Anda di halaman 1dari 28

MENYERANG DAN

D
BERTAHAN
Mengetahui Bagaimana Hackkers Beraksi dan Membangun
Pertahanan yang Kuat Pada
P
Sistim dan Jaringan
Komp
puter

Muhammad Zen S.
S Hadi, ST. MSc.

Materi

mengenal hackers, crac


ckers, blackhat, whitehat
ethical hacking
network mapping, scann
ning, fingerprinting
vulnerability assessmen
nt
eksploitasi sistim target (remote & local)
backdoors trojan horses,
backdoors,
s rootkits
membangun sistim pertahanan yang baik

Hackers, Crackers, Blackkhat, Whitehat

hackers:

tukang ngoprek yang selalu penasaran

crackers:

pembobol sistim / aplikasi

blackhat:

hacker yang jahat

whitehat:

hacker yang baik

Mengapa Perlu Tahu Tekknik Hacking?

mengetahui sudut pandang hackers terhadap


security

know your enemies

meningkatkan
g
kewaspa
p daan staff IT

kita tidak pernah tahu kapan


n hackers akan menyerang

meningkatkan respon te
erhadap insiden

bagaimana melakukan respo


on yang baik

Kelemahan Protokol TCP


P/IP

target spoofing

X adalah kekasih Y, dan Z berpura-pura


b
menjadi X

session hijacking

X menelpon Y, dan Z menga


ambil-alih percakapan

dapat dimanipulasi

Y kirim parsel ke X, dan Z mengganti


m
isi parsel dengan bom

Denial of Service (DoS))

Jalan ke rumah Y hanya muat 1 mobil, Z memarkirkan 4 mobil


memenuhi jalan agar X tidakk dapat berkunjung ke rumah Y

Penetration Attack Stepss

Footprinting (nslookup, whois, dig)


Port scanner (nmap)
Network enumeration (nullsession
n) : cari account name yang sah
Gaining & keeping root / administrrator access
Using access and/or information gained
g
Att k
Attack
-

Denial of Services (DoS) :Netw


work flooding

Buffer overflows : Software error

h
Malware :Virus, worm, trojan horse

Brute force

Covering his tracks (hapus jejak)


Leaving backdoor

Hacking
Methodology

Footp
printing
Sca
anning

whois, nslookup

Nmap, fping

Enum
meration

dumpACL, showmount
legion, rpcinfo

Gaining Access

Tcpdump, Lophtcrack
NAT (cgh spoofing)

Escalating Privilege

Johntheripper, getadmin

Pilffering

Rhosts, userdata
Config files,
files registry

Coverin
ng Tracks

zap, rootkits

Creating Back Doors

Cron,at, startup folder


netcat, keystroke logger
remote desktop

Denial of
o Service

Synk4, ping of death


tfn/stacheldraht

Mencari & Mengumpulka


an Informasi

Secara aktif

portscanning
network mapping
OS detection
applications fingerprinting

Secara pasif

via Internet Registry (domain


n IP Address)
n,
website target
mailing-list

Mencari & Mengumpulka


an Informasi

whois namadomain

Nama domain
Lokasi organisasi
Kontak administrasi
Nomor telp & fax
Subnet address

nslookup

File yang berisi : subnet yang valid,


v
mail server, server web,
Informasi host & IP

Search Engine

Mengumpulkan informasi tambbahan


Header email

Network Scanning

Menginterpretasikan infformasi yang sudah


didapat mengenai sistim
m dan jaringan target

membandingkan informasi yang


y
sudah didapat
(domain/hostname) dengan kenyataan

Mengidentifikasi hosts yang


y
aktif

dapat menjadi target attack

M
Memetakan
t k struktur
t kt jari
j ingan target
t
t

membuat struktur jaringan ta


arget
dapat mencari tahu hosts ya
ang tidak dilindungi dengan baik

Mencari hosts yang vuln


nerable

mengidentifikasi service
service, dan
n membandingkannya dengan
database exploit yang dimilikki

Network Scanning

traceroute/tracert

Melacak path dari satu host ke host yang lain

Scanning host servis

Ping Scanning (inetTools dari wilddpackets)


Port Scanning
TCP half
h lf Scanning
S
i
Fin Scanning

Monitoring

Network Analyzer (bahasa, tipe enncoding, id cookie, sistem operasi,


browser)

Mendapatkan Akses

Mengeksploitasi vulnera
ability holes

remote host
$ gcc -o exploit

exploit.c; ./ex
xploit -t www.xyz.co.id

# hostname; id
webserver.xyz.co.id
uid=0(root) gid=0(wheel) groups=
=0(wheel), 1(daemon), 2(kmem), 3(sys)

localhost
$ gcc -o

exploit exploit.c; ./ex


xploit
# hostname; id
localhost.localdomain
uid=0(root) gid=0(wheel) groups=
=0(wheel), 1(daemon), 2(kmem), 3(sys)

Social Engineering

memperdayai user untuk me


emberitahukan username dan
password
(kasus Kevin Mitnick)
mengamati seseorang mema
asukkan username dan password
******** -> zenhadi

Bruteforcing Username & Password

Apa yang Dilakukan Hacckers Selanjutnya?

Menginstall Backdoors, Trojan Horses, dan


Rootkits

memudahkan akses masuk kembali


memperdayai sysadmin untu
uk mendapatkan akses penuh
(
(root)
)
menginstal sekumpulan toolss untuk menjadi invisible ketika
login

Menghapus Jejak

memodifikasi logfiles
g
sehing
gg
ga tidak menimbulkan kecurigaan
g
sysadmin

Menyalin /etc/passwd & /etc/shadow atau


/etc/master.passwd
diperlukan sewaktu-waktu jikka semua backdoor terhapus

Metodologi Hacking (1/4))

Buffer Overflow Attacks

Victim adalah aplikasi yang ditulis


d
dengan tidak baik
Memanfaatkan kesalahan prrogramming untuk mengeksekusi
sisipan code
Dapat dieksploitasi secara re
emote atau local,
local tergantung
aplikasi
Spesifik pada Processor & Operating
O
System tertentu

Denial of Service

Menjadikan service tidak dap


pat dipergunakan
Target DoS:
Traffic flooding (membanjjiri lalu lintas jaringan dengan
banyak data)
Request flooding (membaanjiri jaringan dengan banyak
request thd sebuah layan
nan jaringan)

Metodologi Hacking (2/4))

Di t ib t d D
Distributed
Denial
i l off S
Servic
ice (DDos)
(DD ) Att
Attacks
k

Sama seperti DoS, namun mengg


gunakan banyak hosts untuk menyerang
satu target
Hosts yang digunakan untuk meny
yerang biasanya hosts yang telah berhasil
dikuasai (zombie), dengan cara mencari
m
host yang vulnerable di internet
dan diinstall dengan DDoS Trojan seperti TFN, TFN2K, Trinoo, dan
Stacheldraht.
Eksekusi DDoS dilakukan secara bersama-sama (menggunakan master
hosts), dengan SYN flooding atau ping of death
Efek yang ditimbulkan lebih berba
ahaya

Metodologi Hacking (3/4))

Penyalahgunaan Trust

Hanya berlaku pada jaringan


n berskala kecil dan menggunakan
tipikal arsitektur jaringan yan
ng lama
Memanfaatkan trust antar ho
osts / systems
Sulit dibedakan antara intrud
der dan user biasa

Brute Force Attacks

Secara berulang melakukan percobaan otentifikasi


Menebak username dan passsword
Mengcrack shadow passworrd file

MITM (Man in the middlle attack)

Memakai packet analyzer


Session Hijacking
hunt, sshmitm, webmitm, dsniff, arpspoof, dnsspoof, filesnarf,
mailsnarf smdsnarf
mailsnarf,
smdsnarf, urlsnarff,
f webspy,
webspy tcpkill,
tcpkill tcpnice
tcpnice, dll
dll.

Metodologi Hacking (4/4))

CGI / WWW Attacks

Terbagi dalam 3 (tiga) kategori:


buffer overflow: tidak mellakukan validasi pada user input
command execution: dappat mengeksekusi perintah
tambahan
subverting client-side scripting: dapat dimanfaatkan untuk
mengeksekusi buffer ove
erflow dan command execution
disisi client

Backdoors & Trojans

Memperdayai user atau sysa


admin untuk memberikan
password mereka tanpa dike
etahui
Dapat berupa program yang umum dikenal dan sering
digunakan sehingga tidak menimbulkan kecurigaan

Melancarkan Serangan (DoS)


(

Buffer OverFlow (ping of death atta


ack)
mengirimkan data yang melebihi kapa
asitas sistim, misalnya paket ICMP yang
berukuran sangat
g besar.

SYN Attack (SYN Flooding)


H lf
Half-open
connection
ti attack
tt k

Melancarkan Serangan (DoS)


(

Land Attack
Mengirimkan data TCP SYN dengan
alamat palsu.
Paket SYN
S
yang telah direkayasa atau
dispoof ini berisikan source address
dan source port number yang sama
persis dengan destination address dan
destination port number. Dengan
demikian, pada waktu host
mengirimkan paket SYN/ACK kembali
ke client, maka terjadi suatu infinite
loop.
ICMP Flood Attack
Spt Syn Attack, yaitu dengan
membanjiri target dengan paket ICMP
dengan alamat source yang
dispoofing.

Melancarkan Serangan (DoS)


(

Serangan TearDrop
mengirimkan paket IP dengan nilai offset yang
y
membingungkan.

Smurf Attack
Serangan yang dibangun dengan menggu
unakan pemalsuan terhadap paket-paket ICMP
echo request sehingga target akan mene
erima paket ICMP bervolume besar dengan
alamat host lain.

Melancarkan Serangan (DoS)


(

UDP Bomb Attack


Penyerang mengirim sebuah paket UD
DP (User Datagram Protocol) yang telah
dispoof
p
atau direkayasa
y
sehingga
gg berisikan nilai-nilai y
yang
g tidak valid di fieldfield tertentu.

Hacking Tools

Scanners

mengidentifikasi sistim targe


et
mencari vulnerability holes

Exploits

memanfaatkan vulnerability holes


mendapatkan akses penuh (UNIX:
(
root)

Backdoors Trojan Horsses,


Backdoors,
ses dan Rootkits

membuat jalan masuk tersem


mbunyi
menghapus jejak
mengelabui sistim administra
ator

Password Crackers

mengcrack shadow passworrd

Spoofing
p
g

Membangun Pertahanan
n (1/4)

Secure Network Design


n

penggunaan switch untuk menghindari network sniffing


membagi jaringan berdasarkkan klasifikasi penggunaan
bedakan antara kelas serrver dengan kelas workstation
menempatkan firewall
firewall, ID
DS pada posisi yang tepat

Implementasi Security Policy


P

berhubungan dengan user


berkaitan pada penggunaan sistim dan jaringan
harus diawasi dengan benarr

Membangun Pertahanan
n (2/4)

Firewall

commercial vs opensource
konfigurasi firewall
block all vs permit all

I t i Detection
Intrusion
D t ti Syst
S tem
t
(IDS)

commercial vs opensource
Network Intrusion Detection System (NIDS)
Host-based Intrusion Detection System (HIDS)

Membangun Pertahanan
n (3/4)

Security Monitoring

berkaitan dengan policy


mengamati anomali event

Secure Logging

logging itu perlu


mengamankan log dari manipulasi

System Hardening

menggunakan kernel securitty patch


menonaktifkan service yang tidak perlu
melokalisasi vulnerable prog
gram dengan chroot atau jail

Membangun Pertahanan
n (4/4)

Security Audit

memeriksa status service da


an sistim secara berkala
membandingkan versi aplika
asi dengan versi terbaru

Penetration Testing

ethical hacking?
menyewa hacker (atau ex-ha
acker)?
melakukan test pembobolan dan eksploitasi service
memberikan advisori terhada
ap setiap titik rawan

Contoh setting di Firewalll


Force SYN packets check
Make sure NEW incoming tcp connections are SYN packets; otherwise we need to drop them:
iptables -A INPUT -p tcp ! --syn -m state --state NEW
W -j DROP
Force Fragments packets check
Packets with incoming fragments drop them. This atttack result into Linux server panic such data loss.
iptables -A INPUT -f -j DROP
XMAS packets
Incoming malformed XMAS packets drop them:
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
P
Drop all NULL packets
Incoming malformed NULL packets:
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
Block Spoofing and bad addresses
# Drop packet that claiming from our own server
$iptables -A INPUT -s $SERVER_IP j DROP
$iptables -A FORWARD -s $SERVER_IP j DROP
# Drop packet that claiming from our own internal LA
AN
$iptables -A INPUT -s $LAN_RANGE j DROP
p
A FORWARD -s $LAN_RANGE
_
jj DROP
$iptables

Contoh setting di Firewalll


Syn-flood protection:
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
Furtive port scanner:
# iptables -A FORWARD -p tcp --tcp-flags SYN
N,ACK,FIN,RST RST -m limit --limit 1/s -j
ACCEPT
Ping of death:
# iptables -A FORWARD -p icmp --icmp-type eccho-request -m limit --limit 1/s -j ACCEPT