Trend Sistem Keamanan
Trend Sistem Keamanan
Pendahuluan ...
Tidak ada yang bisa menjamin perilaku dari setiap orang yang terkoneksi ke Internet, terdapat
banyak perilaku di internet dari yang berhati baik sampai yang berhati buruk, dari yang
mencari informasi umum sampai mencari informasi kartu kredit orang lain. Karena sifatnya
yang publik atau umum maka muncul masalah baru yaitu masalah keamanan data dan informasi
di Internet terutama informasi-informasi yang bersifat krusial dan konfiden.
Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat
dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel,
VSAT , VPN atau bahkan menggunakan jaringan publik (Internet), Maka ada suatu permasalahan
lain yang sangat krusial yaitu ”Keamanan atau Security”. Karena tidak ada yang sistem yang
aman didunia ini selagi masih dibuat oleh tangan manusia, karena kita hanya membuat
meningkatkan dari yang tidak aman menjadi aman dan biasanya keamanan akan didapat
setelah lubang / vurnability system diketahui oleh penyusup.
Ancaman masalah keamanan ini banyak sekali ditemui oleh pengguna seperti Virus, Trojan,
Worm, DoS, hacker, sniffing, defaced, Buffer Overflow, dan sebagainya dengan apapun istilah
underground yang banyak sekali saat ini, yang pasti akan menyusahkan kita pada saat
ancaman-ancaman ini ”menyerang”. Metode serangan saat ini sangat beragam, dari yang
sederhana yang dilakukan para pemula atau script kiddies sampai dengan serangan dengan
menggunakan metode terbaru. Karena akan semakin kompleksnya administrasi dari jaringan
skala luas (WAN) maka diperlukan suatu mekanisme keamanan dan metode untuk dapat
mengoptimalkan sumber daya jaringan tersebut, semakin besar suatu jaringan maka makin
rentan terhadap serangan dan semakin banyak vurnability yang terbuka.
Ada banyak anggapan yang salah dengan statetement “kami sudah memiliki firewall yang
banyak dan terbaru”, “kami mempunyai team yang tangguh dan hebat dalam bidang security”,
“kami mempunyai dana IT yang unlimitted” atau ”kami tidak ada musuh dan data yang kami
onlinekan tidak mengandung informasi penting”. Inilah beberapa faktor yang memicu
terjadinya kebocoran dari sistem pertahanan yang kita bangun, belum lagi tidak adanya rules
atau policy tentang sistem keamanan di perusahaan atau institusi kita, untuk memberikan
gambaran tentang framework membangun policy sistem keamanan dapat merujuk ke tulisan
penulis yang lain.
Serangan-Serangan ...
Ada banyak model serangan yang dapat diketahui saat ini, namun semakin hari model serangan
semakin beragam baik dari pengembangan model sebelumnya atau model-model baru yang
telah dicoba-coba dan dilakukan oleh penyerang.
Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK
(3 way handshake). Proses 3 way handshake seperti gambar 1 adalah proses yang terjadi pada
saat sumber dan tujuan melakukan komunikasi dimana proses ini menggunakan protocol TCP
yang akan membagi-bagi paket data yang akan ditransmisikan sesuai dengan kesepakatan
antara sumber dan tujuan.
Serangan dilakukan dengan mesin lain yang disebut zombie, zombie adalah mesin server yang
telah dikuasai sebelumnya oleh penyerang untuk menyerang mesin server target lain, hal ini
dilakukan agar jejak yang berupa IP address di internet dapat ditutupi dengan menggunakan
mesin zombie tersebut. Pada gambar 2 dapat dilihat, penyerang menguasai mesin server lain
dahulu yang akan dijadikan zombie, dimana server zombie dipilih oleh penyerang biasanya yang
berada di backbone Amerika, kenapa backbone amerika ? karena bandwidth yang berada di
backbone amerika pasti besar. Hal ini merupakan syarat mutlak untuk menyerang server
tujuan, jika bandwidth mesin zombie kecil atau sama dengan bandwidth server yang akan
diserang maka serangan DoS ini akan dapat dicegah oleh mesin firewall.
Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services (DdoS), dimana DDoS
menggunakan banyak mesin zombie untuk menyerang server tujuan. Akibatnya tidak hanya
server tujuan menjadi down bahkan beberapa kasus provider / telco yang memberikan jasa
koneksi internet bagi server tersebut juga terkena imbasnya seperti gambar 4, hal ini
dikarenakan bandwidth serangan dari zombie akan menyebabkan bootleneck dari aliran
bandwidth ke server tujuan. Misalnya, sebuah mail / web server yang berada di server farm
sebuah perusahaan, dimana perusahaan ini menyewa pada sebuah ISP A. Bandwidth yang
disewa kepada ISP A adalah 512 kbps. Pada saat serangan datang dengan bandwidth misalnya
saja totalnya 200 mbps maka serangan tersebut tidak hanya mematikan server perusahaan
tersebut tapi juga akan mengganngu distribusi bandwidth di ISP A, apalagi jika ISP A
mempunyai bandwidth lebih kecil dari bandwidth serangan. Namun jika bandwidth serangan
lebih kecil dari bandwidth yang disewa ke ISP A atau total bandwidht ISP A lebih besar dari
serangan maka serangan tersebut dapat dengan mudah dilumpuhkan dengan mesin firewall.
Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar dan diatur untuk
menyerang secara serentak atau dalam jeda waktu tertentu. DdoS biasanya dilakukan oleh para
penyerang bukan amatiran karena penyerang mempunyai banyak mesin zombie yang tersebar
diseluruh dunia. Biasanya serangan model ini menyerang server-server pada perusahaan /
penyedia jasa yang besar, tercatat seperti Yahoo, e-bay, dan lain-lain telah pernah di DDoS
yang tentu saja efeknya mendunia dimana banyak para user yang tidak dapat masuk ke layanan
mereka.
2. Block IP address source & Port yang digunakan oleh penyerang dari mesin firewall /
router kita, pada saat serangan berlangsung pastilah terdapat ip address penyerang dan
port yang digunakan oleh penyerang seperti contoh diatas.
3. Block IP address source dari Firewall, contoh
iptables -I FORWARD -s 222.73.238.152/32 -d 0/0 -j DROP
iptables -I FORWARD -s 67.18.84.0/24 -d 0/0 -j DROP
Cara ini biasanya untuk mendapatkan informasi (seperti password id) dari seseorang tanpa
melakukan penetrasi terhadap sistem komputer, Umumnya cara yang dilakukan tidak langsung
menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi
yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Biasanya kegiatan ini melakukan
seperti ;
• Bertanya password ke pegawai via telp
• Mencuri dari “kotak sampah”
• Mencuri data/informasi dengan berpura-pura sebagai tamu, pegawai, atau inspektorat
• Berlagak seperti “orang penting” dengan penetrasi orang
• Menggunakan media telp, surat, email
Para penyusup yang menggunakan cara ini biasanya menggunakan beberapa langkah,
diantaranya ;
• Information gathering, mengumpulkan sebanyak mungkin informasi awal
• Development of relationship, melakukan pengenalan diri dan pendekatan secara pibadi
lewat telpon, chat, mail…
• Exploitation of relationship, mencari informasi yang dibutukan, ex : password,
kekuatan server, jenis server, …
• Execution to Archive Objective, pelaksanaan aksi
Ada beberapa contoh yang dapat penulis gambarkan tentang metode ini, jika kita analisa efek
dari social engineering sangat luar biasa karena mendapatkan informasi dengan cara yang
bukan teknis :
1. sebuah film yang berjudul ‘Take Down’ dimana film tersebut dibuat dari cerita asli tentang
pertempuran cyber antara hacker dan cracker yaitu Tsnomu Tsinomura dan Kevin mitnick.
Di film tersebut terlihat Kevin mitnick melakukan Social engineering untuk mendapatkan
informasi lewat menelpon korban, dengan suara yang menyakinkan dan dilator belakangi
dengan informasi yang cukup maka Kevin menelpon dan menanyakan beberapa informasi
awal untuk mendapatkan file atau informasi di mesin server korban.
Suatu hari, Benny dan Lisa sedang berada di suatu Bank XYZ, mengamati nasabah yang akan
mengajukan aplikasi layanan transaksi perbankan via telephone. Setelah melihat ada
seseorang yang akan mengajukan aplikasi tersebut, Beny turut mengantri di belakang lelaki
tersebut. Pada saat gilirannya, Benny mulai melancarkan aksinya dengan pertama-tama
memberikan sanjungan atas bros yang dipakai petugas bank tersebut dan sekaligus
mengingat nama yang tertulis dilencananya.
Selanjutnya Benny mengajukan beberapa pertanyaan berikut kepada customer service bank
tersebut:
Benny: Rasa-rasanya orang yang mengantri tadi adalah teman saya waktu di SMA .. tapi
saya ragu untuk menegur duluan, takut salah. Boleh tahu mbak, nama bapak tadi.
Lilis (petugas bank) : Oh ... tadi pak Darwin Sudarta.
Benny : Ah benar kan .. dia itu ketua OSIS, dulu teman baik saya .. kumisnya membuat
pangling. Sayang saya tidak menegur, padahal saya coba cari alamatnya ke teman-teman
yang lain tapi tidak ada yang tahu.
Benny : Mmm ... apakah si Darwin ada nomor handphonenya mbak ?
(Benny sengaja menggunakan kata si Darwin bukan pak Darwin supaya kelihatan memang
teman dekatnya).
Lilis : HPnya 0832 xxx (Dengan berpura pura Benny menekan nomor handphonenya dan
seolah olah berbicara dengan Darwin didepan Lilis sambil menunggu aplikasinya selesai
diperiksa.)
Lisa : Selamat siang Pak Darwin, saya Lilis petugas Bank XYZ yang menangani aplikasi bapak
tadi. Kelihatannya Bapak salah mengisikan tanggal lahir karena yang tercantum disini
adalah tanggal hari ini, dan saya juga mohon maaf karena tidak melakukan verifikasi
sebelumnya.
Darwin : Oh ya ? Ok tanggal lahir saya 17 Agustus 1965.
Lisa : Saya juga ingin memverifikasi data lainnya supaya tidak salah entry; nama bapak,
Darwin Sidarta ? (Lisa sengaja mengatakan Sidarta bukan Sudarta).
Darwin : Bukan Sidarta tapi Sudarta; Siera Uniform ...dan seterusnya
Lisa : Oh maaf pak .. boleh tolong dieja juga nama ibu kandung Bapak.
Darwin : Tanggo India ... dan seterusnya
Sampai tahap ini, Benny dan Lisa sudah dapat informasi yang cukup, hanya satu yang
kurang yaitu PhoneID. Tapi hal ini bukan kesulitan bagi mereka berdua, ke esokan harinya
Benny menelpon call center Bank XYZ berpura-pura sebagai Pak Darwin.
Petugas Bank (PB): Hallo Bank XYZ, ada yang dapat dibantu
Benny : Saya Darwin Sudarta, ada sedikit kesulitan untuk melakukan transaksi via
telephone karena lupa PhoneID dan kertas catatan PhoneID saya ada di laci kantor yang
terkunci sedangkan sekarang saya sedang di luar kota. Bisa minta tolong sebutkan nomor
PhoneID saya mbak ?
PB: Bisa, tetapi bapak harus datang ke kantor kami, atau dapat dikirim via pos
ke alamat yang tertulis pada lembar aplikasi.
Benny : Wah repot dong .. padahal saya akan seminggu di Banyuwangi dan perlu transaksi
sekarang. Tahu begini saya tidak menggunakan Bank XYZ karena Bank lain prosedurnya
gampang. Ngomong-ngomong saya bicara dengan siapa ? (Sengaja Benny membandingkan
dengan bank lain dan menanyakan nama petugas bank dengan nada sedikit tinggi).
PB : Mmm baik pak, apakah Bapak dapat memberikan informasi tanggal lahir dan nama Ibu
kandung Bapak ?
Benny : tanggal lahir saya ..
PB : PhoneID Bapak ..
Ping Of Death
Kegiatan yang mengirinkan ICMP dengan paket tertentu yang besar dengan harapan membuat
sistem akan crash, hang, reboot dan akhirnya DoS, tapi metode ini sangat gampang dicegah
dengan memasukan rules ICMP syn request di proxy/firewall/router. Misalnya rulesnya hanya
boleh melakukan ping ke subnet tertentu.
Java / Active X
Saat ini sejak berkembangnya Web 2.0 banyak sekali varian content yang beragam. Konsep
client-server yang digunakan di internet saat ini semakin beragam, penggunaan konsep client-
server ini juga yang banyak digunakan oleh para pembuat virus/trojan/cracker untuk masuk
dan melakukan penetrasi sistem. Komponen ActiveX yaitu executable program yang built-in
pada situs web, jadi jika masuk ke web site ini maka browser akan me-load halaman web ini
beserta built-in component-nya, dan menjalankannya pada komputer kita. Contoh real dari
client-server ini adalah Game online dari sites tidak terpecaya
Pada saat content sebuah web di load ke browser client, ada beberapa script yang di execute
disisi client. Script ini nantinya yang akan digunakan untuk dapat bertukar data data dengan
server misalnya saja kasus games-games online yang dibuat dengan flash script. Dimana script
di load sepenuhnya di client namun pada saat score/pergantian karakter dan sebagainya akan
diberikan dan diproses oleh server. Hal inilah yang memungkinkan sebuah malcode jahat bisa
mencuri informasi dari pc client dan diberikan ke server tujuan.
Sniffing Packet
Melakukan “mata-mata” paket data yang lewat pada jaringan lokal tertentu dalam satu
collision dan broadcast, biasanya untuk mendapatkan password. Metode ini Biasanya ditanam
pada server di NIC tertentu atau pada sebuah pc pada sebuah network. Serangan ini dapat
berhasil dengan baik jika jaringan kita menggunakan perangkat Hub.
Input Systems
Saat ini Web yang semakin beragam dan dinamis,trend ini menuju ke Content Web 2.0 yang
bersifat jejaring dan full interaksi antara pengunjung dan web tersebut. Sudah menjadi trend
dan menjadi hal yang biasa saat ini perusahaan/ institusi dan lain-lain mempunyai website dari
sekedar cuman menampilkan company profile sampai dengan system informasi yang berbasis
online, hal ini disebabkan karena Web yang bersifat cross platform yang dapat diakses dari
mana saja dengan perangkat apa aja asal menggunakan browser. Beberapa serangan yang
dapat dikategorikan sebagai Input Systems.
SQL Injections
suatu metode untuk memanfaatkan kelemahan pada mesin server SQLnya, misalnya
server yg menjalankan aplikasi tersebut. Hal ini dilakukan dengan mencoba
memasukkan suatu script untuk menampilkan halaman error di browser, dan biasanya
halaman error akan menampilkan paling tidak struktur dari hirarki server dan logika
program. Metode ini memasukan “karakter” query tertentu pada sebuah “text area”
Ada beberapa metode yang digunakan penyerang untuk melakukan SQL Injection, dari
gambar diatas terlihat DB yang digunakan untuk menyimpan data. Biasanya digunakan
beberapa metode seperti 1-tier, 2-tier layer pengaksesan dari web server ke DB. Jadi
request dari client tidak akan langsung ke DB namun diterjemahkan oleh web server
dan diquerykan oleh web applications. Kelemahan yang biasanya dicoba adalah di
bagian web server dengan menyerang Daemon web servernya, Web Applications dengan
menginject bahasanya, dan DB yang digunakan (Oracle, Postgress, MySQL, SQL Server,
dan lain-lain).
Query-query yang sering diinjection, seperti ;
• 'anything' OR 'x'='x';
• 'x' AND email IS NULL; --';
• 'x' AND userid IS NULL; --';
• 'x' AND 1=(SELECT COUNT(*) FROM tabname); --';
• 'bob@example.com' AND passwd = 'hello123';
RSS Feeds
Trend teknologi saat ini dalam dunia web 2.0 seperti RSS (Really Simple Syndication)
Sebuah format berbasis bahasa XML yang digunakan untuk sharing dan mendsitribusikan
content web ke web lain, seperti headlines. Dengan RSS Feeds ktia dapat melihat
berbagai sumber berita dari web yang kita gunakan langsung seperti headlines,
summaries hingga full storiesnya. Berita-berita bisa dikutip langsung dari web lain,
misalnya dari portal, web berita atau pages tertentu secara otomatis di halaman web
yang kita buat (metode dasar hyperlink/ linkupdate). Karena otomatis, berita / content
dapat diboncengi oleh trojan/ informasi lain
Google Adsense
Metode “iklan” yang sesuai dengan tema website yang dibuat tanpa harus melakukan
update yang Dilakukan secara online oleh google, dimana Google Adsense akan
mencocokan “iklan” dengan content dan kita akan mendapatkan uang pada saat
pengunjung menklik linknya
Buffer Overflow
Suatu metode penyerangan dengan memanfaatkan kesalahan / bug dari programming untuk
mengeksekusi dan menyisipkan code tertentu, biasanya terdapat pada aplikasi yang ditulis
dengan tidak baik atau versi percobaan. Melakukan “eksekusi” program dengan metode
berulang-ulang hingga sistem crash
DNS Poison
• Melakukan injection pada DNS server / membuat DNS menjadi crash, hingga DNS
bingung
• Metode dengan membuat / membeli nama domain yang identik
• Metode membuat table routing DNS menjadi anomaly
Remote Login
• Biasanya menyerang mesin FTP & SSH
• Mencoba-coba password default
– User : anonymous, pass : empty
• Penanganan
– Tutup daemon yang tidak diperlukan
– Buat policy password
Web Spoofing
• Web Spoofing
– Membuat web lain yang “copy paste/ identik” dari web asli
– Membeli domain yang yang hampir identik
• Ex : klikbca.com (existing)
• Lalu dibeli domain clikbca.com / clickbca.com / clickbca.net
– Menangkap user dan password
• Penanganan
Kalau kita cerna mengapa perusahaan sebesar microsoft membuat divisi khusus tentang
UPDATE/ FIX PROBLEM, jawabannya adalah software house sebesar Microsoft saja yang
mempunyai team khusus R&D yang handal masih mensisahkan bug/ problem/ anomaly dari
software-software yang mereka buat. Begitu juga di OS linux pasti distro-distro membuat
update-update untuk kernelnya.
Baik dari Sistem Operasi, Office, dan aplikasi lainnya begitupun beberapa Aplikasi s/w dengan
based OS apapun yang ada dipasaran mempunyai backdoor / vurnerability yang dapat dijadikan
backdoor. Para pembuat script tersebut pastilah tidak dapat sepenuhnya membuat secara
sempurna software mereka, hal inilah yang dijadikan oleh para penyerang untuk melakukan
serangan. Kebanyakan serangan dengan memanfaatkan celah ini adalah kesalahan-kesalahan
logika pemrograman atau aplikasi-aplikasi yang uncompatible dengan aplikasi lainnya yang jika
melakukan eksekusi tertentu menyebabkan / menghasilkan suatu proses tertentu.
Makanya beberapa vendor software menyiapkan service pack / update patch di web mereka
untuk mencegah atau menangani permasalahan ini, celah / vurnerability biasanya ditemukan
setelah produk tersebut dilauncing kepasar dan dicoba oleh banyak user atau ditemukan kasus-
kasus penyerangan yang masuk dari aplikasi tersebut.
Email Bombs
Dahulu metode ini banyak ditemukan jika menggunakan daemon tertentu atau OS tertentu
untuk membuat mail server. Ilustrasinya, seseorang dapat mengirimkan banyak mail ke sebuah
account yang valid pada sebuah mail server, dimana satu mail yang dikirim mempunyai
attachment file misalnya saja 2 mega yang melebihi quotanya. Bayangkan saja satu file di
download dari account mail kita dengan menggunakan koneksi dial-up. Belum lagi kemampuan
dari daemon mail tersebut mempunyai banyak bug misalnya akan hang/crash disaat ada
account yang dikirimi secara serentak, apalagi dilakukan secara terus-menerus, serentak dan
bersamaan hingga server crash & down
Saat ini serangan ini dapat dicegah dengan membuat rules di firewall/Proxy / router kita
• Atur di firewall paket data yang boleh masuk ke jaringan DMZ (mail server berada di
DMZ)
• Drop jika ada paket data yang mencoba mengirim ke mail server melebihi nilai paket
tertentu
Password default
Keamanan yang paling mudah digunakan adalah authentikasi yang menggunakan user dan
password. Banyak sekali ditemukan para admin atau web master menggunakan user dan
password standar atau tidak dirubah sama sekali, dimana user dan password tersebut masih
menggunakan default dari vendor pembuatnya. Baik password default untuk di perangkat
jaringan atau password default untuk di aplikasi webbased. Sebut saja solusi Content
Management Systems (CMS) seperti pembanguan sebuah web/portal dengan solusi CMS ini,
penulis perhatikan banyak sekali masih menggunakan user dan password default dari
mamboo/joomla/drupal/Aura/ dan lain-lain.
Password default
– Terutama web yang dibangun dengan CMS
• Penanganan
– Atur direktori administrator
Trend keamanan dan Serangan komputer| ver 1 24
– Buat policy tentang password
– Update pacth CMS yang digunakan