Security Networking
-
Upload
christian-hardianto -
Category
Documents
-
view
208 -
download
11
description
Transcript of Security Networking
Case study Network Security
Final Assessment
By
M. Adhitya Akbar
0806316801
Electrical Engineering Department
Faculty of Engineering University of Indonesia
H a l a m a n | 1 dari 59
1. Langkah pertama kali yang saya lakukan dalam information gathering adalah mencari
informasi umum yang ada pada internet. Google dan mesin pencarian lainnya menjadi awal
yang baik.
Gambar 1.1 Tampilan Googlehacks
Untuk kali ini saya menggunakan aplikasi google hack, dalam penggunaannya google hacks
lebih berfungsi sebagai alat pencari alternatif untuk mendapatkan beberapa informasi yang
terkadang tidak ditampilkan oleh google. Saya memilih opsi Cache untuk mendapatkan
informasi archive dari situs yang saya inginkan, salah satu subdomain dari www.ui.ac.id yaitu
www.ee.ui.ac.id dan mendapatkan informasi archievenya dari www.archieve.org :
Gambar 1.2 Tampilan Archieve.org untuk www.ee.ui.ac.id
H a l a m a n | 2 dari 59
Setiap arsip tersebut menyimpan informasi halaman website yang ada pada tahun-tahun
tersebut.
Pengumpulan informasi tidak sampai disitu saja, saya mencoba untuk mencari tahu letak
dan posisi server dari www.ee.ui.ac.id. Di internet untuk banyak cara mengetahuinya, salah
satunya adalah dengan trace server. Saya menggunakan http://81solutions.com/server-
location.html untuk mencari letaknya.
Gambar 1.3 Server Location by 81solutions
Saya melihat letak dan posisi server dari www.ee.ui.ac.id tidak berada ditempat seharusnya.
Ini menandakan pada ip-address awal dari www.ee.ui.ac.id terdaftar di daerah tersebut atau
terdapat proxy yang mengubah pencarian. Kemungkinan terbesar adalah situs ini memakai
proxy server di depannya, saya melihat kondisi server seharusnya berada di depok dimana
universitas ini berada namun pada saat di trace letaknya berada di sulawesi selatan.
H a l a m a n | 3 dari 59
Setelah itu saya melakukan pencarian terhadap jenis servernya dan informasi lainnya
dengan menggunakan www.netcraft.net.
Gambar 1.4 Hasil Pencarian Netcraft.net terhadap ee.ui.ac.id
Saya melihat sistem operasi yang digunakan untuk web servernya adalah Linux Debian
dengan Apache Server dan DNS adminnya [email protected] dengan reverse DNS-nya
electron.ee.ui.ac.id.
H a l a m a n | 4 dari 59
Saya akan mencoba mencari informasi berdasarkan DNS –nya dengan cara menggunakan
www.intodns.net.
H a l a m a n | 5 dari 59
Saya juga menggunakan http://www.unmaskparasites.com/security-report/ dan mendapatkan
report berikut :
General
Title: Electrical Engineering | Universitas Indonesia
URL: http://www.ee.ui.ac.id
Google: not currently listed as suspicious* (details)
Last checked: 0 minutes ago (results are cached for 1 hour)
Dengan link externalnya :
H a l a m a n | 6 dari 59
Gambar 1.5 Hasil pengumpulan direktori yang ada pada www.ee.ui.ac.id
Selanjutnya saya mencoba mengambil beberapa informasi tentang port-port serta berbagai
macam informasi pada server tersebut. Salah satu tool yang saya gunakan adalah nessus.
H a l a m a n | 7 dari 59
Gambar 1.6 Tampilan awal Nessus
Gambar 1.7 Tampilan total beberapa celah keamanan dan port yang terbuka
Terlihat terdapat 120 total keamanan yang di curigai memiliki celah oleh Software ini dan ini
dapat mengundang para hacker untuk mengeksploitasinya. 27 Port juga terlihatnya terbuka,
ini termasuk jumlah yang besar untuk skala server perusahaan. Seharusnya port-port yang
tidak digunakan ditutup dan diberikan firewall.
Gambar 1.8 Port-port yang terbuka
Berikut adalah hasil report oleh Nessus dari port-port yang terbuka :
PLUGIN ID# # PLUGIN NAME SEVERITY
33850 1 Unsupported Unix Operating System High Severity problem(s)
found
51192 3 SSL Certificate signed with an unknown Certificate Authority Medium Severity problem(s)
found
15901 3 SSL Certificate Expiry Medium Severity problem(s)
H a l a m a n | 8 dari 59
found
45411 2 SSL Certificate with Wrong Hostname Medium Severity problem(s)
found
33821 2 .svn/entries Disclosed via Web Server Medium Severity problem(s)
found
26928 2 SSL Weak Cipher Suites Supported Medium Severity problem(s)
found
20007 2 SSL Version 2 (v2) Protocol Detection Medium Severity problem(s)
found
11213 2 HTTP TRACE / TRACK Methods Allowed Medium Severity problem(s)
found
42873 1 SSL Medium Strength Cipher Suites Supported Medium Severity problem(s)
found
10723 1 LDAP Server NULL Bind Connection Information Disclosure Medium Severity problem(s)
found
22964 17 Service Detection Low Severity problem(s)
found
14674 12 identd Service UID Association Low Severity problem(s)
found
10107 5 HTTP Server Type and Version Low Severity problem(s)
found
24260 4 HyperText Transfer Protocol (HTTP) Information Low Severity problem(s)
found
21643 3 SSL Cipher Suites Supported Low Severity problem(s)
found
45410 2 SSL Certificate commonName Mismatch Low Severity problem(s)
found
39521 2 Backported Security Patch Detection (WWW) Low Severity problem(s)
found
11424 2 WebDAV Detection Low Severity problem(s)
found
11414 2 IMAP Service Banner Retrieval Low Severity problem(s)
found
11040 2 HTTP Reverse Proxy Detection Low Severity problem(s)
found
10863 2 SSL Certificate Information Low Severity problem(s)
found
46180 1 Additional DNS Hostnames Low Severity problem(s)
found
45590 1 Common Platform Enumeration (CPE) Low Severity problem(s)
found
43067 1 Web Application Tests Disabled Low Severity problem(s)
found
42880 1 SSL / TLS Renegotiation Handshakes MiTM Plaintext Data Injection Low Severity problem(s)
H a l a m a n | 9 dari 59
found
42085 1 IMAP Service STARTTLS Command Support Low Severity problem(s)
found
39520 1 Backported Security Patch Detection (SSH) Low Severity problem(s)
found
25701 1 LDAP Crafted Search Request Server Information Disclosure Low Severity problem(s)
found
25220 1 TCP/IP Timestamps Supported Low Severity problem(s)
found
20870 1 LDAP Server Detection Low Severity problem(s)
found
19506 1 Nessus Scan Information Low Severity problem(s)
found
18261 1 Apache Banner Linux Distribution Disclosure Low Severity problem(s)
found
12053 1 Host Fully Qualified Domain Name (FQDN) Resolution Low Severity problem(s)
found
11936 1 OS Identification Low Severity problem(s)
found
10919 1 Open Port Re-check Low Severity problem(s)
found
10881 1 SSH Protocol Versions Supported Low Severity problem(s)
found
10757 1 Webmin Detection Low Severity problem(s)
found
10287 1 Traceroute Information Low Severity problem(s)
found
10267 1 SSH Server Type and Version Information Low Severity problem(s)
found
10263 1 SMTP Server Detection Low Severity problem(s)
found
10185 1 POP Server Detection Low Severity problem(s)
found
10021 1 Identd Service Detection Low Severity problem(s)
found
Berikut adalah beberapa informasi singkat tentang kemungkinan terjadinya penyerangan
terhadap port-port tersebut :
PORT LDAP (389/TCP)
LDAP Crafted Search Request Server Information Disclosure
- It is possible to discover information about the remote LDAP server.
H a l a m a n | 10 dari 59
- By sending a search request with a filter set to 'objectClass=*', it is possible to
extract information about the remote LDAP server.
Risk Factor : None
PORT WWW (8080/TCP)
HTTP Reverse Proxy Detection
- A transparent or reverse HTTP proxy is running on this port.
- This web server is reachable through a reverse HTTP proxy.
Risk Factor : None
PORT WWW (3128/TCP)
HTTP Reverse Proxy Detection
- A transparent or reverse HTTP proxy is running on this port.
- This web server is reachable through a reverse HTTP proxy.
Risk Factor : None
PORT WWW (10000/TCP)
identd Service UID Association
- identd reveals that this service is running as user/uid root
Risk Factor : None
PORT WWW (443/TCP)
.svn/entries Disclosed via Web Server
- The remote web server discloses information due to a
configuration\weakness.
- The web server on the remote host allows read access to '.svn/entries' files.
This exposes all file names in your svn module on your website. This flaw can
also be used to download the source code of the scripts (PHP, JSP, etc...)
hosted on the remote server.
H a l a m a n | 11 dari 59
Risk Factor
Medium/ CVSS Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)
Solution
Configure permissions for the affected web server to deny access to the
'.svn' directory.
HTTP Server Type and Version
- The remote web server type is :
Apache/2.2.3 (Debian) DAV/2 SVN/1.4.2 mod_ldap_userdir/1.1.11
mod_python/3.2.10 Python/2.4.4 PHP/5.2.9-0.dotdeb.1 with Suhosin-Patch
proxy_html/2.5 mod_ssl/2.2.3 OpenSSL/0.9.8c
Solution
- You can set the directive 'ServerTokens Prod' to limit the information
emanating from the server in its response headers.
HTTP TRACE / TRACK Methods Allowed
- Debugging functions are enabled on the remote web server.
- The remote webserver supports the TRACE and/or TRACK methods. TRACE
and TRACK are HTTP methods that are used to debug web server
connections.
Solution
Disable these methods. Refer to the plugin output for more information.
Risk Factor
Medium/ CVSS Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N)
CVSS Temporal Score: 3.9(CVSS2#E:F/RL:W/RC:C)
SSL Medium Strength Cipher Suites Supported
H a l a m a n | 12 dari 59
- The remote service supports the use of medium strength SSL ciphers.
- strength encryption, which we currently regard as those with key lengths at
least 56 bits and less than 112 bits.
- Note: This is considerably easier to exploit if the attacker is on the same
physical network.
Solution
Reconfigure the affected application if possible to avoid use of medium
strength ciphers.
Risk Factor
Medium/ CVSS Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N)
SSL / TLS Renegotiation Handshakes MiTM Plaintext Data Injection
- The remote service allows renegotiation of TLS / SSL connections
- The remote service encrypts traffic using TLS / SSL but allows a client to
renegotiate the connection after the initial handshake. An unauthenticated
remote attacker may be able to leverage this issue to inject an arbitrary
amount of plaintext into the beginning of the application protocol stream,
which could facilitate man-in-the-middle attacks if the service assumes that
the sessions before and after renegotiation are from the same 'client' and
merges them at the application layer.
Solution
- Contact the vendor for specific patch information.
Risk Factor
- Low/ CVSS Base Score: 2.6 (CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N) CVSS
Temporal Score: 2.1(CVSS2#E:F/RL:OF/RC:C)
PORT LDAP (389/TCP)
H a l a m a n | 13 dari 59
LDAP Server Detection
- The remote host is running a Lightweight Directory Access Protocol, or LDAP,
server. LDAP is a protocol for providing access to directory services over
TCP/IP.
Risk Factor : None
PORT WWW (80/TCP)
WebDAV Detection
- WebDAV is an industry standard extension to the HTTP specification. It adds
a capability for authorized users to remotely add and manage the content of a
web server. If you do not use this extension, you should disable it.
Solution : http://support.microsoft.com/default.aspx?kbid=241520
PORT (0/TCP)
Open Port Re-check
- One of several ports that were previously open are now closed or
unresponsive. There are numerous possible causes for this failure :
- The scan may have caused a service to freeze or stop running. An
administrator may have stopped a particular service during the scanning
process. This might be an availability problem related to the following
reasons :
o A network outage has been experienced during the scan, and the
remote network cannot be reached from the Vulnerability Scanner any
more.
o This Vulnerability Scanner has been blacklisted by the system
administrator or by automatic intrusion detection/prevention systems
which have detected the vulnerability assessment.
o The remote host is now down, either because a user turned it off
during the scan or because a select denial of service was effective.
In any case, the audit of the remote host might be incomplete and may need
to be done again
H a l a m a n | 14 dari 59
Solution
- increase checks_read_timeout and/or reduce max_checks
- disable your IPS during the Nessus scan
Unsupported Unix Operating System
- The remote host is running an obsolete operating system. According to its
version, the remote Unix operating system is obsolete and no longer
maintained by its vendor or provider.
- Lack of support implies that no new security patches will be released for it.
Solution
- Upgrade to a newer version.
-
Risk Factor
- Critical/ CVSS Base Score: 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)
PORT IMAP (143/TCP)
MAP Service STARTTLS Command Support
- The remote mail service supports encrypting traffic.
- The remote IMAP service supports the use of the 'STARTTLS' command to
switch from a plaintext to an encrypted communications channel.
Here is the IMAP server's SSL certificate that Nessus was able to
collect after sending a 'STARTTLS' command :
------------------------------ snip ------------------------------
Subject Name:
Organization: University of Washington IMAP daemon
Organization Unit: newelectron
Common Name: newelectron.ee.ui.ac.id
Email Address: [email protected]
Issuer Name:
H a l a m a n | 15 dari 59
Organization: University of Washington IMAP daemon
Organization Unit: newelectron
Common Name: newelectron.ee.ui.ac.id
Email Address: [email protected]
Serial Number: 00 A5 D9 07 58 41 E3 68 C0
Version: 3
Signature Algorithm: SHA-1 With RSA Encryption
Not Valid Before: Nov 18 11:26:36 2008 GMT
Not Valid After: Nov 18 11:26:36 2009 GMT
Public Key Info:
Algorithm: RSA Encryption
Public Key: 00 A8 FE DE 01 DE 3C 0D 81 DB 93 87 E4 A6 AD 9F 0D B0 48 58
88 5F 68 8E 46 C7 70 8C 67 1F 96 11 7C 77 B1 DF 02 4F 12 4E
0E F1 17 FC 45 22 CE 1E 7D 88 40 2B D6 A4 8A DD DA F9 75 9F
45 F2 4E 08 22 FD F1 AD 9A 1D 91 3B EE 32 45 18 2C 09 EE F8
14 14 40 C2 A9 B9 38 A7 67 E8 9F 27 EB 34 50 45 71 4F 3F 02
81 B6 93 5B 4F 76 2A 28 31 AB 12 CE 67 E4 70 CE 37 E1 7A 1C
03 DC 91 6F 09 19 91 14 1B
Exponent: 01 00 01
Signature: 00 7F E2 79 DF 15 E5 86 9F 1E 0C 65 16 14 35 25 1B 0A C9 8A
5F EC C1 B3 35 DC 45 54 8F 22 2E FF 74 CB 92 37 40 72 61 DF
9A 3C 15 6A 3F 03 C0 3D ED 9D 64 58 65 00 16 AB F9 9D FB 1B
27 88 03 BC 02 7A F2 69 5B 18 C9 07 44 4E 27 73 4B 40 AF 70
A9 1D 88 F1 A6 39 99 96 AF F7 D7 64 6E 7B 8D E1 6A EC F3 D9
8E 76 7D C8 3E A9 C8 2C 88 B6 78 B5 61 B8 0E 57 1F CF 53 44
B7 93 FF 17 B6 C2 85 1F 93
Extension: Subject Key Identifier (2.5.29.14)
Critical: 0
Subject Key Identifier: FD C9 DE 4B C9 3E A9 AF C9 F3 60 BB 43 B6 88 04 2F 63 88 EE
Extension: Authority Key Identifier (2.5.29.35)
Critical: 0
H a l a m a n | 16 dari 59
Extension: Basic Constraints (2.5.29.19)
Critical: 0
Data: 30 03 01 01 FF
------------------------------ snip ------------------------------
SSL Certificate commonName Mismatch
- The SSL certificate commonName does not match the host name.
- The host name known by Nessus is : www.ee.ui.ac.id
- The CommonName of the certificate is : newelectron.ee.ui.ac.id.
- This service presents an SSL certificate for which the 'commonName' (CN)
does not match the host name on which the service listens.
Solution
If the machine has several names, make sure that users connect to the service
through the DNS host name that matches the common name in the certificate.
Risk Factor : None
PORT AUTH (113/TCP)
Identd Service Detection
- The remote host is running an ident (also known as 'auth') daemon. The
'ident' service provides sensitive information to potential attackers. It is
designed to say which accounts are running which services. This helps
attackers to focus on valuable services (those owned by root or other
privileged accounts). If you do not use this service, and software you run
does not require it, disable it.
Solution
- If you do not use this service and software you run does not require it, disable
it.
PORT LDAP (389/TCP)
LDAP Server NULL Bind Connection Information Disclosure
H a l a m a n | 17 dari 59
- The LDAP server on the remote host is currently configured such that a user
can connect to it without authentication - via a 'NULL BIND' - and query it for
information. Although the queries that are allowed are likely to be fairly
restricted, this may result in disclosure of information that an attacker could
find useful.
- Note that version 3 of the LDAP protocol requires that a server allow
anonymous access -- a 'NULL BIND' -- to the root DSA-Specific Entry (DSE)
even though it may still require authentication to perform other queries. As
such, this finding may be a false-positive.
Solution
Unless the remote LDAP server supports LDAP v3, configure it to disallow
NULL BINDs.
Risk Factor
Medium/ CVSS Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)
PORT IMAP (993,443,143/TCP)
SSL Certificate Expiry
- The remote server's SSL certificate has already expired
- The SSL certificate of the remote service expired Nov 18 11:26:36 2009 GMT!
- This script checks expiry dates of certificates associated with SSL- enabled
services on the target and reports whether any have already expired.
Solution
- Purchase or generate a new SSL certificate to replace the existing one.
Risk Factor
- Medium/ CVSS Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N)
PORT IMAP (993/TCP)
- The remote service encrypts traffic using a protocol with known\weaknesses.
H a l a m a n | 18 dari 59
- The remote service accepts connections encrypted using SSL 2.0, which
reportedly suffers from several cryptographic flaws and has been deprecated
for several years. An attacker may be able to exploit these issues to conduct
man-in-the-middle attacks or decrypt communications between the affected
service and clients.
Solution
Consult the application's documentation to disable SSL 2.0 and use SSL 3.0
or TLS 1.0 instead.
Risk Factor : Medium/ CVSS Base Score: 5.0
PORT WWW (10000/TCP)
- The remote server is running Webmin, a web-based interface for system
administration for Unix.
Solution
- Stop the Webmin service if not needed or ensure access is limited to
authorized hosts. See the menu items '[Webmin Configuration][IP Access
Control]' and/or '[Webmin Configuration][Port and Address]'.
www.ee.ui.ac.id
Scan Time
Start time: Sat Jan 01 14:33:28 2011
End time: Sat Jan 01 14:45:52 2011
Number of vulnerabilities
High 1
Medium 18
Low 74
Remote Host Information
Operating System: Linux Kernel 2.6 on Debian 4.0 (etch)
DNS name: www.ee.ui.ac.id
IP address: 152.118.101.8
H a l a m a n | 19 dari 59
Sebenarnya masih terdapat banyak lagi penjelasan keamanan terhadap port-port yang
terbuka pada server tersebut, namun untuk kali ini akan saya berikan dalam bentuk lampiran diluar
file ini.
Saya menggunakan acunetix untuk mendapatkan informasi lebih terhadap server tersebut.
Gambar 1.9 Acuntix Web Vulneberality
H a l a m a n | 20 dari 59
Gambar 1.10 Pada jam pertama Acunetix di jalankan
Acunetix adalah sebuah tools dalam menentukan kelemahan pada server. Saya melakukan scanning
selama 5 Jam dan mendapatkan hasil yang mencengangkan. Menurut software ini, apakah itu false
positive atau bukan, server www.ee.ui.ac.id memiliki level 3 security alert, dimana termasuk
tertinggi dalam peringkatnya. Berikut adalah screenshotnya.
H a l a m a n | 21 dari 59
Gambar 1.11 Acunetix pada saat mendekati 97% scanning progress.
Gambar 1.12 Acunetix menunjukkan Threat level 3 pada situs www.ee.ui.ac.id
Gambar 1.13 Acunetix memberikan report Alert dan Site Structure pada www.ee.ui.ac.id port 80
H a l a m a n | 22 dari 59
Saya menemukan beberapa celah keamanan pada server pada DNS, LDAP,POP3 dan beberapa add-
on php yang salah. Untuk hal ini, sangat di anjurkan bagi sang admin untuk melakukan patching
terhadap software dan server yang dia miliki.
2. Dalam menentukan apakah email yang kita terima itu asli atau bukan, cara termudahnya
adalah dengan melihat header dari email tersebut. Karena di headernya terdapat IP Address
dari sang pengirim serta beberapa SMTP Server yang diperlukan.
Pada kali ini saya menggunakan webmail gratis dari Universitas Indonesia yaitu pada situs
http://webmail.ui.ac.id . Pada kronologis kali ini saya akan mencoba membuat 2 peran, si
hacker dan si korban. Disini, si hacker akan mencoba menipu si korban dengan berpura-pura
menjadi admin UI dan memintanya mengirimkan username dan password.
---- Hacker Angle ----
Saya akan menjelaskan bagaimana cara berpura-pura mengirimkan email dengan nama
sender yang lain.
- Saya menggunakan mozilla thunder bird sebagai email client.
Gambar 1.14 Tampilan Awal Mozilla Thunderbird
- Saya memasukkan smtp dan pop3, untuk hal ini saya menggunakan server UI,
dengan username dan password salah satu account mahasiswa.
H a l a m a n | 23 dari 59
Gambar 1.15 Pengaturan pada account setting
- Sang hacker akan mengirimkan email yang berisikan perintah untuk memberikan
informasi account kepada dirinya
H a l a m a n | 24 dari 59
Gambar 1.16 Tampilan Isi pada email yang akan dikirimkan
- Maka ketika sang hacker mengirimkan message tersebut, maka di inbox sang korban
akan tampil sebuah message baru yang bertuliskan from [email protected]
Gambar 1.17 Tampilan Inbox pada user yang menerima
- Isinya akan tampil sebagai berikut
H a l a m a n | 25 dari 59
Gambar 1.18 Isi email dari hacker yang diterima user
---- User Angle ----
Nah, kali ini pada user angle, dia akan melihat seperti pada gambar 1.18, ketika view
full header ternyata si user tidak memastikan apakah itu berasal langsung dari admin
atau bukan :P.. sepertinya saya salah membuat perumpamaan…. XD… ya… kita
rekonstruksi lagi, sekarang sang hacker menggunakan nama samaran
[email protected] yang dikirimkan ke salah satu pengguna gmail yang berisikan
menyuruh si user untuk secepatnya mengirimkan biodata dirinya dan nilai IPK
terakhirnya dikarenakan adanya kesalahan sistem.
Gambar 1.19 Tampilan User yang mendapatkan email palsu
H a l a m a n | 26 dari 59
Gambar 1.20 Tampilan email palsu yang diterima user
Langkah yang baik untuk men-check dari mana email itu berasal adalah dengan
melihat header penuh dari email tersebut.
Berikut adalah isi header fullnya :
Delivered-To: [email protected]
Received: by 10.231.16.131 with SMTP id o3cs420818iba;
Mon, 3 Jan 2011 04:41:09 -0800 (PST)
Received: by 10.42.220.69 with SMTP id hx5mr18778468icb.336.1294058469616;
Mon, 03 Jan 2011 04:41:09 -0800 (PST)
Return-Path: <[email protected]>
Received: from gharial.ui.ac.id (gharial.ui.ac.id [152.118.24.49])
by mx.google.com with ESMTP id h14si50254683icb.80.2011.01.03.04.41.08;
Mon, 03 Jan 2011 04:41:08 -0800 (PST)
Received-SPF: neutral (google.com: 152.118.24.49 is neither permitted nor denied
by domain of [email protected]) client-ip=152.118.24.49;
Authentication-Results: mx.google.com; spf=neutral (google.com: 152.118.24.49 is
neither permitted nor denied by domain of [email protected])
[email protected]; dkim=pass (test mode) [email protected]
Received: from localhost (unknown [152.118.24.147])
by gharial.ui.ac.id (Postfix) with ESMTP id 8343C1CA019
for <[email protected]>; Mon, 3 Jan 2011 19:34:13 +0700 (WIT)
X-Virus-Scanned: Debian amavisd-new at kadal.ui.ac.id
Received: from gharial.ui.ac.id ([152.118.24.49])
by localhost (kadal.ui.ac.id [152.118.24.147]) (amavisd-new, port 10024)
with ESMTP id NPPSSeoKGaWt for <[email protected]>;
Mon, 3 Jan 2011 19:41:07 +0700 (WIT)
H a l a m a n | 27 dari 59
Received: from smtp.ui.ac.id (localhost [127.0.0.1])
by gharial.ui.ac.id (Postfix) with ESMTP id 6A07C1CA012
for <[email protected]>; Mon, 3 Jan 2011 19:34:08 +0700 (WIT)
Received: from smtp.ui.ac.id ([152.118.24.129] helo=smtp.ui.ac.id) by
gharial.ui.ac.id; 3 Jan 2011 19:34:08 +0700
Received: from smtp.ui.ac.id (localhost [127.0.0.1])
by smtp.ui.ac.id (Postfix) with ESMTP id 6CD5DB7CA
for <[email protected]>; Mon, 3 Jan 2011 19:40:50 +0700 (WIT)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=ui.ac.id; h=message-id
:date:from:mime-version:to:subject:content-type:
content-transfer-encoding; s=mail; bh=TvfJ56E3HxPItGU4weALMx9tSj
o=; b=2yeVZSbIGQ275Yf0xhLHpoFLgalWCxqsoFmVgrO3tEJfAaf21b3u/jqQxH
krrB5oR1b5w2dg/Zv0UukoE+M71mDOBznbfHcrHu/onZEUpj0wn5dBlONDX8
Qzxt
DbbiIG8YhsWSeB5oagAmxjLBCYzkoGma5qEXx+5143kLfkd5U=
Received: from [192.168.102.35] (unknown [152.118.101.6])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
(Authenticated sender: ferdiansyah92)
by smtp.ui.ac.id (Postfix) with ESMTPSA id 667C594D3
for <[email protected]>; Mon, 3 Jan 2011 19:40:50 +0700 (WIT)
Message-ID: <[email protected]>
Date: Mon, 03 Jan 2011 19:40:29 +0700
From: "[email protected]" <[email protected]>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13)
Gecko/20101207 Thunderbird/3.1.7
MIME-Version: 1.0
Subject: recheck account ITB
Dari hasil header tersebut didapatkan gharial.ui.ac.id (gharial.ui.ac.id
[152.118.24.49]) merupakan si pengirim dan jelas bukan dari itb.ac.id, dan kita juga
mendapatkan IP Address Email Server yang mengirim yaitu 152.118.24.49 yang
dapat kita trace lokasi servernya.
Demikian penjelasan singkat saya tentang cara men-cek email palsu yang
H a l a m a n | 28 dari 59
didapatkan, dan serangan ini termasuk dalam serangan phising.
3. Trace Route pada internet merupakan perintah untuk menunjukkan rute yang dilewati paket
untuk mencapai tujuan. Ini dilakukan dengan mengirim pesan Internet Control Message
Protocol (ICMP) Echo Request Ke tujuan dengan nilai Time to Live yang semakin meningkat.
Rute yang ditampilkan adalah daftar interface router (yang paling dekat dengan host) yang
terdapat pada jalur antara host dan tujuan.
Tools yang saya gunakan adalah Neotrace. Neotrace dapat memberikan lokasi dari IP
Address, bentuk grafis dan geografis lokasi router. Saya melakukan traceroute dengan
menggunakan modem telkomflash menuju situs www.ui.ac.id. Berikut adalah penjelasan
dan screenshot dari tracing site yang saya lakukan :
Gambar 3.1 Hasil Trace dengan Tampilan MAP
Gambar 3.2 Urutan Trace pada www.ui.ac.id dengan tampilan delay (m/s)
H a l a m a n | 29 dari 59
Gambar 3.3 Tampilan Node untuk Hasil Trace
Gambar 3.4 Hasil Hop IP pada tracing hingga ke tujuan
Dari gambar 3.4, didapatkan nilai IP Address dengan perjalanan tracing dari IP Address
Telkomsel hingga ke http://hamster.ui.ac.id.
Mekanisme routing pada Internet itu sangat kompleks. Setiap LAN akan dihubungkan
menjadi WAN, dan tiap ujung LAN akan diwakili oleh sebuah Router. Ketika kita melakukan
tracing maka setiap lompatan router akan dicetak atau dikenali, seperti gambar 3.4, maka
kita akan melihat, dari telkomsel, kita mendapatkan 13 lompatan router untuk mencapai
H a l a m a n | 30 dari 59
www.ui.ac.id. Setiap ICMP request yang dikirimkan memiliki TTL (Time-to-Live) sehingga
setiap satu router berhasil dilompati TTL akan dikurangi satu dan begitu seterusnya.
4. a. Menyembunyikan file/folder adalah salah satu teknik steganography di dalam dunia
hacking. Teknik ini banyak digunakan oleh virus maupun spyware untuk menyembunyikan
keberadaannya agar kegiatan mereka tidak diketahui dalam waktu lama. Ada beberapa
teknik dalam menyembunyikan file/folder tersebut, saya akan menjabarkannya satu
persatu:
- Berlindung dibalik atribut
Teknik ini sangat mudah dilakukan bahkan oleh orang awam sekalipun, namun
teknik ini juga termasuk yang paling mudah untuk ditemukan. Setiap file atau folder
memiliki atribut yang memberikan status dari file atau folder tersebut, seperti read-
only termasuk hiddden. Sebagai contoh pada OS UNIX, penggunaan nama file yang
dimulai dengan tanda titik “.”, menyatakan bahwa file tersebut akan disembunyikan
(hidden).
Sistem Operasi Windows juga demikian, memiliki opsi hidden pada atribut filenya.
Caranya sangat mudah, cukup membuka Windows Explorer, lalu pada file klik kanan
pada file, dan pilih Properties, lalu pada tabulasi General, terdapat atribut file yang
ada.
H a l a m a n | 31 dari 59
Gambar 4.1 Klik kanan -> Properties
Gambar 4.2 Klik tabulasi Hidden
H a l a m a n | 32 dari 59
Gambar 4.3 File telah di sembunyikan dengan Attribut hidden
Yap, file telah disembunyikan, akan tetapi itu hanya berlaku jika pada folder
options, pilihan Show hidden files, folders, or drivers tidak dipilih.
H a l a m a n | 33 dari 59
Gambar 4.4 Pemilihan Don’t show hidden files, folders or drives
Nah, ternyata eh ternyata, pada sistem operasi windows ini dikenal juga satu
lagi attribut yang biasanya digunakan untuk menyembunyikan file-file yang penting
yang berhubungan dengan sistem operasinya, yaitu attribut super hidden. Nah,
untuk attribut ini, windows explorer tidak dapat memperlihatkannya, kecuali
attribut super hidden filenya di hilangkan. Ini adalah teknik terbaik dalam
steganography tanpa menggunakan satupun software. Penggunaannya di mulai
dengan membuka cmd.exe pada run.
H a l a m a n | 34 dari 59
Gambar 4.5 Membuka cmd.exe
Setelah berhasil membuka cmd.exe, lalu arahkan ke folder dimana file yang
akan di superhidden-kan.
Gambar 4.6 Mengarahkan ke folder file yang diinginkan
Ketikkan attrib +s +h file/folder.
H a l a m a n | 35 dari 59
Gambar 4.7 Pemberian attribut superhidden pada file
Nah, dengan begitu file tersebut akan “menghilang” meskipun udah memilih opsi
Show hidden files, folders, or drives.
- Berlindung dibalik ADS (Alternate Data Stream)
ADS atau Alternate Data Stream telah ada sejak Windows NT 3.1 melalui file NTFS-
nya. Ceritanya bermula ketika dukungan microsoft terhadapat file system HFS
(Hierarchical File System) yang digunakan oleh Machintosh. HFS menyimpan file
dalam dua bagian dan bagian keterangan yang menerangkan tentang bagaimana
menggunakan bagian data.
Akibat perbedaan ini, micrsoft menawarkan dengan apa yang dinamakan dengan
ADS pada file systemnya, NTFS. Dengan ADS, Microsoft bisa menyimpan sebuah file
dalam dua bagian juga dimana salah satu bagiannya tersembunyi dan tidak kelihatan
oleh user.
--- Menyembunyikan File dibelakang File ---
Berkat HFS ini hacker bisa menggunakannya sebagai teknik penyembunyian file-nya.
Langsung ke prakteknya, pertama kali adalah saya akan menggunakan program
notepad untuk membuat file dan menyembunyikannya file text dibalik file. Kali ini
sebuah file mp3 dengan nama “filemp3.mp3” akan kita gunakan sebagai file didepan
file yang akan disembunyikan. Pertama kali, buka cmd.exe lalu ketikkan :
H:\notepad filemp3.mp3:rahasiaku.text
H a l a m a n | 36 dari 59
Gambar 4.8 Menyembunyikan File Txt dibalik File MP3
Ketika di enter, maka file text akan dibuat, dan jendela baru akan terbuka, dan
menanyakan apakah akan disave atau tidak file text tersebut.
Gambar 4.9 Notepad akan membuat file text baru
Klik Yes, lalu ketikkan apapun, dan save. Ketika kita lihat kembali windows explorer,
file text tersebut sudah tersembunyi namun sebenarnya ada.
--- Menyembunyikan File dibalik Folder ---
Nah, kali ini kita akan menyembunyikan file dibalik folder, syntax yang digunakan
adalah sebagai berikut :
echo [isi text] >:[namafile]
Sebagai contoh :
H:\-belajar\asmirandah>echo mudah-mudahan surat cintaku ini gak ketahuan
>:asmirandah.txt
H a l a m a n | 37 dari 59
Gambar 4.10 Menciptakan file teks tersembunyi di folder
Nah, pertanyaannya sekarang, bagaimana cara membukanya, hmm.. yap, cara
terbaiknya adalah dengan menggunakan notepad.
Syntaxnya adalah sebagai berikut :
notepad [lokasifolder]:[namafile]
sebagai contoh kali ini :
H:\-belajar\asmirandah\notepad H:\-belajar\asmirandah:asmirandah.txt
Lalu, akan terbuka notepad baru dengan berisikan hasil echo yang telah kita buat
tadinya.
Gambar 4.11 Hasil text tadi dapat dibuka dengan notepad
--- Menyembunyikan Program dibalik File dan Folder ---
Menyembunyikan File text kelihatannya tidak berbahaya bagi sistem operasi namun
seorang hacker dapat menyembunyikan program berbahaya yang dapat merusak
sistem operasi anda. Berikut adalah syntax yang akan digunakan :
Type [programnya]>[textnya]:[nama_programnya]
Pada contoh kali, kita akan menyembunyikan file calculator.exe pada sebuah file
text.
H a l a m a n | 38 dari 59
Gambar 4.12 Menyembunyikan program calc.exe dibalik file text.
Untuk dapat menjalankan program yang tersembunyi tersebut, informasi path juga
harus dimasukkan sehingga perintah selengkapnya adalah :
H:\-belajar\asmirandah> start H:\-belajar\asmirandah\pesanku.txt:kalkulator.exe
Gambar 4.13 Kalkulator.exe yang disembunyikan dapat dibuka
Nah, sekarang, pertanyaan berikutnya, setelah berhasil menyembunyikan file
tersebut, gimana caranya agar kita dapat mengetahui apakah terdapat file atau
folder yang disembunyikan dibalik ADS? Cara nya sangat mudah, yaitu dengan
mengetikkan dir /r pada cmd, dan semuanya akan terlihat dengan jelas.
H a l a m a n | 39 dari 59
- Berlindung dibalik Rootkit
Kata root kit berasal dari dua suku kata, yaitu root dan kit. Bila anda adalah
pengguna linux, kata root tentunya bukan suatu kata yang asing. Root setara dengan
administrator di windows dengan hak akses user tertinggi dalam sebuah sistem. Kata
kit sendiri bisa diterjemahkan sebagai peralatan.
Jadi kata rootkit bisadiartikan sebagai program atau peralatan yang memungkinkan
anda mendapatkan atau mempertahankan hak akses root. Pada awalnya rootkit
hanya dikenal di kalangan unix, namun seiring waktu rootkit mulai merambah ke
lingkungan windows.
- Berlindung dibalik Steganography
b. File yang akan dikirimkan melalui jaringan
Saya memiliki beberapa cara untuk memberikan pengamanan pada file yang akan
dikirimkan melalui jaringan komputer yaitu :
1. Gunakan IPSec
Kelihatannya sangat berlebihan, tapi tidak akan berlebihan kalau ternyata file
yang akan kita kirimkan memiliki tingkat kepentingan yang sangat tinggi. IPSec
adalah VPN. Dengan menggunakan VPN, koneksi menjadi lebih private dan
secure dikarenakan adanya enkripsi dan tunnelling yang beberapa VPN method
gunakan. Instruksi berikut adalah cara-cara dalam membuat proses L2TP/IPsec
VPN :
Buka Network Connection
Lalu Klik “Network and Internet” control panel
H a l a m a n | 40 dari 59
Selanjutnya, klik pada “View network status dan tasks”
H a l a m a n | 41 dari 59
Jendela Set up a connection or a network akan tampil. Klik pada Connect to
a workplace. Lalu klik Next .
Lalu, klik Use my Internet connection (VPN).
On this screen, type the name or the IP address of a HideIpVPN server. You
have to check the email you have received when you have paid for the
HideIpVPN account. You will find there the available servers.
In the Destination name: field, type in what you want to call the network. A
good name for this is HideIPVPN. Then click Next. Pada
H a l a m a n | 42 dari 59
Next, type in your HideIPVPN username and password. Check the
Remember this password box.
Click Connect. If you see the message You are connected it means that you
have suucesfully setup the HideIPVPN conection.
You should see this screen next. Click the “Close” button to return to the
“Network and Internet” screen.
H a l a m a n | 43 dari 59
In the Connect to a network screen, you should see the HideIpVPN
connection that you have just set up.
H a l a m a n | 44 dari 59
Right–click on the HideIpVPN connection document, and choose Properties
from the menu
In the HideIpVPN Properties, click on the Type of VPN pop–up menu
(hilighted in red) and select L2TP/IPsec.
H a l a m a n | 45 dari 59
Next, click on the Advanced Settings… button (hilighted in red).
In the IPsec Settings dialog, click the radio button labelled Use preshared key
for authentication (hilighted in green). Then type hideipvpn into the textbox
labelled Key (hilighted in blue). Then click the OK button (hilighted in red).
You’re finished! Click the OK button to save your settings.
Connect To HideIPVPN
When you want to connect to HideIPVPN.com, just double–click on the
connection and click the Connect button. Enter your username and
password (if you didn’t save it), and you’ll connect!
2. Ubah FTP menjadi SFTP
Untuk biasanya kita menggunakan FTP Server, maka sudah saatnya kita
menyadari keamanan ketika kita melakukan transfer file yang sangat penting,
keamanan terbaik adalah dengan menggubah FTP tersebut menjadi SFTP.
Perubahan tersebut dilakukan pada bagian server dan tidak dapat dilakukan di
H a l a m a n | 46 dari 59
bagian client. Sehingga hanya server yang bisa mengubah protokol FTP menjadi
SFTP, selanjutnya di client diharuskan menggunakan port 22 (sftp) dan bukan
21(ftp). SFTP memberikan enkripsi terhadap setiap koneksi yang diberikan.
3. Memberikan password dan enkripsi kepada File atau Folder
Pemberian password dan enkripsi pada file akan menambah keamanan
terhadap transaksi yang dilakukan. Setelah keadaan diatas dilakukan, dengan
memberikan keamanan di bagian Network (IPSec), Protokol (SFTP) dan kini pada
file kita akan memberikan password pada file tersebut dan meng-enkripsinya.
Software seperti Winrar, sebenarnya sudah dapat memberikan password dan
setidaknya lebih aman, dan susah untuk dicrack, biasanya hacker hanya dapat
memberikan serangan bruteforce terhadap winrar file yang di password-kan.
Akan tetapi software seperti PGP Desktop juga dapat menjadi alternative yang
sangat bagus, dikarenakan dekripsi file hanya dapat dilakukan hanya jika
terdapat public key dan private key yang sudah disepakati oleh si pengirim dan si
penerima. Selain itu, metode gabungan kedua software tersebut dapat juga
terjadi,dengan melakukan compress file dan pemberian password pada winrar,
lalu dilakukan enkripsi dengan PGP desktop dapat memberikan double secure
terhadap file.
4. Split menjadi beberapa part.
Setelah enkripsi file dan pemberian password, memisahnya menjadi beberapa
part akan membuat sang hacker menjadi bingung dengan urutan file tersebut,
jika terjadi Tamper File. Split tersebut dapat juga diberikan sebuah kode rahasia
untuk dapat melakukan Join kembali. Software seperti HJSplit adalah alternative
yang baik.
5. Multi Layer Security Approach adalah sebuah pendekatan terhadap keamanan pada tiap
layer yang ada.
Untuk kali ini, saya akan menggunakan OSI Layer, dikarenakan menurut saya OSI lebih
lengkap.
Layer 1 – Physical Layer
Terkadang physical layer dilupakan oleh para administrator jaringan, akan tetapi
faktanya dengan tidak adanya keamanan terhadap physical layer, keamanan jaringan
tersebut menjadi NOL.
Berikut adalah kemungkinan yang akan terjadi pada keamanan physical layer :
H a l a m a n | 47 dari 59
a. Akses ke Ruangan
Sebuah policy untuk membatasi masuknya para pekerja ke ruang yang di anggap
penting seperti ruangan Server dan Data, sangatlah penting untuk di terapkan.
Penerapan sebuah sistem pendeteksian berdasarkan retina mata atau bagian
wajah atau sidik jari sangat wajib diberikan. Akses keruangan mungkin saja
dapat di bypass, nah, oleh karena itu beberapa poin lagi akan di terangkan
dibawah ini.
b. Podslurping
Mungkin saja, akses ke ruangan tidak dapat dimiliki semua orang, namun coba
fikirkan tentang para pekerja lainnya yang mungkin tidak di sangka memiliki
kemungkinan melakukan penyerangan. Para pekerja seperti Officeboy ataupun
Cleaning Service, mungkin saja membawa IPod ataupun MP3player, nah,
kedengarannya sangat aneh dan mengada-ada, namun coba fikirkan tentang
kemungkinan podslurping. Podslurping adalah cara mencari semua directory
pada sebuah system dengan program yang ada pada IPod. Abe Usher
menuliskan program yang kontroversial ini, dan menunjukkan betapa bahayanya
sebuah storage device dapat terjadi.
Podslurping sangat berbahaya, karena dengan mencolokkan sebuah IPod dan
menjalankan program tersebut, maka 8 GB storage yang ada pada IPod dapat
diisi dengan data-data konfidensial dari perusahaan. Seorang Officeboy atau
Cleaning Service yang sedang bekerja pada malam hari, ketika tidak ada satupun
orang yang ada diperusahaan, proses podslurping atau pencurian data dapat
saja terjadi.
Cara yang terbaik untuk mengatasi permasalahan ini adalah dengan
menerapkan peraturan tidak diperbolehkan membawa storage device ataupun
IPod untuk memasuki ruangan server ataupun ruangan datafarm. Pengecekan
dapat dilakukan oleh satpam atau device lainnya.
c. Password Insertion
Mungkin umumnya para administrator jaringan khususnya yang menggunakan
windows server telah memastikan bahwa servernya aman dengan menggunakan
Username dan Password yang telah di kunci dengan panjang password yang
berlebihan, terkadang login formnya gak ada. Pemikiran ini sangat berbahaya,
karena sistem operasi windows, sangat mudah untuk dilakukan Password
Insertion, yaitu metode pengubahan password dengan menggunakan sistem
H a l a m a n | 48 dari 59
operasi lainnya. Hacker tinggal mencolokkan USB-nya ke server atau komputer
dengan data yang penting, lalu booting dengan USB-nya, maka dengan begitu,
hanya dengan beberapa langkah, password dari username Administrator dapat
diubah dengan mudah.
Cara menangkalnya paling ampuh adalah dengan menerapkan enkripsi terhadap
username yang ada pada windows tersebut. Setidaknya dengan begitu, hacker
akan kesulitan untuk mencari account Administrator, akan tetapi hal tersebut
masih dapat di pecahkan dengan password extraction.
d. Password Extraction
Password Injection memberikan kemudahan bagi hacker untuk me-reset
password, namun password extraction memberikan cara bagi hacker untuk
meng-ekstrak password dan meng-crack password tersebut sehingga dia dapat
akses terhadap komputer target. Apa yang dibutuhkan oleh hacker adalah
sebuah OS Linux yang Live CD/BOOTABLE. Distro seperti Knoppix STD atau
Backtrack dapat dijadikan pilihan yang tepat.
Hacker dengan mudah dapat boot ke system denga Knoppix CD dan
mengekstrak Security Accounts Manager (SAM) yang mana memegang versi
enkripsi dari username dan password pada sistem Windows. Lalu, dengan
beberapa program pilihan untuk meng-crack tersebut, salah satunya SAMInside,
hacker dapat dengan mudah bypass Syskey dan mengekstrak password
tersebut. Setelah selesai, hacker dapat men-load hasilnya ke dalam password
recovery program seperti LCP.
Salah satu solusi yang terbaik adalah dengan tidak menggunakan sistem operasi
Windows, karena SAM sangat rentan untuk di crack, Redhat atau Debian dapat
menjadi alternatif pilihan yang baik.
e. Port USB dan I/O lainnya
Penggunaan I/O port yang ada pada server tampaknya sangat rentan kalau sang
hack memiliki akses physical ke ruang server/data. Hal-hal yang dapat terjadi
telah dijelaskan pada point sebelumnya. Point-point sebelumnya tidak akan
terjadi bila I/O port yang ada tidak dipasang pada server dan komputer data
yang lainnya, jika memang tidak terlalu diperlukan. Alangkah lucunya ketika
seorang hacker yang sangat canggih berhasil menembus pertahanan
pendeteksian dan memasuki ruangan, namun ketika dia menemukan server
tersebut, dia tidak menemukan port USB atau I/O lainnya, hari itu akan menjadi
H a l a m a n | 49 dari 59
hari yang sangat sial bagi sang hacker. :P
Layer 2 - Datalink Layer
Layer 2 dari OSI Layer model adalah dimana kita menemukan Datalink Layer, yang
menyediakna mekanisme data yang mana ditransfer dari satu komputer ke komputer yang
lainnya dalam jaringan komputer. Apa yang membuat layer ini sangat penting adalah
penggunaan fram dalam transmisi data. Terdapat banyak celah keamanan pada Layer Data
Link, namun satu yang sangat berbahaya adalah proses ARP atau Address Resolution
Protocol.
ARP di desain untuk kondisi pengiriman yang lebih terpercaya. ARP digunakan untuk
nge-resolve IP Address ke MAC Address. Ketika memproses packet dan meneruskannya ke
stack terbawah, Data Link Layer bertanggungjawab dalam framing packet. Ketika Network
Layer telah memberikan IP Address maka Data Link Layer akan memberikan Physical
Address, Itulah tugas ARP. ARP harus menghubungkan physical address ketika dua host akan
berkomunikasi. Jika tujuannya bukan di daerah local (LAN) maka ARP akan resolve MAC
Address dari gateway sehingga frame dapat di alamatkan dengan benar.
Nah, Sekarang apa yang menjadi perhatian kalau ternyata ARP adalah protokol yang
terpercaya. Ketika masih era-nya HUB, para hacker pada era tersebut tidak terlalu
memperhatikan ARP, karena dengan hanya menggunakan Wireshark atau sniffer lainnya,
maka para hacker dapatkan account dan data-data lainnya dengan sangat mudah. Hal ini di
kenal dengan passive sniffing. Hub akan meneruskan paket ke semua portnya, jadi hacker
cukup terkoneksi pada salah satu port tersebut dan menerapkan mode promiscuous yang
mana akan menangkap semua paket yang terkirim dan diterima oleh komputer untuk
mendapatkan informasi yang penting.
Switch telah mengubah pola serangan tersebut karena pada era sekarang ,
kebanyakan penggunaan Hub telah di gantikan dengan Switch. Passive sniffing hanya
memberikan informasi yang sedikit. Satu-satunya trafik yang didapatkan hanya unicast yang
di ciptakan hanya untuk komputernya. Ini berarti hacker harus mampu memanipulasi proses
ARP jika ingin mendapatkan trafik antara user, hal ini dikenal dengan nama active sniffing.
Active sniffing adalah metode dengan menginjeksikan packet ke jaringan sehingga arus data
akan berubah aliran.
H a l a m a n | 50 dari 59
Terdapat banyak cara yang dilakukan oleh hacker untuk active sniffing. Pertama
adalah ARP Poisoning. ARP Poisoning adalah metode me-‘racuni’ CAM(Content Addressable
Memory) dan ARP Cache pada Switch dengan mengirimkan ARP reply yang salah. Biasanya
yang menjadi target adalah gateway. Dengan begitu, hacker dapat melakukan routing ulang
terhadap aliran data menuju dirinya lalu akan diteruskan ke gateway. Yang lebih stealh lagi
kalau host yang diinginkan hanya satu diantara banyak host yang ada. Beberapa tool yang
gratis untuk melakukannya adalah sebagai berikut :
* Cain
* Ettercap
* WinARPAttacker
Hal kedua yang akan terjadi untuk dapat mem-bypass fungsi switch tersebut adalah
dengan nge-flood ARP, yang akan menghasilkan jumlah paket yang banyak, dan tiap paket
telah di-set dengan MAC Address yang berbeda. Idenya adalah untuk membanjiri CAM pada
Switch. Ketika Switch telah overload, maka fungsi dari switch tersebut tidak lebih seperti
HUB.
Solusi dari masalah ini wajib di fikirkan oleh para Network Engineer, Enkripsi, Secure
Protokol dan proaktif monitoring terhadap network sangat penting untuk diterapkan. Ada
juga hal yang dapat dilakukan oleh Switch itu sendiri, seperti teknologi DAI (Dynamic ARP
Inspection) dimana teknologi ini dapat meng-inspeksi ARP packet dan memastikan bahwa
paket tersebut valid. DAI dapat juga memberikan log dan menghapus paket yang tidak valid
dan memiliki MAC Address yang tidak valid. Dengan begitu pengurangan terhadap serangan
tersebut dapat di atasi dengan baik.
Beberapa kemungkinan celah keamanan pada layer ini adalah sebagai berikut :
o STP Manipulation Attack
o LAN Storm Attack
o VLAN Attack
Layer 3 – Network Layer
Layer 3 dari OSI Layer adalah Network Layer. Ketika data link menyediakan
komunikasi antara node, network layer menyediakan routing.Terdapat banyak servis pada
network layer, seperti Internet Control Message Protocol (ICMP), yang akan kita fokuskan.
ICMP didesain sebagai “messanger” untuk error pada logical dan diagnosanya.
Setiap device berbasis IP memiliki kemampuan untuk mengirim, menerima atau memproses
ICMP message. Desainer dari ICMP tidak pernah menyadari masalah keamanan yang telah
H a l a m a n | 51 dari 59
kita hadapi pada era sekarang, tapi mereka para desainer telah memberikan peraturan dasar
pada ICMP untuk bekerja efisien :
1. Untuk memastikan ICMP message tidak flooding di Jaringan, ICMP tidak diberikan
prioritas spesial dan akan selalu di perlakukan sebagai trafik normal
2. ICMP message tidak dapat di kirim sebagai respon terhadap ICMP message lainnya.
Mekanisme ini dirancang untuk menghindari situasi dimana satu error message menciptakan
error yang lainnya, dan lainnya dan seterusnya. Hal tersebut dapat saja menjadi masalah,.
3. ICMP tidak di desain untuk dikirim sebagai balasan dari trafik multicast atau broadcast
Sebelumnya, saya telah menjelaskan bahwa ping sebagai alat penentu konektifitas. Sudah
digunakan oleh hacker untuk memastikan konektivitas sebelum dilakukan penyerangan.
Anda tidak menyerang sistem tanpa mengetahui sistem tersebut dalam keadaan hidup atau
mati. Hal ini dianggap telah diselesaikan dengan cara mem-block trafik ping, meskipun hal
tersebut merupakan langkah yang baik dalam mengamankan, tapi itu tidak menyelasaikan
semua masalah. Sebagai contohnya software Covert Tool Loki dapat membypass hal
tersebut.
Loki merupakan sebuah proof-of-concept software, diterbitkan oleh majalah Phrak pada
tahun 1996. Loki dapat menggunakan ICMP untuk menghubungi hacker yang lain diluar
network. Administrator hanya akan melihat outbound inisiasi dari trafik ping, tapi hacker
sebenarnya sedang membuat sebuah channel komunikasi tersembunyi. Mem-block kedua
inbound dan outbound ICMP pada firewall dapat melumpuhkan masalah ini.
Masalah ICMP lainnya adalah kemungkinan digunakan sebagai Denial of Service (DoS).
Contoh nyatanya dapat dilihat pada aplikasi Smurf. Smurf menggunkana paket ping untuk
menyalahgunakan ICMP. Smurf mengirim paket ICMP yang salah. Hal itu mengubah alamat
tujuan sehingga paket akan terkirim menjadi broadcast address pada jaringan. Pada jaringan
yang besar, banyak sistem yang akan me-reply broadcast ping. Hasil serangan tersebut akan
menyebabkan korban dibanjiri arus ping respon sehingga akses yang sah diblokir. Serangan
yang serupa juga dilancarkan ke DNS Core sebuah server pada tahun 2002. Administrator
dapat mencegah jaringannya dengan cara menambahkan command pada Router type Cisco-
nya yaitu : no ip directed-broadcast.
H a l a m a n | 52 dari 59
ICMP dapat juga menjadi bantuan dalam mendapatkan identifikasi OS dan scanning port. Ini
dapat juga disebut fingerprinting. Sebelum melakukan penyerangan, hacker akan mencoba
mencari identifikasi system apa yang berjalan pada target, contohnya kalau yang berjalan
windows XP, maka exploit XP-lah yang akan dikirimkan, jika exploit bukan buat XP maka hal
tersebut percuma.
Jika kita ingin melakukan security multi layer approach, maka fungsi dari ICMP ini seharusnya
diblokir untuk Inbound dan Outbound pada firewall.
Layer 4 – Transport Layer
Layer 4 of the OSI model is the transport layer. The transport layer is in the middle of the OSI
model, with three layers below and three layers above. In this article, I discuss fingerprinting
and how it is related to the transport layer. Fingerprinting is the act of operating system (OS)
To better understand how fingerprinting works, we first need to review some transport layer
basics. identification. For example, is the client running MAC OS 10, BSD or Windows 2003
Server?
Pada transport layer, saya akan concern ke arah fingerprinting dan hubungannya terhadap
layer ini. Fingerprinting adalah aksi dalam mencari tahu jenis sistem operasi (OS) dan
informasi lainnya. Untuk contoh, saya akan memperlihatkan cara mengetahui apakah target
memakai MAC OS 10, BSD atau Windows Server 2003.
Dua protokol utama yang berasosiasi dengan transport layer yaitu UDP dan TCP. UDP atau
Unit Datagram Protocol adalah protocol yang connectionless. UDP tidak memberikan
mekanisme reliable karena pada dasarnya UDP di desain untuk kecepatan pengiriman. Lalu
yang kedua adalah TCP atau Tranmission Control Protocol, dimana merupaka protokol yang
connection oriented dan didesain reliable. Di TCP terdapat flow control, checksum,
sequence, dan acknoledgement number.
Kedua TCP dan UDP berfungsi sebagai penengah yang bertanggungjawab untuk melalkukan
koneksi. Fingerprinting dapat berupa active ataupun passive.
Passive fingerprinting
H a l a m a n | 53 dari 59
Passive fingerprinting sangat susah untuk dideteksi. Passive fingerprinting tidak menginjeksi
trafik ke jaringan tapi bekerja sama seperti packet sniffer. Passive fingerprint tidak seakurat
active fingerprinting, tapi tidak terdeteksi.
Untuk lebih jelas lagi, kita dapat menggunakan program p0f. Software fingerprinting ini
menyimpan fingerprint ke file p0f.fp. Berikut isi dari file tersebut :
----------------- MacOS -------------------
32768:255:1:48:M*,W0,N:.:MacOS:9.0-9.2
----------------- OpenBSD -----------------
16384:64:1:64:M*,N,N,S,N,W0,N,N,T:.:OpenBSD:3.0-3.4
Active fingerprinting
Active fingerprint lebih akurat daripada passive fingerprint. Hasil dari pengiriman paket TCP
oleh Active Fingerprinting berbeda. Software yang menggunakan Active Fingerprinting salah
satunya adalah Nmap/Zenmap dan Xprobe2.
Mempertahankan jaringan dari passive fingerprinting sangatlah minim, tapi software IDS
dapat digunakan untuk mendeteksi Active fingerprinting. Snort dapat digunakan untuk
mempolakan active fingerprinting. Morph juga opsi yang baik, Morph adalah OS pengacau
active fingerprint sehingga para hacker tidak mendapatkan hasil yang akurat.
Layer 5 – Session Layer
Session layer akan mengatur, mematikan pertukaran, dan komunikasi pada sesi.
Session Hijacking terjadi ketika hacker mencoba untuk mengambil alih TCP session antara 2
komputer. Langkah dasar dari session hijacking yaitu :
1. Mencari target dengan sesi yang aktif
2. Menebak sequence number
3. Mengambil alih satu dari banyak user yang offline
4. Mengambil alih sesi.
Session hijacking bukanlah hal yang baru, Kevin Mitnick melakukannya pada 1994 dan pada
insiden tersebut kesadaran terhadap serangan ini semakin ditingkatkan. Tujuan utama dari
H a l a m a n | 54 dari 59
session hijacking adalah untuk mencuri sesi dari koneksi yang terotentikasi pada satu sistem
yang aktif, dengan begitu sang hacker dapat mengirimkan command pada system tersebut.
Securing the stack series
Apa yang menyebabkan session hijacking menjadi sangat berbahaya adalah bukti yang
sangat lemah dan bahkan tidak terdeteksi sama sekali. Beberapa software yang digunakan
untuk melancarkan serangan hijacking tersebut adalah Ettercap dan Hunt.
Saya tidak akan menjelaskan bagaimana session hijacking terjadi, soalnya udah capek banget
ngetiknya.. :D
Dalam memitigasi serangan session hijacking tersebut, terdapat 2 mekanisme yaitu
prevention dan detection. Prevention memperhitungkan termasuk membatasi koneksi yang
masuk dan konfigurasi jaringan untuk menolak paket dari Internet yang menyatakan diri
sebagai local address.
Enkripsi juga dapat membantu. Jika ternyata harus juga membuka koneksi terhadap host
dari internet, pilihan jatuh kepada Kerberos atau IPsec. Gunakan protokol yang secure, FTP
dan Telnet sangat vulnerable. Secure Shell (SSH) adalah alternatif yang baik dari telnet. SSH
membangun koneksi yang terenkripsi antara local dan remote host. Detection dapat di
improvisasikan dengan menggunakan IPS atau IDS system.
H a l a m a n | 55 dari 59
Layer 6 – Presentation Layer
Pada presentation layer semua file dan informasi akan direpresentasikan olehnya. Perannya
sebagai translator dan converter data dari satu format ke format yang lain. Jadi, format
seperti ASCII, EBCDIC or JPEG merupakan hasil presentasi dari layer ini. Presentation layer
juga dapat menggunakan enkripsi. Salah satu contoh dari presentation layer adalah Secure
Socket Layer (SSL). Protokol ini di develop untuk berperan sebagai solusi dari cryptografi
data pada saat pengiriman
Celah keamanan yang ada pada layer 6 ini salah satunya yang paling sering dilakukan adalah
serangan FAKE Certificate dan MITM (Man in The Middle). Fake certificate membutuhkan
sebuah sertifikat palsu yang di generate oleh hacker. Korban akan mendapatkan sebuah
pop-up dialog tentang masalah pada sertifikat. Sertifikat ini sangat mirip dengan sertifikat
yang aslinya, kecuali pada satu hal yaitu tanda tangan digital dari perusahaan yang
terpercaya. Man-in-the-middle sangat susah dilakukan karena hacker harus dapat meng-
intercept komunikasi antara client dan server.
Walaupun serangan ini terhadap SSL sangat mungkin, akan tetapi serangan terbanyak terjadi
pada perusahaan yang tidak menggunakan enkripsi apapun bahkan terkadang dalam clear
text. Salah satu cara lain dalam mempertahankan/meng-enkripsikan paket TCP dalam SSL
adalah menggunakan Stunnel.
.
Layer 7 – Application Layer
Application Layer berperan penting dalam network security. Application layer memiliki celah
terbanyak diantara semua layer. Banyak aplikasi seperti FTP, Telnet, SMTP dan DNS,
memiliki celah keamanan yang sangat banyak sejak pertama kali aplikasi tersebut di desain.
2 dari 13 DNS Core Server di serang pada 6 February 2007, DNS akan lebih dibahas diberikut
ini.
Sekilas tentang DNS, Tidak ada satupun lokasi di internet yang memegang semua
informasi tentang DNS database. Pada level root, terdapat 13 DNS Server, kebanyakannya
berlokasi di US pada satu gedung yang aman. DNS adalah database yang berdistribusi yang
memegang informasi dari pemetaan hostname ke IP Address. DNS memberikan metode
untuk query informasi yang dimiliki pada databasenya. DNS menggunakan UDP dan TCP,
tergantung pada aksi yang akan dilakukan. UDP biasanya digunakan pada query-query
H a l a m a n | 56 dari 59
kecuali lookup/responnya lebih dari 512 bytes. TCP digunakan pada lookup yang sangat
besar dan pada tranfer antar zona.
Ketika kita men-cek email atau pergi ke sebuah website, sebenarnya yang terjadi adalah
translasi DNS dari hostname menjadi sebuah IP Adress. Proses ini dimulai dengan
mengirimkan request ke sebuah service pada localhost yang disebut dengan resolver.
Resolver akan pertama kali mencek local cache yang akan memegang respon dari request
terkini. Sebagai tambahan, resolver juga akan men-cek file host, dimana merupakan local file
yang memiliki peta dari hostname ke ip address. Jika ternyata tidak ada di localhost maka
resolver akan mengirimkan request ke DNS server. Untuk meningkatkan performa dan
mengurangi trafik network diakibatkan oleh DNS, name server akan caching replies dari
request yang telah dibuat.
Salah satu permasalahan dan celah keamanan dilayer ini adalah DNS exploits. Ketika DNS
server me-reply dari request, reply message akan mengandung ID transaksi dan jawaban
dari query si user. Jika DNS record tidak ada atau sudah diubah, maka user tidak akan
mampu menuju ip website tersebut, atau akan berakhir di website hacker. Hal ini sangat
mungkin terjadi karena protokol ini dapat di serang dari berbagai cara yaitu
* Exploiting zone transfers
* DNS cache poisoning
* DNS cache snooping
* Man-in-the-middle attacks
Zone transfer adalah salah satu cara untuk mendapatkan domain database dari primary DNS
server ke secondary DNS server. Jika hacker mampu untuk melakukan zone tranfer pada
primary atau secondary DNS server untuk sebuah domain, maka dia dapat melihat semua
DNS records dari domain tersebut. Hal ini dapat mengekspos informasi yang sensitif seperti
skema internal addresing. Sebagai tambahan, hacker sangat mungkin mendeterminasikan IP
Address yang mana yang digunakan oleh Webserver, Email ataupun File Transfer.
H a l a m a n | 57 dari 59
DNS cache poisoning adalah teknik kedua yang akan saya paparkan. Kedua cache reply DNS
client dan server akan berada pada sebuah periode waktu dimana jika telah melewati
batasnya maka trafik jaringan akan dipotong. Jika hacker dapat spoofing sebuah respon
untuk sebuah DNS request, maka dia dapat mengkontaminasikan DNS cache dengan record
yang salah. Dengan cara meracuni DNS client dan server, seorang hacker dapat meredirect
trafik.
DNS cache snooping adalah proses dalam menentukan apakah resource record yang
diberikan telah berada pada cache. DNS cache snooping dapat juga bermanfaat dalam
menentukan situs yang mana yang akan di kunjungi, siapa kliennya, dan customernya serta
informasi lainnya yang sangat berpotensi disalahgunakan oleh hacker. Juga dapat
mengetahui software apa saja yang sedang digunakan oleh si korban/target dengan
memeriksa kehadiran dari sebuah record untuk software update.
Dan terakhir adalah man-in-the-middle (MITM), MITM terjadi ketika hacker berhasil meng-
intercept dan memodifikasi DNS message pada jaringan. Pada situasi ini, hacker akan
memperoleh source port dan ID transaksi dari hasil intercept. MITM dapat juga me-redirect
korban dari alamat yang sah ke alamat yang palsu. Hal ini akan menjadi sangat berbahaya
ketika sang hacker berhasil mengubah sebuah DNS record terhadap sebuah bank, dan
mencuri informasi personal dan informasi penting lainnya, seperti account.
Solusi : Serangan ini merupakan serangan yang sangat nyata, namun terdapat beberapa cara
dalam mempertahankan. DNS cache poisoning dapat jadi sangat sulit untuk dilakukan jika
dalam mendapatkan DNS digunakan random transaction ID dan source port. Tanpa nilai
yang benar maka tidak mungkin hacker dapat spoof sebuah reply untuk meracuni cache
server. Zone transfer merupaka masalah yang sangat berbahaya pada tahun lalu, yang mana
Windows Server 200 secara default akan membiarkan siapapun untuk mendapatkan
informasi DNS-nya. Default setting ini tidak lagi ada pada Windows Server 2003.
Selain pada DNS, serangan lain yang patut diperhitungkan dan juga sangat sulit untuk
dilakukan dengan persentase keberhasilan 100% adalah Buffer Overflow. Saya akan
menjelaskan secara singkat bagaimana buffer overflow itu terjadi dan cara pertahanannya.
H a l a m a n | 58 dari 59
Daftar Referensi
http://www.wikipedia.org
http://www.google.com
Buku Internet Hacking – S’to