Probe-Penetrate-Persist-Propagate-Paralyze…

Tahapan paling awal pada setiap serangan selalu diawali dengan aktivitas pemindaian (probe), dengan tujuan mengumpulkan informasi tentang potensi target. Jika target serangan telah ditentukan, maka pemindaian mungkin terbatas pada kisaran alokasi alamat IP tertentu dalam satu segmen jaringan saja.   Jika target serangan belum ditentukan, maka kegiatan pemindaian mungkin dilakukan terhadap kisaran alamat IP yang lebih luas. Pengumpulan informasi tidak dilakukan dengan mengirim paket-paket ke jaringan target, namun sejumlah informasi penting tentang jaringan target dapat dikumpulkan dari informasi di internet. Hasil akhir pada tahap ini adalah untuk memetakan dan menentukan informasi detil tentang sistem di jaringan target, yang memungkinkan penyerang untuk menyesuaikan serangan lebih lanjut dalam mengeksploitasi celah kelemahan yang ditemukan dalam versi perangkat lunak yang berjalan pada sistem, atau mungkin akibat kesalahan konfigurasi (Cox dan Gerg, 2004).

Tahapan penetrate adalah tahapan serangan setelah celah kerentanan sistem dan layanan ditemukan. Serangan terhadap sistem target dapat berupa eksekusi kode sesuai pilihan penyerang. Jika penyerang memiliki akses pengguna biasa, maka serangan itu mungkin mengubahnya menjadi akses administrator. Serangan otomatis oleh worm atau script dilakukan melalui penggabungan tahap probe dan penetrate dengan menyerang ke berbagai alamat. Serangan secara tersembunyi dilakukan trojan horse, yang berisi fungsi pengendalian jarak jauh untuk memanggil kembali si penyerang, dan memberikan informasi keberadaannya dalam jaringan target. Pada tahapan persist, setelah melakukan penetrasi dan berhasil menyerang mesin target, akan menjadi sulit untuk mengulangi 2 tahapan sebelumnya.  Kerentanan sistem mungkin diketahui administrator dan terjadi perbaikan sehingga menjadi tidak rentan lagi. Percobaan serangan beberapa kali terhadap sistem meningkatkan kemungkinan terdeteksi.  Hal pertama yang terpenting saat tahapan penetrasi berhasil, adalah mempersiapkan agar lebih mudah saat akses kembali ke sistem target.  Caranya dengan membuat akun pengguna baru setingkat administrator dengan password yang hanya penyerang yang tahu. Penyerang memperoleh basisdata username dan password dari sistem dan memecahkan password dengan menggunakan fungsi password cracking seperti John the Ripper atau L0phtCrack untuk mendekripsi password pada sistem target.  Penggunaan aplikasi pengontrolan jarak jauh seperti netcat, menyediakan fungsi command-shell yang fleksibel untuk menginstal dari jarak jauh serta dapat dikonfigurasi untuk berjalan pada port jaringan tertentu, sehingga memungkinkan untuk mengakses melalui firewall.  Hal penting lain dalam tahap persist adalah jejak serangan sebagai bukti aktivitas serangan mestilah disembunyikan. Caranya dengan mengubah atau menghapus log sistem dan firewall dan memanfaatkan fungsi untuk menyembunyikan direktori yang menyimpan alat serangan dari pantauan administrator. Jika penyerangan dilakukan otomatis seperti worm, maka mungkin mereka akan menggandakan dirinya ke sistem file, dan memastikan akan bertahan saat melewati proses reboot sistem.

Setelah penyerang berada di sistem, berikutnya adalah mencari tahu hal lain yang tersedia. Serangan memasuki tahapan baru, yakni propagate dengan menjadikan sistem yang berhasil diserang pada tahapan sebelumnya sebagai sumber aktivitas untuk memetakan jaringan internal atau jaringan yang berisi sistem yang akan diserang berikutnya.  Jika serangan itu dilakukan oleh worm, maka tahapan  ini kadang-kadang yang paling merusak. Skala serangan makin meluas dan menyebabkan kerusakan lebih besar.  Apalagi adanya konsep single sign-on, dimana username dan password di satu sistem dapat berjalan di sistem lain, makin mendukung tahapan serangan ini.

Tahapan akhir dari siklus serangan adalah paralyze, penyerang pergi dari lingkungan yang diserang setelah tercapainya tujuan, misalnya untuk mencuri atau menghancurkan data, mematikan sistem, atau menyerang organisasi lain melalui sistem yang saat ini berhasil dikuasai, dan membuatnya terlihat bersalah atas penyerangan tersebut. Jika worm yang melakukan serangan, maka yang terjadi pada tahapan ini mungkin koneksi jaringan yang macet akibat lalulintas yang sangat padat dan sistem menjadi crashed (Cox dan Gerg, 2004).

Tinggalkan komentar

Filed under Computer Attacks

Siklus Evolusi Serangan: five P’s

Bila suatu jaringan dijadikan target penyerangan, serangan biasanya dilaksanakan dalam beberapa tahapan. Keberhasilan setiap tahapan serangan seringkali berpengaruh pada keberhasilan langkah sesudahnya. Tahapan-tahapan itu membentuk satu siklus yang disebut siklus 5P (five P’s) yakni probe, penetrate, persist, propagate, dan paralyze (CISCO, 2009).  Cox dan Gerg (2004) mengatakan bahwa model tahapan evolusi serangan 5P diperkenalkan oleh Jonathan Hogue, seorang insinyur perusahaan keamanan Okena (diakuisisi oleh CISCO), merupakan model yang paling baik dalam menggambarkan perkembangan sebuah serangan, sebab tahapannya mengikuti perkembangan serangan yang bersumber dari seseorang, worm dan script otomatis.

Gb1

Tinggalkan komentar

Filed under Computer Attacks

Taksonomi Weber: Serangan Komputer

Kendall memanfaatkan taksonomi serangan komputer yang diusulkan oleh Daniel Weber dalam tulisannya A Taxonomy of Computer Intrusions, yang diterbitkan oleh Massachusetts Institute of Technology (MIT), dengan mengelompokkan serangan-serangan yang memiliki properti sama.  Ketika suatu kelompok serangan diidentifikasi, upaya menyusun skenario simulasi serangan yang dimaksud, dapat dilakukan lebih mudah karena semua kemungkinan serangan yang dikembangkan dapat dipilih sebagai perwakilan dari setiap kelompok serangan.  Aspek-aspek taksonomi Weber adalah:

(1)   Setiap serangan dapat dikelompokkan dalam satu kategori.

(2)   Semua kemungkinan gangguan (intrusion) memiliki tempat di dalam taksonomi serangan.

(3)   Taksonomi serangan dapat dikembangkan lebih lanjut di kemudian hari.

Taksonomi Weber dibuat untuk mendukung tujuan pengujian dan evaluasi sistem deteksi gangguan (IDS).  Di dalam taksonomi serangan tersebut, setiap kegiatan serangan dapat dikategorikan sebagai satu dari hal berikut ini:

(1)   Seorang user melaksanakan suatu aksi sesuai haknya pada satu level privilege.

(2)   Seorang user melakukan perubahan yang tidak sah dari privilege yang lebih rendah ke level yang lebih tinggi.

(3)   Seorang user berada pada level privilege yang sama, tetapi melaksanakan suatu aksi pada level privilege yang lebih tinggi.

Tabel1

Contoh penggunaan:

Tabel2

Tinggalkan komentar

Filed under Computer Attacks