1st Edition Release - GQ
1st Edition Release - GQ
CDEF Magazine
Cyber Defense Community TURUT SERTA MENCERDASKAN KEHIDUPAN BANGSA
INTERVIEW KHUSUS
DENGAN RUSDI RACHIM
“MEMULAI (PERJALANAN)
KARIR DI BIDANG CYBER
(DEFENSE) SECURITY ”
TUTORIAL
Monitoring Windows Event Logs dengan Graylog, Membangun
Log Management dengan ELK Stack
EVENTS REPORT
CDEF Meeetup Agenda
Liputan Sharing Session di SMK Negeri 2 Depok Sleman
Event Report: Cyber Defense NetWars 2017
Tim Redaksi
Digit Oktavianto
Halo Pecinta Cyber Defense Indonesia !!!
Adi Nugroho
Sida Nala Rukma J
Puji syukur kami haturkan kepada Tuhan Yang Maha Esa,
karena berkat karunia-Nya dan kehendak-Nya akhirnya Ma-
Tim Desain Grafis
jalah Elektronik Cyber Defense (CDEF) Community dapat
Sida Nala Rukma J
terselesaikan juga untuk edisi yang pertama ini.
M. Iqbal Muhardianto
Terima kasih tak lupa juga kami sampaikan kepada para
Tim Editor & Proof Reading
kontributor, proof-reader dan reviewer dari majalah ini yang
Paulus Tamba
telah meluangkan waktu, pikiran dan tenaganya untuk mem-
Rusdi Rachim
berikan sumbangsih yang sangat berharga guna berbagi
Fransiskus Indromojo pengetahuan, pengalaman kepada generasi penerus dari
Harun Al Rasyid pegiat dan pecinta cyber defense di Indonesia.
Bambang Susilo
Semoga cita-cita dari komunitas CDEF untuk turut berkontri-
Penasihat
busi guna mencerdaskan anak bangsa melalui berbagi pen-
Rusdi Rachim getahuan dan pengalaman di bidang cyber defense dapat
Harun Al Rasyid terus berlanjut, sehingga generasi penerus di bidang cyber
defense dapat terus tumbuh di negeri ini. Amin.
Kontak
Kritik dan saran dapat dikirim-
kan ke alamat e-mail redaksi
- Tim Redaksi CDEF Magazine -
redaksi@cdef.id
1
CYBER HORIZON
1
LOG DATA & LOG MANAGEMENT
- SIDA NALA RUKMA J.
6
TUTORIAL
2
MONITORING WINDOWS EVENT LOGS
19 DENGAN GRAYLOG
- WAHYU NURYANTO
TOKOH
DAFTAR ISI
3
MEMULAI (PERJALANAN) KARIR DI BIDANG
CYBER (DEFENSE) SECURITY” BERSAMA
43
RUSDI RACHIM
EVENTS REPORT
5
2ND MEETUP - CYBER DEFENSE COMMUNITY
DI MENARA BTPN
65
3
ULASAN BUKU
6
LOGGING AND LOG MANAGEMENT 86
CHALLENGE
7
TEKA TEKI SILANG
91 - KONTRIBUTOR
POJOK HUMOR
93 - TIM REDAKSI
DAFTAR ISI
1
“The more you know, the
CYBER HORIZON more you don’t know”
– Anonymous
Log Data & Log Management
Ditulis oleh Sida Nala
Apa itu Log Data? Idealnya, untuk sebuah log data harus bisa
kurang lebih menjelaskan 5W1H. Namun
“Log data is the intrinsic meaning that a untuk secara rinci mengenai bagaimana,
log message has. Or put another way, dan mengapa sangat jarang ditulis dan di-
masukan ke dalam log. Hal ini mungkin
log data is the information pulled out of
akan kita temui untuk jenis log debug atau
a log message to tell you why the log
jenis log yang lain dengan level verbose
message generated”
yang tinggi dan itu akan memberikan ban-
yak informasi.
Sebuah contoh, pada sebuah web server
yang dikunjungi oleh user, user akan oto- Untuk isi dasar log itu sendiri biasanya
matis mengakses resources di dalamnya mengandung :
(halaman web, gambar, file, dan lain-lain.).
Jika user mengakses halaman tersebut, Waktu.
web server akan menulis log kedalam Sumber.
sistem. Salah satunya adalah alamat IP
Data.
dari user yang telah mengunjungi halaman
tersebut.
Dengan memahami konteks daur hidup ter- Pengetahuan yang cukup mendalam dari
sebut, threat hunter dapat menyusun hipo- sisi internal sistem operasi, dapat mem-
tesa serta memprediksi kemungkinan- bantu pekerjaan threat hunter dalam
kemungkinan teknik serta metode yang mengolah data yang diperoleh dari sisi end-
digunakan oleh para adversaries dalam point. Sebagai rujukan, anda dapat mem-
proses eksploitasi pada suatu environ- baca beberapa buku seperti Sysinternal
ment. Selain Kill Chain Framework, yang Windows, atau Kernel Linux Book sebagai
Metode Serangan (Attack Method) atau infrastruktur yang ada pada environ-
ment kita. Pentingnya melakukan update
Pada poin sebelumnya, jika anda mem- knowledge secara berkala untuk terus
baca mengenai attacker lifecyle, hal ini mengetahui latest attack method, juga da-
akan sangat berkaitan dengan poin ini. pat membantu para threat hunter dalam
Berbagai macam delivery attack method melakukan proses hunting.
dilakukan dengan beberapa metode.
Seperti misalnya delivery melalui social
engineering dengan menggunakan metode
2. Huntpedia – Your Threat Hunting Knowl- Cyber Security Operation Center, Threat
edge Compendium,
https://resources.cio.com/ccd/assets/1 Hunting, DFIR (Digital Forensic and Inci-
45609/detail dent Response), Malware Analysis, Cyber
Defense Operation, Threat Intelligence, OS-
3. Hunt Evil - Your Practical Guide to
Threat Hunting INT, Incident Handling and Incident Re-
sponse, Active Defense and Continuous
4. The Who, What, Where, When, Why and Monitoring, ICS/Scada Security.
How of Effective Threat Hunting,
https://www.sans.org/reading-room/whi
tepapers/analyst/who-what-where-whe
n-effective-threat-hunting-36785
Ketika berbicara tentang monitoring atau pemantauan maka salah satu hal penting yang
sering menjadi topik hangat adalah tentang visibilitas. Visibilitas ini akan mempengaruhi
kualitas dari aktifitas monitoring itu sendiri dan keluaran yang akan dihasilkannya.
Monitoring keamanan pada sistem informasi tidak berbeda jauh dengan kegiatan
monitoring keamanan pada suatu benda fisik misal seperti gedung atau rumah.
Ketika sensor atau katakanlah CCTV hanya diletakkan pada gerbang atau pagar gedung
saja maka kita tidak akan dapat melihat sepenuhnya apa yang terjadi didalam gedung ter-
sebut, sehingga diperlukan adanya sensor tambahan yang diletakkan didalam gedung
untuk memudahkan para penjaga keamanan untuk mendapatkan visibilitas yang lebih baik
terhadap kondisi keamanan keseluruhan gedung.
Tutorial kali ini akan sedikit membahas bagaimana kita dapat melakukan monitoring
Windows Event Logs dengan mudah menggunakan Graylog, dan event apa saja yang se-
baiknya dimonitor.
Pengenalan Graylog
Sebelum masuk ke bagian tutorial ada baiknya kita berkenalan lebih dahulu dengan
Graylog. Graylog adalah sebuah perangkat Open Source Log Management. Graylog
memiliki kemampuan untuk melakukan parsing terhadap berbagai jenis log yang dikirim-
kan kepadanya dan menyimpannya sampai batas waktu yang ditentukan. Salah satu ke-
unggulan Graylog adalah kemudahannya dalam hal konfigurasi melalui tampilan GUI
(Graphical User Interface) dan sistem peringatan (alerting) yang sudah terintegrasi
Tutorial berikut dilakukan dengan asumsi bahwa server Graylog sudah terinstall dengan
baik dan benar. Graylog sudah menyediakan dokumentasi yang cukup baik terkait bagai-
mana caranya melakukan installasi dan konfigurasi awal, jika ada yang salah dengan hasil
installasinya mungkin ada proses atau command yang terlewat, cek lagi.
1. Untuk kebutuhan monitoring windows event logs kali ini digunakan winlogbeat yang
secara default sudah ada pada graylog collector sidecar
2. Sejatinya, sidecar dapat diintegrasikan dengan NXLog dan filebeat dimana NXLog
dibutuhkan adanya installer tambahan sementara untuk filebeat sama seperti
winlogbeat sudah terintegrasi secara default dengan sidecar jadi tidak diperlukan insta-
lasi aplikasi lain lagi
3. Unduh installer sidecar pada halaman githubnya berikut
https://github.com/Graylog2/collector-sidecar
6. Lalu klik Install dan tunggu proses instalasi sampai selesai kemudian klik Finish
7. Edit file konfigurasi sidecar untuk memilih aplikasi apa yang kita mau pakai untuk men-
girimkan lognya
8. Edit filenya di C:\Program Files\graylog\collector-sidecar\collector_sidecar.yml (lokasi
bisa berbeda tergantung lokasi instalasi sidecar sebelumnya)
11. Selanjutnya buka command prompt dan jalankan perintah atau command berikut un-
tuk mengaktifkan service dari sidecar tersebut (Pastikan untuk menjalankan command
prompt sebagai Administrator) (lihat Gambar 3)
$ "C:\Program Files\graylog\collector-sidecar\graylog-collector-sidecar.exe"
-service install
$ "C:\Program Files\graylog\collector-sidecar\graylog-collector-sidecar.exe"
-service start
12. Masuk ke halaman web GUI dari server Graylog dan buka Menu Collector
13. Akan muncul semua collector yang sudah terpasang pada perangkat Windows, yang
paling baru diinstall akan berada paling bawah
14. Pilih graylog-collector-sidecar paling bawah untuk melihat detailnya (nama collector
dapat diganti sesuai keinginan pada langkah nomor 9 diatas ganti variable “node_id”
dengan nama yang lebih mudah dikenal untuk mempermudah manajemennya melalui
web GUI dan membedakannya dengan collector lain)
15. Dari sini konfigurasi pada sisi perangkat Windows yang akan melemparkan lognya su-
dah selesai.
Selanjutnya akan dilakukan konfigurasi dari sisi server Graylog untuk menerima dan mem-
proses windows event logs
1. Jika muncul error pada tampilan Web GUI ketika mengakses menu Collector, maka
dapat diabaikan dan lanjut menuju ke langkah selanjutnya untuk melakukan konfigu-
rasi. Error tersebut muncul karena belum ada konfigurasi untuk menerima logs dari
collector.
4. Bind address adalah alamat IP untuk server graylog, port default adalah 5044
11. Berikut adalah salah satu tampilan windows event logs yang sudah diparsing secara
otomatis oleh Graylog (lihat Gambar 7)
Pada Gambar 8 berikut adalah beberapa Event ID penting pada Windows yang sebaiknya
di-monitor, rincian lebih lanjut akan dibahas pada artikel selanjutnya :)
Tautan Bacaan
Melanjutkan dari artikel Log Data & Log management oleh Sida Nala yang menjelaskan
fungsi dan penggunaan Log Management, kali ini saya akan membahas tutorial dasar
membangun log management menggunakan ELK Stack. ELK Stack atau Elastic Stack
dapat difungsikan sebagai Log Management yang dapat memberikan insight kepada
administrator mengenai tren, statistik serta anomali yang terjadi. Elastic Stack terdiri dari
tiga produk open-source yaitu Elasticsearch, Logstash dan Kibana. Elasticsearch meru-
pakan NoSQL database yang menggunakan Lucene sebagai basis teknologinya yang
berfungsi untuk menyimpan, mencari dan menganalisa data dalam jumlah besar,
Logstash berfungsi sebagai log pipeline yang menerima input dari bermacam-macam
sumber contohnya File, HTTP, Beats, Syslog, snmptrap, TCP/UDP, jdbc, dan lain-lain (1),
selanjutnya melakukan filter dan transformasi data, kemudian meng-export data ke
berbagai tujuan (misal csv, elasticsearch, solr, IRC, Nagios, S3, TCP/UDP) (2). Sedangkan
Pada bagian ini akan di jelaskan tahapan instalasi dan konfigurasi untuk masing-masing
komponen. Elastic Stack bisa di-install dengan berbagai macam cara, antara lain:
๏ zip/tar.gz. Cara ini digunakan untuk melakukan instalasi offline (packages) untuk
sistem operasi Windows dan Linux
๏ deb. Cara ini diperuntukan untuk sistem operasi Ubuntu maupun sistem operasi yang
berbasis Debian
๏ rpm. Cara ini diperuntukan untuk sistem operasi Red Hat, Centos, SLES, OpenSUSE
๏ docker. Cara ini digunakan bagi yang menginginkan Elastic Stack berjalan sebagai
Docker Container.
Instalasi
Buat file baru dengan nama elasticsearch.repo pada direktori /etc/yum.repos.d/ yang
berisi:
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
Setelah repo sudah siap, kalian bisa melakukan instalasi ELK dengan perintah berikut:
Agar ELK berjalan secara otomatis ketika sistem restart, gunakan perintah berikut:
Konfigurasi
Pada tahap awal, biarkan konfigurasi elasticsearch tetap dalam kondisi default. Tujuan
dari tutorial ini adalah membuat dashboard sederhana untuk login activity dan akan lebih
banyak membahas bagaimana cara melakukan parsing pada logstash dan memvisualisa-
sikannya melalui kibana. Secara konsep logstash akan mengolah log/data apapun men-
jadi tiga tahap, yaitu Input, Filter dan Ouput. Pada contoh kasus yang akan dibahas adalah
menerima auth log dari mesin linux, kemudian melakukan parse dan transformasi kemu-
dian mengirim hasilnya ke server elasticsearch.
1) Bagian ini merupakan bagian untuk menentukan tipe input yang di inginkan, con-
tohnya logstash akan listen port UDP-514.
2) Kemudian pada bagian ini, kalian bisa melakukan parsing & transform, contohnya log-
stash akan memfilter authlog yang masuk dan hanya memberikan 5 tanda (Invalid
user, Invalid password, Accepted publickey, Accepted password, dan syslog_event)
# Filter authlog
if [type] == "syslog" {
# Melakukan parse & tag untuk aktivitas failed login karena invalid user
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} Message forwarded
from %{HOSTNAME:host_target}: sshd\[%{BASE10NUM}\]: Failed password for inva-
lid user %{USERNAME:username} from %{IP:src_ip} port %{BASE10NUM:port} ssh2"
}
add_tag => "ssh_failed_login"
add_tag => "invalid_user"
add_tag => "ssh_login_event"
}}
# Melakukan parse & tag untuk aktivitas failed login karena invalid password
if ("ssh_failed_login" not in [tags]) {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} Message forwarded
from %{HOSTNAME:host_target}: sshd\[%{BASE10NUM}\]: Failed password for
%{USERNAME:username} from %{IP:src_ip} port %{BASE10NUM:port} ssh2" }
add_tag => "ssh_failed_login"
add_tag => "invalid_password"
add_tag => "ssh_login_event"
}}
# Melakukan parse & tag untuk aktivitas Accepted login menggunakan password
if ("ssh_successful_login" not in [tags]) {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} Message forwarded
from %{HOSTNAME:host_target}: sshd\[%{BASE10NUM}\]: Accepted password for
%{USERNAME:username} from %{IP:src_ip} port %{BASE10NUM:port} ssh2" }
add_tag => "ssh_successful_login"
add_tag => "ssh_login_event"
}}
# Melakukan parse & memberikan tag (syslog_event) jika ada raw log lainnya
yang diterima oleh logstash yang tidak tercangkup dalam pada 4 rule diatas.
if ("ssh_successful_login" not in [tags]) {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp}
%{SYSLOGHOST:syslog_hostname}
%{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?:
%{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
add_tag => "syslog_event"
}
}}
Simpan file auth-log.conf tadi, kemudian jalankan service logstash. Setelah itu kirim auth
log pada masing-masing server yang ingin di monitor aktivitasnya ke alamat ip logstash.
Selanjutnya, kita akan mengubah konfigurasi dari kibana, file konfigurasi ada di
/etc/kibana/kibana.yml, hal yang perlu di perhatikan adalah URL Elasticsearch instance
untuk digunakan pada semua query. Jika Elastic Stack di install pada server yang sama
isi http://localhost:9200, Jika elasticsearch di install pada server berbeda, silahkan isi
alamat IP-nya.
elasticsearch.url: "http://localhost:9200"
Kalian bisa melakukan konfigurasi lainnya seperti mengubah default port dan menambah-
kan certificate untuk kibana dan lain-lain pada konfigurasi file yang sama. Akses terhadap
antarmuka kibana dapat diakses melalui halaman http://localhost:5601.
Buat index pattern untuk “syslog” (lihat Gambar 4) (ini di definisikan pada bagian output di
logstash) dan set timestamp (lihat Gambar 54).
Kemudian buat dashboard sederhana untuk memantau aktivitas login. Caranya masuk ke
menu visualize, klik icon , dari sini kita bisa memilih berbagai macam visualisasi se-
suai kebutuhan.
Contoh, visualisasi untuk menampilkan auth log yang diberikan tanda “ssh_success-
full_login” yaitu menggambarkan informasi successful login yang terjadi pada 24 jam tera-
khir berisikan informasi server tujuan, alamat IP yang mengakses dan username yang digu-
nakan.
Q : Menurut anda hal apakah yang pal- Koneksi akan bertambah selama perjala-
ing penting untuk dipertimbangkan nan tersebut, ingat anda selalu dalam
ketika berencana menapaki karir di proses belajar, jadi ilmu apapun yang ber-
dunia keamanan siber ? manfaat hantam saja.
A : Pikiran terbuka dan kemauan untuk Q : Boleh share sedikit ngga pengala-
terus belajar. Dunia keamanan siber akan man yang paling pahit di dunia kea-
terus berubah, siapkan diri anda untuk se- manan siber yang digeluti ?
lalu menanggap diri anda bodoh dan terus
A : Secara generik ? mungkin pengalaman
belajar. Stay Hungry, Stay Foolish seperti
dimana sedang semangat mengembang-
yang dikutip oleh Steve Jobs pas banget
kan dan mengimplementasikan program
Q : Nah, boleh share juga ngga pengala- A : Informasi dari Group Whatsapp Komuni-
man yang paling manis di dunia kea- tas sangat beragam. Dari OWASP, SANS,
manan siber yang digeluti ? FIRST, ISACA banyak deh
Pada kesempatan kali ini Tim Redaksi men- yang mencetuskan ide terbentuknya
dapat kesempatan yang berharga untuk komunitas ini ? Kapan atau tepatnya
tanya jawab dengan salah satu penggagas tanggal ide pembentukan komunitas ini
komunitas Cyber Defense (CDEF), yakni digagas?
mas Digit Oktavianto. Baik untuk lebih leng-
kap kita simak aja hasil wawancara den- A : Grup ini berdiri tanggal 20 Januari
gan mas Digit. 2017. Awalnya bermula dari iseng-iseng
belaka dan bermula dari Group Whatsapp.
Q : Bisa cerita sedikit ngga, gimana sih Awal Group ini di bentuk oleh saya sendiri,
awal mulanya sampe mas digit tercetus Mas Temon (Firza Ramadhan), dan Mas
ide untuk membentuk komunitas CDEF Reza Wahyu S. Awalnya kami bertiga je-
(Cyber Defense) ? Siapa aja sih mas nuh dan tidak punya rekan-rekan peering
Di awal terbentuknya Grup ini, kami mem- Sebagaimana kita ketahui saat ini, security
punya passion yang sama (mungkin juga threats sudah semakin sophisticated, se-
profesi yang sama. Ha. Ha. Ha), dimana makin advanced, dan banyak sekali
kami bisa saling bertukar pikiran dan juga metode-metode serangan, pattern, motif,
update knowledge seputar Cyber Defense. yang terus berkembang setiap harinya.
Saat itu, tidak banyak grup atau komunitas Dengan adanya community ini kita ber-
yang berfokus pada cyber defense, se- harap dapat saling bertukar informasi,
hingga sangat sulit mencari teman diskusi sharing experience, dan juga bertukar
di passion yang sama (Cyber Defense). pikiran demi menghadapi security threats
yang berkembang sangat cepat setiap hari-
Q : Kenapa sih mas namanya Cyber De- nya. Community ini diharapkan menjadi
fense Community ? Ngga Hacker Com- jembatan antar berbagai macam back-
munity atau nama lainnya ? ground profile dari masing-masing mem-
bernya.
A : Awalnya di namakan Cyber Defense
Community karena memang kita ingin Q : Bisa diceritakan mas, apa sih alasan
membentuk komunitas di mana orang- utama mas digit dan kawan-kawan
orang yang bergabung di dalamnya punya membentuk komunitas CDEF (Cyber De-
passion di bidang Cyber Defense. Kalau fense)? Apa sih yang membedakan
Hacker Community mungkin sifatnya
CDEF dengan komunitas keamanan lain-
general dimana tidak spesifik ke satu
nya yang ada di Indonesia?
bidang area peminatan.
A : Alasan utama awalnya di bentuk sebe-
Lalu mengapa cyber defense community?
narnya simple sekali, seperti yang saya
Beberapa awal member community kita ter-
mention di awal wawancara ini, beberapa
diri dari berbagai macam background pro-
starting member seperti saya, mas Temon,
file, sebagian besar punya profesi dan
mas Reza, dan mas Wahyu sama-sama
pekerjaan yang sangat relate terhadap
Mostly community IT Security yang ada di Yang membedakan sebenarnya hanya le-
Indonesia saat ini fokus pada offensive bih kepada fokus diskusi nya saja. Tentu
security, red teaming, pentesting, dan ke- saja sebagai seorang Cyber Defender kita
banyakan orang masih menganggap juga harus mengetahui dan update knowl-
bahwa field di bidang information security edge di bagian Offesive Security, sehingga
hanya sebatas offensive security area. Pa-
dahal kita sama-sama mengetahui, san-
gat sekali mencari bibit muda, yang “Cybersecurity itu
punya passion dan skill set yang mum-
puni di area cyber de- bukan hanya offensive
fense. Banyak kebutu- security area”
han juga di bidang
pekerjaan cyber de-
fense area seperti
sebagai seorang cyber defender kita dapat
SOC (Security Op-
mengamati pergerakan para intruder, me-
eration Center) Ana-
tode, serta motif-motif yang dilakukan.
lyst, Digi- tal
Forensic Namun, fokus utama diskusi kita
Investi- adalah bagaimana kita dapat
g a- membendung serangan-
serangan dari para “bad
guys” di luar sana yang
coba “menjajah” infra-
struktur kita.
sumber : https://pbs.twimg.com/media/DUU4-vLUQAARKMj.jpg
Sejak bulan Agustus tahun 2017 kemarin, otomatis atau Safety Instrumented Sys-
para peneliti malware dan penggiat kea- tems (SIS) yang bernama Triconex Tricon
manan dunia sedang heboh dengan ditemukan memiliki kerentanan 0-day
adanya malware yang menginfeksi perang- (Zero day). Perangkat tersebut biasanya
kat kontrol industri ICS (Industrial Control digunakan untuk memonitor sistem utilitas
System). Malware yang menginfeksi di perminyakan atau saluran air.
perangkat ICS memang masih sedikit. Kali
ini yang jadi korban adalah Schneider Elec- Para peneliti di Schneider pada saat
tric, raksasa ICS asal benua biru. mengisi acara di S4 security conference
Virustotal dan kemudian diketahui oleh Dra- menunjukkan bahwa dari beberapa file
gos Inc. dan FireEye. Bahkan sampai ada yang ditemukan, terdapat skrip python den-
yang mengunggah di Github (tautan ada di gan modul TsBase, TsLow, TsHi dan
struksi malware karena masih ada bagian tuk melakukan komunikasi melalui jaringan
yang hilang dari malware yang diunggah dengan protokol Tristation (TS, via UDP
Sedangkan payload malware terdiri dari 2 asumsi tersebut maka jawabannya masih
(dua) buah file inject.bin dan imain.bin. File merupakan sebuah misteri.
inject.bin berisi kode yang melakukan in-
jeksi payload ke dalam firmware sedang- Saat ini Schneider menyarankan untuk me-
kan file imain.bin berisi kode yang melaku- lakukan hal-hal berikut:
Gambar 3 - Diagram
alur siklus pemeriksaan
Syscall untuk unggah
payload ke memori
(sumber: US-CERT)
4. https://www.wired.com/story/triton-
malware-dangers-industrial-system-
sabotage/
5. https://www.cyberscoop.com/trisis-i
cs-malware-saudi-arabia/
6. https://dragos.com/blog/trisis/TRISI
S-01.pdf
7. https://www.fireeye.com/blog/threat
-research/2017/12/attackers-deploy-
new-ics-attack-framework-triton.ht
ml
8. https://ics-cert.us-cert.gov/sites/def
ault/files/documents/MAR-17-352-01
%20HatMan%E2%80%94Safety%20
System%20Targeted%20Malware_S5
08C.pdf
IQBAL MUHARDIANTO
Koordinator Tim Analis CSIRT
Kementerian Luar Negeri
TAUTAN BACAAN
(1) https://spectreattack.com
Gambar 1. Ilustrasi Ruang Memori yang dapat https://meltdownattack.com
Dieksploitasi
(2) https://www.cve.mitre.org/cgi-bin/cven
Dengan deskripsi di atas dapat dipahamai ame.cgi?name=2017-5715
jika meltdown dapat memanfaatkan ruang
(4) https://www.cve.mitre.org/cgi-bin/cven
ame.cgi?name=2017-5754
(5) https://plus.google.com/+jwildeboer/p
osts/jj6a9JUaovP
FEBRIYANTO WIDYA
BAGUS FITRANTO
Associate Information Security
Engineer, KORELASI PERSADA
INDONESIA
Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]
Kegiatan ini merupakan kali kedua meetup oleh grup ini untuk kemajuan dalam hal
diselenggarakan oleh Community Cyber Cyber Defense. Acara ini dibuka oleh Mas
Defense (CCDEF) Indonesia. Pada kegi- Digit Oktavianto yang menyampaikan mak-
atan kali ini komunitas CCDEF mendapat sud dan tujuan dari kegiatan meetup kali
kehormatan untuk dapat menyelengga- ini. Kemudian acara dilanjutkan oleh Om
rakan kegiatan pertemuan internal grup di Rusdi Rachim, selaku host penyelenggara
Gedung Menara BTPN, Lantai 27, Ruang kegiatan yang menyampaikan apresiasi
Beranda. dan dukungannya terhadap keberadaan
komunitas ini.
Kali ini pertemuan memang didedikasikan
bagi anggota internal grup untuk memba-
has hal apa yang dapat dikontribusikan
Ahmad Zam Zami - Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]
Reza WS - Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]
3. Tips & Trik, pada rubrik ini diangkat Dalam sesi ini dibahas mengenai kese-
mengenai tips dan trik terkait dengan diaan anggota grup untuk menjadi peer re-
masalah cyber defense, mulai dari hal view ataupun proof reading terhadap ma-
yang bersifat teknik hingga hal yang teri yang akan diterbitkan dalam buletin ini,
bersifat manajerial.
Foto Kegiatan Meetup 2nd Komunitas CDEF di Menara Bank BTPN [Redaksi]
4. Challenges. Rubrik ini berisi mengenai periode penerbitan buletin selama 4 bulan
tantangan yang dapat berupa Teka Teki sekali diterbitkan. Sebagai langkah awal di-
Silang CDEF, Forensic Challenges, Ske- harapkan anggota komunitas dapat
nario Challenges dan lainnya. Hal ini berkontribusi aktif untuk mengisi konten
bertujuan untuk menarik minat pem- dalam buletin yang pertama.
Pada tanggal 2 Desember 2017, telah ber- mereka. Meskipun acara ini berlangsung
langsung acara sharing session seputar cukup singkat, hanya sekitar 2 jam, namun
“Security Awareness” di SMK Negeri 2 De- para peserta kegiatan sangat antusias da-
pok, Sleman, Yogyakarta. Kegiatan ini ber- lam menyimak maupun berdiskusi dalam
tujuan untuk mensosialisakan bahaya serta kegiatan ini.
dampak dari ancaman terhadap generasi
muda yang kini dapat dengan mudah men- Acara di buka dengan sambutan dari Ba-
gakses dan menggunakan berbagai pak Sugiarto, ST. selaku Kepala Jurusan
teknologi canggih namun belum mengeta- Teknik Komputer & Jaringan di SMK Ne-
hui dan memahami ancaman apa saja geri 2 Depok, Sleman, Yogyakarta. Kemu-
yang mungkin dapat mengancam privasi dian dilanjutkan dengan penyampaian ma-
bah semangat para peserta, panitia me- packet analysis, dan log analysis. Di bagian
mainkan lagu-lagu metal selama kompetisi crypto kita diberikan tantangan untuk da-
Botconf merupakan salah satu konferensi presentation Botconf 2017, anda dapat
tahunan yang rutin di adakan setiap tahun. mengunjungi link di atas. Beberapa materi
Seperti tagline-nya “The Botnet Fighting yang menjadi highlight serta menarik bagi
Conference”, konferensi ini fokus memba- penulis adalah sebagai berikut :
has track-track seputar Botnet, Malware,
serta advance persistent threat. Botconf Hunting Attacker Activities —
2017 di adakan di Montpellier, Perancis, Methods for Discovering,
dimana untuk track Botconf Talks Detecting Lateral Movements
kebanyakan di isi seputar materi : Botnet
Tracking, Threat Intelligence, Threat Hunt- https://www.botconf.eu/wp-content/uploa
ing, Honeypot, Ransomware, Phishing. ds/2017/12/2017_tomonaga-muda-Huntin
g-Attacker-Activities.pdf
Sebagian besar materi konferensi memberi-
kan akses ke slide presentation mereka. Materi ini merupakan materi yang sempat
Bagi anda yang ingin men-download slide menjadi trending di kalangan cyber de-
https://www.botconf.eu/wp-content/uploa
ds/2017/12/2017-OrEshed-MarkLechtik-g
et_rich_or_die_trying.pdf
SANS Cyber Defense Summit merupakan gara. Pada tahun 2017 lalu, SANS Cyber
salah satu event yang diselenggarakan se- Defense Summit di selenggarakan pada :
cara tahunan oleh SANS Institute sebagai
salah satu organisasi yang paling terdepan Cloud Security Summit (January 2017)
dalam mengembangkan kurikulum dalam Security Operations Center Summit &
bidang Security, Audit, Network, dan Sys- Training (June 2017)
tem Administration (SANS). Cyber Defense Data Breach Summit & Training
(September 2017)
Summit ini biasanya diadakan beberapa
kali dalam satu tahun. Biasanya event sum- Secure DevOps Summit & Training
(October 2017)
mit ini diselenggarakan bersamaan dengan
jadwal training regular SANS di suatu ne- SIEM & Tactical Analytics Summit &
Training (November 2017)
Pada materi kali ini, Justin Henderson, Selain itu Justin juga memaparkan be-
yang merupakan salah satu Author dari berapa enhancement yang dapat di imple-
SANS Course SEC 555 : SIEM Tactical mentasikan oleh SOC Analyst untuk merin-
Analysis, memaparkan bagaimana chal- gankan tugasnya dalam keseharian yaitu
lenge dalam mengimplementasikan SIEM melalui Endpoint Analysis. Disana Justin
dalam satu organisasi. Justin memaparkan memberikan clue dan ideas, log dan jenis
beberapa metode yang dapat digunakan threat seperti apa yang perlu diperhatikan
untuk me-leverage dari traditional SIEM oleh SOC Analyst. Terutama dalam hal ini
models, menjadi Modern SIEM models. event log yang berasal dari sisi endpoint.
Ulasan
Berbicara mengenai SIEM (Security Information and Event Management), tentunya akan
berbicara mengenai Log. Setiap perangkat memiliki karakteristik log dan tipe yang
berbeda-beda. Seorang security analyst wajib memiliki pengetahuan yang mendasar men-
genai karakteristik log untuk setiap perangkat sebagai suatu fundamental sebelum berbi-
cara lebih jauh terhadap SIEM itu sendiri.
Buku ini di tulis oleh beberapa orang yang memang memiliki latar belakang di area ini, dan
salah satu penulis yang cukup sering terdengar namanya adalah Anton Chuvakin. Anton
Chuvakin adalah seorang researcher di Gartner yang memiliki spesialisasi di bidang ini.
Tulisannya pada blog dan analisa paper-nya di Gartner seringkali membahas mengenai
teknologi di area Cyber Defense, seperti SIEM, Log Management, Advance Endpoint Pro-
tection, dan lain sebagainya.
Buku ini membahas segala hal mendetail mengenai Log dari pembahasan yang paling fun-
damental, sampai kepada pembahasan yang advanced. Beberapa contoh use case sce-
nario penggunaan log management, dan pemanfaatan log itu sendiri di bahas dalam buku
ini. Topik-topik yang dicakup di antaranya adalah : pengenalan dasar log, log source type,
tools log management, log storage architecture, log data retrieval and archiving, covert log-
ging, how to design and implement log management, visualizing logs, filtering, normaliza-
tion, and correlation, Log data mining, Log and Compliance.
Ulasan
Jika pada review sebelumnya anda akan menemukan dasar dan fundamental mengenai
log, dalam buku ini membahas bagaimana anda mengaplikasikan log dan packet dalam se-
buah orkestrasi teknologi yang dapat membantu anda dalam melakukan security monitor-
ing. Buku ini merupakan buku yang bersifat teknis dan hands-on, dimana anda dapat mela-
kukan hands-on secara langsung dari beberapa studi kasus dan aktifitas lab yang di se-
diakan dalam buku ini.
Buku ini di tulis oleh seorang yang cukup terkenal di dunia cyber defense, Richard Bejtlich,
dimana beliau adalah seorang praktisi yang pernah mengemban tugas di Foundstone, GE,
Mandiant, FireEye, dan memegang beberapa posisi penting lainnya. Buku lainnya yang
pernah di tulis Richard Bejtlich adalah “The Tao of Security Monitoring” yang merupakan
buku yang menjadi pegangan wajib para security analyst pada saat itu. Pada buku terse-
but Richard menuliskan prinsip dasar mengenai security monitoring, dan apa saja yang ha-
rus dilakukan oleh security analyst dan incident handler untuk mengidentifikasi adanya se-
buah intrusi.
Kesimpulan saya pada review terhadap buku ini, baca buku ini, dan langsung praktekkan
pada lab anda untuk merasakan feel secara langsung proses Network Security Monitoring,
dan implementasikan NSM tersebut pada organisasi anda untuk dapat memperoleh visibili-
tas yang jelas terhadap security posture di dalam organisasi anda mengenai ancaman kea-
manan yang ada. (Diulas oleh Digit Oktavianto)
Ulasan
Aktifitas seorang security analyst tentunya akan selalu terlibat dengan sebuah insiden kea-
manan dunia maya. Hal ini dikarenakan security analyst berperan sebagai salah satu aktor
yang pertama kali mengidentifikasi sebuah insiden, sehingga seorang security analyst wa-
jib memiliki pengetahuan mendasar mengenai cara penanganan sebuah insiden sesuai
standard yang diberikan oleh NIST.
Buku ini membahas mengenai panduan dalam menangani sebuah insiden keamanan
dunia maya yang selaras dengan standard NIST. Buku ini terdiri dari 8 bagian utama yaitu
Identify (Scope), Protect (Defend), Respond (Analysis), Recover (Remediate), Tactics (Tips
& Tricks), Incident Management (Checklist), dan Security Incident Identification (Schema).
Standard penanganan insiden keamanan tersebut dikemas dalam bentuk yang lebih prakti-
kal dengan disertai syntax command line menggunakan sistem operasi Linux maupun
Windows.
Buku ini sangat cocok sebagai salah satu buku pegangan yang wajib di jadikan sebagai
buku referensi bagi seseorang yang baru saja terjun sebagai Blue Team ke dalam bidang
IT Security seperti Security Analyst. Hal ini dikarenakan isinya yang lebih bersifat ke arah
cheatsheet sehingga sangat membantu dalam memberikan panduan dasar mengenai cara
mengidentifikasi dan menganalisis sebuah insiden. (Diulas oleh Normis Sisilya)
Mendatar
2. Kegiatan yang dimaksudkan untuk mela- 6. Output atau catatan dari sistem operasi
kukan sesuatu yang merugikan
8. Open source IDS
5. Kegiatan hacking dengan menyusup ke 9. Penggunaan kerentanan untuk kepentin-
dalam organisasi untuk mengintai, mencuri gan penyerang
data pada organisasi target
11. Peraturan atau perintah (dalam ba-
Menurun
Bagi yang berhasil mengisi semua jawaban pada Teka-Teki ini dan mengirimkan
jawaban paling pertama akan mendapatkan hadiah yang menarik dari Tim Redaksi.
Jawaban dapat dikirimkan kepada Tim Redaksi melalui alamat e-mail :
redaksi@cdef.id, paling lambat 14 Maret 2018
Silahkan menyebarkan materi ini, mengutip artikel dalam majalah ini namun mohon tetap
menuliskan nama asli penulis untuk menghargai kerja keras, waktu, tenaga dan pikiran
yang telah dikeluarkan oleh penulis untuk merangkai kata menjadi informasi yang ber-
harga.