Serangan dengan tujuan utama merubah tampilah sebuah website – baik halaman utama maupun halaman lain terkait dengannya – diistilahkan sebagai “Web Defacement”. Hal ini biasa dilakukan oleh para “attacker” atau penyerang karena merasa tidak puas atau tidak sukakepada individu, kelompok, atau entitas tertentu sehingga website yang terkait dengannya menjadi sasaran utama. Pada dasarnya deface dapat dibagi menjadi dua jenis berdasarkan dampak pada halaman situs yang terkena serangan terkait.
Jenis pertama adalah suatu serangan dimana penyerang merubah (baca: men-deface) satu halaman penuh tampilan depan alias file index atau file lainnya yang akan diubah secara utuh. Artinya untuk melakukan hal tersebut biasanya seorang 'defacer' harus berhubungan secara 'langsung' dengan mesin komputer terkait. Hal ini hanya dapat dilakukan apabila yang bersangkutan sanggup mendapatkan hak akses penuh (baca: priviledge) terhadap mesin, baik itu “root account” atau sebagainya yang memungkinkan defacer dapat secara interaktif mengendalikan seluruh direktori terkait. Hal ini umumnya dimungkinkan terjadi dengan memanfaatkan kelemahan pada sejumlah “services” yang berjalan di sistem komputer.
Jenis kedua adalah suatu serangan dimana penyerang hanya merubah sebagian atau hanya menambahi halaman yang di-deface. Artinya yang bersangkutan men-deface suatu situs tidak secara penuh, bisa hanya dengan menampilkan beberapa kata, gambar atau penambahan “script” yang mengganggu. Dampaknya biasanya adalah menghasilkan tampilan yang kacau atau mengganggu. Hal ini dapat dilakukan melalui penemuan celah kerawanan pada model scripting yang digunakan, misalnya dengan XSS injection, SQL atau database injection, atau memanfaatkan sistem aplikasi manajemen website yang lemah (baca: CMS = Content Management System).
Denial of Services (DoS)
Serangan yang dikenal dengan istilah DoS dan DDoS (Distributed Denial of Services) ini pada dasarnya merupakan suatu aktivitas dengan tujuan utama menghentikan atau meniadakan layanan (baca: services) sistem atau jaringan komputer - sehingga sang pengguna tidak dapat menikmati fungsionalitas dari layanan tersebut – dengan cara mengganggu ketersediaan komponen sumber daya yang terkait dengannya.
Contohnya adalah dengan cara memutus koneksi antar dua sistem, membanjiri kanal akses dengan jutaan paket, menghabiskan memori dengan cara melakukan aktivitas yang tidak perlu, dan lain
sebagainya. Dengan kata lain, DOS dan/atau DDoS merupakan serangan untuk melumpuhkan sebuah
layanan dengan cara menghabiskan sumber daya yang diperlukan sistem komputer untuk melakukan kegiatan normalnya. Adapun sumber daya yang biasa diserang misalnya: kanal komunikasi (baca: bandwidth), kernel tables, swap space, RAM, cache memories, dan lain sebagainya.
Berikut adalah sejumlah contoh tipe serangan DoS/DDoS:
- SYN-Flooding: merupakan serangan yang memanfaatkan lubang kerawanan pada saat koneksi TCP/IP terbentuk.
- Pentium 'FOOF' Bug: merupakan serangan terhadap prosessor yang menyebabkan sistem senantiasa melakukan “re-booting”. Hal ini tidak bergantung terhadap jenis sistem operasi yang digunakan tetapi lebih spesifik lagi terhadap prosessor yang digunakan.
- Ping Flooding: merupakan aktivitas “brute force” sederhana, dilakukan oleh penyerang dengan bandwidth yang lebih baik dari korban, sehingga mesin korban tidak dapat mengirimkan paket data ke dalam jaringan (network). Hal ini terjadi karena mesin korban dibanjiri (baca: flood) oleh peket-paket ICMP.
Botnet
Salah satu jenis serangan yang paling banyak dibicarakan belakangan ini dan menjadi trend di negara-negara maju adalah “botnet” yang merupakan singkatan dari “Robot Network”. Pada dasarnya aktivitas botnet dipicu dari disusupkannya program-program kecil – bersifat seperti virus, worms, maupun trojan horse – ke dalam berbagai sistem komputer server yang ada dalam jejaring internet tanpa sepengatahuan pemiliknya. Program malicious yang disusupkan dan ditanamkan pada server ini pada mulanya bersifat pasif, alias tidak melakukan kegiatan apa-apa yang mengganggu. Karena karakteristik inilah makanya sering dinamakan sebagai “zombies”. Yang menarik adalah bahwa pada saatnya nanti, si penyerang yang diistilahkan sebagai “Master Refer” secara “remote” akan mengendalikan keseluruhan zombies yang berada di bawah “kekuasannya” untuk melakukan penyerangan secara serentak dan simultan ke suatu target tertentu. Pada saat inilah maka seluruh zombies yang jumlahnya dapat mencapai puluhan ribu bahkan jutaan tersebut langsung bersifat aktif melakukan kegiatan sesuai yang diinginkan oleh “master”-nya.
Dengan melakukan aktivasi terhadap zombies ini maka serangan botnet dapat dilakukan secara serempak dengan beragam skenario yang memungkinkan, seperti: melakukan DDoS secara masif, mematikan sistem komputer secara simultan, menularkan virus dan worms secara serentak, menginfeksi puluhan ribu server dengan trojan horse dalam waktu singkat, dan lain sebagainya.
Tingkat kesulitan untuk menangani botnet dikenal sangat tinggi dan kompleks, karena karakteristiknya yang mendunia membuat koordinasi multi-lateral harus dilakukan secara intensif dan sesering mungkin. Disamping itu tidak mudah untuk mendeteksi adanya beraneka ragam jenis zombies yang dalam keadaan non aktif atau “tidur” tersebut; apalagi mencoba untuk mengalokasikan dimana posisi sang Master Refer sebagai dalang pengendali serangan botnet terkait.
Phishing
Phishing merupakan sebuah proses “pra-serangan” atau kerap dikatakan sebagai “soft attack” dimana sang penyerang berusaha mendapatkan informasi rahasia dari target dengan cara menyamar menjadi pihak yang dapat dipercaya – atau seolah-olah merupakan pihak yang sesungguhnya.
Contohnya adalah sebuah email yang berisi suatu informasi yang mengatakan bahwa sang pengirim adalah dari Divisi Teknologi Informasi yang sedang melakukan “upgrading” sistem; dimana untuk memperlancar tugasnya, sang penerima email diminta untuk segera mengirimkan kata kunci “password” dari “user name” yang dimilikinya. Atau situs sebuah bank palsu yang memiliki tampilan sama persis dengan situs aslinya namunmemiliki alamat URL yang mirip-mirip, sehingga diharapkan sang nasabah akan khilaf dan secara tidak sadar memasukkan kata kunci rahasianya untuk mengakses rekening yang dimaksud.
Serangan “phishing” ini kerap dikategorikan sebagai sebuah usaha “social engineering”, yaitu memanfaatkan pendekatan sosial dalam usahanya untuk mendapatkan informasi rahasia sebagai alat untuk melakukan penyerangan di kemudian hari. Modus operandi yang paling banyak ditemui saat ini adalah usaha phishing melalui SMS pada telepon genggam, dimana sudah banyak korban yang harus kehilangan uangnya karena diminta untuk melakukan transfer ke rekening tertentu dengan berbagai alasan yang seolah-olah masuk akal sehingga berhasil menjebak sang korban.
SQL Injection
Pada dasarnya SQL Injection merupakan cara mengeksploitasi celah keamanan yang muncul pada level atau “layer” database dan aplikasinya. Celah keamanan tersebut ditunjukkan pada saat penyerang memasukkan nilai “string” dan karakter-karakter contoh lainnya yang ada dalam instruksi SQL; dimana perintah tersebut hanya diketahui oleh sejumlah kecil individu (baca: hacker maupun cracker) yang berusaha untuk mengksploitasinya. Karena tipe data yang dimasukkan tidak sama dengan yang seharusnya (sesuai dengan kehendak program), maka terjadi sebuah aktivitas “liar” yang tidak terduga sebelumnya - dimana biasanya dapat mengakibatkan mereka yang tidak berhak masuk ke dalam sistem yang telah terproteksi menjadi memiliki hak akses dengan mudahnya. Dikatakan sebagai sebuah “injeksi” karena aktivitas penyerangan dilakukan dengan cara “memasukkan” string (kumpulan karakter) khusus untuk melewati filter logika hak akses pada website atau sistem komputer yang dimaksud.
Contoh-contoh celah kerawanan yang kerap menjadi korban SQL Injection adalah:
- Karakter-karakter kendali, kontrol, atau filter tidak didefinisikan dengan baik dan benar (baca: Incorrectly Filtered Escape Characters);
- Tipe pemilihan dan penanganan variabel maupun parameter program yang keliru (baca: Incorrect Type Handling);
- Celah keamanan berada dalam server basis datanya (baca: Vulnerabilities Inside the Database Server);
- Dilakukan mekanisme penyamaran SQL Injection (baca: Blind SQL Injection); danlain sebagainya.
Cross Site Scripting (CSS) adalah suatu serangan dengan menggunakan mekanisme “injection” pada aplikasi web dengan memanfaatkan metode HTTP GET atau HTTP POST. Cross Site Scripting biasa digunakan oleh pihak-pihak yang berniat tidak baik dalam upaya mengacaukan konten website dengan memasukkan naskah program (biasanya java script) sebagai bagian dari teks masukan melalui formulir yang tersedia.
Apabila tidak diwaspadai, script ini dapat begitu saja dimasukkan sebagai bagian dari teks yang dikirim ke web setiap pengunjung, misalnya melalui teks masukan buku tamu atau forum diskusi yang tersedia bagi semua pengunjung website. Script yang menyisip di teks yang tampil ini dapat memberi efek dramatis pada tampilan website mulai dari menyisipkan gambar tidak senonoh sampai mengarahkan tampilan ke website lain.
CSS memanfaatkan lubang kelemahan keamanan yang terjadi pada penggunaan teknologi “dynamic page”.
Serangan jenis ini dapat diakibatkan oleh kelemahan yang terjadi akibat ketidakmampuan server dalam memvalidasi input yang diberikan oleh pengguna – misalnya algoritma yang digunakan untuk pembuatan halaman yang diinginkan tidak mampu melakukan penyaringan terhadap masukkan tersebut. Hal ini memungkinkan halaman yang dihasilkan menyertakan perintah yang sebenarnya tidak diperbolehkan.
Serangan CSS ini populer dilakukan oleh berbagai kalangan. Namun sayangnya, banyak penyedia layanan yang tidak mengakui kelemahan tersebut dan mau melakukan perubahan pada sistem yang mereka gunakan. Citra penyedia layanan merupakan harga yang dipertaruhkan ketika mereka mengakui kelemahan tersebut. Sayangnya dengan tindakan ini konsumen atau pengguna menjadi pihak yang dirugikan.
Dari sisi kerapuhan dan keamanan, CSS dapat bekerja bak penipu dengan kedok yang mampu mengelabui orang yang tidak waspada. Elemen penting dari keberhasilan CSS adalah “social engineering” yang efektif dari sisi penipu. CSS memampukan seseorang yang tidak bertanggungjawab melakukan penyalahgunaan informasi penting.
Sebelum sampai pada proses penyalahgunaan tersebut, penyerang biasanya mengambil langkah-langkah awal terlebih dahulu dengan mengikuti pola tertentu. Langkah pertama, penyerang melakukakan pengamatan untuk mencari web-web yang memiliki kelemahan yang dapat dieksploitasi dengan CSS. Langkah kedua, sang penyerang mencari tahu apakah web tersebut menerbitkan informasi yang dapat digunakan untuk melakukan pencurian infomasi lebih lanjut. Informasi tersebut biasanya berupa “cookie”. Langkah kedua ini tidak selalu dijalankan. Langkah ketiga, sang penyerang membujuk korban untuk mengikuti sebuah link
yang mengandung kode, ditujukan untuk mendapatkan informasi yang telah disebutkan sebelumnya. Kemampuan melakukan “social engineering” dari sang penyerang diuji disini. Setelah mendapatkan informasi tersebut, sang penyerang melakukan langkah terakhir,
pencurian maupun pengubahan informasi vital.
Kegiatan Port Scanning
Mencoba-coba untuk mengetahui port / layanan yang tersedia di server, dengan harapan sistem akan menjawab request, dengan menggunakan tools script kiddies biasanya penyerang melakukan scanning terlebih dahulu mesin tujuan, untuk mengetahui layanan apa saja yang tersedia. Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna untuk mencari celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan kita dengan harapan ada jawaban dari dalam jaringan kita. Penangananya kita dapat menggunakan IDS yang akan dijelaskan nanti dan catat dari log system serta Tutup / close layanan yang tidak digunakan
Social Engineering
Metode serangan ini termasuk kategori non teknis karena ”serangannya” melalui penetrasi secara sosial, metode ini Memanfaatkan human error karena erhubungan dengan psikologis manusia, interaksi manusia & sifat dasar manusia, secara sosial manusia akan menjawab pada saat ditanya oleh penanya apalagi dengan sikap dan atitude orang yang diajak bicara dengan sopan secara alami kita akan merespon si penanya.
Cara ini biasanya untuk mendapatkan informasi (seperti password id) dari seseorang tanpa melakukan penetrasi terhadap sistem komputer, Umumnya cara yang dilakukan tidak langsung menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Biasanya kegiatan ini melakukan seperti ;
• Bertanya password ke pegawai via telp
• Mencuri dari “kotak sampah”
• Mencuri data/informasi dengan berpura-pura sebagai tamu, pegawai, atau inspektorat
• Berlagak seperti “orang penting” dengan penetrasi orang
• Menggunakan media telp, surat, email
Para penyusup yang menggunakan cara ini biasanya menggunakan beberapa langkah, diantaranya ;
• Information gathering, mengumpulkan sebanyak mungkin informasi awal
• Development of relationship, melakukan pengenalan diri dan pendekatan secara pibadi lewat telpon, chat, mail…
• Exploitation of relationship, mencari informasi yang dibutukan, ex : password, kekuatan server, jenis server
• Execution to Archive Objective, pelaksanaan aksi
Ping Of Death
Kegiatan yang mengirinkan ICMP dengan paket tertentu yang besar dengan harapan membuat sistem akan crash, hang, reboot dan akhirnya DoS, tapi metode ini sangat gampang dicegah dengan memasukan rules ICMP syn request di proxy/firewall/router. Misalnya rulesnya hanya boleh melakukan ping ke subnet tertentu.
Java / Active X
Saat ini sejak berkembangnya Web 2.0 banyak sekali varian content yang beragam. Konsep client-server yang digunakan di internet saat ini semakin beragam, penggunaan konsep clientserver ini juga yang banyak digunakan oleh para pembuat virus/trojan/cracker untuk masuk dan melakukan penetrasi sistem. Komponen ActiveX yaitu executable program yang built-in pada situs web, jadi jika masuk ke web site ini maka browser akan me-load halaman web ini beserta built-in component-nya, dan menjalankannya pada komputer kita. Contoh real dari client-server ini adalah Game online dari sites tidak terpecaya.
Sniffing Packet
Melakukan “mata-mata” paket data yang lewat pada jaringan lokal tertentu dalam satu collision dan broadcast, biasanya untuk mendapatkan password. Metode ini Biasanya ditanam pada server di NIC tertentu atau pada sebuah pc pada sebuah network. Serangan ini dapat berhasil dengan baik jika jaringan kita menggunakan perangkat Hub.
Input Systems
Saat ini Web yang semakin beragam dan dinamis,trend ini menuju ke Content Web 2.0 yang bersifat jejaring dan full interaksi antara pengunjung dan web tersebut. Sudah menjadi trend dan menjadi hal yang biasa saat ini perusahaan/ institusi dan lain-lain mempunyai website dari sekedar cuman menampilkan company profile sampai dengan system informasi yang berbasis online, hal ini disebabkan karena Web yang bersifat cross platform yang dapat diakses dari mana saja dengan perangkat apa aja asal menggunakan browser. Beberapa serangan yang dapat dikategorikan sebagai Input Systems.
RSS Feeds
Trend teknologi saat ini dalam dunia web 2.0 seperti RSS (Really Simple Syndication) Sebuah format berbasis bahasa XML yang digunakan untuk sharing dan mendsitribusikan content web ke web lain, seperti headlines. Dengan RSS Feeds ktia dapat melihat berbagai sumber berita dari web yang kita gunakan langsung seperti headlines, summaries hingga full storiesnya. Berita-berita bisa dikutip langsung dari web lain,
misalnya dari portal, web berita atau pages tertentu secara otomatis di halaman web yang kita buat (metode dasar hyperlink/ linkupdate). Karena otomatis, berita / content dapat diboncengi oleh trojan/ informasi lain
sumber :
http://www.idsirtii.or.id
http://deris.unsri.ac.id
0 komentar:
Posting Komentar