Category Archives: Computer Attacks

Stealth Probing: Tersembunyi dan tersamar

Metode pemindaian secara sembunyi dan tersamar (stealth) dapat digunakan untuk menyembunyikan fakta adanya kegiatan pemindaian yang sedang terjadi, atau bahkan menyamarkan dan menutupi identitas pihak yang melakukan pemindaian (Kendal, 1998).  Beberapa metode stealth diantaranya dengan  melakukan hal-hal berikut ini, yakni:

Pertama pemindaian secara perlahan dan acak (slow and random). Cara penyerang untuk menyembunyikan aktivitas pemindaian yang sedang dilakukannya adalah dengan mengkonfigurasinya agar berjalan perlahan (selang waktu yang cukup lama) terhadap port atau mesin dalam urutan yang tidak linier. Sistem IDS akan sangat sulit dan membutuhkan waktu untuk mengidentifikasi koneksi dari suatu aktivitas pemindaian yang dikonfigurasi dalam selang waktu 1 jam ke port secara acak.

Kedua dengan koneksi yang setengah terbuka atau tidak tercatat (half-open or unlogged connection).  Cara lain untuk pemindaian secara diam-diam adalah dengan koneksi yang setengah terbuka yang tidak pernah dicatat oleh sistem operasi (FIN scan). Koneksi TCP yang dicatat adalah koneksi utuh (3 ways TCP handshake).

Ketiga menggunakan mesin perantara (intermediate) untuk menyembunyikan sumber pemindaian (spoofing).  Salah satu cara penyerang dapat menyembunyikan identitas mereka adalah dengan menggunakan penyelidikan bouncing ftp. Beberapa server ftp akan memungkinkan orang untuk memberitahu mereka untuk mengirim data ke port tertentu pada mesin tertentu. Seorang penyerang dapat melihat respon server ftp memberikan dari seperti permintaan dan memastikan apakah port yang mendengarkan pada mesin korban. Portscan akan muncul datang dari anonymous ftp, dan langkah sederhana mungkin cukup untuk memastikan bahwa pihak yang benar-benar melakukan pemindaian tidak pernah diidentifikasi.

Tinggalkan komentar

Filed under Computer Attacks

Probing: Serangan atau bukan?

Pemindaian (scanning atau probing) jaringan merupakan aktivitas yang dilakukan untuk mendapatkan informasi suatu jaringan komputer. Dalam suatu siklus serangan, biasanya penyerang berusaha menemukan informasi seperti alamat IP, port yang sedang aktif, sistem operasi yang digunakan, dan service yang berjalan di tiap komputer. Jika aktivitas pemindaian difokuskan pada pengumpulan informasi tentang service (layanan) yang berjalan pada satu atau beberapa host maka kegiatannya dinamakan port scanning, atau Kendall (1999) menyebutnya dalam taksonomi serangan komputer sebagai probe(services). Jika kegiatan pemindaian dilakukan secara menyeluruh pada suatu jaringan, mencakup tipe host dan jumlahnya, maka scanning itu disebut network scanning, atau Kendall (1999) menyebut dengan istilah probe(machines).

Kendal (1999) mengatakan bahwa sebuah serangan ke sebuah sistem komputer dilakukan dalam beberapa tahapan. Penyerang akan melakukan aktivitas probing terhadap sistem komputer untuk mencari kelemahan, lalu menggunakan informasi yang didapatnya dari kegiatan probing untuk melakukan eksploitasi beberapa celah keamanan dan mencoba mendapatkan akses ke sistem target.  Selanjutnya, penyerang akan menggunakan akses ini untuk menginstal sebuah backdoor di dalam sistem, atau sebuah logic bomb dalam suatu program yang dapat menyebabkan kerusakan suatu saat nanti.  Secara praktik pemindaian jaringan umumnya dilaksanakan mengikuti tahapan-tahapan seperti pengecekan jaringan yang aktif melalui scanning alamat IP dalam suatu segmen jaringan, lalu melakukan pengecekan port-port yang aktif memberi layanan.  Selanjutnya, melakukan pengecekan jejak sistem operasi yang digunakan.  Melalui 3 tahapan ini biasanya, sudah dapat digambarkan diagram jaringan dari host-host yang memiliki celah kerentanan (vulnerability).

Tabel3

Kendal (1999) mengatakan cukup banyak program yang mampu secara otomatis melakukan pemindaian sebuah jaringan komputer untuk mengumpulkan informasi penting atau untuk menemukan celah-celah kerentanannya.  Program pemindai ini sangat membantu penyerang untuk mempersiapkan serangan di kemudian hari.  Penyerang yang memiliki peta mesin-mesin dan layanan yang tersedia dalam sebuah jaringan, akan memanfaatkan informasi tersebut untuk menemukan celah-celah kelemahan. Beberapa perangkat lunak seperti satan, saint, dan mscan sangat membantu penyerang yang kurang memiliki kemampuan, tentunya untuk memeriksa secara cepat ratusan bahkan ribuan mesin dalam suatu jaringan untuk menemukan kerentanannya.

1 Komentar

Filed under Computer Attacks

Probe-Penetrate-Persist-Propagate-Paralyze…

Tahapan paling awal pada setiap serangan selalu diawali dengan aktivitas pemindaian (probe), dengan tujuan mengumpulkan informasi tentang potensi target. Jika target serangan telah ditentukan, maka pemindaian mungkin terbatas pada kisaran alokasi alamat IP tertentu dalam satu segmen jaringan saja.   Jika target serangan belum ditentukan, maka kegiatan pemindaian mungkin dilakukan terhadap kisaran alamat IP yang lebih luas. Pengumpulan informasi tidak dilakukan dengan mengirim paket-paket ke jaringan target, namun sejumlah informasi penting tentang jaringan target dapat dikumpulkan dari informasi di internet. Hasil akhir pada tahap ini adalah untuk memetakan dan menentukan informasi detil tentang sistem di jaringan target, yang memungkinkan penyerang untuk menyesuaikan serangan lebih lanjut dalam mengeksploitasi celah kelemahan yang ditemukan dalam versi perangkat lunak yang berjalan pada sistem, atau mungkin akibat kesalahan konfigurasi (Cox dan Gerg, 2004).

Tahapan penetrate adalah tahapan serangan setelah celah kerentanan sistem dan layanan ditemukan. Serangan terhadap sistem target dapat berupa eksekusi kode sesuai pilihan penyerang. Jika penyerang memiliki akses pengguna biasa, maka serangan itu mungkin mengubahnya menjadi akses administrator. Serangan otomatis oleh worm atau script dilakukan melalui penggabungan tahap probe dan penetrate dengan menyerang ke berbagai alamat. Serangan secara tersembunyi dilakukan trojan horse, yang berisi fungsi pengendalian jarak jauh untuk memanggil kembali si penyerang, dan memberikan informasi keberadaannya dalam jaringan target. Pada tahapan persist, setelah melakukan penetrasi dan berhasil menyerang mesin target, akan menjadi sulit untuk mengulangi 2 tahapan sebelumnya.  Kerentanan sistem mungkin diketahui administrator dan terjadi perbaikan sehingga menjadi tidak rentan lagi. Percobaan serangan beberapa kali terhadap sistem meningkatkan kemungkinan terdeteksi.  Hal pertama yang terpenting saat tahapan penetrasi berhasil, adalah mempersiapkan agar lebih mudah saat akses kembali ke sistem target.  Caranya dengan membuat akun pengguna baru setingkat administrator dengan password yang hanya penyerang yang tahu. Penyerang memperoleh basisdata username dan password dari sistem dan memecahkan password dengan menggunakan fungsi password cracking seperti John the Ripper atau L0phtCrack untuk mendekripsi password pada sistem target.  Penggunaan aplikasi pengontrolan jarak jauh seperti netcat, menyediakan fungsi command-shell yang fleksibel untuk menginstal dari jarak jauh serta dapat dikonfigurasi untuk berjalan pada port jaringan tertentu, sehingga memungkinkan untuk mengakses melalui firewall.  Hal penting lain dalam tahap persist adalah jejak serangan sebagai bukti aktivitas serangan mestilah disembunyikan. Caranya dengan mengubah atau menghapus log sistem dan firewall dan memanfaatkan fungsi untuk menyembunyikan direktori yang menyimpan alat serangan dari pantauan administrator. Jika penyerangan dilakukan otomatis seperti worm, maka mungkin mereka akan menggandakan dirinya ke sistem file, dan memastikan akan bertahan saat melewati proses reboot sistem.

Setelah penyerang berada di sistem, berikutnya adalah mencari tahu hal lain yang tersedia. Serangan memasuki tahapan baru, yakni propagate dengan menjadikan sistem yang berhasil diserang pada tahapan sebelumnya sebagai sumber aktivitas untuk memetakan jaringan internal atau jaringan yang berisi sistem yang akan diserang berikutnya.  Jika serangan itu dilakukan oleh worm, maka tahapan  ini kadang-kadang yang paling merusak. Skala serangan makin meluas dan menyebabkan kerusakan lebih besar.  Apalagi adanya konsep single sign-on, dimana username dan password di satu sistem dapat berjalan di sistem lain, makin mendukung tahapan serangan ini.

Tahapan akhir dari siklus serangan adalah paralyze, penyerang pergi dari lingkungan yang diserang setelah tercapainya tujuan, misalnya untuk mencuri atau menghancurkan data, mematikan sistem, atau menyerang organisasi lain melalui sistem yang saat ini berhasil dikuasai, dan membuatnya terlihat bersalah atas penyerangan tersebut. Jika worm yang melakukan serangan, maka yang terjadi pada tahapan ini mungkin koneksi jaringan yang macet akibat lalulintas yang sangat padat dan sistem menjadi crashed (Cox dan Gerg, 2004).

Tinggalkan komentar

Filed under Computer Attacks