahui. Laporan akan memberitahukan tentang apa
yang dilakukan, bagaimana melakukannya, dan yang terpenting adalah bagaimana
instansi tersebut membenahi kerentanan yang ditemukan selama penetration
testing [3].
3. Metode dan Perancangan Sistem
Perancangan yang digunakan dalam penelitian ini menggunakan metode
pada PTES untuk mencapai tujuan dari penelitian ini. PTES merupakan metode
yang dibuat oleh para praktisi keamanan jaringan yang membetuk sebuah
organisasi keamanan jaringan. Metode tersebut antara lain pre – engagement,
intelegent gathering, thread modeling, vulnerability analysis, explitation testing,
post exploitation, dan reporting. Penjelasan mengenai metode pada Gambar 1
berdasarkan pada website PTES www.pentest-standard.org.
3
Gambar 1 Tahapan Penelitian.
Pre – engagement ini dilakukan dengan cara berdiskusi antara penguji,
pemilik (direktur), dan administrator IT (Information Technology) Rumah Sakit
Santa Clara Madiun dimana akan dibuat kesepakatan untuk melakukan penelitian
tentang penetration testing yang akan dilakukan, sehingga penelitian ini tidak
merugikan pihak manapun dan tidak dianggap sebagai kegiatan yang melanggar
hukum. Dalam penelitian ini penetration testing dilaksanakan tanpa mengganggu
kegiatan lain yang sedang berjalan dalam jaringan maupun dalam server serta
tidak akan melakukan tindakan yang akan merusak sistem seperti tidak melakukan
DOS (Denial Of Service) dan memasukkan virus yang dapat digunakan sebagai
backdoor serta tidak mengambil data apapun dari server.
Intelligence gathering dengan mengumpulkan informasi dari server korban
untuk mencari informasi yang dibutuhkan. Tahap ini dilakukan dengan cara pasif
dan aktif. Pasive intelligence gathering pada penelitian ini menggunakan media
seperti Google dan perintah “whois” pada terminal untuk mengetahui informasi
server berdasarkan DNS (Domain Name Server), sedangkan active intelligence
gathering dilakukan footprinting dengan menggunakan aplikasi Nmap dan Nessus
dimana aplikasi ini digunakan untuk mencari informasi mengenai korban seperti
port yang terbuka, sistem operasi yang digunakan dan kerentanan apa saja yang
dimiliki oleh server.
Thread modeling adalah pemodelan ancaman yang mungkin terjadi pada Rumah
Sakit Santa Clara dilihat berdasarkan informasi yang dikumpulkan dan kebiasaan
penyerangan di Indonesia seperti pada informasi ID-SIRTII/CC ( Indonesia
Security Incident Response Team on Internet and Infrastructure/Coordination
Center) melalui situs resminya www.idsirtii.or.id dimana perusahaan ini
merupakan perusahaan yang bekerja untuk menangani keamanan jaringan seluruh
Indonesia yang bekerja sama dengan MENKOMINFO (kementrian komunikasi
dan informatika), ISP (internet service provider) dan Telkom Indonesia. Tabel 1
dan Gambar 2 menunjukkan bahwa serangan yang paling banyak dilakukan
adalah eksploitasi menggunakan kode exploit.
4
Tabel 1 Tindakan Kriminal berdasarkan Id-SIRTII/CC
Gambar 2 Grafik Tindakan Kriminal Berdasarkan Informasi Id-SIRTII/CC.
Vulnerability analisis merupakan analisis kerentanan berdasarkan informasi
yang didapat dan merujuk pada model ancaman yang ada untuk membuat suatu
simulasi penyerangan. Analisis kerentanan ini akan menggunakan aplikasi Nmap,
Nessus dan metasploit framework untuk melakukan analisa mengenai port – port
yang terbuka dan service yang berjalan menggunakan port tersebut, sistem operasi
yang digunakan, kesalahan pada sistem operasi dan menentukan celah mana yang
termasuk critical untuk dilakukannya eksploitasi serta menentukan kode exploit
apa yang dapat digunakan dalam melakukan eksploitasi. Exploitation testing
merupakan tahap untuk melakukan eksploitasi berdasarkan pada ancaman yang
dapat terjadi dan kerentanan yang didapat dalam melakukan analisis sehingga
model serangan yang akan dilakukan dapat memenuhi tujuan dari penetration
testing ini. Serangan eksploitasi yang dilakukan menggunakan metasploit
framework dalam membuat shell metasploit, menggunakan Social Enginering
Toolkit untuk membuat serangan dalam bentuk java applet, menggunakan Veil-
Evasion framework untuk membuat file executable yang akan dieksekusi korban.
Post exploitation adalah proses yang dilakukan saat penyerang dapat
masuk dalam sistem server dan apa saja yang dapat dilakukan dalam sistem, pada
proses ini akan dilakukan simulasi pencurian data perusahaan dan memanipulasi
data tersebut kemudian mengembalikan data tersebut serta akan dilakukan
Series 29 30 31 Jun-01 02 03 04 Total
EXPLOIT 7784 6151 16327 68176 12086 17471 6528 134523
SQL 6519 9988 9837 5814 5114 5537 6030 48839
DOS 3963 4034 3424 4351 4286 4186 3611 27855
DDOS 498 408 440 535 421 293 564 3159
BOTNET-CNC 82 173 91 74 162 1323 292 2197
BAD-TRAFFIC 153 147 179 141 138 163 182 1103
ORACLE 144 141 101 108 113 116 130 853
POLICY 45 131 39 74 85 196 140 710
SPYWARE-PUT 107 80 39 30 41 41 50 388
WEB-CLIENT 41 63 26 21 46 39 64 300
Other 27 24 24 40 30 30 24 199
Total 19363 21340 30527 79364 22522 29395 17615 220126
5
perekaman keystroke untuk merekam apapun yang diketikkan oleh user sehingga
memungkinkan bagi penyerang untuk mendapatkan informasi penting lain seperti
alamat email bahkan password dari server tanpa melakukan bruteforce. Proses ini
akan dilakukan dengan menggunakan metasploit framework yang berfungsi
sebagai handler dari meterpreter yang sedang berjalan pada server. Reporting
merupakan proses melaporkan semua kegiatan penetration testing yang telah
dilaksanakan dan melakukan analisis dari proses penyerangan hingga dampak dari
pengujian terhadap server untuk menentukan cara mencegah serangan yang dapat
terjadi pada Rumah Sakit Santa Clara, sehingga administrator dapat memahami
bentuk penyerangan dan segera melakukan tindakan untuk mencegah serangan.
4. Hasil dan Pembahasan
Pre – engagement yang dilakukan pada Rumah Sakit Santa Clara diketahui
bahwa server tidak dapat diakses dari jaringan luar sehingga serangan yang dapat
dilakukan adalah dengan social enginering yang menggunakan kesalahan dari
user untuk melakukan eksploitasi, serangan juga merupakan serangan dengan
metode blackbox dimana penyerang tidak mengetahui informasi dari server.
Teknologi yang digunakan pada server merupakan teknologi yang standar dengan
minimnya lisensi terhadap software, dimana software yang didapatkan di internet
dengan bebas atau tidak full version sehingga mampu dimanfaatkan oleh
penyerang untuk melakukan eksploitasi terhadap server. Pengamanan server saat
melakukan penelitian adalah tidak adanya firewall pada server serta dibukanya
beberapa port pada mesin server dan client yang bertujuan memudahkan
administrator dalam memonitoring user dan dapat melakukan remote kepada
client. Pengamanan server hanya berdasarkan antivirus Smadav yang didapatkan
dengan gratis diinternet.
Active Intelligent Gathering yaitu pencarian informasi yang mampu
dideteksi oleh target sebagai kegiatan yang mencurigakan atau berbahaya karena
mengirimkan paket data yang akan direspon oleh server. Pada bagian ini
dilakukan pemetaan infrastruktur jaringan, membagi celah atau kerentanan dari
service yang terbuka dengan melakukan scanning pada server. Pencarian
informasi ini menggunakan Nmap dengan perintah pada Kode Perintah 1.
Kode perintah 1 Scanning Nmap
Kode perintah 1 menunjukkan bahwa Nmap akan melakukan scanning pada
alamat IP (Internet Protocol) 192.168.1.222 dimana komputer penyerang akan
mengirimkan paket kepada server untuk meminta informasi dari server sesuai
option yang diberikan. Scanning dengan perintah diatas akan mendeteksi sistem
operasi yang digunakan dan melakukan scan pada SYN (synchronize) yang akan
menampilkan port – port terbuka dan service yang menggunakan port tersebut.
Scan SYN disebut juga dengan scanning setengah terbuka (open – half scanning)
karena tidak membuka semua koneksi dan dapat melakukan scanning pada
banyak port dalam waktu yang singkat serta tidak dibatasi oleh firewall.
Komputer penyerang mengirimkan paket SYN kepada server seperti ingin
6
membuat sebuah koneksi sesungguhnya kemudian menunggu balasan. Scanning
ini juga memungkinkan pembedaan yang baik antara port yang terbuka, tertutup,
dan tersaring dengan mengirimkan paket SYN. Jika port mendengarkan dan
memberikan balasan berarti port tersebut terbuka, jika port diberikan paket SYN
dan menerima paket tapi tidak memberi balasan selama berkali – kali maka port
tersebut tersaring, yang tidak menerima paket termasuk tertutup dan hasil yang
akan muncul setelah melakukan scanning dengan Kode perintah 1 ditunjukkan
pada Gambar 3.
Gambar 3 Hasil Scan dengan Nmap
Pencarian informasi juga dilakukan dengan menggunakan Nessus dimana
Nessus melakukan scanning berdasarkan pada policy yang dibuat untuk
memeriksa batasan dari model scanning yang dilakukan kemudian Nessus akan
memeriksa setiap layanan yang berjalan pada port – port yang ada kemudian
melakukan pengujian terhadap layanan tersebut dan mencari ada atau tidak
kerentanan yang dapat digunakan penyerang dalam melakukan serangan kepada
server berdasarkan database dari Nessus sehingga diketahui informasi pada
server. Pencarian informasi menggunakan Nessus ini dapat diketahui bahwa
sistem operasi yang dipakai adalah Microsoft Windows Server 2003 SP (service
pack) 1, dan terdapat 6 (enam) port terbuka saat diperiksa dan hasilnya
ditunjukkan pada Gambar 4.
Gambar 4 Hasil Port Scan Nessus
7
Hasil scan menggunakan Nmap dan Nessus diperoleh informasi target
dengan alamat IP 192.168.1.222 aktif dengan latency pengiriman paket sebesar
0.00018 detik, saat melakukan scanning melaporkan 6 port terbuka dan service
yang menggunakan port tersebut yaitu port 135 yang berjalan pada protokol TCP
(Transmission Transport Protocol) dan menjalankan service MSRPC (microsoft
remote procedure call), port 139 yang berjalan pada protokol TCP yang
menjalankan service NETBIOS-SSN (network basic input/output system-session
service), port 445 yang berjalan pada protokol TCP yang menjalankan service
MICROSOFT-DS (microsoft directory services), port 1026 yang berjalan pada
protokol TCP dan menjalankan service LSA-or-NTERM (local security
authority), port 5800 yang berjalan pada protokol TCP dan menjalankan service
VNC-HTTP (virtual network computing – Hipertext Transport Protocol), port
5900 yang berjalan pada protokol TCP dan menjalankan service VNC (virtual
network computing). Gambar 4 juga menunjukkan footprinting berupa informasi
seperti sistem operasi yang digunakan yaitu sistem operasi Microsoft Windows XP
SP 2 atau Windows Server 2003 SP 1 atau 2 berdasarkan informasi database
Nmap mengenai OS CPE (operating sistem common platform enumeration) yaitu
standarisasi terhadap platform aplikasi, sistem operasi dan hardware. Informasi
lain yang didapat menggunakan Nessus ini juga didapat bahwa terdapat celah atau
kerentanan yang temasuk dalam kategori critical yaitu MS06-040 yaitu
kerentanan pada service server yang mengijinkan remote menggunakan code
execution, MS08-067 yaitu kerentanan dari service server yaitu kerentanan yang
menggabungkan permintaan penanganan RPC (remote procedure call) dari
remote menggunakan code execution dimana komunikasi antar proses yang
mengijinkan program komputer dan subroutine (perintah dalam program untuk
melakukan tugas tertentu) untuk dijalankan pada komputer lain, MS09-001 yaitu
kerentanan pada SMB (Server Message Block) untuk remote menggunakan code
execution. Server juga memungkinkan untuk dilakukan remote dengan melakukan
pengiriman request, melakukan koneksi dan memaksa masuk pada port/pipe yang
menjalankan epmap sevice serta keamanan pada VNC server yang memerlukan
autentifikasi dari administrator.
Passive Intelligent Gathering yaitu mencari informasi tanpa mengirimkan
paket data kepada server karena hanya meminta informasi server yang
informasinya telah terdaftar baik berupa DNS (Domain Name Server) maupun
alamat IP sehingga tidak terdeteksi. Passive intelligent gathering dilakukan
dengan menggunakan pencarian “whois” untuk mencari informasi dari DNS web
server yang dibantu dengan pencarian informasi dengan Google Search Engine.
8
Gambar 5 Pencarian Informasi dengan “whois”
Informasi pada Gambar 5 menunjukkan bahwa domain rs-santaclara.org tidak
diperbolehkan melakukan transfer dari client serta nama admin dari perusahaan
juga di proteksi. DNS ini tidak berada dalam server Rumah Sakit Santa Clara
melainkan berada pada server tersendiri yaitu pada server NS6.JOGLO-
ITCENTER.COM.
Thread Modeling Berdasarkan informasi yang didapatkan maka ancaman
yang mungkin terjadi adalah eksploitasi menggunakan kerentanan dari server
yaitu SMB service dimana dengan mudah dilakukan ekploitasi pada server.
Eksploitasi yang dapat terjadi juga memanfaatkan kerentanan dari user yang
masih menggunakan software tidak berlisensi dan didapatkan dengan mudah
diinternet sehingga software tersebut dapat disisipi payload yang jika dieksekusi
akan menjalankan shell code dan memberikan koneksi kepada penyerang untuk
melakukan eksploitasi, serangan lain juga dapat berbentuk link yang mana jika
link tersebut dibuka maka akan mengirimkan paket yang mengandung payload
dan jika paket tersebut dieksekusi akan membuat koneksi dengan komputer
penyerang.
Vulnerability Analysis dilakukan dengan menggunakan hasil informasi yang
didapat dari Nmap dimana menunjukkan port – port terbuka dan service yang
berjalan pada port tersebut. Informasi dari port terbuka dan service yang berjalan
pada port ini dapat dilakukan penyerangan ketika service yang menggunakan port
tersebut memiliki bug (eror) atau juga service yang menggunakan port tersebut
tidak berjalan, sehingga dilakukan analisis dengan menggunakan aplikasi Nessus
untuk mencari kerentanan pada service yang dijalankan. Tabel 2 merupakan
kerentanan yang didapatkan saat melakukan scanning menggunakan aplikasi
Nessus. Tabel 2 Vulnerability Analisist
Nama Klasifikasi Keterangan
MS06-040 Critical Kerentanan dalam layanan server yang memungkinkan
melakukan remote execution (921883)
Masalah yang diketahui adalah pengguna menginstal versi
asli dari keamanan terbaru 921883 mungkin telah
dipengaruhi masalah yang mencakup program yang
banyak meminta memori yang berdekatan seperti
Microsoft Business Solution - Navision 3.70. masalah ini
terjadi setelah penginstalan pembaruan keamanan 921883
9
pada komputer yang menjalankan aplikasi 32-bit
Layanan server yang memungkinkan dilakukan
eksploitasi untuk mengambil kontrol penuh dari sistem.
Dapat dilakukan eksploitasi lintas internet.
Penyebab kerentanan adalah unchecked buffer dalam
service server.
MS08-067 Critical Kerentanan disebabkan oleh layanan server yang tidak
benar menangani permintaan RPC.
Kerentanan terhadap buffer overrun.
layanan server yang memungkinkan penyerang untuk
mengeksekusi arbitrary code (kemampuan penyerang
pada sistem untuk melakukan eksekusi perintah apapun
pada komputer target) pada remote host dengan hak penuh
pada sistem.
Kerentanan pada layanan server yang memungkinkan
melakukan remote code execution (958644).
Eksploitasi dapat dilakukan jika korban menerima
permintaan RPC dalam bentuk virus worm yang dibuat
oleh penyerang.
Serangan dapat dilakukan dengan melakukan remote jarak
jauh (lintas internet).
Jika eksploitasi gagal maka dapat mengakibatkan
kerusakan pada layanan Svchost.exe yang berpengaruh
pada layanan server seperti penyediaan data, layanan
printer, dan gangguan pada koneksi antar jaringan.
MS09-001 Critical Kerentanan disebabkan oleh memory corruption pada
SMB dimana software protocol kurang memvalidasi
ukuran buffer.
Kerentanan dapat dipengaruhi oleh remote code execution
yang berpengaruh pada sistem sehingga penyerang dapat
merubah, melihat, menghapus data, menginstall program
bahkan membuat akun baru dengan hak akses penuh.
Protokol software yang khusus menangani SMB paket
yang mana eksploitasi tidak memerlukan otentikasi
dengan mengirimkan pesan paket dalam jaringan kepada
server yang menyediakan layanan ini.
Kerentanan yang berpengaruh besar pada domain
controller.
MS06-035 High Kerentanan yang disebabkan oleh tumpukan overflow
pada server dan keterbukaan informasi dari SMB yang
memungkinkan penyerang mendapatkan bagian dari
memori remote host.
Eksploitasi dapat dilakukan dengan mengirim paket dalam
jaringan yang dapat berpengaruh pada sistem.
Eksploitasi dapat dilakukan antar jaringan internet.
Microsoft
Windows
SMB Null
Session
Authenticatio
n
Medium Penyediaan mekanisme bagi administrator dalam
membatasi otentifikasi dari user berdasarkan daftar yang
tersimpan.
Tidak ada ketersediaan untuk melakukan eksploitasi.
SMB Signing
Required
Medium Signing tidak diaktifkan pada remote SMB server yang
memungkinkan serangan man-in-the-midle terhadap SMB
server.
10
Pengaturan rule yang menentukan apakah paket SMB
signing harus diferifikasi terlebih dahulu sebelum
komunikasi lebih lanjut terhadap SMB client.
Tabel 2 menunjukkan kerentanan yang terdapat pada service microsoft – ds
yang memungkinkan untuk dijadikan celah dalam melakukan eksploitasi. Analisis
kerentanan juga dilakukan dengan mengintegrasikan kerentanan yang ditemukan
pada Nessus dalam Metasploit Framework untuk menentukan kode exploit yang
akan digunakan dalam melakukan eksploitasi. Analisis ini dilakukan dengan
mengambil data dari aplikasi Nessus pada Metaslploit Framework, setelah Nessus
dan Metasploit Framework terhubung maka dilakukan pemanggilan data policy
yang telah dibuat sebelumnya pada jaringan Rumah Sakit Santa Clara dimana
scanning berjalan dalam module background yaitu kondisi scanning yang akan
mengembalikan kondisi sebelum melakukan scanning. Scanning dengan cara ini
bekerja seperti pada scanning pada Nessus yang menggunakan policy pada Nessus
tetapi output yang diberikan bukan hanya informasi kerentanan tetapi juga dengan
kode exploit berdasarkan kerentanan dari Nessus dimana hasil scanning akan
mendapatkan user ID yang perlu diimport dalam database Metasploit Framework
agar dapat dilihat hasil yang lebih mendetail terhadap hasil scan tersebut.
Metasploit framework akan melakukan importing hasil scan tadi dalam database
agar dapat diketahui kerentanan yang didapat dari hasil scaning sehingga dapat
diketahui kerentanan yang ada pada hasil scaning tersebut.
Gambar 6 Integrasi Nessus dengan Metasploit Framework
Hasil importing pada Gambar 6 diketahui kerentanan MS09-001, MS06-
040, MS06-035, MS08-067 yang termasuk kerentanan critical pada Tabel 2
dimana kerentanan pada Gambar 6 merupakan kerentanan server berdasarkan
database dari Metasploit Framework yang berada pada host dengan alamat IP
192.168.1.222 untuk memeriksa kode exploit yang dapat digunakan untuk
melakukan eksploitasi maka dapat dicari dalam database metasploit framework
berdasarkan nama dari kerentanan yang ingin diekploitasi.
11
Gambar 7 Kode Exploit dari Hasil Integrasi Nessus dan Metasploit Framework
Gambar 7 menunjukkan kerentanan dengan nama MS08-067 dapat
dieksploit menggunakan kode exploit yang menggunakan kerentanan SMB netapi
dengan peringkat great dimana kode eksploit ini aman untuk melakukan
eksploitasi dan dapat ditanamkan pada aplikasi tetapi sangat berbahaya bagi
sistem karena cukup sulit untuk dideteksi dan dapat memberikan koneksi kembali
kepada penyerang. Kode explolit memiliki peringkat berdasarkan kehandalan
dalam penggunaannya dan peringkat tersebut ditunjukkan pada Tabel 3. Tabel 3 Peringkat untuk Kode Exploit
Peringkat Penjelasan Dampak Bagi Sistem
Exellent Aman digunakan dalam sistem karena dapat
digunakan sebagai backdoor dan memberikan
hak akses berulang – ulang kepada penyerang
tanpa mengganggu proses pada sistem.
Sangat berbahaya karena sulit
untuk dideteksi.
Great Aman digunakan dalam sistem dan dapat
mendeteksi target dengan tepat serta dapat
memberi pengembalian setelah memeriksa
versi dari korban.
Sulit untuk dideteksi dan dapat
ditanamkan pada aplikasi
untuk membuat sebuah
backdoor.
Good Tidak begitu direkomendasikan karena
memiliki batasan dalam penggunaan
tergantung pada versi dari sistem dan
kerentanan yang belum diperbarui.
Dapat dicegah dengan
memperbarui layanan.
Normal Tidak begitu direkomendasikan karena
memiliki batasan dalam penggunaan
tergantung pada versi dari sistem, tidak dapat
mendeteksi dengan baik, akurasi kurang
dapat diandalkan dan berdasarkan kerentanan
yang belum diperbarui.
Dapat dicegah dengan
memperbarui layanan.
Averange Tidak disarankan untuk digunakan karena
sulit dalam melakukan eksploitasi
Hanya untuk sistem yang lama
dan masih memiliki
kerentanan yang dapat
dieksploitasi kode exploit ini
Low Tidak direkomendasikan karena hampir
mustahil melakukan eksploitasi.
Tidak digunakan untuk
platform saat ini.
Manual Tidak direkomendasikan karena tidak stabil
dan pada dasarnya adalah berupa DoS
Dapat merusak sistem jika
digunakan.
Kerentanan yang ditemukan pada analisis diatas dapat berdampak buruk
pada server terlebih pada kerentanan yang termasuk critical seperti keretanan
pada layanan SMB yang digunakan untuk melakukan sharing data dan RPC untuk
melakukan remote pada server sehingga dapat dimanfaatkan untuk melakukan
eksploitasi terhadap server.
Eksploitation testing yang dilakukan memanfaatkan kerentanan yang
didapat saat melakukan analisis kerentanan berdasarkan ancaman yang mungkin
terjadi pada Rumah Sakit Santa Clara dengan menggunakan Metasploit
12
Framework, Veil-Evasion Framework, Social enginering toolkit. Exploit
merupakan kode yang digunakan untuk memanfaatkan kerentanan atau kecacatan
sistem yang akan digunakan dalam eksploitasi. Eksploitasi juga memerlukan
sebuah payload dimana payload ini merupakan data penting didalam paket yang
akan dikirimkan setelah eksploit dieksekusi oleh korban. Dalam exploit
memerlukan informasi seperti RHOST (remote host) yang merupakan alamat
tujuan dari payload itu dikirim, LHOST (listener host) merupakan alamat
pengirim paket dan kepada hasil laporan payload dikembalikan. RPORT (remote
port) merupakan port dimana kerentanan tersebut berjalan dan juga port yang
akan digunakan untuk masuk dalam RHOST, LPORT (listener port) merupakan
port yang akan digunakan untuk mengirim paket dari LHOST. Proses eksploitasi
yang dilakukan saat kode exploit dijalankan dan memanfaatkan kerentanan sistem
operasi Windows dengan menggunakan layanan SMB dimana terdapat kerentanan
MS08-067 dan serangan penggunakan kerentanan pada netapi. Kerentanan netapi
ini merupakan module yang membawa windows NET API dan digunakan aplikasi
untuk mengakses jaringan Microsoft. Dalam kode exploit tersebut diisikan
payload yang ada pada metasploit framework yaitu meterpreter dan koneksi akan
dikembalikan dengan memberikan session yang terbuka melalui protokol TCP.
Meterpreter digunakan karena memiliki fitur yang sesuai dalam penelitian
ini seperti tidak membuat sebuah file dalam hardisk dimana meterpreter hanya
berada dalam memori dan menempel pada sebuah proses, komunikasi antara
client – server berada dalam format TLV (type-length-value) yaitu bagian dari
protokol yang melakukan encoding terhadap informasi yang melintas dimana type
merupakan sebuah kode biner (biasa berbentuk simple alfanumeric) yang
menunjukkan bagian dari pesan length merupakan ukuran dari nilai field
(biasanya dalam bytes) value merupakan seri dari variable-sized dari byte yang
membawa data dari bagian – bagian pesan, komunikasi antara client server antara
mesin penyerang dan mesin korban terenkripsi. Eksploitasi ini terjadi dengan cara
komputer penyerang akan membuat handler yang akan menerima dan
menjalankan reverse, saat handler sudah siap maka kode exploit akan mencari
target yang sudah dipasangkan pada kode exploit yang akan melakukan injeksi
terhadap layanan server, ketika server menerima kode exploit maka akan
dilakukan penyesuaian kode exploit dengan server dengan melakukan fingerprint
sistem operasi maka selanjutnya kode exploit akan menentukan target berdasarkan
kerentanan MS08-067_netapi. Setelah kerentanan tersebut ditemukan maka kode
exploit akan melakukan injeksi terhadap file DLL (dinamic link libraries) pada
kerentanan MS08-067 dengan memanfaatkan smbpipe maka kode exploit akan
memberikan tanda kepada handler bahwa koneksi sudah terjadi dan siap untuk
menerima payload melalui koneksi yang telah dibuat. Kemudian komputer
penyerang akan mengirimkan payload dan meterpreter mengambil bagian dalam
proses yang berjalan dan mengembalikan koneksi kepada handler bersama
dengan memberikan meterpreter session (perintah yang dapat menampilkan
daftar, koneksi terhubung dan koneksi terputus dari korban yang diinjeksi
meterpreter) yang terbuka untuk dilakukan eksploitasi.
Serangan pada kerentanan tersebut dilakukan dengan 3 (tiga) cara yaitu
dengan serangan secara langsung menggunakan metasploit framework yang
13
ditunjukkan pada Gambar 8, serangan dengan menggunakan aplikasi
menggunakan Veil-Evasion Framework ditunjukkan pada Gambar 9, serangan
dengan menggunakan java aplet yang ditunjukkan pada Gambar 10.
Gambar 8 Gambar Eksploitasi dengan Metasploit Framework
Gambar 8 adalah proses serangan dimana kode exploit dan payload dibuat
langsung pada metasploit framework. Gambar 8 akan menjalankan handler
setelah proses eksploitasi dijalankan dimana target telah diketahui dan kode
exploit langsung melakukan injeksi kepada target dan akan memberikan koneksi
meterpreter session kepada komputer penyerang.
Gambar 9 Gambar Eksploitasi dengan Veil-Evasion
Eksploitasi pada Gambar 9 dilakukan dengan membuat sebuah aplikasi
palsu yang mengandung payload untuk melakukan eksploitasi terhadap server.
Untuk dapat melakukan bypass terhadap antivirus. Aplikasi palsu tersebut dibuat
menggunakan Veil-Evasion Framework untuk membuat file executeble payload.
Payload pada Veil-Evasion Framework dapat dibuat dalam beberapa pilihan
bahasa pemrograman antara lain C, C#, dan Python. Proses eksploitasi ini akan
menggunakan bahasa pemrograman C dimana pemilihan bahasa program ini lebih
memudahkan dalam melakukan eksploitasi karena selain lebih cepat dalam
melakukan executable bahasa C juga merupakan bahasa tingkat tinggi dan
menengah yang portable atau dengan mudah dieksekusi diberbagai macam
platform. Eksploitasi dengan menggunakan Veil-Evasion Framework ini kode
exploit dibuat terpisah dari kode payload karena target dari Veil-Evasion
14
framework ini tidak ditentukan pada saat pembuatan kode exploit melainkan target
yang yang melakukan eksekusi terhadap file executable payload. Payload
meterpreter yang digunakan untuk sistem operasi Windows dan tidak disertakan
dengan shellcode sehingga aplikasi yang dibuat merupakan aplikasi executable
yang tidak membuat sebuah backdoor yang dapat dieksekusi setiap saat dan hanya
memberikan back connection kepada penyerang saat aplikasi executable
dieksekusi. Selama proses generate terhadap payload, Veil-Evasion framework
akan membuat 3 file yaitu file executable yang akan dieksekusi oleh mesin
korban, file automation script (rc-script) yang akan menjalankan handler melalui
metasploit framework dan file source yang merupakan bahasa pemrograman C
dari payload. Sebelum server melakukan eksekusi terhadap file executable
tersebut maka penyerang perlu membuat multi handler agar saat server
melakukan eksekusi terhadap aplikasi executable, handler sudah siap menerima
meterpreter session yang diberikan oleh payload. Penyerang dapat menjalankan
handler dengan menggunakan file FirefoxSetup.rc pada Terminal Kali Linux
seperti Kode Perintah 2.
Kode perintah 2 Menjalankan FirefoxSetup.rc
Kode perintah 2 dijalankan pada metasploit framework yang akan
melakukan pembacaan file FirefoxSetup.rc secara otomatis karena dalam file .rc
terdapat informasi dari payload yang dibuat untuk melakukan handler pada
koneksi yang diberikan dengan menggunakan kode exploit dengan menggunakan
multi handler.
Gambar 10 Handler pada Veil-Evasion
Gambar 10 menampilkan setelah handler dijalankan dimana setelah executable
payload dieksekusi maka metasploit framework akan mengirimkan paket
meterpreter kepada server dan langsung menuju celah dimana telah terinjeksi
kemudian meterpreter mengambil bagian dalam proses yang berjalan dan
mengirimkan meterpreter session yang terbuka untuk dilakukan eksploitasi.
Serangan eksploitasi selanjutnya adalah memanfaatkan java aplet untuk
meminta user melakukan instalasi terhadap java aplet yang dibuat menggunakan
social enginering toolkit. Payload pada Social engineering yang digunakan pada
penelitian ini akan dimasukkan kedalam sebuah java aplet yang harus dieksekusi
oleh user untuk dapat dieskploitasi. Serangan social enginering ini akan dibuat
melalui serangan menggunakan media website dan memanfaatkan kerentanan
pada layanan HTTP (hyper text transport protocol) dimana layanan tersebut dapat
menerima website palsu yang mengandung payload, saat website dengan alamat
yang dibuat oleh penyerang tersebut dibuka maka secara otomatis akan mengirim
file payload dan meminta user untuk mengeksekusinya. Eksploitasi menggunakan
metode serangan java aplet ini akan melakukan spoof dengan java certificate
15
yang jika dieksekusi maka akan mengirimkan metasploit payload. Eksploitasi ini
akan melakukan import daftar dari aplikasi website yang dapat dimanfaatkan
dalam serangan. serangan ini dapat dilakukan juga dengan melakukan port
fowarding untuk melakukan listener yang akan ditranslasikan kedalam alamat IP
local. Selanjutnya adalah membuat certificate aplet yang dapat menggunakan
certificate java aplet yang sudah ada pada social engineer toolkit ataupun
membuat certificate java aplet sendiri. Encode yang akan dilakukan untuk dapat
melakukan bypass terhadap antivirus yang melakukan proteksi terhadap jaringan,
java aplet payload pada penelitian ini dilakukan generate dengan menggunakan
multi encoder. Proses encoder yang dilakukan dengan 2 (dua) kali encode yaitu
menggunakan shikata_ga_nai encode yang khusus untuk encode 32 bit dengan 5
(lima) kali iterasi dan alpha_upper encode yang khusus untuk encode 32 bit
dengan 2 (dua) kali iterasi.
Gambar 11 Eksploitasi dengan Social Engineer Toolkit
Java aplet payload yang sudah di encode siap untuk dijalankan maka secara
otomatis social enginering toolkit akan menjalankan proses listener dengan
menggunakan exploit multi handler pada metasploit framework seperti pada
Gambar 10. Secara default serangan yang dibuat akan membentuk listener lain
diluar dari pada listener yang dibuat pada saat melakukan setup listener, listener
yang dibuat oleh social enginering toolkit dalam eksploitasi ini akan berjalan pada
port 22 yang menjalankan SSH (Secure Shell) service , port 21 yang menjalankan
FTP (File Trasnfer Protocol) service, port 53 yang menjalankan DNS service, dan
port 25 yang menjalankan SMTP (Simple Mail Transfer Protocol) service. Port
tersebut dipilih secara default karena layanan HTTP biasa menggunakan layanan
yang ada pada port tersebut.
Post exploitation merupakan proses setelah meterpreter session diberikan
sehingga eksploitasi komputer server sudah terinjeksi dan penyerang dapat
melakukan pengambil alihan server. Dalam meterpreter penyerang tidak banyak
memakan memori kerena penyerang menempel pada proses lain yang sedang
berjalan.
16
Gambar 12 Meterpreter Payload yang Berjalan
Gambar 12 menunjukkan bahwa meterpreter payload berjalan pada layanan
svchost.exe dimana ini merupakan proses yang berkaitan dengan proses layanan
sistem Windows yang digerakkan oleh file DLL untuk melakukan tindakan
automatic update, windows firewall, plug and play, dan masih banyak lain.
Setelah meterpreter berjalan pada komputer server maka penyerang dapat
melakukan remote secara penuh dengan mengambil alih server bahkan merubah
username dan password server. Dalam meterpreter dapat dilakukan serangan
sebagai man of midle attack yang dapat mengumpulkan informasi dengan
melakukan pencatatan keystroke pada server.
Gambar 13 Menjalankan Perintah Keystroke
Gambar 13 menunjukkan bahwa dalam meterpreter dapat dilakukan
keystroke dimana perintah tersebut akan melakukan sniffing terhadap ketikan
keyboard dan menyimpannya kemudian dapat ditampilkan saat penyerang
melakukan pemanggilan terhadap keystroke yang diketikkan oleh administrator,
keystroke merupakan hardware – based tool dimana perangkat yang bekerja
diantara perangkat keyboard dan komputer sehingga dapat melakukan perekaman
dengan mengirimkan file DLL pada server yang memuat program untuk
melakukan penyadapan data pada keyboard kemudian menyimpannya dalam
bentuk teks sampai data tersebut dipanggil kembali. Pada pengujian ini juga akan
dilakukan simulasi pengambilan dan perubahan data kemudian akan dikembalikan
lagi.
Kode perintah 3 Pengambilan Data pada Server
Kode perintah 3 akan mengambil file dengan nama Hasilrapatpenting.doc yang
ada pada drive D: server dimana penyerang meminta kepada server untuk
mengirimkan data yang berada pada drive D. File tersebut akan tersimpan di
17
komputer penyerang dan jika file tersebut tidak dienkripsi maka data tersebut
dapat dirubah.
Kode perintah 4 Upload Data kedalam Server
Proses upload pada Kode Perintah 4 melakukan pengiriman data pada drive D.
Proses ini dapat dilakukan karena penyerang sudah ada pada mode akses terhadap
server melalui meterpterter dimana penyerang dapat melakukan penambahan atau
perubahan data pada server bahkan merubah hak akses dari server.
Report yang dapat diberikan dari Penetration testing yang telah dilakukan
menunjukkan dari 3 (tiga) cara penyerangan yang digunakan, ada 1 (satu) cara
yang tidak dapat menembus kerentanan dari server. Cara penyerangan dilakukan
kepada server dengan memanfaatkan kerentanan critical yang ditemukan pada
Tabel 2 dimana kode exploit melakukan injeksi terhadap layanan yang memiliki
kerentanan untuk membangun sebuah koneksi kepada penyerang dan melakukan
pengambil alihan server dengan membuat sebuah proses pada sistem. Injeksi file
DLL dilakukan pada server menggunakan kerentanan SMB overflow buffer dan
kerentanan tersebut dikarenakan service server tidak menangani layanan dengan
benar terlebih pada permintaan RPC. Serangan menggunakan java aplet tidak
dapat melakukan injeksi terhadap server dikarenakan java aplet pada browser
server tidak terinstal dan runtime pada server terlalu lama sehingga koneksi
antara server dan komputer penyerang tidak terjadi.
Serangan pada penelitian ini dapat dicegah dengan melakukan update
pada layanan server yang memiliki kerentanan dan dapat digunakan sebagai celah
untuk penetration testing, update tersebut dilakukan karena perusahaan Microsoft
sebagai penedia service telah melakukan analisis terhadap yang memiliki bug
dengan mengamati model penyerangan yang biasa terjadi pada kerentanan
tersebut, Microsoft juga memperbaiki kerentanan yang dapat diinjeksi oleh
penyerang. Pencegahan juga dapat dilakukan dengan melakukan upgrade server
yang sebelumnya menggunakan Windows Server 2003 menjadi Windows server
2008 dimana kerentanan yang ada pada Windows Server 2003 pada Tabel 2 telah
diperbaiki pada Windows server 2008 sehingga lebih sulit untuk dieksploitasi.
Berdasarkan situs resmi Microsoft pada www.technet.microsoft.com kerentanan
pada Tabel 2 telah diperbaiki atau bahkan dihilangkan pada Windows server 2008
dimana Tabel 4 menunjukkan perbaikan yang telah dilakukan pada Windows
server 2008. Tabel 4 Perubahan Pada Sistem Operasi Windows Server 2008
Kerentanan Perubahan pada Windows Server 2008
MS06-040 Masalah keamanan ini telah diperbaiki pada 12 September
2006 sehingga dihilangkan pada Windows server 2008.
MS08-067 Kerentanan masih ada tapi memerlukan autentifikasi dari
administrator. Dimana kerentanan ini telah diperbarui dan
menjari kerentanan ang important pada Windows server
2008 dan paket data diperiksa oleh RPC UUID
(Universally Unique Identifiers).
18
MS09-001 Kerentanan masih ada tetapi merupakan kerentanan kelas
menengah atau moderate dan kerentanan ini tidak akan
berpengaruh pada Windows Server 2008 jika filter dari file
sharing diaktifkan.
MS06-035 Masalah keamanan ini telah dihilangkan pada Windows
server 2008
Microsoft Windows
SMB Null Session
Authentication
Masalah keamanan ini telah dihilangkan pada Windows
server 2008 secara default tidak ada di registry dan harus
ditambahkan jika ingin digunakan
SMB Signing
Required
Kerentanan masih ada digunakan untuk memberikan
informasi kepada client yang terhubung pada server dan
seperti administrasi remote melalui SMB untuk mencegah
serangan pada layanan SMB.
RPC UUID digunakan untuk melakukan penyaringan paket data yang
masuk dalam server dan dengan mengaktifkan layanan file sharing filtering maka
akan mengurangi penyerangan pada server dimana pengguna harus didaftarkan
dahulu karena memerlukan autentifikasi dari administrator untuk melakukan
transfer data pada jaringan. Aplikasi pada Rumah Sakit Santa Clara dapat
dijalankan dengan menggunakan compability mode yang ada pada Windows
server 2008 dimana layanan tersebut memungkinkan sistem operasi menjalankan
aplikasi dibawah kapabilitas aplikasi tersebut. Mengaktifkan firewall pada server
juga dapat mencegah serangan dengan membatasi penggunaan port yang menuju
ke server sedangkan firewall pada client dapat dinonaktifkan untuk
mempermudah remote oleh administrator. Penggunaan IPS (intrusion prevention
system) dan IDS (intrusion detection system) juga dapat dilakukan untuk
mencegah serangan ataupun tindakan yang dianggap anomali oleh sistem dengan
memasang rule pada IDS dan jika ada percobaan serangan maka IPS akan
melakukan tindakan berdasarkan rule yang dipasangkan pada IDS dimana IPS
dan IDS akan berperan seperti firewall pada jaringan Rumah Sakit Santa Clara.
5. Simpulan
Berdasarkan hasil penelitian penetration tesing menggunakan metode pada
PTES (Penetration Testing Executable Standard) yang melakukan pengujian
terhadap kerentanan server dalam sistem jaringan komputer pada Rumah Sakit
Santa Clara Madiun dengan melakukan pengujian dari kesalahan user maupun
keamanan server, maka dapat disimpulkan bahwa tingkat kerentanan pada server
Rumah Sakit Santa Clara cukup besar dan merupakan kerentanan yang sangat
berpotensi untuk dimanfaatkan dalam melakukan tindakan kejahatan dunia maya,
kerentanan tersebut merupakan kerentanan dari layanan Microsoft Server yang
masih memiliki bug atau eror. Penyerangan yang dilakukan dapat mengambil alih
server dan memasang sebuah backdoor yang digunakan untuk mengakses server
serta penyerang juga dapat mencuri dan manipulasi data yang ada pada server
sehingga resiko yang terjadi pada perusahaan sangat besar.
Administrator Rumah Sakit Santa Clara sengaja membuka beberapa port
dan menjalankan remote access untuk melakukan kontrol terhadap client,
sehingga firewall pada client dan server dimatikan agar tidak mengganggu proses
19
remote dari server terhadap client. Firewall yang dimatikan pada server tersebut
berdampak pada keamanan data yang ada pada server yang membuat penyerang
lebih mudah melakukan eksploitasi terhadap server. Pencegahan dari serangan
seperti pada penelitian ini dapat dilakukan dengan melakukan update terhadap
layanan server dimana kerentanan pada layanan telah diperbaiki, melakukan
upgrade sistem operasi Windows server 2003 ke Windows server 2008 dimana
bug yang ditemukan seperti pada penelitian ini telah diperbarui dan firewall pada
server juga perlu diaktifkan untuk mencegah serangan terhadap server serta
memsang network filter seperti IDS dan IPS untuk memantau dan membatasi
akses paket data yang keluar dan masuk pada server ke internet ataupun
sebaliknya
6. Daftar Pustaka
[1] Pierce, J., Jones, A., & Warren, M. (2007). Penetration Testing Professional
Ethics: a conceptual model and taxonomy. Australasian journal of
information systems, 13(2).
[2] Allen, L. (2012). Advanced Penetration Testing for Highly-Secured
Environments: The Ultimate Security Guide. Packt Publishing Ltd.
[3] Kennedy, D., Gorman, D. K., & Aharoni, M. (2011). Metasploit: the
penetration tester's guide. No Starch Press.
[4] Thompson, H.H. (2005) „Application Penetration Testing‟ IEEE Security
and Privacy, January/February 2005, pp.66-9.
[5] Stiawan, Deris; Idris, Mohd Yazid; Abdullah, Abdul Han. 2013. Attack and
Vulnerability Penetration Testing: FreeBSD.
[6] Budiarto, R., Ramadass, S., Samsudin, A., & Noori, S. (2004). Development
Of Penetration Testing Model For Increasing Network Security.
