Pengantar Teknis Keamanan Siber

Latihan 17e: Aset &Kerentanan

PENGANTAR TEKNIS KEAMANAN SIBER
FASILITAS NUKLIR & RADIOLOGI

Evaluasi Aset Digital &Kerentanan Terkait

Revisi: 4
Tanggal: 10 Juli 2019

1|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Rangkuman &Tujuan
Aset Digital telah menjadi tulang punggung sistem keamanan, keselamatan dan operasional. Teknologi
digital telah meningkatkan efektivitas dan efisiensi sekaligus menurunkan biaya. Akan tetapi, aset digital
berpotensi memiliki kerentanan yang akan mengubah profil risiko fasilitas. Pemahaman akan
kerentanan ini menjadi penting untuk memahami risiko dan mengidentifikasi isu-isu yang memerlukan
investasi keamanan.

Sasaran latihan ini adalah untuk memahami hubungan antara aset dan kerentanandan bagaimana
kerentanan dapat mengubah profil risiko sebuah fasilitas. Dalam latihan ini, para peserta akan:
 Meninjau daftar aset;
 Menilai kerentanan; dan
 Menyusun hipotesis bagaimana seorang penyerang (attacker)dapat memanfaatkan kerentanan
tersebut dalam sebuah penyerangan.

Dalam latihan ini, Anda akan menganalisis 2 sistem.

 Sistem pertama adalah sistem database yang digunakan untuk mempertanggungjawabkan
pengoperasian dan penghitungan bahan radiologi di fasilitas Anda.
 Sistem kedua adalah sistem kamera yang digunakan di fasilitas Anda.

Instruksi

 Tinjaulah diagramserta daftar aset. Pahamilah aset yang diidentifikasi.

 Untuk kerentanan apa pun yang teridentifikasi, tinjaulah uraian yang berkaitan.
 Jawablah pertanyaan-pertanyaan terkait dengan skenario tersebut.

KUNCI:Kerentananganda dapat digunakan untuk menciptakan sebuah skenario serangan

tunggal. Jangan membatasi bagaimana seorang musuh dapat menggunakan
kerentanantersebut dalam sebuah skenario serangan.

2|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan

Kantor Penghitungan Bahan

10.250.10.2
Printer

Saklar
WWW
10.250.10.3

10.250.10.22
10.250.10.50 10.250.10.20

10.250.10.21

Jaringan Teknik
(Engineering
Network)

3|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Persediaan Aset
Alamat IP Judul Aset Lokasi Tujuan Perangkat CVE CIA
Terpadu
(Firmware)
10.250.10.2 Database Server Kantor Penyimpanan semua data tercatat 6.1 CVE-2013-6189 Integritas
Administrasi secara terpusat di lingkungan
Rumah Sakit rumah sakit yang mencakup
perangkat radiologi dan informasi
tentang pasien.
10.250.10.3 Router Ruang Server Tautan antara titik akhir (end 690 CVE-2014-0984 Ketersediaan
points) dalam jaringan dan
internet.
10.250.10.20 Stasiun Kerja 1 Ruang 157 Melihat database dan St500lt015 CVE-2015-7269 Kerahasiaan
memasukkan perangkat.
10.250.10.21 Stasiun Kerja 2 Ruang 201 Melihat database dan St500lt015 CVE-2015-7269 Kerahasiaan
memasukkan perangkat.
10.250.10.22 Stasiun Kerja 3 Ruang 322 Melihat database dan St500lt015 CVE-2015-7269 Kerahasiaan
memasukkan perangkat.
10.250.10.50 Titik Akses Nirkabel Ruang Server Memungkinkan perangkat nirkabel 1.0.4.4 CVE-2016-1334 Ketersediaan
(Wireless Access terhubung dengan jaringan kabel.
Point)

4|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem#1: Gambaran Umum tentang Kerentanan

Judul CVE Uraian

CVE-2013-6189 Perangkat terpadu (Firmware)memungkinkan para pengguna desktopjarak
jauh mengeksekusi arbitrary codeuntuk memperoleh hasil mulai dari
manipulasi data hingga penghapusan.
Keparahan Skor Terendah (Base Score Severity) (1 = Tidak Parah / 10 =
Parah) = 10 Tinggi

Dampak CIA:
- Kerahasiaan = Tinggi
- Integritas =Tinggi
- Ketersediaan = Tinggi
CVE-2014-0984 Mengizinkan serangan keras terhadap kata sandi. Setelah akses diberikan,
akses ke internet dapat terputus ke perangkat lain.

Keparahan Skor Terendah (Base Score Severity)(1 =Tidak Parah / 10 = Parah)

= 4.3 Sedang

- Kerahasiaan = Tidak Ada

- Integritas = Tidak Ada
- Ketersediaan = Sebagian
CVE-2015-7269 Kerentanandalam BIOS. Mengizinkan para pengguna untuk menerobos
BIOS initial login screendan menghindari enkripsi hard drive. Langkah ini
diselesaikan oleh pengguna dengan menambahkan windows pada hard
drive kedua dan melakukanbootingdari disk tersebut. Semua data pada
drive pertama kemudian akan dapat dilihat.
Keparahan Skor Terendah (Base Score Severity)(1 = Tidak Parah / 10 =
Parah) = 4.2 Sedang

- Kerahasiaan = Tinggi
- Integritas = Tidak Ada
- Ketersediaan = Tidak Ada
CVE-2016-1334 Para pengguna dengan akses kredensial (credentialed access) dapat
mengubah tanggal dan waktu jaringansehingga akan menyebabkan
dikeluarkannya akses untuk perangkat yang mencari akses nirkabel untuk
bagian lain dari jaringan tersebut.

5|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #1: Pertanyaan-Pertanyaan
1. Menurut Anda, aset mana yang paling penting dalam sistem ini? Pilihlah dua komponen dan
uraikan apa yang akan terjadi jika sistem tersebut mengalami kegagalan? Apakah ada
komponen yang akan mematikan seluruh sistem akuntansi jika komponen tersebut gagal
berfungsi?

2. Apakah Anda setuju atau tidak setuju dengan penilaian Daftar Aset dari aset yang ditentukan
untuk tujuan keamanan (CIA Triad)? Mengapa?Jelaskan jawaban Anda?

6|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
3. Dari kerentananyang dinilai, apakah terdapat kerentanan yang lebih penting dan secara
potensial lebih berisiko terhadap sistem di atas dibandingkan yang lain? Mengapa? Apakah
terdapat ketidaksempurnaan desain yang mengkhawatirkan dalam diagram jaringan ini?

4. Misalkan Anda adalah karyawan yang tidak puas. Anda berniat menimbulkan ketakutan dan
kekhawatiran di antara staf administrasi rumah sakit. Target Anda adalah untuk mengubah
dosis radiologi yang diresepkan dokter dalam catatan pasien. Jika Anda seorang penyerang
(attacker), manakah dari kelima tujuan ini (Mendistorsi/Distort, Mengganggu/Disrupt,
Merusak/Destruct, Mengungkapkan/Disclosedan Menemukan/Discover) yang akan Anda pilih
untuk mencapai tujuan Anda tersebut? Kerentananmanakah yang akan Anda pilih untuk
dieksploitasi?

7|Page
 Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #2: Sistem Manajemen Video (Video Management
System/VMS)
Kamera Analog – IP No

IP: 192.168.1.1
IP: 192.168.1.2
IP: 192.168.1.3
IP: 192.168.1.4

IP: 192.168.1.70
IP: 192.168.1.10 TCP/IP
IP: 192.168.1.55
IP: 192.168.1.11
IP: 192.168.1.57

IP: 192.168.1.52 Multiplexor – No IP IP: 192.168.1.54

IP: 192.168.1.50 IP: 192.168.1.56

IP: 192.168.1.5

IP: 192.168.1.51 IP: 192.168.1.53 IP: 192.168.1.12 IP: 192.168.1.20

IP: 192.168.1.21

IP: 192.168.1.22

Kamera Analog– No IP Jaringan

Korporat

System
Guard Guard CAS Admin

IP: 192.168.1.100 IP: 192.168.1.101 IP: 192.168.1.102 IP: 192.168.1.103

8|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Persediaan Aset
Alamat IP NamaAset Lokasi Tujuan Perangkat CVE CIA
Terpadu
(Firmware)
192.168.1.1 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 5
192.168.1.2 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 5
192.168.1.3 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 6
192.168.1.4 HP Server CAS Server Mengendalikan Kamera Analog di 7.1.0 CVE-2018-7090 Ketersediaan
Sektor 7
192.168.1.5 HP Server SAS Server Membaurkan Data Analog & Digital 7.1.0 CVE-2018-7090 Ketersediaan
192.168.1.10 Perekam Video Net CAS Server Mengendalikan Kamera IP di 7.5.21 CVE-2016-4520 Ketersediaan
(Net VideoRecorder) Sektor 1 & 2
192.168.1.11 Sistem Manajemen CAS Server Keseluruhan Pengendalian Sistem 7.5.21 CVE-2016-4520 Kerahasiaan
Data
192.168.1.12 Perekam Video CAS Server Mengkonversikan Sinyal Analog Ketersediaan
Digital (Digital
Video Recorder)
192.168.1.20 Intel RAID SAS Server Penyimpanan Data 2.1.34 Integritas
192.168.1.21 Intel RAID SAS Server Penyimpanan Data 2.1.34 Integritas
192.168.1.22 Intel RAID SAS Server Penyimpanan Data 2.1.34 Integritas
192.168.1.50 Kamera IP Sektor 1 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.51 Kamera IP Sektor 1 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.52 Kamera IP Sektor 2 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.53 Kamera IP Sektor 2 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.54 Kamera IP Sektor 3 Penilaian 3.04.22 CVE-2018-7782 Integritas

192.168.1.55 Kamera IP Sektor 3 Penilaian 3.04.22 CVE-2018-7782 Integritas

192.168.1.56 Kamera IP Sektor 4 Penilaian 3.04.22 CVE-2018-7782 Integritas
192.168.1.57 Kamera IP Sektor 4 Penilaian 3.04.22 CVE-2018-7782 Integritas

9|Page
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
192.168.1.70 Video Encoder Sektor 1 Konversi Analog ke Digital 1.1.17 Ketersediaan
192.168.1.100 Stasiun Alarm Lokal ECP #1 Penilaian Alarm 4.16.32 Ketersediaan

192.168.1.101 Stasiun Alarm Lokal ECP #2 Penilaian Alarm 4.16.32 Ketersediaan

192.168.1.102 Stasiun Alarm Pusat CAS Server Penilaian Alarm 4.16.32 Ketersediaan

192.168.1.103 Administrator CAS Server Konfigurasi Sistem 2.11 CVE-2015-7547 Integritas

Sistem

10 | P a g e
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #2: Gambaran Umum tentang Kerentanan

Judul CVE Uraian

CVE-2018-7090 Perangkat terpadu (Firmware) mengizinkan injeksi kode perusak (malicious

code) dari seorang pengguna jarak jauh sehingga memungkinkan seorang
penyerang menerobos parameter login kontrol akses.
Keparahan Skor Terendah (Base Score Severity)(1 = Tidak Parah / 10 =
Parah) = 6.1 Sedang
Dampak CIA:
- Kerahasiaan = Dampak Rendah
- Integritas = Dampak Rendah
- Ketersediaan = Tidak Ada Dampak
CVE-2016-4520 Perangkat terpadu (Firmware) mencakup kredensial login yang dituliskan
secara langsung/hardcoded (tertanam dan tidak dapat diubah). Kredensial
default ini dipublikasikan secara online. Mengizinkan pengungkapan
informasi tanpa otorisasi. Mengizinkan modifikasi tanpa otorisasi.
Mengizinkan gangguan layanan.
Keparahan Skor Terendah (Base Severity Score)(1 = Tidak Parah / 10 =
parah) = 9.8 Penting
Dampak CIA:
- Kerahasiaan = Tinggi
- Integritas = Tinggi
- Ketersediaan = Tinggi
CVE-2018-7782 Para pengguna dapat melihat kata sandi dalam bentuk teks jelas dengan
mengakses webserver yang dibangun ke dalam kamera. Selain itu,
kredensial defaultpada kamera tetap aktif. Kamera-kamera tersebut
dipublikasikan secara online.
Keparahan Skor Terendah (Base Severity Score)(1 = Tidak Parah / 10 =
Parah) = 8.8 Tinggi
Dampak CIA:
- Kerahasiaan = Tinggi
- Integritas = Tinggi
- Ketersediaan = Tinggi
CVE-2015-7547 Buffer Overflow. Para pengguna dapat memanfaatkan kerentananini
sehingga perangkat dapat melakukan operasi tanpa otorisasi, seperti
meluncurkan penolakan layanan terhadap semua endpoint dalam sebuah
jaringan. Para pengguna juga dapat mengeksekusi arbitrary codeterhadap
perangkat lain pada jaringan.
Keparahan Skor Terendah (Base Severity Score)(1 = Tidak Parah / 10 =
Parah) = 8.1 Tinggi
Dampak CIA:
- Kerahasiaan = Tinggi
- Integritas = Tinggi
- Ketersediaan = Tinggi

11 | P a g e
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
Penilaian Sistem #2: Pertanyaan-Pertanyaan

1. Menurut Anda, aset mana yang paling penting dalam sistem ini? Apakah ada komponen yang
akan menurunkan kinerja keseluruhan sistem proteksi fisik jika komponen tersebut mengalami
kegagalan fungsi?Apakah ada komponen yang akan mematikan seluruh sistem manajemen
video jika komponen tersebut mengalami kegagalan fungsi?

2. Apakah Anda setuju bahwa kamera-kamera harus memiliki nilai CIA “Integritas”? Mengapa?
Apakah Anda tidak setuju dengan penyebutan CIA yang diberikan untuk perangkat dalam
registry ini? Jelaskan jawaban Anda?

12 | P a g e
Pengantar Teknis Keamanan Siber
Latihan 17e: Aset &Kerentanan
3. Dari kerentananyang dinilai, apakah terdapat kerentanan yang lebih penting dan lebih berisiko
kepada sistem manajemen video? Mengapa? Apakah terdapat ketidaksempurnaan desain yang
menimbulkan kekhawatiran dalam diagram jaringan?

4. Misalkan Anda adalah seorang pelaku kejahatan. Anda bermaksud mencuri bahan nuklir dari
sebuah ruang penyimpanan (vault). Untuk menyelesaikan skenario pencurian Anda, Anda perlu
menonaktifkan sistem manajemen video selama jangka waktu tertentu. Sebagai seorang
penyerang (attacker), manakah dari kelima tujuan ini (Mendistorsi/Distort,
Mengganggu/Disrupt, Merusak/Destruct, Mengungkapkan/Disclose dan Menemukan/Discover)
yang akan Anda pilih untuk mencapai tujuan Anda tersebut? Kerentananmanakah yang akan
Anda eksploitasi?

13 | P a g e