Trend Serangan Jaringan Komputer dari Internet · dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel, VSAT , VPN atau bahkan menggunakan jaringan

Trend keamanan dan Serangan komputer| ver 1

1

Trend Serangan Jaringan Komputer dari Internet Deris Stiawan (Dosen FASILKOM UNSRI) Sebuah Pemikiran, Sharing, Ide Pengetahuan, Penelitian

Tidak ada yang bisa menjamin perilaku dari setiap orang yang terkoneksi ke Internet, terdapat

banyak perilaku di internet dari yang berhati baik sampai yang berhati buruk, dari yang

mencari informasi umum sampai mencari informasi kartu kredit orang lain. Karena sifatnya

yang publik atau umum maka muncul masalah baru yaitu masalah keamanan data dan informasi

di Internet terutama informasi-informasi yang bersifat krusial dan konfiden.

Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat

dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel,

VSAT , VPN atau bahkan menggunakan jaringan publik (Internet), Maka ada suatu permasalahan

lain yang sangat krusial yaitu ”Keamanan atau Security”. Karena tidak ada yang sistem yang

aman didunia ini selagi masih dibuat oleh tangan manusia, karena kita hanya membuat

meningkatkan dari yang tidak aman menjadi aman dan biasanya keamanan akan didapat

setelah lubang / vurnability system diketahui oleh penyusup.

Ancaman masalah keamanan ini banyak sekali ditemui oleh pengguna seperti Virus, Trojan,

Worm, DoS, hacker, sniffing, defaced, Buffer Overflow, dan sebagainya dengan apapun istilah

underground yang banyak sekali saat ini, yang pasti akan menyusahkan kita pada saat

ancaman-ancaman ini ”menyerang”. Metode serangan saat ini sangat beragam, dari yang

sederhana yang dilakukan para pemula atau script kiddies sampai dengan serangan dengan

menggunakan metode terbaru. Karena akan semakin kompleksnya administrasi dari jaringan

skala luas (WAN) maka diperlukan suatu mekanisme keamanan dan metode untuk dapat

mengoptimalkan sumber daya jaringan tersebut, semakin besar suatu jaringan maka makin

rentan terhadap serangan dan semakin banyak vurnability yang terbuka.

Pendahuluan ...


2

Ada banyak metode yang dilakukan untuk masuk ke sistem lain walaupun sistem telah di kita

lakukan update/patching secara continue, karena ada banyak lubang yang dapat dimanfaatkan,

biasanya penyerang melakukannya dengan menggunakan beberapa metode yang akan

dijelaskan selanjutnya. Belum lagi saat ini banyak sekali tools-tools yang dapat dengan mudah

digunakan yang didownload dari Internet dan banyaknya websites yang menyediakan tools

untuk melakukan hacking. Dengan berbekal tools tadi seseorang yang biasa dapat mengancam

infrastruktur jaringan kita, ancaman dapat beruba hanya sekedar introgasi sistem kita

(footprinting atau analisa awal) atau analisa port yang digunakan sampai dengan mencoba-coba

celah vurnerability network kita.

Ada banyak anggapan yang salah dengan statetement “kami sudah memiliki firewall yang

banyak dan terbaru”, “kami mempunyai team yang tangguh dan hebat dalam bidang security”,

“kami mempunyai dana IT yang unlimitted” atau ”kami tidak ada musuh dan data yang kami

onlinekan tidak mengandung informasi penting”. Inilah beberapa faktor yang memicu

terjadinya kebocoran dari sistem pertahanan yang kita bangun, belum lagi tidak adanya rules

atau policy tentang sistem keamanan di perusahaan atau institusi kita, untuk memberikan

gambaran tentang framework membangun policy sistem keamanan dapat merujuk ke tulisan

penulis yang lain.

Ada banyak model serangan yang dapat diketahui saat ini, namun semakin hari model serangan

semakin beragam baik dari pengembangan model sebelumnya atau model-model baru yang

telah dicoba-coba dan dilakukan oleh penyerang.

Serangan Dos & DDoS

Denial of Services / Distributed DoS, yaitu serangan yang akan Melumpuhkan sistem agar

pengguna yang sah tidak dapat mengakses sistem tersebut, ada banyak Metode yang digunakan,

seperti Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way

handshake) dan akhirnya Membuat server ‘bingung’ hingga down

Serangan ini Sering dilakukan “script kiddies” yang tidak dapat masuk ke sistem atau hanya

sakit hati di komunitas

Serangan-Serangan ...


3

SYN Flood & UDP Flood, metode yang dilakukan oleh penuerang yang membuat sebuah server

di penuhi dengan permintaan dari paket-paket SYN yang tidak lengkap, Akhirnya akan membuat

overhead pada server dan hasilnya adalah DoS, sedangkan UDP bersifat connectionless, tidak

memperhatikan apakah paket telah diterima atau tidak Mirip dengan ICMP flood, UDP flood

dikirim dengan tujuan untuk memperlambat sistem sampai dengan sistem tidak bisa

mengendalikan koneksi yang valid

Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK

(3 way handshake). Proses 3 way handshake seperti gambar 1 adalah proses yang terjadi pada

saat sumber dan tujuan melakukan komunikasi dimana proses ini menggunakan protocol TCP

yang akan membagi-bagi paket data yang akan ditransmisikan sesuai dengan kesepakatan

antara sumber dan tujuan.

Gambar 1. metode 3 way handshake (cisco.com)

Serangan dilakukan dengan mesin lain yang disebut zombie, zombie adalah mesin server yang

telah dikuasai sebelumnya oleh penyerang untuk menyerang mesin server target lain, hal ini

dilakukan agar jejak yang berupa IP address di internet dapat ditutupi dengan menggunakan

mesin zombie tersebut. Pada gambar 2 dapat dilihat, penyerang menguasai mesin server lain

dahulu yang akan dijadikan zombie, dimana server zombie dipilih oleh penyerang biasanya yang

berada di backbone Amerika, kenapa backbone amerika ? karena bandwidth yang berada di

backbone amerika pasti besar. Hal ini merupakan syarat mutlak untuk menyerang server

tujuan, jika bandwidth mesin zombie kecil atau sama dengan bandwidth server yang akan

diserang maka serangan DoS ini akan dapat dicegah oleh mesin firewall.


4

Serangan DoS akan membuat mesin menjadi bingung karena banyaknya paket data SYN yang

datang sedangkan mesin tidak mengetahui mesin asal untuk mengembalikan ACK, akibatnya

mesin yang diserang disibukan dengan paket-paket data tersebut yang datangnya bertubi-tubi

dan banyak. Akibatnya user yang absah yang akan benar-benar memanfaatkan resources pada

server tersebut misalnya mail/ web menjadi tidak dapat dilayani karena mesin tersebut sedang

sibuk melayani paket-paket serangan tadi, makanya DoS sering disebut SYN FLOOD.

Gambar 2. mesin zombie menyerang server

Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services (DdoS), dimana DDoS

menggunakan banyak mesin zombie untuk menyerang server tujuan. Akibatnya tidak hanya

server tujuan menjadi down bahkan beberapa kasus provider / telco yang memberikan jasa

koneksi internet bagi server tersebut juga terkena imbasnya seperti gambar 4, hal ini

dikarenakan bandwidth serangan dari zombie akan menyebabkan bootleneck dari aliran

bandwidth ke server tujuan. Misalnya, sebuah mail / web server yang berada di server farm

sebuah perusahaan, dimana perusahaan ini menyewa pada sebuah ISP A. Bandwidth yang

disewa kepada ISP A adalah 512 kbps. Pada saat serangan datang dengan bandwidth misalnya

saja totalnya 200 mbps maka serangan tersebut tidak hanya mematikan server perusahaan

tersebut tapi juga akan mengganngu distribusi bandwidth di ISP A, apalagi jika ISP A

mempunyai bandwidth lebih kecil dari bandwidth serangan. Namun jika bandwidth serangan

lebih kecil dari bandwidth yang disewa ke ISP A atau total bandwidht ISP A lebih besar dari

serangan maka serangan tersebut dapat dengan mudah dilumpuhkan dengan mesin firewall.


5

Gambar 3. Serangan metode DDoS

Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar dan diatur untuk

menyerang secara serentak atau dalam jeda waktu tertentu. DdoS biasanya dilakukan oleh para

penyerang bukan amatiran karena penyerang mempunyai banyak mesin zombie yang tersebar

diseluruh dunia. Biasanya serangan model ini menyerang server-server pada perusahaan /

penyedia jasa yang besar, tercatat seperti Yahoo, e-bay, dan lain-lain telah pernah di DDoS

yang tentu saja efeknya mendunia dimana banyak para user yang tidak dapat masuk ke layanan

mereka.

Gambar 4. overload pada ISP pada serangan DDoS.


6

Metode penanganan DoS dan DDoS

Ada beberapa cara penanganan untuk serangan ini, seperti ;

1. Lihat ip source dan destination yang diserang, hal ini dilakukan untuk mengetahui ip

address dari penyerang dan yang diserang. Untuk melihat ip source dan destinationsnya

bisa dilakukan di server /router kita dengan memberikan command tertentu.

Contoh :

show log /var/tmp/sample | match 222.73.238.152 # Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 33945 33903

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 51457 33903

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 1315 33903

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 38455 33903

2. Block IP address source & Port yang digunakan oleh penyerang dari mesin firewall /

router kita, pada saat serangan berlangsung pastilah terdapat ip address penyerang dan

port yang digunakan oleh penyerang seperti contoh diatas.

3. Block IP address source dari Firewall, contoh

iptables -I FORWARD -s 222.73.238.152/32 -d 0/0 -j DROP iptables -I FORWARD -s 67.18.84.0/24 -d 0/0 -j DROP

Gambar 5. metode block port dan ip address di router / server

IP Destinations IP Source Port


7

4. Kontak Provider untuk membantu block port dan ip source yang menyerang, makanya

kontak teknis provider harus diketahui dan sangat berguna jika kita sewaktu-waktu kita

membutuhkannya, kontak bisa berupa telpon langsung ke NOC/Admin atau bisa

dilakukan dengan chat dari YM.

5. Amati model serangan berikutnya, pengamatan ini dilakukan untuk melihat model

serangan berikutnya dan mungkin saja ip address lain dari sumber daya jaringan kita

6. Laporkan ke [email protected] pemilik IP address tersebut, jadi pada saat kita mengetahui

IP Address sumber serangan maka secepatnya mengirimkan abuse ke pemilik IP

tersebut agar bisa ditindaklanjuti lebih jauh. Untuk mengetahui pemilik IP address

tersebut bisa klik http://wq.apnic.net/apnic-bin/whois.pl dan masukan IP tersebut,

contoh :

% [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 222.64.0.0 - 222.73.255.255 netname: CHINANET-SH descr: CHINANET shanghai province network descr: China Telecom descr: No1,jin-rong Street descr: Beijing 100032 country: CN admin-c: CH93-AP tech-c: XI5-AP changed: [email protected] 20031024 mnt-by: APNIC-HM mnt-lower: MAINT-CHINANET-SH mnt-routes: MAINT-CHINANET-SH status: ALLOCATED PORTABLE source: APNIC person: Chinanet Hostmaster nic-hdl: CH93-AP e-mail: [email protected] address: No.31 ,jingrong street,beijing address: 100032 phone: +86-10-58501724 fax-no: +86-10-58501724 country: CN changed: [email protected] 20070416 mnt-by: MAINT-CHINANET source: APNIC person: Wu Xiao Li address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC country: CN phone: +86-21-63630562 fax-no: +86-21-63630566 e-mail: [email protected]


8

7. Lakukan kerjasama dengan admin pemilik IP add penyerang dan lakukan cek dan ricek

sebelum membuat statement kalau memang IP Address tersebut adalah penyerangnya

karena bisa saja itu adalah mesin zombie.

8. Catat semua kejadian untuk menjadi pembahasan untuk pembelajaran metode

serangan dan dokumentasi jika nanti diperlukan pada saat penyelesaian secara hukum.

9. Edukasi user untuk memperhatikan “etika” di internet, etika diinternet misalnya ;

• Jangan pernah mendownload dari stus-situs yang tidak terpecaya

• Jangan melakukan kegiatan hacking dan lainnya dari internal jaringan kita

• Pada saat dikomunitas milist / forum jangan pernah memancing kemarahan

pihak lainnnya.

Kegiatan Port Scanning

Mencoba-coba untuk mengetahui port / layanan yang tersedia di server, dengan harapan sistem

akan menjawab request, dengan menggunakan tools script kiddies biasanya penyerang

melakukan scanning terlebih dahulu mesin tujuan, untuk mengetahui layanan apa saja yang

tersedia. Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna untuk mencari

celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan kita dengan harapan ada jawaban

dari dalam jaringan kita. Penangananya kita dapat menggunakan IDS yang akan dijelaskan nanti

dan catat dari log system serta Tutup / close layanan yang tidak digunakan

Gambar 6. port scanning yang dilakukan


9

Social Engineering

Metode serangan ini termasuk kategori non teknis karena ”serangannya” melalui penetrasi

secara sosial, metode ini Memanfaatkan human error karena erhubungan dengan psikologis

manusia, interaksi manusia & sifat dasar manusia, secara sosial manusia akan menjawab pada

saat ditanya oleh penanya apalagi dengan sikap dan atitude orang yang diajak bicara dengan

sopan secara alami kita akan merespon si penanya.

Cara ini biasanya untuk mendapatkan informasi (seperti password id) dari seseorang tanpa

melakukan penetrasi terhadap sistem komputer, Umumnya cara yang dilakukan tidak langsung

menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi

yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Biasanya kegiatan ini melakukan

seperti ;

• Bertanya password ke pegawai via telp

• Mencuri dari “kotak sampah”

• Mencuri data/informasi dengan berpura-pura sebagai tamu, pegawai, atau inspektorat

• Berlagak seperti “orang penting” dengan penetrasi orang

• Menggunakan media telp, surat, email

Para penyusup yang menggunakan cara ini biasanya menggunakan beberapa langkah,

diantaranya ;

• Information gathering, mengumpulkan sebanyak mungkin informasi awal

• Development of relationship, melakukan pengenalan diri dan pendekatan secara pibadi

lewat telpon, chat, mail…

• Exploitation of relationship, mencari informasi yang dibutukan, ex : password,

kekuatan server, jenis server, …

• Execution to Archive Objective, pelaksanaan aksi

Ada beberapa contoh yang dapat penulis gambarkan tentang metode ini, jika kita analisa efek

dari social engineering sangat luar biasa karena mendapatkan informasi dengan cara yang

bukan teknis :

1. sebuah film yang berjudul ‘Take Down’ dimana film tersebut dibuat dari cerita asli tentang

pertempuran cyber antara hacker dan cracker yaitu Tsnomu Tsinomura dan Kevin mitnick.

Di film tersebut terlihat Kevin mitnick melakukan Social engineering untuk mendapatkan

informasi lewat menelpon korban, dengan suara yang menyakinkan dan dilator belakangi

dengan informasi yang cukup maka Kevin menelpon dan menanyakan beberapa informasi

awal untuk mendapatkan file atau informasi di mesin server korban.


10

2. seorang cracker ingin mencari informasi user name yang absah pada salah satu ISP (Internet

Service Providers), cracker akan mencoba menghubungi pihak customer service ISP tersebut

dan mengatakan bahwa ingin merubah password yang lama atau memberikan alasan bahwa

telah lupa password. Hal ini mungkin saja terjadi dan efektif dalam kasus-kasus tertentu,

contoh lainnya seorang mencari serpihan-serpihan informasi dari kotak sampah di sebuah

hotel berbintang, mencoba keberuntungan mencari nomer kartu kredit atau hal lainnya

yang berhubungan dengan informasi pengguna. Atau bekerja sama dengan pihak dalam

sendiri untuk mencuri informasi dari seorang user.

3. Acara promo CC disebuah mall, para sales dengan ramahnya memberikan penawaran dan

kemudahan CC dari sebuah bank baru yang menjanjikan. Aplikasi CC akan sangat cepat

diproses jika calon client mempunyai CC dari bank lain, tinggal di fotocopy beserta KTP dan

dalam 2 hari aplikasi CC dapat “approve”, dengan mudahnya kita memberikan salinan CC

dan KTP pada orang yang tidak kita kenal dan belum tentu “berhati bersih” bisa saja

salinan tadi digunakan untuk carder…

4. Contoh dibawah ini saya kutip dari majalah ebizzasia.com, yang menceritakan teknik social

engineering pada kasus sebuah bank. Teknik ini hanya bermodalkan penampilan yang

menarik, suara yang bersahabat, pujian, atau bisa juga dengan cara melakukan tekanan

agar lawan bicara menjadi panik dan menjadi irasional atau lupa terhadap prosedur yang

seharusnya dijalankan. Berikut ini contoh social engineering yang dilakukan dua orang,

katakanlah namanya Benny dan Lisa, untuk mendapatkan informasi PhoneID yang digunakan

untuk verifikasi transaksi perbankan melalui telephone.

Suatu hari, Benny dan Lisa sedang berada di suatu Bank XYZ, mengamati nasabah yang akan mengajukan aplikasi layanan transaksi perbankan via telephone. Setelah melihat ada seseorang yang akan mengajukan aplikasi tersebut, Beny turut mengantri di belakang lelaki tersebut. Pada saat gilirannya, Benny mulai melancarkan aksinya dengan pertama-tama memberikan sanjungan atas bros yang dipakai petugas bank tersebut dan sekaligus mengingat nama yang tertulis dilencananya. Selanjutnya Benny mengajukan beberapa pertanyaan berikut kepada customer service bank tersebut: Benny: Rasa-rasanya orang yang mengantri tadi adalah teman saya waktu di SMA .. tapi saya ragu untuk menegur duluan, takut salah. Boleh tahu mbak, nama bapak tadi. Lilis (petugas bank) : Oh ... tadi pak Darwin Sudarta. Benny : Ah benar kan .. dia itu ketua OSIS, dulu teman baik saya .. kumisnya membuat pangling. Sayang saya tidak menegur, padahal saya coba cari alamatnya ke teman-teman yang lain tapi tidak ada yang tahu. Benny : Mmm ... apakah si Darwin ada nomor handphonenya mbak ? (Benny sengaja menggunakan kata si Darwin bukan pak Darwin supaya kelihatan memang teman dekatnya). Lilis : HPnya 0832 xxx (Dengan berpura pura Benny menekan nomor handphonenya dan seolah olah berbicara dengan Darwin didepan Lilis sambil menunggu aplikasinya selesai diperiksa.)


11

Sesaat kemudian dari telepon umum Lisa (teman Benny) menelpon Pak Darwin. Lisa : Selamat siang Pak Darwin, saya Lilis petugas Bank XYZ yang menangani aplikasi bapak tadi. Kelihatannya Bapak salah mengisikan tanggal lahir karena yang tercantum disini adalah tanggal hari ini, dan saya juga mohon maaf karena tidak melakukan verifikasi sebelumnya. Darwin : Oh ya ? Ok tanggal lahir saya 17 Agustus 1965. Lisa : Saya juga ingin memverifikasi data lainnya supaya tidak salah entry; nama bapak, Darwin Sidarta ? (Lisa sengaja mengatakan Sidarta bukan Sudarta). Darwin : Bukan Sidarta tapi Sudarta; Siera Uniform ...dan seterusnya Lisa : Oh maaf pak .. boleh tolong dieja juga nama ibu kandung Bapak. Darwin : Tanggo India ... dan seterusnya Sampai tahap ini, Benny dan Lisa sudah dapat informasi yang cukup, hanya satu yang kurang yaitu PhoneID. Tapi hal ini bukan kesulitan bagi mereka berdua, ke esokan harinya Benny menelpon call center Bank XYZ berpura-pura sebagai Pak Darwin. Petugas Bank (PB): Hallo Bank XYZ, ada yang dapat dibantu Benny : Saya Darwin Sudarta, ada sedikit kesulitan untuk melakukan transaksi via telephone karena lupa PhoneID dan kertas catatan PhoneID saya ada di laci kantor yang terkunci sedangkan sekarang saya sedang di luar kota. Bisa minta tolong sebutkan nomor PhoneID saya mbak ? PB: Bisa, tetapi bapak harus datang ke kantor kami, atau dapat dikirim via pos ke alamat yang tertulis pada lembar aplikasi. Benny : Wah repot dong .. padahal saya akan seminggu di Banyuwangi dan perlu transaksi sekarang. Tahu begini saya tidak menggunakan Bank XYZ karena Bank lain prosedurnya gampang. Ngomong-ngomong saya bicara dengan siapa ? (Sengaja Benny membandingkan dengan bank lain dan menanyakan nama petugas bank dengan nada sedikit tinggi). PB : Mmm baik pak, apakah Bapak dapat memberikan informasi tanggal lahir dan nama Ibu kandung Bapak ? Benny : tanggal lahir saya .. PB : PhoneID Bapak ..

Ping Of Death

Kegiatan yang mengirinkan ICMP dengan paket tertentu yang besar dengan harapan membuat

sistem akan crash, hang, reboot dan akhirnya DoS, tapi metode ini sangat gampang dicegah

dengan memasukan rules ICMP syn request di proxy/firewall/router. Misalnya rulesnya hanya

boleh melakukan ping ke subnet tertentu.

Java / Active X

Saat ini sejak berkembangnya Web 2.0 banyak sekali varian content yang beragam. Konsep

client-server yang digunakan di internet saat ini semakin beragam, penggunaan konsep client-

server ini juga yang banyak digunakan oleh para pembuat virus/trojan/cracker untuk masuk

dan melakukan penetrasi sistem. Komponen ActiveX yaitu executable program yang built-in

pada situs web, jadi jika masuk ke web site ini maka browser akan me-load halaman web ini

beserta built-in component-nya, dan menjalankannya pada komputer kita. Contoh real dari

client-server ini adalah Game online dari sites tidak terpecaya


12

Gambar 7. metode client-server melakukan koneksi ke server

Pada saat content sebuah web di load ke browser client, ada beberapa script yang di execute

disisi client. Script ini nantinya yang akan digunakan untuk dapat bertukar data data dengan

server misalnya saja kasus games-games online yang dibuat dengan flash script. Dimana script

di load sepenuhnya di client namun pada saat score/pergantian karakter dan sebagainya akan

diberikan dan diproses oleh server. Hal inilah yang memungkinkan sebuah malcode jahat bisa

mencuri informasi dari pc client dan diberikan ke server tujuan.

Gambar 8. Contoh popup untuk menjebak user

Sniffing Packet

Melakukan “mata-mata” paket data yang lewat pada jaringan lokal tertentu dalam satu

collision dan broadcast, biasanya untuk mendapatkan password. Metode ini Biasanya ditanam

pada server di NIC tertentu atau pada sebuah pc pada sebuah network. Serangan ini dapat

berhasil dengan baik jika jaringan kita menggunakan perangkat Hub.


13

Gambar 9. contoh penggunaan dsniff yang berguna capture paket data

Input Systems

Saat ini Web yang semakin beragam dan dinamis,trend ini menuju ke Content Web 2.0 yang

bersifat jejaring dan full interaksi antara pengunjung dan web tersebut. Sudah menjadi trend

dan menjadi hal yang biasa saat ini perusahaan/ institusi dan lain-lain mempunyai website dari

sekedar cuman menampilkan company profile sampai dengan system informasi yang berbasis

online, hal ini disebabkan karena Web yang bersifat cross platform yang dapat diakses dari

mana saja dengan perangkat apa aja asal menggunakan browser. Beberapa serangan yang

dapat dikategorikan sebagai Input Systems.

SQL Injections

suatu metode untuk memanfaatkan kelemahan pada mesin server SQLnya, misalnya

server yg menjalankan aplikasi tersebut. Hal ini dilakukan dengan mencoba

memasukkan suatu script untuk menampilkan halaman error di browser, dan biasanya

halaman error akan menampilkan paling tidak struktur dari hirarki server dan logika

program. Metode ini memasukan “karakter” query tertentu pada sebuah “text area”


14

atau di address browser dengan perintah-perintah dasar SQL seperti SELECT, WHERE,

CREATE, UPDATE, dan lain-lain.

Gambar 10. metode penggambaran request di web server

Ada beberapa metode yang digunakan penyerang untuk melakukan SQL Injection, dari

gambar diatas terlihat DB yang digunakan untuk menyimpan data. Biasanya digunakan

beberapa metode seperti 1-tier, 2-tier layer pengaksesan dari web server ke DB. Jadi

request dari client tidak akan langsung ke DB namun diterjemahkan oleh web server

dan diquerykan oleh web applications. Kelemahan yang biasanya dicoba adalah di

bagian web server dengan menyerang Daemon web servernya, Web Applications dengan

menginject bahasanya, dan DB yang digunakan (Oracle, Postgress, MySQL, SQL Server,

dan lain-lain).

Query-query yang sering diinjection, seperti ;

• 'anything' OR 'x'='x';

• 'x' AND email IS NULL; --';

• 'x' AND userid IS NULL; --';

• 'x' AND 1=(SELECT COUNT(*) FROM tabname); --';

• '[email protected]' AND passwd = 'hello123';


15

Cross site script (XSS)

Salah satu type lubang keamanan sistem yang biasa ditemukan di web based

applications dengan melakukan code injections dengan malicious web pengguna kepada

halaman web yang dilihat oleh user lainnya dimana memungkinkan penyerang untuk

mencuri cookies, menipu user dengan memberikan credentials mereka, memodifikasi

penampilan page, mengeksekusi seluruh sort dari malicious java-script code

RSS Feeds

Trend teknologi saat ini dalam dunia web 2.0 seperti RSS (Really Simple Syndication)

Sebuah format berbasis bahasa XML yang digunakan untuk sharing dan mendsitribusikan

content web ke web lain, seperti headlines. Dengan RSS Feeds ktia dapat melihat

berbagai sumber berita dari web yang kita gunakan langsung seperti headlines,

summaries hingga full storiesnya. Berita-berita bisa dikutip langsung dari web lain,

misalnya dari portal, web berita atau pages tertentu secara otomatis di halaman web

yang kita buat (metode dasar hyperlink/ linkupdate). Karena otomatis, berita / content

dapat diboncengi oleh trojan/ informasi lain


16

Gambar 11. Trend RSS Feeds

Google Adsense

Metode “iklan” yang sesuai dengan tema website yang dibuat tanpa harus melakukan

update yang Dilakukan secara online oleh google, dimana Google Adsense akan

mencocokan “iklan” dengan content dan kita akan mendapatkan uang pada saat

pengunjung menklik linknya


17


18

Gambar 12. Contoh Adsense

Buffer Overflow Suatu metode penyerangan dengan memanfaatkan kesalahan / bug dari programming untuk mengeksekusi dan menyisipkan code tertentu, biasanya terdapat pada aplikasi yang ditulis dengan tidak baik atau versi percobaan. Melakukan “eksekusi” program dengan metode berulang-ulang hingga sistem crash


19

Domain Redirect Pada saat beli domain di domain registrations public, kita akan diberikan user n pass

• Membelotkan Domain ke alamat lain, dengan cara menyerang nameservernya atau membuat DNS lain

• Menyerang mesin DNS dan membelokan nameserver – Ns1.xxxx.com – Ns2.xxxx.com

• Beberapa kasus hanya melakukan password crack untuk redirect domain ini

Gambar 13. Ilustrasi server DNS dunia (root DNS)


20

Gambar 14. Pendaftaran domain di PANDI


21

Gambar 15. Salah satu tampilan CP untuk mengatur Domain

DNS Poison

• Melakukan injection pada DNS server / membuat DNS menjadi crash, hingga DNS

bingung

• Metode dengan membuat / membeli nama domain yang identik

• Metode membuat table routing DNS menjadi anomaly

Remote Login

• Biasanya menyerang mesin FTP & SSH

• Mencoba-coba password default

– User : anonymous, pass : empty

• Penanganan

– Tutup daemon yang tidak diperlukan

– Buat policy password

Web Spoofing

• Web Spoofing

– Membuat web lain yang “copy paste/ identik” dari web asli

– Membeli domain yang yang hampir identik

• Ex : klikbca.com (existing)

• Lalu dibeli domain clikbca.com / clickbca.com / clickbca.net

– Menangkap user dan password

• Penanganan


22

– Digital Certificate

• Verisign, iTrust, …

• CA (Certificate Authority)

– https


23

Applications backdoor Kalau kita cerna mengapa perusahaan sebesar microsoft membuat divisi khusus tentang UPDATE/ FIX PROBLEM, jawabannya adalah software house sebesar Microsoft saja yang mempunyai team khusus R&D yang handal masih mensisahkan bug/ problem/ anomaly dari software-software yang mereka buat. Begitu juga di OS linux pasti distro-distro membuat update-update untuk kernelnya. Baik dari Sistem Operasi, Office, dan aplikasi lainnya begitupun beberapa Aplikasi s/w dengan based OS apapun yang ada dipasaran mempunyai backdoor / vurnerability yang dapat dijadikan backdoor. Para pembuat script tersebut pastilah tidak dapat sepenuhnya membuat secara sempurna software mereka, hal inilah yang dijadikan oleh para penyerang untuk melakukan serangan. Kebanyakan serangan dengan memanfaatkan celah ini adalah kesalahan-kesalahan logika pemrograman atau aplikasi-aplikasi yang uncompatible dengan aplikasi lainnya yang jika melakukan eksekusi tertentu menyebabkan / menghasilkan suatu proses tertentu. Makanya beberapa vendor software menyiapkan service pack / update patch di web mereka untuk mencegah atau menangani permasalahan ini, celah / vurnerability biasanya ditemukan setelah produk tersebut dilauncing kepasar dan dicoba oleh banyak user atau ditemukan kasus-kasus penyerangan yang masuk dari aplikasi tersebut. Beberapa celah yang dimanfaatkan penyerang dari bug software, seperti ;

• System – Webserver (apache, IIS) – database server (MsSQL, Postgress, Oracle,…) – Web based Language (PHP, ASP, JSP, …)

• Spreadsheet, download manager, P2P, … • CMS systems vurnerability


24

SMTP Session Hijacking • Simple Mail Transfer Protocol, metode untuk merebut daftar mail yang digunakan untuk

mengirimkan junk mail ke ratusan/ jutaan mail account lainnya, atau keperluan social engineering

• Mengelabui dengan membuat email terkirim dari server yang telah di hijack Email Bombs

Dahulu metode ini banyak ditemukan jika menggunakan daemon tertentu atau OS tertentu

untuk membuat mail server. Ilustrasinya, seseorang dapat mengirimkan banyak mail ke sebuah

account yang valid pada sebuah mail server, dimana satu mail yang dikirim mempunyai

attachment file misalnya saja 2 mega yang melebihi quotanya. Bayangkan saja satu file di

download dari account mail kita dengan menggunakan koneksi dial-up. Belum lagi kemampuan

dari daemon mail tersebut mempunyai banyak bug misalnya akan hang/crash disaat ada

account yang dikirimi secara serentak, apalagi dilakukan secara terus-menerus, serentak dan

bersamaan hingga server crash & down

Saat ini serangan ini dapat dicegah dengan membuat rules di firewall/Proxy / router kita

• Atur di firewall paket data yang boleh masuk ke jaringan DMZ (mail server berada di

DMZ)

• Drop jika ada paket data yang mencoba mengirim ke mail server melebihi nilai paket

tertentu

Password default

Keamanan yang paling mudah digunakan adalah authentikasi yang menggunakan user dan

password. Banyak sekali ditemukan para admin atau web master menggunakan user dan

password standar atau tidak dirubah sama sekali, dimana user dan password tersebut masih

menggunakan default dari vendor pembuatnya. Baik password default untuk di perangkat

jaringan atau password default untuk di aplikasi webbased. Sebut saja solusi Content

Management Systems (CMS) seperti pembanguan sebuah web/portal dengan solusi CMS ini,

penulis perhatikan banyak sekali masih menggunakan user dan password default dari

mamboo/joomla/drupal/Aura/ dan lain-lain.

Password default

– Terutama web yang dibangun dengan CMS

• Penanganan

– Atur direktori administrator


25

– Buat policy tentang password

– Update pacth CMS yang digunakan

User n pass perangkat

Router, linksys, 3com, dsb

Documents

Trend Serangan Jaringan Komputer dari Internet · dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel, VSAT , VPN atau bahkan menggunakan jaringan