Ilmu Seni Security 2

Ilmu dan SeniKeamanan InformasiTheory and Practice

Budi Rahardjohttp://budi.insan.co.idSurabaya, 8 Januari 2005

Budi Rahardjo - Ilmu & Seni Security

Budi Rahardjo - Ilmu & Seni Security*Informasi = Uang?Informasi memiliki nilai (value) yang dapat dijual belikanData-data nasabah, mahasiswaInformasi mengenai perbankan, nilai tukar, sahamSoal ujianPassword, PINNilai dari informasi dapat berubah dengan waktuSoal ujian yang sudah diujikan menjadi turun nilainya


Budi Rahardjo - Ilmu & Seni Security*Teknologi InformasiTeknologi yang terkait dengan pembuatan, pengolahan, distribusi, penyimpanan dari informasiMenghasilkan produk dan layanan yang sudah kita gunakan sehari-hari sebagai manusia moderenMesin ATM di bankTelepon, handphone, SMSGames, PlayStation, on-line gamesP2P applications


Budi Rahardjo - Ilmu & Seni Security*Technology DriversComputer TechnologyMoores law: complexity doubles every 18 monthsGood enoughStorage TechnologyIncreases 3 times / yearGood enoughNetwork TechnologyIncrease in speed, lower in priceBut new bandwidth-hungry applications. The need for (more) speed!


Budi Rahardjo - Ilmu & Seni Security*Perhatian terhadap keamanan informasiMulai banyaknya masalah keamanan informasiVirus, worm, trojan horse, spamHacking & crackingSpyware, keyloggerFraud (orang dalam), penipuan, pencurian kartu kreditMasalah security dianggap sebagai penghambat penerimaan penggunaan infrastruktur teknologi informasi


Budi Rahardjo - Ilmu & Seni Security*Cuplikan statistik kejahatan7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade.2001. Virus SirCam mengirimkan file dari harddisk korban. File rahasia bisa tersebar. Worm Code Red menyerang sistem IIS kemudian melakukan port scanning dan menyusup ke sistem IIS yang ditemukannya. 2004. Kejahatan phising (menipu orang melalui email yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak


Budi Rahardjo - Ilmu & Seni Security*


Budi Rahardjo - Ilmu & Seni Security*Contoh kejahatan kartu kreditBerdasarkan laporan terakhir (2004), Indonesia:Nomor #1 dalam persentase (yaitu perbandingan antara transaksi yang baik dan palsu)Nomor #3 dalam volumeAkibatnya kartu kredit dan transaksi yang (nomor IP-nya) berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika


Budi Rahardjo - Ilmu & Seni Security*Phising

From: To: Subject: USBank.com Account Update URGEgbDate: Thu, 13 May 2004 17:56:45 -0500

USBank.com Dear US Bank Customer,During our regular update and verification of the Internet Banking Accounts, wecould not verify your current information. Either your information has beenchanged or incomplete, as a result your access to use our services has beenlimited. Please update your information.

To update your account information and start using our services please click onthe link below:http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage

Note: Requests for information will be initiated by US Bank Business Development;this process cannot be externally requested through Customer Support.


Budi Rahardjo - Ilmu & Seni Security*Ilmu dan Seni Keamanan InformasiDimulai dari coba-coba. Merupakan sebuah seni.Mulai diformalkan dalam bentuk ilmu.Tidak bisa selamanya mengandalkan kepada coba-coba saja. Harus menggabungkan keduanya.Catatan: Ilmu komputer (computer science) pun muncul melalui jalur ini


Budi Rahardjo - Ilmu & Seni Security*Contoh Ilmu SecurityKriptografi (cryptography)Enkripsi & dekripsi: DES, AES, RSA, ECCBerbasis matematikaProtokol dan jaringan (network & protocols)SSL, SETSistem dan aplikasi (system & applications)Management, policy & procedures


Budi Rahardjo - Ilmu & Seni Security*DES: Data Encryption Standard


Budi Rahardjo - Ilmu & Seni Security*Protokol SSLClient Hello / Connection Request Daftar algoritma / cipher suitePemilihan cipher suiteSertifikat Digital ServerEncrypted secret / key / nonceDecrypted secretSertifikat Digital ClientEncrypted secret / key / nonceDecrypted secretKunci simteris disepakatiClientServer1234Transfer data dengan enkripsi kunci simetris


Budi Rahardjo - Ilmu & Seni Security*System Security: Secure EmailFrom: Budi Subject: Kiriman Kiriman datang Senin pagiaf005c0810eeca2d5From: Budi Subject: Kiriman Kiriman datang Senin pagihashohx76@#Enkripsi (dg kunci privat pengirim)ohx76@#Keduanya disatukan dan dikirimkanIsi email tidak dirahasiakan. Diinginkan terjaganya integritas dan non-repudiation


Budi Rahardjo - Ilmu & Seni Security*Application SecurityMasalah yang sering dihadapi dalam pembuatan softwareBuffer overflowOut of bound array


Budi Rahardjo - Ilmu & Seni Security*Security Lifecylce


Budi Rahardjo - Ilmu & Seni Security*Contoh dari praktek (seni) securitylinux% host t ns target.co.idlinux% host t mx target.co.idlinux% nslookup> server 167.205.21.82> set type=any> ls d itb.ac.id >> /tmp/zone_out> ctrl-D

linux% nmap 192.168.1.10

Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)

Interesting ports on router (192.168.1.11):

Port State Protocol Service22 open tcp ssh25 open tcp smtp53 open tcp domain80 open tcp http110 open tcp pop-3113 open tcp auth143 open tcp imap21008 open tcp ufsd3128 open tcp squid-http8080 open tcp http-proxy

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second


Budi Rahardjo - Ilmu & Seni Security*Aspek Dari SecurityConfidentialityIntegrityAvailabilityKetiga di atas sering disingkat menjadi CIAAda tambahkan lainNon-repudiationAuthenticationAccess ControlAccountability


Budi Rahardjo - Ilmu & Seni Security*Confidentiality / PrivacyKerahasiaan data. Data hanya boleh diakses oleh orang yang berwenangData-data pribadiData-data bisnis; daftar gaji, data nasabahSangat sensitif dalam e-commerce dan healthcareSerangan: penyadapan (teknis dengan sniffer / logger, man in the middle attack; non-teknis dengan social engineering)Proteksi: enkripsi


Budi Rahardjo - Ilmu & Seni Security*IntegrityInformasi tidak boleh berubah (tampered, altered, modified) oleh pihak yang tidak berhakSeranganPengubahan data oleh orang yang tidak berhak, spoofingVirus yang mengubah berkasProteksi:Message Authentication Code (MAC), digital signature / certificate, hash functions, logging


Budi Rahardjo - Ilmu & Seni Security*AvailabilityInformasi harus tersedia ketika dibutuhkanSeranganMeniadakan layanan (Denial of Service / DoS attack) atau menghambat layanan (server dibuat lambat)ProteksiBackup, redundancy, DRC, BCP, firewall


Budi Rahardjo - Ilmu & Seni Security*Non-repudiationTidak dapat menyangkal (telah melakukan transaksi)Menggunakan digital signatureLogging


Budi Rahardjo - Ilmu & Seni Security*AuthenticationMeyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakanwhat you have (identity card)what you know (password, PIN)what you are (biometric identity)Serangan: identitas palsu, terminal palsu, situs gadungan


Budi Rahardjo - Ilmu & Seni Security*Access ControlMekanisme untuk mengatur siapa boleh melakukan apaMembutuhkan adanya klasifikasi data: public, private, confidential, (top)secretRole-based access


Budi Rahardjo - Ilmu & Seni Security*AccountabilityDapat dipertanggung-jawabkanMelalui mekanisme logging dan auditAdanya kebijakan dan prosedur (policy & procedures)


Budi Rahardjo - Ilmu & Seni Security*Teori Jenis SeranganInterruption DoS attack, network floodingInterception Password sniffingModification Virus, trojan horseFabrication spoffed packetsABEAAABBBEE


Budi Rahardjo - Ilmu & Seni Security*Klasifikasi: Dasar elemen sistemNetwork securityfokus kepada saluran (media) pembawa informasiApplication securityfokus kepada aplikasinya sendiri, termasuk di dalamnya adalah databaseComputer securityfokus kepada keamanan dari komputer (end system), termasuk operating system (OS)


Budi Rahardjo - Ilmu & Seni Security*Topologi Lubang Keamananwww.bank.co.idUsersNetwork sniffed, attackedNetwork sniffed, attackedNetwork sniffed, attacked, floodedTrojan horse Applications (database, Web server) hackedOS hackedUserid, Password, PIN, credit card #


Budi Rahardjo - Ilmu & Seni Security*Pelaku di bidang SecurityInformation banditSekarang masih dipotretkan sebagai jagoanAkan tetapi akan berkurangthe disappearance act of information banditsInformation security professionalsMasih kurangLebih menyenangkanKeduanya menggunakan tools yang samaPerbedaannya sangat tipis: itikad & pandanganJangan bercita-cita menjadi bandit!


Budi Rahardjo - Ilmu & Seni Security*source: hacking exposed


Ping sweepTCP/UDP portOS Detection

The Objective

Target address range, name space acquisition, and information gathering are essential to a surgical attack. The key here is not to miss any details.

Scanning

Denial of Service

Creating back doors

Covering tracksCreating back doors

Pilfering

Escalating privilege

Gaining access

Enumeration

Open source searchwhoisWeb interce to whoisARIN whoisDNS zone transfer

fping, icmpenum WS_Ping ProPacknmap, SuperScan, fscanNmap, queso, siphon

Footprinting

ANATOMY OF A HACK

The Methodology

The Techniques

The Tools

USENet, search engines, EdgarAny UNIX clienthttp://www.networksolutions.com/whoishttp://www.arin.net/whoisdig, nslookup ls -d, Sam Spade

Bulk target assessment and identification of listening services focuses the attacker's attention on the most promising avenues of entry

More intrusive probing now begins as attackers begin identifying valid user accounts or poorly protected resource shares.

Enough data has been gathered at this point to make an informed attempt to access the target

If only user-level access was obtained in the last step, the attacker will now seek to gain complete control of the system

The information-gathering proccess begins again to identify mechanisms to gain access to trusted systems.

List user accountsList file sharesIdentify applications

Once total ownership of the target is sesured, hiding this fact from system administrators becomes paramount, lest they quickly end the romp.

Trap doors will be laid in various parts of the system to ensure that priveleged access is easily regained at the whim of the intruder

If an attacker is unsuccessful in gaining access, they may use readily available exploit code to disable a target as a last resort.

null sessions, DumpACL, sid2user, OnSite Adminshowmount, NAT, Legionbanner grabbing with telnet or netcat, rpcinfo

Password eavesdroppingFile share brute forcingPassword file grabBuffer overflows

tcpdump, L0phtcrack readsmbNAT, legiontftp, pwdump2 (NT)ttdb, bind, IIS .HTR/ISM.DLL

Password crackingKnown exploits

john, L0phtcracklc_messages, getadmin, sechole

Evaluate trustsSearch for cleartext passwords

rhosts, LSA Secretsuser data, configuration files, Registry

Clear logsHide tools

zap Event Log GUI,rootkits, file streaming

Create rouge user accountsSchedule batch jobsInfect startup filesPlant remotecontrol servicesInstall monitoring mechanismsReplace apps with Trojans

members of wheel, Administratorscron, ATrc, Startup folder, Registry keysnetcat, remote.exe, VNC, BO2Kkeystroke loggers, add acct. to secadmin mail aliaseslogin, fpnwclnt.dll

SYN floodICMP techniquesIdentical src/dst SYN requestsOverlapping fragment/offset bugsOut of bounds TCP options (OOB)DDoS

synk4ping of death, smurfland, latierrateardrop, bonk, newtearsupernuke.exetrinoo/TFN/stcheldraht

Budi Rahardjo - Ilmu & Seni Security*INDOCISC Audit Checklistevaluating (network) topologypenetration testing from outside and inside networkevaluating network devices, such as routers, switches, firewalls, IDS, etc.evaluating server(s)evaluating application(s)evaluating policy and procedures


Budi Rahardjo - Ilmu & Seni Security*PenutupMudah-mudahan presentasi yang singkat ini dapat memberikan gambaran mengenai ilmu securityMasih banyak detail yang tidak dibahas pada presentasi iniMudah-mudahan tertarik menjadi security professional bukan menjadi bandit


Documents

Ilmu Seni Security 2