Upload
dangnga
View
239
Download
1
Embed Size (px)
Citation preview
Trend keamanan dan Serangan komputer| ver 1
1
Trend Serangan Jaringan Komputer dari Internet Deris Stiawan (Dosen FASILKOM UNSRI) Sebuah Pemikiran, Sharing, Ide Pengetahuan, Penelitian
Tidak ada yang bisa menjamin perilaku dari setiap orang yang terkoneksi ke Internet, terdapat
banyak perilaku di internet dari yang berhati baik sampai yang berhati buruk, dari yang
mencari informasi umum sampai mencari informasi kartu kredit orang lain. Karena sifatnya
yang publik atau umum maka muncul masalah baru yaitu masalah keamanan data dan informasi
di Internet terutama informasi-informasi yang bersifat krusial dan konfiden.
Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat
dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel,
VSAT , VPN atau bahkan menggunakan jaringan publik (Internet), Maka ada suatu permasalahan
lain yang sangat krusial yaitu ”Keamanan atau Security”. Karena tidak ada yang sistem yang
aman didunia ini selagi masih dibuat oleh tangan manusia, karena kita hanya membuat
meningkatkan dari yang tidak aman menjadi aman dan biasanya keamanan akan didapat
setelah lubang / vurnability system diketahui oleh penyusup.
Ancaman masalah keamanan ini banyak sekali ditemui oleh pengguna seperti Virus, Trojan,
Worm, DoS, hacker, sniffing, defaced, Buffer Overflow, dan sebagainya dengan apapun istilah
underground yang banyak sekali saat ini, yang pasti akan menyusahkan kita pada saat
ancaman-ancaman ini ”menyerang”. Metode serangan saat ini sangat beragam, dari yang
sederhana yang dilakukan para pemula atau script kiddies sampai dengan serangan dengan
menggunakan metode terbaru. Karena akan semakin kompleksnya administrasi dari jaringan
skala luas (WAN) maka diperlukan suatu mekanisme keamanan dan metode untuk dapat
mengoptimalkan sumber daya jaringan tersebut, semakin besar suatu jaringan maka makin
rentan terhadap serangan dan semakin banyak vurnability yang terbuka.
Pendahuluan ...
Trend keamanan dan Serangan komputer| ver 1
2
Ada banyak metode yang dilakukan untuk masuk ke sistem lain walaupun sistem telah di kita
lakukan update/patching secara continue, karena ada banyak lubang yang dapat dimanfaatkan,
biasanya penyerang melakukannya dengan menggunakan beberapa metode yang akan
dijelaskan selanjutnya. Belum lagi saat ini banyak sekali tools-tools yang dapat dengan mudah
digunakan yang didownload dari Internet dan banyaknya websites yang menyediakan tools
untuk melakukan hacking. Dengan berbekal tools tadi seseorang yang biasa dapat mengancam
infrastruktur jaringan kita, ancaman dapat beruba hanya sekedar introgasi sistem kita
(footprinting atau analisa awal) atau analisa port yang digunakan sampai dengan mencoba-coba
celah vurnerability network kita.
Ada banyak anggapan yang salah dengan statetement “kami sudah memiliki firewall yang
banyak dan terbaru”, “kami mempunyai team yang tangguh dan hebat dalam bidang security”,
“kami mempunyai dana IT yang unlimitted” atau ”kami tidak ada musuh dan data yang kami
onlinekan tidak mengandung informasi penting”. Inilah beberapa faktor yang memicu
terjadinya kebocoran dari sistem pertahanan yang kita bangun, belum lagi tidak adanya rules
atau policy tentang sistem keamanan di perusahaan atau institusi kita, untuk memberikan
gambaran tentang framework membangun policy sistem keamanan dapat merujuk ke tulisan
penulis yang lain.
Ada banyak model serangan yang dapat diketahui saat ini, namun semakin hari model serangan
semakin beragam baik dari pengembangan model sebelumnya atau model-model baru yang
telah dicoba-coba dan dilakukan oleh penyerang.
Serangan Dos & DDoS
Denial of Services / Distributed DoS, yaitu serangan yang akan Melumpuhkan sistem agar
pengguna yang sah tidak dapat mengakses sistem tersebut, ada banyak Metode yang digunakan,
seperti Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way
handshake) dan akhirnya Membuat server ‘bingung’ hingga down
Serangan ini Sering dilakukan “script kiddies” yang tidak dapat masuk ke sistem atau hanya
sakit hati di komunitas
Serangan-Serangan ...
Trend keamanan dan Serangan komputer| ver 1
3
SYN Flood & UDP Flood, metode yang dilakukan oleh penuerang yang membuat sebuah server
di penuhi dengan permintaan dari paket-paket SYN yang tidak lengkap, Akhirnya akan membuat
overhead pada server dan hasilnya adalah DoS, sedangkan UDP bersifat connectionless, tidak
memperhatikan apakah paket telah diterima atau tidak Mirip dengan ICMP flood, UDP flood
dikirim dengan tujuan untuk memperlambat sistem sampai dengan sistem tidak bisa
mengendalikan koneksi yang valid
Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK
(3 way handshake). Proses 3 way handshake seperti gambar 1 adalah proses yang terjadi pada
saat sumber dan tujuan melakukan komunikasi dimana proses ini menggunakan protocol TCP
yang akan membagi-bagi paket data yang akan ditransmisikan sesuai dengan kesepakatan
antara sumber dan tujuan.
Gambar 1. metode 3 way handshake (cisco.com)
Serangan dilakukan dengan mesin lain yang disebut zombie, zombie adalah mesin server yang
telah dikuasai sebelumnya oleh penyerang untuk menyerang mesin server target lain, hal ini
dilakukan agar jejak yang berupa IP address di internet dapat ditutupi dengan menggunakan
mesin zombie tersebut. Pada gambar 2 dapat dilihat, penyerang menguasai mesin server lain
dahulu yang akan dijadikan zombie, dimana server zombie dipilih oleh penyerang biasanya yang
berada di backbone Amerika, kenapa backbone amerika ? karena bandwidth yang berada di
backbone amerika pasti besar. Hal ini merupakan syarat mutlak untuk menyerang server
tujuan, jika bandwidth mesin zombie kecil atau sama dengan bandwidth server yang akan
diserang maka serangan DoS ini akan dapat dicegah oleh mesin firewall.
Trend keamanan dan Serangan komputer| ver 1
4
Serangan DoS akan membuat mesin menjadi bingung karena banyaknya paket data SYN yang
datang sedangkan mesin tidak mengetahui mesin asal untuk mengembalikan ACK, akibatnya
mesin yang diserang disibukan dengan paket-paket data tersebut yang datangnya bertubi-tubi
dan banyak. Akibatnya user yang absah yang akan benar-benar memanfaatkan resources pada
server tersebut misalnya mail/ web menjadi tidak dapat dilayani karena mesin tersebut sedang
sibuk melayani paket-paket serangan tadi, makanya DoS sering disebut SYN FLOOD.
Gambar 2. mesin zombie menyerang server
Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services (DdoS), dimana DDoS
menggunakan banyak mesin zombie untuk menyerang server tujuan. Akibatnya tidak hanya
server tujuan menjadi down bahkan beberapa kasus provider / telco yang memberikan jasa
koneksi internet bagi server tersebut juga terkena imbasnya seperti gambar 4, hal ini
dikarenakan bandwidth serangan dari zombie akan menyebabkan bootleneck dari aliran
bandwidth ke server tujuan. Misalnya, sebuah mail / web server yang berada di server farm
sebuah perusahaan, dimana perusahaan ini menyewa pada sebuah ISP A. Bandwidth yang
disewa kepada ISP A adalah 512 kbps. Pada saat serangan datang dengan bandwidth misalnya
saja totalnya 200 mbps maka serangan tersebut tidak hanya mematikan server perusahaan
tersebut tapi juga akan mengganngu distribusi bandwidth di ISP A, apalagi jika ISP A
mempunyai bandwidth lebih kecil dari bandwidth serangan. Namun jika bandwidth serangan
lebih kecil dari bandwidth yang disewa ke ISP A atau total bandwidht ISP A lebih besar dari
serangan maka serangan tersebut dapat dengan mudah dilumpuhkan dengan mesin firewall.
Trend keamanan dan Serangan komputer| ver 1
5
Gambar 3. Serangan metode DDoS
Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar dan diatur untuk
menyerang secara serentak atau dalam jeda waktu tertentu. DdoS biasanya dilakukan oleh para
penyerang bukan amatiran karena penyerang mempunyai banyak mesin zombie yang tersebar
diseluruh dunia. Biasanya serangan model ini menyerang server-server pada perusahaan /
penyedia jasa yang besar, tercatat seperti Yahoo, e-bay, dan lain-lain telah pernah di DDoS
yang tentu saja efeknya mendunia dimana banyak para user yang tidak dapat masuk ke layanan
mereka.
Gambar 4. overload pada ISP pada serangan DDoS.
Trend keamanan dan Serangan komputer| ver 1
6
Metode penanganan DoS dan DDoS
Ada beberapa cara penanganan untuk serangan ini, seperti ;
1. Lihat ip source dan destination yang diserang, hal ini dilakukan untuk mengetahui ip
address dari penyerang dan yang diserang. Untuk melihat ip source dan destinationsnya
bisa dilakukan di server /router kita dengan memberikan command tertentu.
Contoh :
show log /var/tmp/sample | match 222.73.238.152 # Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 33945 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 51457 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 1315 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 38455 33903
2. Block IP address source & Port yang digunakan oleh penyerang dari mesin firewall /
router kita, pada saat serangan berlangsung pastilah terdapat ip address penyerang dan
port yang digunakan oleh penyerang seperti contoh diatas.
3. Block IP address source dari Firewall, contoh
iptables -I FORWARD -s 222.73.238.152/32 -d 0/0 -j DROP iptables -I FORWARD -s 67.18.84.0/24 -d 0/0 -j DROP
Gambar 5. metode block port dan ip address di router / server
IP Destinations IP Source Port
Trend keamanan dan Serangan komputer| ver 1
7
4. Kontak Provider untuk membantu block port dan ip source yang menyerang, makanya
kontak teknis provider harus diketahui dan sangat berguna jika kita sewaktu-waktu kita
membutuhkannya, kontak bisa berupa telpon langsung ke NOC/Admin atau bisa
dilakukan dengan chat dari YM.
5. Amati model serangan berikutnya, pengamatan ini dilakukan untuk melihat model
serangan berikutnya dan mungkin saja ip address lain dari sumber daya jaringan kita
6. Laporkan ke [email protected] pemilik IP address tersebut, jadi pada saat kita mengetahui
IP Address sumber serangan maka secepatnya mengirimkan abuse ke pemilik IP
tersebut agar bisa ditindaklanjuti lebih jauh. Untuk mengetahui pemilik IP address
tersebut bisa klik http://wq.apnic.net/apnic-bin/whois.pl dan masukan IP tersebut,
contoh :
% [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 222.64.0.0 - 222.73.255.255 netname: CHINANET-SH descr: CHINANET shanghai province network descr: China Telecom descr: No1,jin-rong Street descr: Beijing 100032 country: CN admin-c: CH93-AP tech-c: XI5-AP changed: [email protected] 20031024 mnt-by: APNIC-HM mnt-lower: MAINT-CHINANET-SH mnt-routes: MAINT-CHINANET-SH status: ALLOCATED PORTABLE source: APNIC person: Chinanet Hostmaster nic-hdl: CH93-AP e-mail: [email protected] address: No.31 ,jingrong street,beijing address: 100032 phone: +86-10-58501724 fax-no: +86-10-58501724 country: CN changed: [email protected] 20070416 mnt-by: MAINT-CHINANET source: APNIC person: Wu Xiao Li address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC country: CN phone: +86-21-63630562 fax-no: +86-21-63630566 e-mail: [email protected]
Trend keamanan dan Serangan komputer| ver 1
8
7. Lakukan kerjasama dengan admin pemilik IP add penyerang dan lakukan cek dan ricek
sebelum membuat statement kalau memang IP Address tersebut adalah penyerangnya
karena bisa saja itu adalah mesin zombie.
8. Catat semua kejadian untuk menjadi pembahasan untuk pembelajaran metode
serangan dan dokumentasi jika nanti diperlukan pada saat penyelesaian secara hukum.
9. Edukasi user untuk memperhatikan “etika” di internet, etika diinternet misalnya ;
• Jangan pernah mendownload dari stus-situs yang tidak terpecaya
• Jangan melakukan kegiatan hacking dan lainnya dari internal jaringan kita
• Pada saat dikomunitas milist / forum jangan pernah memancing kemarahan
pihak lainnnya.
Kegiatan Port Scanning
Mencoba-coba untuk mengetahui port / layanan yang tersedia di server, dengan harapan sistem
akan menjawab request, dengan menggunakan tools script kiddies biasanya penyerang
melakukan scanning terlebih dahulu mesin tujuan, untuk mengetahui layanan apa saja yang
tersedia. Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna untuk mencari
celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan kita dengan harapan ada jawaban
dari dalam jaringan kita. Penangananya kita dapat menggunakan IDS yang akan dijelaskan nanti
dan catat dari log system serta Tutup / close layanan yang tidak digunakan
Gambar 6. port scanning yang dilakukan
Trend keamanan dan Serangan komputer| ver 1
9
Social Engineering
Metode serangan ini termasuk kategori non teknis karena ”serangannya” melalui penetrasi
secara sosial, metode ini Memanfaatkan human error karena erhubungan dengan psikologis
manusia, interaksi manusia & sifat dasar manusia, secara sosial manusia akan menjawab pada
saat ditanya oleh penanya apalagi dengan sikap dan atitude orang yang diajak bicara dengan
sopan secara alami kita akan merespon si penanya.
Cara ini biasanya untuk mendapatkan informasi (seperti password id) dari seseorang tanpa
melakukan penetrasi terhadap sistem komputer, Umumnya cara yang dilakukan tidak langsung
menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi
yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Biasanya kegiatan ini melakukan
seperti ;
• Bertanya password ke pegawai via telp
• Mencuri dari “kotak sampah”
• Mencuri data/informasi dengan berpura-pura sebagai tamu, pegawai, atau inspektorat
• Berlagak seperti “orang penting” dengan penetrasi orang
• Menggunakan media telp, surat, email
Para penyusup yang menggunakan cara ini biasanya menggunakan beberapa langkah,
diantaranya ;
• Information gathering, mengumpulkan sebanyak mungkin informasi awal
• Development of relationship, melakukan pengenalan diri dan pendekatan secara pibadi
lewat telpon, chat, mail…
• Exploitation of relationship, mencari informasi yang dibutukan, ex : password,
kekuatan server, jenis server, …
• Execution to Archive Objective, pelaksanaan aksi
Ada beberapa contoh yang dapat penulis gambarkan tentang metode ini, jika kita analisa efek
dari social engineering sangat luar biasa karena mendapatkan informasi dengan cara yang
bukan teknis :
1. sebuah film yang berjudul ‘Take Down’ dimana film tersebut dibuat dari cerita asli tentang
pertempuran cyber antara hacker dan cracker yaitu Tsnomu Tsinomura dan Kevin mitnick.
Di film tersebut terlihat Kevin mitnick melakukan Social engineering untuk mendapatkan
informasi lewat menelpon korban, dengan suara yang menyakinkan dan dilator belakangi
dengan informasi yang cukup maka Kevin menelpon dan menanyakan beberapa informasi
awal untuk mendapatkan file atau informasi di mesin server korban.
Trend keamanan dan Serangan komputer| ver 1
10
2. seorang cracker ingin mencari informasi user name yang absah pada salah satu ISP (Internet
Service Providers), cracker akan mencoba menghubungi pihak customer service ISP tersebut
dan mengatakan bahwa ingin merubah password yang lama atau memberikan alasan bahwa
telah lupa password. Hal ini mungkin saja terjadi dan efektif dalam kasus-kasus tertentu,
contoh lainnya seorang mencari serpihan-serpihan informasi dari kotak sampah di sebuah
hotel berbintang, mencoba keberuntungan mencari nomer kartu kredit atau hal lainnya
yang berhubungan dengan informasi pengguna. Atau bekerja sama dengan pihak dalam
sendiri untuk mencuri informasi dari seorang user.
3. Acara promo CC disebuah mall, para sales dengan ramahnya memberikan penawaran dan
kemudahan CC dari sebuah bank baru yang menjanjikan. Aplikasi CC akan sangat cepat
diproses jika calon client mempunyai CC dari bank lain, tinggal di fotocopy beserta KTP dan
dalam 2 hari aplikasi CC dapat “approve”, dengan mudahnya kita memberikan salinan CC
dan KTP pada orang yang tidak kita kenal dan belum tentu “berhati bersih” bisa saja
salinan tadi digunakan untuk carder…
4. Contoh dibawah ini saya kutip dari majalah ebizzasia.com, yang menceritakan teknik social
engineering pada kasus sebuah bank. Teknik ini hanya bermodalkan penampilan yang
menarik, suara yang bersahabat, pujian, atau bisa juga dengan cara melakukan tekanan
agar lawan bicara menjadi panik dan menjadi irasional atau lupa terhadap prosedur yang
seharusnya dijalankan. Berikut ini contoh social engineering yang dilakukan dua orang,
katakanlah namanya Benny dan Lisa, untuk mendapatkan informasi PhoneID yang digunakan
untuk verifikasi transaksi perbankan melalui telephone.
Suatu hari, Benny dan Lisa sedang berada di suatu Bank XYZ, mengamati nasabah yang akan mengajukan aplikasi layanan transaksi perbankan via telephone. Setelah melihat ada seseorang yang akan mengajukan aplikasi tersebut, Beny turut mengantri di belakang lelaki tersebut. Pada saat gilirannya, Benny mulai melancarkan aksinya dengan pertama-tama memberikan sanjungan atas bros yang dipakai petugas bank tersebut dan sekaligus mengingat nama yang tertulis dilencananya. Selanjutnya Benny mengajukan beberapa pertanyaan berikut kepada customer service bank tersebut: Benny: Rasa-rasanya orang yang mengantri tadi adalah teman saya waktu di SMA .. tapi saya ragu untuk menegur duluan, takut salah. Boleh tahu mbak, nama bapak tadi. Lilis (petugas bank) : Oh ... tadi pak Darwin Sudarta. Benny : Ah benar kan .. dia itu ketua OSIS, dulu teman baik saya .. kumisnya membuat pangling. Sayang saya tidak menegur, padahal saya coba cari alamatnya ke teman-teman yang lain tapi tidak ada yang tahu. Benny : Mmm ... apakah si Darwin ada nomor handphonenya mbak ? (Benny sengaja menggunakan kata si Darwin bukan pak Darwin supaya kelihatan memang teman dekatnya). Lilis : HPnya 0832 xxx (Dengan berpura pura Benny menekan nomor handphonenya dan seolah olah berbicara dengan Darwin didepan Lilis sambil menunggu aplikasinya selesai diperiksa.)
Trend keamanan dan Serangan komputer| ver 1
11
Sesaat kemudian dari telepon umum Lisa (teman Benny) menelpon Pak Darwin. Lisa : Selamat siang Pak Darwin, saya Lilis petugas Bank XYZ yang menangani aplikasi bapak tadi. Kelihatannya Bapak salah mengisikan tanggal lahir karena yang tercantum disini adalah tanggal hari ini, dan saya juga mohon maaf karena tidak melakukan verifikasi sebelumnya. Darwin : Oh ya ? Ok tanggal lahir saya 17 Agustus 1965. Lisa : Saya juga ingin memverifikasi data lainnya supaya tidak salah entry; nama bapak, Darwin Sidarta ? (Lisa sengaja mengatakan Sidarta bukan Sudarta). Darwin : Bukan Sidarta tapi Sudarta; Siera Uniform ...dan seterusnya Lisa : Oh maaf pak .. boleh tolong dieja juga nama ibu kandung Bapak. Darwin : Tanggo India ... dan seterusnya Sampai tahap ini, Benny dan Lisa sudah dapat informasi yang cukup, hanya satu yang kurang yaitu PhoneID. Tapi hal ini bukan kesulitan bagi mereka berdua, ke esokan harinya Benny menelpon call center Bank XYZ berpura-pura sebagai Pak Darwin. Petugas Bank (PB): Hallo Bank XYZ, ada yang dapat dibantu Benny : Saya Darwin Sudarta, ada sedikit kesulitan untuk melakukan transaksi via telephone karena lupa PhoneID dan kertas catatan PhoneID saya ada di laci kantor yang terkunci sedangkan sekarang saya sedang di luar kota. Bisa minta tolong sebutkan nomor PhoneID saya mbak ? PB: Bisa, tetapi bapak harus datang ke kantor kami, atau dapat dikirim via pos ke alamat yang tertulis pada lembar aplikasi. Benny : Wah repot dong .. padahal saya akan seminggu di Banyuwangi dan perlu transaksi sekarang. Tahu begini saya tidak menggunakan Bank XYZ karena Bank lain prosedurnya gampang. Ngomong-ngomong saya bicara dengan siapa ? (Sengaja Benny membandingkan dengan bank lain dan menanyakan nama petugas bank dengan nada sedikit tinggi). PB : Mmm baik pak, apakah Bapak dapat memberikan informasi tanggal lahir dan nama Ibu kandung Bapak ? Benny : tanggal lahir saya .. PB : PhoneID Bapak ..
Ping Of Death
Kegiatan yang mengirinkan ICMP dengan paket tertentu yang besar dengan harapan membuat
sistem akan crash, hang, reboot dan akhirnya DoS, tapi metode ini sangat gampang dicegah
dengan memasukan rules ICMP syn request di proxy/firewall/router. Misalnya rulesnya hanya
boleh melakukan ping ke subnet tertentu.
Java / Active X
Saat ini sejak berkembangnya Web 2.0 banyak sekali varian content yang beragam. Konsep
client-server yang digunakan di internet saat ini semakin beragam, penggunaan konsep client-
server ini juga yang banyak digunakan oleh para pembuat virus/trojan/cracker untuk masuk
dan melakukan penetrasi sistem. Komponen ActiveX yaitu executable program yang built-in
pada situs web, jadi jika masuk ke web site ini maka browser akan me-load halaman web ini
beserta built-in component-nya, dan menjalankannya pada komputer kita. Contoh real dari
client-server ini adalah Game online dari sites tidak terpecaya
Trend keamanan dan Serangan komputer| ver 1
12
Gambar 7. metode client-server melakukan koneksi ke server
Pada saat content sebuah web di load ke browser client, ada beberapa script yang di execute
disisi client. Script ini nantinya yang akan digunakan untuk dapat bertukar data data dengan
server misalnya saja kasus games-games online yang dibuat dengan flash script. Dimana script
di load sepenuhnya di client namun pada saat score/pergantian karakter dan sebagainya akan
diberikan dan diproses oleh server. Hal inilah yang memungkinkan sebuah malcode jahat bisa
mencuri informasi dari pc client dan diberikan ke server tujuan.
Gambar 8. Contoh popup untuk menjebak user
Sniffing Packet
Melakukan “mata-mata” paket data yang lewat pada jaringan lokal tertentu dalam satu
collision dan broadcast, biasanya untuk mendapatkan password. Metode ini Biasanya ditanam
pada server di NIC tertentu atau pada sebuah pc pada sebuah network. Serangan ini dapat
berhasil dengan baik jika jaringan kita menggunakan perangkat Hub.
Trend keamanan dan Serangan komputer| ver 1
13
Gambar 9. contoh penggunaan dsniff yang berguna capture paket data
Input Systems
Saat ini Web yang semakin beragam dan dinamis,trend ini menuju ke Content Web 2.0 yang
bersifat jejaring dan full interaksi antara pengunjung dan web tersebut. Sudah menjadi trend
dan menjadi hal yang biasa saat ini perusahaan/ institusi dan lain-lain mempunyai website dari
sekedar cuman menampilkan company profile sampai dengan system informasi yang berbasis
online, hal ini disebabkan karena Web yang bersifat cross platform yang dapat diakses dari
mana saja dengan perangkat apa aja asal menggunakan browser. Beberapa serangan yang
dapat dikategorikan sebagai Input Systems.
SQL Injections
suatu metode untuk memanfaatkan kelemahan pada mesin server SQLnya, misalnya
server yg menjalankan aplikasi tersebut. Hal ini dilakukan dengan mencoba
memasukkan suatu script untuk menampilkan halaman error di browser, dan biasanya
halaman error akan menampilkan paling tidak struktur dari hirarki server dan logika
program. Metode ini memasukan “karakter” query tertentu pada sebuah “text area”
Trend keamanan dan Serangan komputer| ver 1
14
atau di address browser dengan perintah-perintah dasar SQL seperti SELECT, WHERE,
CREATE, UPDATE, dan lain-lain.
Gambar 10. metode penggambaran request di web server
Ada beberapa metode yang digunakan penyerang untuk melakukan SQL Injection, dari
gambar diatas terlihat DB yang digunakan untuk menyimpan data. Biasanya digunakan
beberapa metode seperti 1-tier, 2-tier layer pengaksesan dari web server ke DB. Jadi
request dari client tidak akan langsung ke DB namun diterjemahkan oleh web server
dan diquerykan oleh web applications. Kelemahan yang biasanya dicoba adalah di
bagian web server dengan menyerang Daemon web servernya, Web Applications dengan
menginject bahasanya, dan DB yang digunakan (Oracle, Postgress, MySQL, SQL Server,
dan lain-lain).
Query-query yang sering diinjection, seperti ;
• 'anything' OR 'x'='x';
• 'x' AND email IS NULL; --';
• 'x' AND userid IS NULL; --';
• 'x' AND 1=(SELECT COUNT(*) FROM tabname); --';
• '[email protected]' AND passwd = 'hello123';
Trend keamanan dan Serangan komputer| ver 1
15
Cross site script (XSS)
Salah satu type lubang keamanan sistem yang biasa ditemukan di web based
applications dengan melakukan code injections dengan malicious web pengguna kepada
halaman web yang dilihat oleh user lainnya dimana memungkinkan penyerang untuk
mencuri cookies, menipu user dengan memberikan credentials mereka, memodifikasi
penampilan page, mengeksekusi seluruh sort dari malicious java-script code
RSS Feeds
Trend teknologi saat ini dalam dunia web 2.0 seperti RSS (Really Simple Syndication)
Sebuah format berbasis bahasa XML yang digunakan untuk sharing dan mendsitribusikan
content web ke web lain, seperti headlines. Dengan RSS Feeds ktia dapat melihat
berbagai sumber berita dari web yang kita gunakan langsung seperti headlines,
summaries hingga full storiesnya. Berita-berita bisa dikutip langsung dari web lain,
misalnya dari portal, web berita atau pages tertentu secara otomatis di halaman web
yang kita buat (metode dasar hyperlink/ linkupdate). Karena otomatis, berita / content
dapat diboncengi oleh trojan/ informasi lain
Trend keamanan dan Serangan komputer| ver 1
16
Gambar 11. Trend RSS Feeds
Google Adsense
Metode “iklan” yang sesuai dengan tema website yang dibuat tanpa harus melakukan
update yang Dilakukan secara online oleh google, dimana Google Adsense akan
mencocokan “iklan” dengan content dan kita akan mendapatkan uang pada saat
pengunjung menklik linknya
Trend keamanan dan Serangan komputer| ver 1
18
Gambar 12. Contoh Adsense
Buffer Overflow Suatu metode penyerangan dengan memanfaatkan kesalahan / bug dari programming untuk mengeksekusi dan menyisipkan code tertentu, biasanya terdapat pada aplikasi yang ditulis dengan tidak baik atau versi percobaan. Melakukan “eksekusi” program dengan metode berulang-ulang hingga sistem crash
Trend keamanan dan Serangan komputer| ver 1
19
Domain Redirect Pada saat beli domain di domain registrations public, kita akan diberikan user n pass
• Membelotkan Domain ke alamat lain, dengan cara menyerang nameservernya atau membuat DNS lain
• Menyerang mesin DNS dan membelokan nameserver – Ns1.xxxx.com – Ns2.xxxx.com
• Beberapa kasus hanya melakukan password crack untuk redirect domain ini
Gambar 13. Ilustrasi server DNS dunia (root DNS)
Trend keamanan dan Serangan komputer| ver 1
21
Gambar 15. Salah satu tampilan CP untuk mengatur Domain
DNS Poison
• Melakukan injection pada DNS server / membuat DNS menjadi crash, hingga DNS
bingung
• Metode dengan membuat / membeli nama domain yang identik
• Metode membuat table routing DNS menjadi anomaly
Remote Login
• Biasanya menyerang mesin FTP & SSH
• Mencoba-coba password default
– User : anonymous, pass : empty
• Penanganan
– Tutup daemon yang tidak diperlukan
– Buat policy password
Web Spoofing
• Web Spoofing
– Membuat web lain yang “copy paste/ identik” dari web asli
– Membeli domain yang yang hampir identik
• Ex : klikbca.com (existing)
• Lalu dibeli domain clikbca.com / clickbca.com / clickbca.net
– Menangkap user dan password
• Penanganan
Trend keamanan dan Serangan komputer| ver 1
22
– Digital Certificate
• Verisign, iTrust, …
• CA (Certificate Authority)
– https
Trend keamanan dan Serangan komputer| ver 1
23
Applications backdoor Kalau kita cerna mengapa perusahaan sebesar microsoft membuat divisi khusus tentang UPDATE/ FIX PROBLEM, jawabannya adalah software house sebesar Microsoft saja yang mempunyai team khusus R&D yang handal masih mensisahkan bug/ problem/ anomaly dari software-software yang mereka buat. Begitu juga di OS linux pasti distro-distro membuat update-update untuk kernelnya. Baik dari Sistem Operasi, Office, dan aplikasi lainnya begitupun beberapa Aplikasi s/w dengan based OS apapun yang ada dipasaran mempunyai backdoor / vurnerability yang dapat dijadikan backdoor. Para pembuat script tersebut pastilah tidak dapat sepenuhnya membuat secara sempurna software mereka, hal inilah yang dijadikan oleh para penyerang untuk melakukan serangan. Kebanyakan serangan dengan memanfaatkan celah ini adalah kesalahan-kesalahan logika pemrograman atau aplikasi-aplikasi yang uncompatible dengan aplikasi lainnya yang jika melakukan eksekusi tertentu menyebabkan / menghasilkan suatu proses tertentu. Makanya beberapa vendor software menyiapkan service pack / update patch di web mereka untuk mencegah atau menangani permasalahan ini, celah / vurnerability biasanya ditemukan setelah produk tersebut dilauncing kepasar dan dicoba oleh banyak user atau ditemukan kasus-kasus penyerangan yang masuk dari aplikasi tersebut. Beberapa celah yang dimanfaatkan penyerang dari bug software, seperti ;
• System – Webserver (apache, IIS) – database server (MsSQL, Postgress, Oracle,…) – Web based Language (PHP, ASP, JSP, …)
• Spreadsheet, download manager, P2P, … • CMS systems vurnerability
Trend keamanan dan Serangan komputer| ver 1
24
SMTP Session Hijacking • Simple Mail Transfer Protocol, metode untuk merebut daftar mail yang digunakan untuk
mengirimkan junk mail ke ratusan/ jutaan mail account lainnya, atau keperluan social engineering
• Mengelabui dengan membuat email terkirim dari server yang telah di hijack Email Bombs
Dahulu metode ini banyak ditemukan jika menggunakan daemon tertentu atau OS tertentu
untuk membuat mail server. Ilustrasinya, seseorang dapat mengirimkan banyak mail ke sebuah
account yang valid pada sebuah mail server, dimana satu mail yang dikirim mempunyai
attachment file misalnya saja 2 mega yang melebihi quotanya. Bayangkan saja satu file di
download dari account mail kita dengan menggunakan koneksi dial-up. Belum lagi kemampuan
dari daemon mail tersebut mempunyai banyak bug misalnya akan hang/crash disaat ada
account yang dikirimi secara serentak, apalagi dilakukan secara terus-menerus, serentak dan
bersamaan hingga server crash & down
Saat ini serangan ini dapat dicegah dengan membuat rules di firewall/Proxy / router kita
• Atur di firewall paket data yang boleh masuk ke jaringan DMZ (mail server berada di
DMZ)
• Drop jika ada paket data yang mencoba mengirim ke mail server melebihi nilai paket
tertentu
Password default
Keamanan yang paling mudah digunakan adalah authentikasi yang menggunakan user dan
password. Banyak sekali ditemukan para admin atau web master menggunakan user dan
password standar atau tidak dirubah sama sekali, dimana user dan password tersebut masih
menggunakan default dari vendor pembuatnya. Baik password default untuk di perangkat
jaringan atau password default untuk di aplikasi webbased. Sebut saja solusi Content
Management Systems (CMS) seperti pembanguan sebuah web/portal dengan solusi CMS ini,
penulis perhatikan banyak sekali masih menggunakan user dan password default dari
mamboo/joomla/drupal/Aura/ dan lain-lain.
Password default
– Terutama web yang dibangun dengan CMS
• Penanganan
– Atur direktori administrator