1. IP Spoofing IP
Spoofing juga dikenal
sebagai Source Address Spoofing, yaitu pemalsuan alamat IP attacker sehingga
sasaran menganggap alamat IP attacker adalah alamat IP dari host di dalam
network bukan dari luar network. Misalkan attacker mempunyai IP address type A
66.25.xx.xx ketika attacker melakukan serangan jenis ini maka Network yang
diserang akan menganggap IP attacker adalah bagian dari Networknya misal
192.xx.xx.xx yaitu IP type C. IP Spoofing terjadi ketika seorang attacker
‘mengakali’ packet routing untuk mengubah arah dari data atau transmisi ke
tujuan yang berbeda. Packet untuk routing biasanya di transmisikan secara
transparan dan jelas sehingga membuat attacker dengan mudah untuk memodifikasi
asal data ataupun tujuan dari data. Teknik ini bukan hanya dipakai oleh
attacker tetapi juga dipakai oleh para security profesional untuk men tracing
identitas dari para attacker. Protokol yang menangani komunikasi antar komputer
kebanyakan berhasil di spoof. ICMP (Internet Control Message Protocol) adalah
salah satunya(vulnerable) karena protokol ini dilewati oleh informasi dan
pesan-pesan kesalahan diantara dua node dalam network. Internet Group Message
Protocol(IGMP) dapat dieksploitasi dengan menggunakan serangan tipe ini karena
IGMP melaporkan kondisi kesalahan pada level user datagram, selain itu juga
protokol ini mengandung Informasi routing dan Informasi Network. (UDP) User
Datagram Protocol juga dapat ‘diminta’ untuk menampilkan identitas host
sasaran.
Solusi untuk mencegah
IP spoofing adalah dengan cara mengamankan packet-packet yang ditransmisikan
dan memasang screening policies. Enkripsi Point-to-point juga dapat mencegah
user yang tidak mempunyai hak untuk membaca data/packet. Autentikasi dapat juga
digunakan untuk menyaring source yang legal dan bukan source yang sudah di
spoof oleh attacker. Dalam pencegahan yang lain, Admininistrator dapat
menggunakan signature untuk paket-paket yang berkomunikasi dalam networknya
sehingga meyakinkan bahwa paket tersebut tidak diubah dalam perjalanan. Anti
Spoofing rules(peraturan anti spoof) yang pada dasarnya memberitahukan server
untuk menolak packet yang datangnya dari luar yang terlihat datangnya dari
dalam, umumnya hal ini akan mematahkan setiap serangan spoofing.
2. FTP Attack
Salah satu serangan
yang dilakukan terhadap File Transfer Protocol adalah serangan buffer overflow
yang diakibatkan oleh malformed command. tujuan menyerang FTP server ini
rata-rata adalah untuk mendapatkan command shell ataupun untuk melakukan Denial
Of Service. Serangan Denial Of Service akhirnya dapat menyebabkan seorang user
atau attacker untuk mengambil resource didalam network tanpa adanya autorisasi,
sedangkan command shell dapat membuat seorang attacker mendapatkan akses ke
sistem server dan file-file data yang akhirnya seorang attacker bisa membuat
anonymous root-acces yang mempunyai hak penuh terhadap system bahkan network
yang diserang.
Tidak pernah atau
jarang mengupdate versi server dan mempatchnya adalah kesalahan yang sering
dilakukan oleh seorang admin dan inilah yang membuat server FTP menjadi rawan
untuk dimasuki. Sebagai contoh adalah FTP server yang populer di keluarga UNIX
yaitu WU-FTPD yang selalu di upgrade dua kali dalam sehari untuk memperbaiki
kondisi yang mengizinkan terjadinya bufferoverflow
Mengexploitasi FTP
juga berguna untuk mengetahui password yang terdapat dalam sistem, FTP Bounce
attack(menggunakan server ftp orang lain untuk melakukan serangan), dan
mengetahui atau mensniff informasi yang berada dalam sistem
3. Unix Finger
Exploits
Pada masa awal
internet, Unix OS finger utility digunakan secara efficient untuk men sharing
informasi diantara pengguna. Karena permintaan informasi terhadap informasi
finger ini tidak menyalahkan peraturan, kebanyakan system Administrator
meninggalkan utility ini (finger) dengan keamanan yang sangat minim, bahkan
tanpa kemanan sama sekali. Bagi seorang attacker utility ini sangat berharga
untuk
melakukan informasi
tentang footprinting, termasuk nama login dan informasi contact. Utility ini
juga menyediakan keterangan yang sangat baik tentang aktivitas user didalam
sistem, berapa lama user berada dalam sistem dan seberapa jauh user merawat
sistem.
Informasi yang
dihasilkan dari finger ini dapat meminimalisasi usaha cracker dalam menembus
sebuah sistem. Keterangan pribadi tentang user yang dimunculkan oleh finger
daemon ini sudah cukup bagi seorang atacker untuk melakukan social engineering
dengan menggunakan social skillnya untuk memanfaatkan user agar ‘memberitahu’
password dan kode akses terhadap system.
4. Flooding &
Broadcasting
Seorang attacker bisa
menguarangi kecepatan network dan host-host yang berada di dalamnya secara
significant dengan cara terus melakukan request/permintaan terhadap suatu
informasi dari sever yang bisa menangani serangan classic Denial Of
Service(Dos), mengirim request ke satu port secara berlebihan dinamakan
flooding, kadang hal ini juga disebut spraying. Ketika permintaan flood ini
dikirim ke semua station yang berada dalam network serangan ini dinamakn broadcasting.
Tujuan dari kedua serangan ini adalah sama yaitu membuat network resource yang
menyediakan informasi menjadi lemah dan akhirnya menyerah.
Serangan dengan cara
Flooding bergantung kepada dua faktor yaitu: ukuran dan/atau volume (size
and/or volume). Seorang attacker dapat menyebabkan Denial Of Service dengan
cara melempar file berkapasitas besar atau volume yang besar dari paket yang
kecil kepada sebuah system. Dalam keadaan seperti itu network server akan
menghadapi kemacetan: terlalu banyak informasi yang diminta dan tidak cukup
power untuk mendorong data agar berjalan. Pada dasarnya paket yang besar
membutuhkan kapasitas proses yang besar pula, tetapi secara tidak normal paket
yang kecil dan sama dalam volume yang besar akan menghabiskan resource secara
percuma, dan engakibatkan kemacetan.
Attacker sering kali
menggunakan serangan flooding ini untuk mendapatkan akses ke system yang
digunakan untuk menyerang network lainnya dalam satu serangan yang dinamakan
Distributed Denial Of Service(DDOS). Serangan ini seringkali dipanggil smurf
jika dikirim melaluli ICMP dan disebut fraggles ketika serangan ini dijalakan
melewati UDP.
Suatu node (dijadikan
tools) yang menguatkan broadcast traffic sering disebut sebagai Smurf
Amplifiers, tools ini sangat efektif untuk menjalankan serangan flooding.
Dengan melakukan spoofing terhadap network sasaran, seorang attacker dapat
mengirim sebuah request ke smurf amplifier, Network yang di
amplifiying(dikuatkan) akan mengirim respon kesetiap host di dalam network itu
sendiri, yang berarti
satu request yang
dilakukan oleh attacker akan menghasilkan pekerjaan yang sama dan
berulang-ulang pada network sasaran, hasil dari serangan ini adalah sebuah
denial of service yang tidak meninggalkan jejak. Serangan ini dapat diantisipasi
dengan cara menolak broadcast yang diarahkan pada router.
TCP-level Flooding
(kebanyakan SYN ATTACK) telah digunakan pada bulan februari tahun 2000 untuk
menyerang Yahoo!, eBay dll yang menggunakan serangan DDOS(Distributed Denial Of
Service). Network yang tidak menggunakan firewall untuk pengecekan paket-paket
TCP biasanya bisa diserang dengan cara ini.
Beberapa fungsi
penyaringan pada firewall (Firewall Filtering Function) biasanya akan mampu
untuk menahan satu serangan flooding dari sebuah alamat IP, tetapi serangan
yang dilakukan melalui DDOS akan sulit di cegah karena serangan ini seperti
kita ketahui datangnya dari berbagai alamat IP secara berkala. Sebenarnya salah
satu cara untuk menghentikan serangan DDOS adalah dengan cara mengembalikan
paket ke alamat asalnya atau juga dengan cara mematikan network(biasanya
dilakukan oleh system yang sudah terkena serangan sangat parah)
5. Fragmented Packet
Attacks
Data-data internet
yang di transmisikan melalui TCP/IP bisa dibagi lagi ke dalam paket-paket yang
hanya mengandung paket pertama yang isinya berupa informasi bagian utama(
kepala) dari TCP. Beberapa firewall akan mengizinkan untuk memroses bagian dari
paket-paket yang tidak mengandung informasi alamat asal pada paket pertamanya,
hal ini akan mengakibatkan beberapa type system menjadi crash.
Contohnya, server NT
akan menjadi crash jika paket-paket yang dipecah(fragmented packet) cukup untuk
menulis ulang informasi paket pertama dari suatu protokol.
Paket yang dipecah
juga dapat mengakibatkan suasana seperti serangan flooding. Karena paket yang
dipecah akan tetap disimpan hingga akhirnya di bentuk kembali ke dalam data
yang utuh, server akan menyimpan paket yang dipecah tadi dalam memori kernel.
Dan akhirnya server akan menjadi crash jika terlalu banyak paket-paket yang
telah dipecah dan disimpan dalam memory tanpa disatukan kembali.
Melalui cara enumerasi
tentang topographi network sasaran, seorang attacker bisa mempunyai banyak
pilihan untuk meng- crash packet baik dengan cara menguji isi firewall, load
balancers atau content – based routers. Dengan tidak memakai system pertahanan
ini, network sasaran jauh lebih rawan untuk perusakan dan pembobolan.
Karena paket yang
dipecah(fragmented packet) tidak dicatat dalam file log sebelum disatukan
kembali menjadi data yang utuh, packet yang dipecah ini memberikan jalan bagi
hacker untuk masuk ke network tanpa di deteksi. Telah banyak Intrusion
Detection System (IDS) dan saringan firewall(firewall filters) yang memperbaiki
masalah ini, tapi masih banyak juga system yang masih dapat ditembus dengan
cara ini.
6. E-mail Exploits
Peng-exploitasian
e-mail terjadi dalam lima bentuk yaitu: mail floods, manipulasi perintah
(command manipulation), serangan tingkat transportasi(transport level attack),
memasukkan berbagai macam kode (malicious code inserting) dan social
engineering(memanfaatkan sosialisasi secara fisik). Penyerangan email bisa
membuat system menjadi crash, membuka dan menulis ulang bahkan mengeksekusi
file-file aplikasi atau juga membuat akses ke fungsi fungsi perintah (command
function).
Serangan mail flood
(flood =air bah) terjadi ketika banyak sekali e-mail yang dikirimkan oleh
attacker kepada sasaran yang mengakibatkan transfer agent kewalahan
menanganinya, mengakibatkan komunikasi antar program lain menjadi tidak stabil
dan dapat membuat system menjadi crash. Melakukan flooding merupakan cara yang
sangat kasar namun efektif, maksudnya untuk membuat suatu mail server menjadi
down. Salah satu jalan yang menarik dalam melakukan serangan mail-flooding adalah
dengan mengexploitasi fungsi auto-responder (auto-responder function) yang
terdapat dalam kebanyakan aplikasi email, ketika seorang attacker menemukan
auto-responder yang sedang aktif dalam dua system yang berbeda, sang attacker
bisa saja mengarahkan yang satu ke yang lainnya, karena kedua-duanya di set
untuk merespond secara sacara otomatis untuk setiap pesan, maka kedua-duanya
akan terus mengenarate lebih banyak e-mail secara loop (bolak-balik) dan
akhirnya kedua-duanya akan kelelahan dan down.
Serangan memanipulasi
perintah (command manipulation attack) dapat mengakibatkan sebuah system
menjadi crash dengan cara menggulingkan mail transfer agent dengan sebuah
buffer overflow yang diakibatkan oleh perintah (fungsi) yang cacat (contoh:
EXPN atau VRFY). Perbedaan antara mail flood dan command manipulation: command
manipulation meng-exploit kekuasaan milik sendmail yaitu memperbolehkan
attacker untuk mengakses system tanpa informasi otorisasi(menjadi network admin
tanpa diketahui) dan membuat modifikasi pada penjalanan program lainnya.
Mengaktifkan command yang cacat seperti diatas juga dapat mengakibatkan seorang
attacker mendapatlan akses untuk memodifikasi file, menulis ulang, dan tentunya
saja membuat trojan horses pada mail server.
Penyerangan tingkat transport
(transport level attack) dilakukan dengan cara mengexploit protokol perutean /
pemetaan e-mail diseluruh internet: Simple Mail Tranport Protocol (SMTP).
Seorang attacker dapat mengakibatkan kondisi kesalahan sementara (temporary
error) di target system dengan cara mengoverload lebih banyak data pada SMTP
buffer sehingga SMTP buffer tidak bisa menanganinya, kejadian
ini dapat
mengakibatkan seorang attacker terlempar dari sendmail program dan masuk
kedalam shell dengan kekuasaan adminitsrasi bahkan dapat mengambil alih root.
Beberapa serangan exploitasi juga sering terjadi pada POP dan IMAP.
Pada saat kerawanan
SMTP sulit untuk di exploitasi, attacker mungkin saja berpindah ke serangan
tranport level jika ia tidak berhasil menyerang dengan cara command
manipulation ataupun mail-flood. Serangan ini lebih digunakan untuk membuat
gangguan daripada untuk menjebol suatu system. Seorang attacker biasanya akan
menggunakan serangan jenis untuk mem flood Exchange Server dan memotong lalu
lintas e-mail (trafic e-mail). Serangan ini juga dapat digunakan untuk membuat
reputasi suatu organisasi menjadi buruk dengan mengirimkan spam atau offensive
e-mail ke organisasi lainnya dengan sumber dan alamat dari organisasi tersebut.
Mail relaying, proses
memalsukan asal/source email dengan cara meroutekannya ke arah mesin yang akan
dibohongi, adalah type lain dari serangan transport-level. Teknik ini sangat
berguna untuk membuat broadcasting spam secara anonymous. Berbagai macam
isi(content) yang sering dikirim lewat e-maildengan teknik ini biasanya adalah
content-content yang merusak. Beberapa Virus dan Worms akan
disertakan dalam
e-mail sebagai file attachment yang sah, seperti variant Melissa yang nampak
sebagai Ms Word Macro atau loveletter worm yang menginfeksi system dan
mengemailkan dirinya sendiri ke users yang berada dalam address booknya
outlook. Kebanyakan antivirus scanner akan menangkap attachment seperti ini,
tetapi visrus dan worm baru serta variannya masih tetap berbahaya. Serangan
yang terakhir yang dilakukan oleh seorang attacker selain serangan diatas
adalah dengan cara melakukan social enginering, kadang sang attacker mengirim
e-mail dengan source memakai alamat admin agar users mengirimkan passwordnya
untuk mengupgrade system.
7. DNS and BIND
Vulnerabilities
Berita baru-baru ini
tentang kerawanan (vulnerabilities) tentang aplikasi Barkeley Internet Name
Domain (BIND) dalam berbagai versi mengilustrasikan kerapuhan dari Domain Name
System (DNS), yaitu krisis yang diarahkan pada operasi dasar dari Internet (basic
internet operation). Kesalahan pada BIND sebenarnya bukanlah sesuatu yang baru.
Semenjak permulaanya, standar BIND merupakan target yang paling favorite untuk
diserang oleh komunitas cracker karena beberapa kerawanannya. Empat kerawanan
terhadap buffer overflow yang terjadi pada bulan Januari lalu hanya beberapa
bagian dari kerawanan untuk diexploitasi oleh para cracker agar mendapat akses
terhadap
system dan melakukan
perintah dengan hak penuh (command execution priviledge).
Kerawanan pada BIND
merupakan masalah yang sangat serius karena lebih dari 80 persen DNS yang
berada di Jagat Internet dibangun menggunakan BIND. Tanpa adanya DNS dalam
lingkungan Internet Modern, mungkin transmisi e-mail akan sulit, navigasi ke
situs-situs web terasa rumit dan mungkin tidak ada hal mudah lainnya yang
menyangkut internet. Kerawanan BIND bukan hanya terletak pada DNS. System
penerjemah alamat (number-address translator) merupakan subject dari kebanyakan
exploit, termasuk untuk melakukan penyerangan di tingkat informasi, penyerangan
Denial Of Service, pengambil alihan kekuasaan dengan hijacking. Penyerangan di
tingkat Informasi bertujuan untuk membuat server menjawab sesuatu yang lain
dari jawaban yang benar. Salah satu cara untuk melakukan serangan jenis ini
adalah melalui cache poisoning, yang mana akan mengelabui remote name server
agar menyimpan jawaban dari third-party domain dengan cara menyediakan berbagai
macam informasi kepada domain server yang mempunyai autorisasi. Semua
pengimplementasian serangan terhadap DNS akan mempunyai kemungkinan besar untuk
berhasil dilakukan jika jawaban dari suatu pertanyaan yang spesisfik bisa
dibohongi (spoof).
DOS atau membuat
Server tidak dapat beroperasi, bisa dilakukan dengan cara membuat DNS menyerang
dirinya sendiri atau juga dengan cara mengirimkan traffic-flooding yang
berlebihan dari luar, contohnya menggunakan “Smurf” ICMP flood. Jika suatu
organisasi atau perusahaan memasang authoritathive name server dalam satu
segment yang terletak dibelakang satu link atau dibelakang satu physical area,
maka hal ini akan menyebabkan suatu kemungkinan untuk dilakukannya serangan
Denial Of Service.
Cracker akan mencoba
untuk menyerang system melalui DNS dengan cara buffer overflow, yaitu salah
satu exploit yang sangan berpotensi pada kerawanan BIND. Gangguan exploit
terjadi karena adanya kelemahan dalam pengkodean/pemrograman BIND yang
mengizinkan seorang attacker untuk memanfaatkan code-code yang dapat dieksekusi
untuk masuk kedalam system. Beberapa system operasi telah menyediakan patch
untuk stack agar tidak dapat dieksekusi, sebagaimana juga yang dilakukan
compiler (menyediakan patch) yang melindungi stack dari overflow. Mekanisme
perlindungan ini stidaknya membuat cracker akan sulit menggunakan exploit.
Telah jelas bahwa
mengupdate system secara berkala dan menggunakan patch adalah salah satu yang
harus dilakukan untuk membangun security yang efektif, jika vendor dari DNS
anda tidak menyediakan patch secara berkala, anda lebih baik mengganti software
DNS anda yang menyediakan patch secara berkala, tentunya untuk menjaga kemanan
system.
Pada system Unix ,
BIND harus dijalankan sebagai root untuk mengatur port yang lebih rendah (kode
kode mesin). Jika software DNS dapat dibodohi untuk menjalankan code-code
berbahaya, atau membuka file-file milik root, user local mungkin saja bisa
menaikan kekuasaannya sendiri didalam mesin. Organisasi atau perusahaan yang
mengubah authoritative server juga harus waspada bahwa mengganti server mereka
dalam waktu yang bersamaan akan mengakibatkan domain mereka di hijack melalui
cache poisoning. Mengubah server seharusnya dilakukan sebagai proses transisi.
Untuk mencegah domain hijacking sebaiknya network admin terlebih dahulu
menambahkan server barunya kedalam network infrastucture sebelum mengganti
server yang lama
8. Password Attacks
Password merupakan
sesuatu yang umum jika kita bicara tentang kemanan. Kadang seorang user tidak
perduli dengan nomor pin yang mereka miliki, seperti bertransaksi online di
warnet, bahkan bertransaksi online dirumah pun sangat berbahaya jika tidak
dilengkapi dengan software security seperti SSL dan PGP. Password adalah salah
satu prosedur kemanan yang sangat sulit untuk diserang, seorang attacker
mungkin saja mempunyai banyak tools (secara teknik maupun dalam kehidupan sosial)
hanya untuk membuka sesuatu yang dilindungi oleh password. Ketika seorang
attacker berhasil mendapatkan password yang dimiliki oleh seorang user, maka ia
akan mempunyai kekuasaan yang sama dengan user tersebut. Melatih karyawan/user
agar tetap waspada dalam menjaga passwordnya dari social engineering setidaknya
dapat meminimalisir risiko, selain berjaga-jaga dari praktek social enginering
organisasi pun harus mewaspadai hal ini dengan cara teknikal. Kebnayakan
seranagn yang dilakukan terhadap password adalah menebak (guessing), brute
force, cracking dan sniffing.
Penebakan (guessing)
password bisa dilakukan dengan cara memasukan password satu persatu secara
manual ataupun dengan bantuan script yang telah diprogram. Kebanyakan user
menggunakan hal-hal yang umum untuk password mereka diantaranya tanggal lahir,
dan biasanya user tidak menghawatirkan tentang aturan yang berlaku pada
perusahaan untuk menggunakan kombinasi alphanumeric dan minimal 7 karakter.
Jika saja user memakai tanggal lahirnya sebagai password maka hal penyerangan
akan sangat mudah dilakukan, karena cracker tidak membutuhkan waktu yang lama
hanya untuk menjebol 6 digit angka tanggal lahir. Beberapa user atau bahkan
administrator dapat membuat pekerjaan cracker menjadi mudah andai saja mereka lupa
untuk merubah password default dari sebuah software. Sebenarnya, password
guessing merupakan sesuatu yang sangat tidak efektif, dan dapat menghabiskan
waktu. Network admin bisa dengan mudah mendetect serangan jika seorang attacker
mencoba login dengan menebak password berkali-kali.
Brute-force merupakan
serangan yang menggunakan logika yang sama dengan password guessing tetapi
serangan brute-force lebih cepat dan lebih powerfull. Dalam tipe serangan ini
seorang attacker menggunakan script (biasanya program cracking gratis) yang
akan mencoba password-password umum(biasanya terdapat dalam dictionary). Tujuan
dari serangan jenis ini adalah untuk mempercepat
penemuan password
sebelum network admin menyadari adanya serangan. Walaupun serangan Brute-force
lebih efisien daripada password guessing, kedua teknik tersebut pada dasarnya
sama. Attacker umumnya lebih sulit untuk berhasil dengan kedua metoda tersebut.
Lebih jauh lagi, kedua teknik tersebut sangat mudah di lawan dengan
memanfaatkan features blacklisting, yang akan mengunci sebuah account user jika
seseorang(attacker) berkali-kali memasukkan password secara tidak tepat.
Contohnya, default blacklist dalam system unix adalah tiga kali (kesempatan
memasukkan password).
Kelemahan dari
perlindungan blacklist adalah bahwa feature blacklist ini dapat igunkan untuk
menyerang system oleh attacker. Sebagai contoh, jika seorang attacker dapat
mengidentifikasi siapa login name untuk network admin, sang attacker bisa saja
menngunakan login name itu dan memasukkan password yang salah berulangkali dan
akhirnya mengunci account admin ☺. Ketika sang admin sedang berusaha untuk
mendapatkan aksesnya kembali, seorang attacker masih bisa untuk berhubungan
dengan system
Password cracking
adalah metoda untuk melawan perlindungan password yang dienkripsi yang berada
di dalam system. Dengan anggapan bahwa atacker telah masuk kedalam system, ia
bisa saja mengubah kekuasaannya didalam system dengan cara meng crack password
file menggunakan metode brute-forcedictionary attack (mencocokan kata-kata yang
berada dalam kamus dengan kata-kata yang dienkripsi dalam file password).
Keberhasilan menggunakan cara ini bergantung pada kecepatan prosesor dan
program yang dimiliki oleh attacker. Cara yang terbaik untuk menghindari
serangan jenis ini adalah dengan memonitor kewenangan akses pada file.
Dengan cara mengintip
lalulintas pada port telnet(23) ataupun HTTPD (80), seorang attacker dapat
mendapatkan password yang digunakan untuk internet dan koneksi secara remote
melalui proses yang dinamakan password snifing. Cara inilah yang paling mudah
dilakukan karena kedua koneksi tersebut tidak menggunakan enkripsi, kecuali
koneksi yang menggunakan SSL (secure socket layer) pada HTTPD(biasanya ada
tanda gembok terkunci dibawah browser, yang menandakan transaksi aman) atau
juga menggunakan SSH (Secure SHell) untuk koneksi ke mesin lain secara remote.
9.Proxy Server Attacks
Salah satu fungsi
Proxy server adalah untuk mempercepat waktu response dengan cara menyatukan
proses dari beberapa host dalam suatu trusted network. Dalam kebanyakan kasus,
tiap host mempunyai kekuasan untuk membaca dan menulis (read/write) yang
berarti apa yang bisa saya lakukan dalam sistem saya akan bisa juga saya
lakukan dalam system anda dan sebaliknya.
Jika firewal yang
berada dalam trusted network tidak dikonfigurasikan secara optimal, khususnya
untuk memblok akses dari luar, apalagi jika autentikasi dan enkripsi tidak
digunakan, seorang attacker bisa menyerang proxy server dan mendapatkan akses
yang sama dengan anggota trusted network lainnya. Jika attaker sudah masuk ke
sistem ia tentunya bisa melakukan apa saja dan ia bisa melakukan DDOS
(distributed denial of service) secara anoymous untuk menyerang network lain.
Router yang tidak dikonfigurasikan secara optimal juga akan berfungsi sebagai
proxy server dan akan mengakibatkan kerawanan yang sama dengan proxy server.
10. Remote Command
Processing Attacks
Trusted Relationship
antara dua atau lebih host menyediakan fasilitas pertukaran informasi dan
resource sharing. Sama halnya dengan proxy server, trusted relationship
memberikan kepada semua anggota network kekuasaan akses yang sama di satu dan
lain system (dalam network). Attacker akan menyerang server yang merupakan
anggota dari trusted system. Sama seperti kerawanan pada proxy server, ketika
akses diterima, seorang attacker akan mempunyai kemampuan mengeksekusi perintah
dan mengkases data yang tersedia bagi user lainnya
Halaman 1 | 2 | 3 | 4
11. Remote File System
Attack
Protocol-protokol
untuk tranportasi data –tulang punggung dari internet— adalah tingkat TCP
(TCPLevel) yang mempunyai kemampuan dengan mekanisme untuk baca/tulis
(read/write) Antara network dan host. Attacker bisa dengan mudah mendapatkan
jejak informasi dari mekanisme ini untuk mendapatkan akses ke direktori file.
Tergantung pada OS
(operating system) yang digunakan, attacker bisa meng extrack informasi tentang
network, sharing privileges, nama dan lokasi dari user dan groups, dan
spesifikasi dari aplikasi atau banner (nama dan versi software). System yang
dikonfigurasi atau diamankan secara minimal akan dengan mudah membeberkan
informasi ini bahkan melalui firewall sekalipun. Pada system UNIX, informasi
ini dibawa oleh NFS (Network File System) di port 2049. system Windows
menyediakan data ini pada SMB (server messaging block) dan Netbios pada port
135 – 139 (NT) dan port 445 pada win2k. Network administrator bisa
meminimalisasi resiko yang akan terjadi dengan menggunakan Protokolprotokol
tersebut dengan memberikan sedikit peraturan. Network dengan system windows,
harusnya memblok akses ke port 139 dan 445 dari luar network, jika
dimungkinkan. Dalam system unix port 2049 seharusnya di blok, sharing file
dibatasi dan permintaan file melalui showmount (perintah dalam unix) seharusnya
di catat dalam log.
12. Selective Program
Insertions
Selective Program
Insertions adalah serangan yang dilakukan ketika attacker menaruh
program-program penghancur, seperti virus, worm dan trojan (mungkin istilah ini
sudah anda kenal dengan baik ☺) pada system sasaran. Program-program penghancur
ini sering juga disebut malware. Program-program ini mempunyai kemampuan untuk
merusak system, pemusnahan file, pencurian password sampai dengan membuka
backdoor.
Biasanya antivirus
yang dijual dipasaran akan dapat mendeteksi dan membersihkan program-program
seperti ini, tetapi jika ada virus baru (anggap saja variant melissa) virus
scanner belum tentu dapat menghadapi script-script baru. Beberapa network
administrator melakukan pertahan terhadap malware dengan teknologi alternatif
seperti behaviour blockers, yang memberhentikan kode-kode yang dicurigai
berdasarkan contoh kelakuan malware, bukan berdasarkan signature. Beberapa
aplikasi lainnya akan mengkarantina virus dan code-code yang dicurigai didalam
daerah yang dilindungi, biasanya disebut sandboxes.
13. Port Scanning
Melalui port scanning
seorang attacker bisa melihat fungsi dan cara bertahan sebuah system dari
berbagai macam port. Seorang atacker bisa mendapatkan akses kedalam sistem
melalui port yang tidak dilindungi. Sebaia contoh, scaning bisa digunakan untuk
menentukan dimana default SNMP string di buka untuk publik, yang artinya
informasi bisa di extract untuk digunakan dalam remote command attack.
14.TCP/IP Sequence
Stealing, Passive Port Listening and Packet Interception
TCP/IP Sequence
Stealing, Passive Port Listening dan Packet Interception berjalan untuk
mengumpulkan informasi yang sensitif untuk mengkases network. Tidak seperti
serangan aktif maupun brute-force, serangan yang menggunakan metoda ini
mempunyai lebih banyak kualitas stealth-like. TCP/IP Sequence Stealing adalah
pemetaan dari urutan nomor-nomor (angka), yang bisa membuat packet milik
attacker terlihat legal. Ketika suatu system meminta sesi terhadap mesin lain,
kedua system tersebut saling bertukar nomor-nomor sinkronisasi TCP. Jika tidak
dilakukan secara acak, Attacker bisa mengenali algoritma yang digunakan untuk
meng –generate nomor-nomor ini. Urutan nomor yang telah dicuri bisa digunakan
attacker untuk menyamar menjadi salah satu dari system tadi, dan akhirnya
memperbolehkannya untuk melewati firewall. Hal ini sebenarnya efektif jika
digunakan bersama IP Spoofing.
Melalui passive port
listening, seorang attacker dapat memonitor dan mencatat (log) semua pesan dan
file yang dikirim ke semua port yang dapat diakses pada target system untuk
menemukan titik kerawanan. Packet Interception adalah bagian (tepatnya pelapis)
dari active listener program yang berada pada port di system sasaran yang
berfungsi untuk menerima ataupun mengembalikan semua tipe pesan (data) spesifik
yang dikirim. Pesan tersebut bisa dikembalikan ke unauthorized system, dibaca
dan akhir nya dikembalikan lagi baik tanpa perubahan atau juga dengan perubahan
kepada attacker, atau bahkan tidak dikembalikan.
Dalam beberapa versi
atau juga menurut konfigurasi dari user SSHD(secured shell daemon), otentikasi
bisa dilakukan dengan cara menggunakan public key (milik mesin tentunya). Jika
seorang attacker mempelajari public key yang digunakan, ia bisa menciptakan
atau memasukan paket-paket palsu. System sasaran akan menganggap pengirim paket
palsu tersebut mempunyai hak akses.
15. HTTPD Attacks
Kerawanan yang
terdapat dalam HTTPD ataupun webserver ada lima macam: buffer overflows, httpd
bypasses, cross scripting, web code vulnerabilities, dan URL floods. HTTPD
Buffer Overflow bisa terjadi karena attacker menambahkan errors pada port yang
digunakan untuk web traffic dengan cara memasukan banyak carackter dan string
untuk menemukan tempat overflow yang sesuai. Ketika tempat untuk overflow
ditemukan, seorang attacker akan memasukkan string yang akan menjadi perintah
yang dapat dieksekusi. Bufer-overflow dapat memberikan attacker akses ke
command prompt.
Beberapa feature dari
HTTPD bisa digunakan untuk meciptakan HTTPD byapass, memberi akses ke server
menggunakan fungsi logging. Dengan cara ini, sebuah halaman web bisa diakses
dan diganti tanpa dicatat oleh web server. Cara ini sering digunakan oleh para
cracker, hacktivis dan cyber vandals untuk mendeface website.
Sedangkan kerawanan
pada script-script web bisa terjadi pada semua bahasa pemrograman web dan semua
ekstensi aplikasi. Termasuk VB, Visual C++, ASP, TCL, Perl, PHP, XML, CGI dan
Coldfusion. Pada dasarnya, attacker akan mengexploitasi kelemahan dari sebuah
aplikasi, seperti CGI script yang tidak memeriksa input atau kerawanan pada IIS
RDS pada showcode.asp yang mengizinkan menjalankan perintah secara remote
(remote command priviledges). Melalui cross scripting dan cross-site scripting
seorang attacker bisa mengexploitasi pertukaran cookies antara browser dan
webserver. Fasilitas ini dapat mengaktifkan script untuk merubah tampilan web
dll. Script ini bisa menjalankan malware, membaca infomasi penting dan meng
expose data sensitive seperti nomor credit card dan password.
Pada akhirnya attacker
dapat menjalankan denial of service dengan URL flood, yang dilakukan dengan
cara mengulang dan terus mengulang permintaan terhadap port 80 httpd yang
melalui batas TTL (time to live)
Source : MBT Group
1. IP Spoofing IP
Spoofing juga dikenal
sebagai Source Address Spoofing, yaitu pemalsuan alamat IP attacker sehingga
sasaran menganggap alamat IP attacker adalah alamat IP dari host di dalam
network bukan dari luar network. Misalkan attacker mempunyai IP address type A
66.25.xx.xx ketika attacker melakukan serangan jenis ini maka Network yang
diserang akan menganggap IP attacker adalah bagian dari Networknya misal
192.xx.xx.xx yaitu IP type C. IP Spoofing terjadi ketika seorang attacker
‘mengakali’ packet routing untuk mengubah arah dari data atau transmisi ke
tujuan yang berbeda. Packet untuk routing biasanya di transmisikan secara
transparan dan jelas sehingga membuat attacker dengan mudah untuk memodifikasi
asal data ataupun tujuan dari data. Teknik ini bukan hanya dipakai oleh
attacker tetapi juga dipakai oleh para security profesional untuk men tracing
identitas dari para attacker. Protokol yang menangani komunikasi antar komputer
kebanyakan berhasil di spoof. ICMP (Internet Control Message Protocol) adalah
salah satunya(vulnerable) karena protokol ini dilewati oleh informasi dan
pesan-pesan kesalahan diantara dua node dalam network. Internet Group Message
Protocol(IGMP) dapat dieksploitasi dengan menggunakan serangan tipe ini karena
IGMP melaporkan kondisi kesalahan pada level user datagram, selain itu juga
protokol ini mengandung Informasi routing dan Informasi Network. (UDP) User
Datagram Protocol juga dapat ‘diminta’ untuk menampilkan identitas host
sasaran.
Solusi untuk mencegah
IP spoofing adalah dengan cara mengamankan packet-packet yang ditransmisikan
dan memasang screening policies. Enkripsi Point-to-point juga dapat mencegah
user yang tidak mempunyai hak untuk membaca data/packet. Autentikasi dapat juga
digunakan untuk menyaring source yang legal dan bukan source yang sudah di
spoof oleh attacker. Dalam pencegahan yang lain, Admininistrator dapat
menggunakan signature untuk paket-paket yang berkomunikasi dalam networknya
sehingga meyakinkan bahwa paket tersebut tidak diubah dalam perjalanan. Anti
Spoofing rules(peraturan anti spoof) yang pada dasarnya memberitahukan server
untuk menolak packet yang datangnya dari luar yang terlihat datangnya dari
dalam, umumnya hal ini akan mematahkan setiap serangan spoofing.
2. FTP Attack
Salah satu serangan
yang dilakukan terhadap File Transfer Protocol adalah serangan buffer overflow
yang diakibatkan oleh malformed command. tujuan menyerang FTP server ini
rata-rata adalah untuk mendapatkan command shell ataupun untuk melakukan Denial
Of Service. Serangan Denial Of Service akhirnya dapat menyebabkan seorang user
atau attacker untuk mengambil resource didalam network tanpa adanya autorisasi,
sedangkan command shell dapat membuat seorang attacker mendapatkan akses ke
sistem server dan file-file data yang akhirnya seorang attacker bisa membuat
anonymous root-acces yang mempunyai hak penuh terhadap system bahkan network
yang diserang.
Tidak pernah atau
jarang mengupdate versi server dan mempatchnya adalah kesalahan yang sering
dilakukan oleh seorang admin dan inilah yang membuat server FTP menjadi rawan
untuk dimasuki. Sebagai contoh adalah FTP server yang populer di keluarga UNIX
yaitu WU-FTPD yang selalu di upgrade dua kali dalam sehari untuk memperbaiki
kondisi yang mengizinkan terjadinya bufferoverflow
Mengexploitasi FTP
juga berguna untuk mengetahui password yang terdapat dalam sistem, FTP Bounce
attack(menggunakan server ftp orang lain untuk melakukan serangan), dan
mengetahui atau mensniff informasi yang berada dalam sistem
3. Unix Finger
Exploits
Pada masa awal
internet, Unix OS finger utility digunakan secara efficient untuk men sharing
informasi diantara pengguna. Karena permintaan informasi terhadap informasi
finger ini tidak menyalahkan peraturan, kebanyakan system Administrator
meninggalkan utility ini (finger) dengan keamanan yang sangat minim, bahkan
tanpa kemanan sama sekali. Bagi seorang attacker utility ini sangat berharga
untuk
melakukan informasi
tentang footprinting, termasuk nama login dan informasi contact. Utility ini
juga menyediakan keterangan yang sangat baik tentang aktivitas user didalam
sistem, berapa lama user berada dalam sistem dan seberapa jauh user merawat
sistem.
Informasi yang
dihasilkan dari finger ini dapat meminimalisasi usaha cracker dalam menembus
sebuah sistem. Keterangan pribadi tentang user yang dimunculkan oleh finger
daemon ini sudah cukup bagi seorang atacker untuk melakukan social engineering
dengan menggunakan social skillnya untuk memanfaatkan user agar ‘memberitahu’
password dan kode akses terhadap system.
4. Flooding &
Broadcasting
Seorang attacker bisa
menguarangi kecepatan network dan host-host yang berada di dalamnya secara
significant dengan cara terus melakukan request/permintaan terhadap suatu
informasi dari sever yang bisa menangani serangan classic Denial Of
Service(Dos), mengirim request ke satu port secara berlebihan dinamakan
flooding, kadang hal ini juga disebut spraying. Ketika permintaan flood ini
dikirim ke semua station yang berada dalam network serangan ini dinamakn broadcasting.
Tujuan dari kedua serangan ini adalah sama yaitu membuat network resource yang
menyediakan informasi menjadi lemah dan akhirnya menyerah.
Serangan dengan cara
Flooding bergantung kepada dua faktor yaitu: ukuran dan/atau volume (size
and/or volume). Seorang attacker dapat menyebabkan Denial Of Service dengan
cara melempar file berkapasitas besar atau volume yang besar dari paket yang
kecil kepada sebuah system. Dalam keadaan seperti itu network server akan
menghadapi kemacetan: terlalu banyak informasi yang diminta dan tidak cukup
power untuk mendorong data agar berjalan. Pada dasarnya paket yang besar
membutuhkan kapasitas proses yang besar pula, tetapi secara tidak normal paket
yang kecil dan sama dalam volume yang besar akan menghabiskan resource secara
percuma, dan engakibatkan kemacetan.
Attacker sering kali
menggunakan serangan flooding ini untuk mendapatkan akses ke system yang
digunakan untuk menyerang network lainnya dalam satu serangan yang dinamakan
Distributed Denial Of Service(DDOS). Serangan ini seringkali dipanggil smurf
jika dikirim melaluli ICMP dan disebut fraggles ketika serangan ini dijalakan
melewati UDP.
Suatu node (dijadikan
tools) yang menguatkan broadcast traffic sering disebut sebagai Smurf
Amplifiers, tools ini sangat efektif untuk menjalankan serangan flooding.
Dengan melakukan spoofing terhadap network sasaran, seorang attacker dapat
mengirim sebuah request ke smurf amplifier, Network yang di
amplifiying(dikuatkan) akan mengirim respon kesetiap host di dalam network itu
sendiri, yang berarti
satu request yang
dilakukan oleh attacker akan menghasilkan pekerjaan yang sama dan
berulang-ulang pada network sasaran, hasil dari serangan ini adalah sebuah
denial of service yang tidak meninggalkan jejak. Serangan ini dapat diantisipasi
dengan cara menolak broadcast yang diarahkan pada router.
TCP-level Flooding
(kebanyakan SYN ATTACK) telah digunakan pada bulan februari tahun 2000 untuk
menyerang Yahoo!, eBay dll yang menggunakan serangan DDOS(Distributed Denial Of
Service). Network yang tidak menggunakan firewall untuk pengecekan paket-paket
TCP biasanya bisa diserang dengan cara ini.
Beberapa fungsi
penyaringan pada firewall (Firewall Filtering Function) biasanya akan mampu
untuk menahan satu serangan flooding dari sebuah alamat IP, tetapi serangan
yang dilakukan melalui DDOS akan sulit di cegah karena serangan ini seperti
kita ketahui datangnya dari berbagai alamat IP secara berkala. Sebenarnya salah
satu cara untuk menghentikan serangan DDOS adalah dengan cara mengembalikan
paket ke alamat asalnya atau juga dengan cara mematikan network(biasanya
dilakukan oleh system yang sudah terkena serangan sangat parah)
5. Fragmented Packet
Attacks
Data-data internet
yang di transmisikan melalui TCP/IP bisa dibagi lagi ke dalam paket-paket yang
hanya mengandung paket pertama yang isinya berupa informasi bagian utama(
kepala) dari TCP. Beberapa firewall akan mengizinkan untuk memroses bagian dari
paket-paket yang tidak mengandung informasi alamat asal pada paket pertamanya,
hal ini akan mengakibatkan beberapa type system menjadi crash.
Contohnya, server NT
akan menjadi crash jika paket-paket yang dipecah(fragmented packet) cukup untuk
menulis ulang informasi paket pertama dari suatu protokol.
Paket yang dipecah
juga dapat mengakibatkan suasana seperti serangan flooding. Karena paket yang
dipecah akan tetap disimpan hingga akhirnya di bentuk kembali ke dalam data
yang utuh, server akan menyimpan paket yang dipecah tadi dalam memori kernel.
Dan akhirnya server akan menjadi crash jika terlalu banyak paket-paket yang
telah dipecah dan disimpan dalam memory tanpa disatukan kembali.
Melalui cara enumerasi
tentang topographi network sasaran, seorang attacker bisa mempunyai banyak
pilihan untuk meng- crash packet baik dengan cara menguji isi firewall, load
balancers atau content – based routers. Dengan tidak memakai system pertahanan
ini, network sasaran jauh lebih rawan untuk perusakan dan pembobolan.
Karena paket yang
dipecah(fragmented packet) tidak dicatat dalam file log sebelum disatukan
kembali menjadi data yang utuh, packet yang dipecah ini memberikan jalan bagi
hacker untuk masuk ke network tanpa di deteksi. Telah banyak Intrusion
Detection System (IDS) dan saringan firewall(firewall filters) yang memperbaiki
masalah ini, tapi masih banyak juga system yang masih dapat ditembus dengan
cara ini.
6. E-mail Exploits
Peng-exploitasian
e-mail terjadi dalam lima bentuk yaitu: mail floods, manipulasi perintah
(command manipulation), serangan tingkat transportasi(transport level attack),
memasukkan berbagai macam kode (malicious code inserting) dan social
engineering(memanfaatkan sosialisasi secara fisik). Penyerangan email bisa
membuat system menjadi crash, membuka dan menulis ulang bahkan mengeksekusi
file-file aplikasi atau juga membuat akses ke fungsi fungsi perintah (command
function).
Serangan mail flood
(flood =air bah) terjadi ketika banyak sekali e-mail yang dikirimkan oleh
attacker kepada sasaran yang mengakibatkan transfer agent kewalahan
menanganinya, mengakibatkan komunikasi antar program lain menjadi tidak stabil
dan dapat membuat system menjadi crash. Melakukan flooding merupakan cara yang
sangat kasar namun efektif, maksudnya untuk membuat suatu mail server menjadi
down. Salah satu jalan yang menarik dalam melakukan serangan mail-flooding adalah
dengan mengexploitasi fungsi auto-responder (auto-responder function) yang
terdapat dalam kebanyakan aplikasi email, ketika seorang attacker menemukan
auto-responder yang sedang aktif dalam dua system yang berbeda, sang attacker
bisa saja mengarahkan yang satu ke yang lainnya, karena kedua-duanya di set
untuk merespond secara sacara otomatis untuk setiap pesan, maka kedua-duanya
akan terus mengenarate lebih banyak e-mail secara loop (bolak-balik) dan
akhirnya kedua-duanya akan kelelahan dan down.
Serangan memanipulasi
perintah (command manipulation attack) dapat mengakibatkan sebuah system
menjadi crash dengan cara menggulingkan mail transfer agent dengan sebuah
buffer overflow yang diakibatkan oleh perintah (fungsi) yang cacat (contoh:
EXPN atau VRFY). Perbedaan antara mail flood dan command manipulation: command
manipulation meng-exploit kekuasaan milik sendmail yaitu memperbolehkan
attacker untuk mengakses system tanpa informasi otorisasi(menjadi network admin
tanpa diketahui) dan membuat modifikasi pada penjalanan program lainnya.
Mengaktifkan command yang cacat seperti diatas juga dapat mengakibatkan seorang
attacker mendapatlan akses untuk memodifikasi file, menulis ulang, dan tentunya
saja membuat trojan horses pada mail server.
Penyerangan tingkat transport
(transport level attack) dilakukan dengan cara mengexploit protokol perutean /
pemetaan e-mail diseluruh internet: Simple Mail Tranport Protocol (SMTP).
Seorang attacker dapat mengakibatkan kondisi kesalahan sementara (temporary
error) di target system dengan cara mengoverload lebih banyak data pada SMTP
buffer sehingga SMTP buffer tidak bisa menanganinya, kejadian
ini dapat
mengakibatkan seorang attacker terlempar dari sendmail program dan masuk
kedalam shell dengan kekuasaan adminitsrasi bahkan dapat mengambil alih root.
Beberapa serangan exploitasi juga sering terjadi pada POP dan IMAP.
Pada saat kerawanan
SMTP sulit untuk di exploitasi, attacker mungkin saja berpindah ke serangan
tranport level jika ia tidak berhasil menyerang dengan cara command
manipulation ataupun mail-flood. Serangan ini lebih digunakan untuk membuat
gangguan daripada untuk menjebol suatu system. Seorang attacker biasanya akan
menggunakan serangan jenis untuk mem flood Exchange Server dan memotong lalu
lintas e-mail (trafic e-mail). Serangan ini juga dapat digunakan untuk membuat
reputasi suatu organisasi menjadi buruk dengan mengirimkan spam atau offensive
e-mail ke organisasi lainnya dengan sumber dan alamat dari organisasi tersebut.
Mail relaying, proses
memalsukan asal/source email dengan cara meroutekannya ke arah mesin yang akan
dibohongi, adalah type lain dari serangan transport-level. Teknik ini sangat
berguna untuk membuat broadcasting spam secara anonymous. Berbagai macam
isi(content) yang sering dikirim lewat e-maildengan teknik ini biasanya adalah
content-content yang merusak. Beberapa Virus dan Worms akan
disertakan dalam
e-mail sebagai file attachment yang sah, seperti variant Melissa yang nampak
sebagai Ms Word Macro atau loveletter worm yang menginfeksi system dan
mengemailkan dirinya sendiri ke users yang berada dalam address booknya
outlook. Kebanyakan antivirus scanner akan menangkap attachment seperti ini,
tetapi visrus dan worm baru serta variannya masih tetap berbahaya. Serangan
yang terakhir yang dilakukan oleh seorang attacker selain serangan diatas
adalah dengan cara melakukan social enginering, kadang sang attacker mengirim
e-mail dengan source memakai alamat admin agar users mengirimkan passwordnya
untuk mengupgrade system.
7. DNS and BIND
Vulnerabilities
Berita baru-baru ini
tentang kerawanan (vulnerabilities) tentang aplikasi Barkeley Internet Name
Domain (BIND) dalam berbagai versi mengilustrasikan kerapuhan dari Domain Name
System (DNS), yaitu krisis yang diarahkan pada operasi dasar dari Internet (basic
internet operation). Kesalahan pada BIND sebenarnya bukanlah sesuatu yang baru.
Semenjak permulaanya, standar BIND merupakan target yang paling favorite untuk
diserang oleh komunitas cracker karena beberapa kerawanannya. Empat kerawanan
terhadap buffer overflow yang terjadi pada bulan Januari lalu hanya beberapa
bagian dari kerawanan untuk diexploitasi oleh para cracker agar mendapat akses
terhadap
system dan melakukan
perintah dengan hak penuh (command execution priviledge).
Kerawanan pada BIND
merupakan masalah yang sangat serius karena lebih dari 80 persen DNS yang
berada di Jagat Internet dibangun menggunakan BIND. Tanpa adanya DNS dalam
lingkungan Internet Modern, mungkin transmisi e-mail akan sulit, navigasi ke
situs-situs web terasa rumit dan mungkin tidak ada hal mudah lainnya yang
menyangkut internet. Kerawanan BIND bukan hanya terletak pada DNS. System
penerjemah alamat (number-address translator) merupakan subject dari kebanyakan
exploit, termasuk untuk melakukan penyerangan di tingkat informasi, penyerangan
Denial Of Service, pengambil alihan kekuasaan dengan hijacking. Penyerangan di
tingkat Informasi bertujuan untuk membuat server menjawab sesuatu yang lain
dari jawaban yang benar. Salah satu cara untuk melakukan serangan jenis ini
adalah melalui cache poisoning, yang mana akan mengelabui remote name server
agar menyimpan jawaban dari third-party domain dengan cara menyediakan berbagai
macam informasi kepada domain server yang mempunyai autorisasi. Semua
pengimplementasian serangan terhadap DNS akan mempunyai kemungkinan besar untuk
berhasil dilakukan jika jawaban dari suatu pertanyaan yang spesisfik bisa
dibohongi (spoof).
DOS atau membuat
Server tidak dapat beroperasi, bisa dilakukan dengan cara membuat DNS menyerang
dirinya sendiri atau juga dengan cara mengirimkan traffic-flooding yang
berlebihan dari luar, contohnya menggunakan “Smurf” ICMP flood. Jika suatu
organisasi atau perusahaan memasang authoritathive name server dalam satu
segment yang terletak dibelakang satu link atau dibelakang satu physical area,
maka hal ini akan menyebabkan suatu kemungkinan untuk dilakukannya serangan
Denial Of Service.
Cracker akan mencoba
untuk menyerang system melalui DNS dengan cara buffer overflow, yaitu salah
satu exploit yang sangan berpotensi pada kerawanan BIND. Gangguan exploit
terjadi karena adanya kelemahan dalam pengkodean/pemrograman BIND yang
mengizinkan seorang attacker untuk memanfaatkan code-code yang dapat dieksekusi
untuk masuk kedalam system. Beberapa system operasi telah menyediakan patch
untuk stack agar tidak dapat dieksekusi, sebagaimana juga yang dilakukan
compiler (menyediakan patch) yang melindungi stack dari overflow. Mekanisme
perlindungan ini stidaknya membuat cracker akan sulit menggunakan exploit.
Telah jelas bahwa
mengupdate system secara berkala dan menggunakan patch adalah salah satu yang
harus dilakukan untuk membangun security yang efektif, jika vendor dari DNS
anda tidak menyediakan patch secara berkala, anda lebih baik mengganti software
DNS anda yang menyediakan patch secara berkala, tentunya untuk menjaga kemanan
system.
Pada system Unix ,
BIND harus dijalankan sebagai root untuk mengatur port yang lebih rendah (kode
kode mesin). Jika software DNS dapat dibodohi untuk menjalankan code-code
berbahaya, atau membuka file-file milik root, user local mungkin saja bisa
menaikan kekuasaannya sendiri didalam mesin. Organisasi atau perusahaan yang
mengubah authoritative server juga harus waspada bahwa mengganti server mereka
dalam waktu yang bersamaan akan mengakibatkan domain mereka di hijack melalui
cache poisoning. Mengubah server seharusnya dilakukan sebagai proses transisi.
Untuk mencegah domain hijacking sebaiknya network admin terlebih dahulu
menambahkan server barunya kedalam network infrastucture sebelum mengganti
server yang lama
8. Password Attacks
Password merupakan
sesuatu yang umum jika kita bicara tentang kemanan. Kadang seorang user tidak
perduli dengan nomor pin yang mereka miliki, seperti bertransaksi online di
warnet, bahkan bertransaksi online dirumah pun sangat berbahaya jika tidak
dilengkapi dengan software security seperti SSL dan PGP. Password adalah salah
satu prosedur kemanan yang sangat sulit untuk diserang, seorang attacker
mungkin saja mempunyai banyak tools (secara teknik maupun dalam kehidupan sosial)
hanya untuk membuka sesuatu yang dilindungi oleh password. Ketika seorang
attacker berhasil mendapatkan password yang dimiliki oleh seorang user, maka ia
akan mempunyai kekuasaan yang sama dengan user tersebut. Melatih karyawan/user
agar tetap waspada dalam menjaga passwordnya dari social engineering setidaknya
dapat meminimalisir risiko, selain berjaga-jaga dari praktek social enginering
organisasi pun harus mewaspadai hal ini dengan cara teknikal. Kebnayakan
seranagn yang dilakukan terhadap password adalah menebak (guessing), brute
force, cracking dan sniffing.
Penebakan (guessing)
password bisa dilakukan dengan cara memasukan password satu persatu secara
manual ataupun dengan bantuan script yang telah diprogram. Kebanyakan user
menggunakan hal-hal yang umum untuk password mereka diantaranya tanggal lahir,
dan biasanya user tidak menghawatirkan tentang aturan yang berlaku pada
perusahaan untuk menggunakan kombinasi alphanumeric dan minimal 7 karakter.
Jika saja user memakai tanggal lahirnya sebagai password maka hal penyerangan
akan sangat mudah dilakukan, karena cracker tidak membutuhkan waktu yang lama
hanya untuk menjebol 6 digit angka tanggal lahir. Beberapa user atau bahkan
administrator dapat membuat pekerjaan cracker menjadi mudah andai saja mereka lupa
untuk merubah password default dari sebuah software. Sebenarnya, password
guessing merupakan sesuatu yang sangat tidak efektif, dan dapat menghabiskan
waktu. Network admin bisa dengan mudah mendetect serangan jika seorang attacker
mencoba login dengan menebak password berkali-kali.
Brute-force merupakan
serangan yang menggunakan logika yang sama dengan password guessing tetapi
serangan brute-force lebih cepat dan lebih powerfull. Dalam tipe serangan ini
seorang attacker menggunakan script (biasanya program cracking gratis) yang
akan mencoba password-password umum(biasanya terdapat dalam dictionary). Tujuan
dari serangan jenis ini adalah untuk mempercepat
penemuan password
sebelum network admin menyadari adanya serangan. Walaupun serangan Brute-force
lebih efisien daripada password guessing, kedua teknik tersebut pada dasarnya
sama. Attacker umumnya lebih sulit untuk berhasil dengan kedua metoda tersebut.
Lebih jauh lagi, kedua teknik tersebut sangat mudah di lawan dengan
memanfaatkan features blacklisting, yang akan mengunci sebuah account user jika
seseorang(attacker) berkali-kali memasukkan password secara tidak tepat.
Contohnya, default blacklist dalam system unix adalah tiga kali (kesempatan
memasukkan password).
Kelemahan dari
perlindungan blacklist adalah bahwa feature blacklist ini dapat igunkan untuk
menyerang system oleh attacker. Sebagai contoh, jika seorang attacker dapat
mengidentifikasi siapa login name untuk network admin, sang attacker bisa saja
menngunakan login name itu dan memasukkan password yang salah berulangkali dan
akhirnya mengunci account admin ☺. Ketika sang admin sedang berusaha untuk
mendapatkan aksesnya kembali, seorang attacker masih bisa untuk berhubungan
dengan system
Password cracking
adalah metoda untuk melawan perlindungan password yang dienkripsi yang berada
di dalam system. Dengan anggapan bahwa atacker telah masuk kedalam system, ia
bisa saja mengubah kekuasaannya didalam system dengan cara meng crack password
file menggunakan metode brute-forcedictionary attack (mencocokan kata-kata yang
berada dalam kamus dengan kata-kata yang dienkripsi dalam file password).
Keberhasilan menggunakan cara ini bergantung pada kecepatan prosesor dan
program yang dimiliki oleh attacker. Cara yang terbaik untuk menghindari
serangan jenis ini adalah dengan memonitor kewenangan akses pada file.
Dengan cara mengintip
lalulintas pada port telnet(23) ataupun HTTPD (80), seorang attacker dapat
mendapatkan password yang digunakan untuk internet dan koneksi secara remote
melalui proses yang dinamakan password snifing. Cara inilah yang paling mudah
dilakukan karena kedua koneksi tersebut tidak menggunakan enkripsi, kecuali
koneksi yang menggunakan SSL (secure socket layer) pada HTTPD(biasanya ada
tanda gembok terkunci dibawah browser, yang menandakan transaksi aman) atau
juga menggunakan SSH (Secure SHell) untuk koneksi ke mesin lain secara remote.
9.Proxy Server Attacks
Salah satu fungsi
Proxy server adalah untuk mempercepat waktu response dengan cara menyatukan
proses dari beberapa host dalam suatu trusted network. Dalam kebanyakan kasus,
tiap host mempunyai kekuasan untuk membaca dan menulis (read/write) yang
berarti apa yang bisa saya lakukan dalam sistem saya akan bisa juga saya
lakukan dalam system anda dan sebaliknya.
Jika firewal yang
berada dalam trusted network tidak dikonfigurasikan secara optimal, khususnya
untuk memblok akses dari luar, apalagi jika autentikasi dan enkripsi tidak
digunakan, seorang attacker bisa menyerang proxy server dan mendapatkan akses
yang sama dengan anggota trusted network lainnya. Jika attaker sudah masuk ke
sistem ia tentunya bisa melakukan apa saja dan ia bisa melakukan DDOS
(distributed denial of service) secara anoymous untuk menyerang network lain.
Router yang tidak dikonfigurasikan secara optimal juga akan berfungsi sebagai
proxy server dan akan mengakibatkan kerawanan yang sama dengan proxy server.
10. Remote Command
Processing Attacks
Trusted Relationship
antara dua atau lebih host menyediakan fasilitas pertukaran informasi dan
resource sharing. Sama halnya dengan proxy server, trusted relationship
memberikan kepada semua anggota network kekuasaan akses yang sama di satu dan
lain system (dalam network). Attacker akan menyerang server yang merupakan
anggota dari trusted system. Sama seperti kerawanan pada proxy server, ketika
akses diterima, seorang attacker akan mempunyai kemampuan mengeksekusi perintah
dan mengkases data yang tersedia bagi user lainnya
Halaman 1 | 2 | 3 | 4
11. Remote File System
Attack
Protocol-protokol
untuk tranportasi data –tulang punggung dari internet— adalah tingkat TCP
(TCPLevel) yang mempunyai kemampuan dengan mekanisme untuk baca/tulis
(read/write) Antara network dan host. Attacker bisa dengan mudah mendapatkan
jejak informasi dari mekanisme ini untuk mendapatkan akses ke direktori file.
Tergantung pada OS
(operating system) yang digunakan, attacker bisa meng extrack informasi tentang
network, sharing privileges, nama dan lokasi dari user dan groups, dan
spesifikasi dari aplikasi atau banner (nama dan versi software). System yang
dikonfigurasi atau diamankan secara minimal akan dengan mudah membeberkan
informasi ini bahkan melalui firewall sekalipun. Pada system UNIX, informasi
ini dibawa oleh NFS (Network File System) di port 2049. system Windows
menyediakan data ini pada SMB (server messaging block) dan Netbios pada port
135 – 139 (NT) dan port 445 pada win2k. Network administrator bisa
meminimalisasi resiko yang akan terjadi dengan menggunakan Protokolprotokol
tersebut dengan memberikan sedikit peraturan. Network dengan system windows,
harusnya memblok akses ke port 139 dan 445 dari luar network, jika
dimungkinkan. Dalam system unix port 2049 seharusnya di blok, sharing file
dibatasi dan permintaan file melalui showmount (perintah dalam unix) seharusnya
di catat dalam log.
12. Selective Program
Insertions
Selective Program
Insertions adalah serangan yang dilakukan ketika attacker menaruh
program-program penghancur, seperti virus, worm dan trojan (mungkin istilah ini
sudah anda kenal dengan baik ☺) pada system sasaran. Program-program penghancur
ini sering juga disebut malware. Program-program ini mempunyai kemampuan untuk
merusak system, pemusnahan file, pencurian password sampai dengan membuka
backdoor.
Biasanya antivirus
yang dijual dipasaran akan dapat mendeteksi dan membersihkan program-program
seperti ini, tetapi jika ada virus baru (anggap saja variant melissa) virus
scanner belum tentu dapat menghadapi script-script baru. Beberapa network
administrator melakukan pertahan terhadap malware dengan teknologi alternatif
seperti behaviour blockers, yang memberhentikan kode-kode yang dicurigai
berdasarkan contoh kelakuan malware, bukan berdasarkan signature. Beberapa
aplikasi lainnya akan mengkarantina virus dan code-code yang dicurigai didalam
daerah yang dilindungi, biasanya disebut sandboxes.
13. Port Scanning
Melalui port scanning
seorang attacker bisa melihat fungsi dan cara bertahan sebuah system dari
berbagai macam port. Seorang atacker bisa mendapatkan akses kedalam sistem
melalui port yang tidak dilindungi. Sebaia contoh, scaning bisa digunakan untuk
menentukan dimana default SNMP string di buka untuk publik, yang artinya
informasi bisa di extract untuk digunakan dalam remote command attack.
14.TCP/IP Sequence
Stealing, Passive Port Listening and Packet Interception
TCP/IP Sequence
Stealing, Passive Port Listening dan Packet Interception berjalan untuk
mengumpulkan informasi yang sensitif untuk mengkases network. Tidak seperti
serangan aktif maupun brute-force, serangan yang menggunakan metoda ini
mempunyai lebih banyak kualitas stealth-like. TCP/IP Sequence Stealing adalah
pemetaan dari urutan nomor-nomor (angka), yang bisa membuat packet milik
attacker terlihat legal. Ketika suatu system meminta sesi terhadap mesin lain,
kedua system tersebut saling bertukar nomor-nomor sinkronisasi TCP. Jika tidak
dilakukan secara acak, Attacker bisa mengenali algoritma yang digunakan untuk
meng –generate nomor-nomor ini. Urutan nomor yang telah dicuri bisa digunakan
attacker untuk menyamar menjadi salah satu dari system tadi, dan akhirnya
memperbolehkannya untuk melewati firewall. Hal ini sebenarnya efektif jika
digunakan bersama IP Spoofing.
Melalui passive port
listening, seorang attacker dapat memonitor dan mencatat (log) semua pesan dan
file yang dikirim ke semua port yang dapat diakses pada target system untuk
menemukan titik kerawanan. Packet Interception adalah bagian (tepatnya pelapis)
dari active listener program yang berada pada port di system sasaran yang
berfungsi untuk menerima ataupun mengembalikan semua tipe pesan (data) spesifik
yang dikirim. Pesan tersebut bisa dikembalikan ke unauthorized system, dibaca
dan akhir nya dikembalikan lagi baik tanpa perubahan atau juga dengan perubahan
kepada attacker, atau bahkan tidak dikembalikan.
Dalam beberapa versi
atau juga menurut konfigurasi dari user SSHD(secured shell daemon), otentikasi
bisa dilakukan dengan cara menggunakan public key (milik mesin tentunya). Jika
seorang attacker mempelajari public key yang digunakan, ia bisa menciptakan
atau memasukan paket-paket palsu. System sasaran akan menganggap pengirim paket
palsu tersebut mempunyai hak akses.
15. HTTPD Attacks
Kerawanan yang
terdapat dalam HTTPD ataupun webserver ada lima macam: buffer overflows, httpd
bypasses, cross scripting, web code vulnerabilities, dan URL floods. HTTPD
Buffer Overflow bisa terjadi karena attacker menambahkan errors pada port yang
digunakan untuk web traffic dengan cara memasukan banyak carackter dan string
untuk menemukan tempat overflow yang sesuai. Ketika tempat untuk overflow
ditemukan, seorang attacker akan memasukkan string yang akan menjadi perintah
yang dapat dieksekusi. Bufer-overflow dapat memberikan attacker akses ke
command prompt.
Beberapa feature dari
HTTPD bisa digunakan untuk meciptakan HTTPD byapass, memberi akses ke server
menggunakan fungsi logging. Dengan cara ini, sebuah halaman web bisa diakses
dan diganti tanpa dicatat oleh web server. Cara ini sering digunakan oleh para
cracker, hacktivis dan cyber vandals untuk mendeface website.
Sedangkan kerawanan
pada script-script web bisa terjadi pada semua bahasa pemrograman web dan semua
ekstensi aplikasi. Termasuk VB, Visual C++, ASP, TCL, Perl, PHP, XML, CGI dan
Coldfusion. Pada dasarnya, attacker akan mengexploitasi kelemahan dari sebuah
aplikasi, seperti CGI script yang tidak memeriksa input atau kerawanan pada IIS
RDS pada showcode.asp yang mengizinkan menjalankan perintah secara remote
(remote command priviledges). Melalui cross scripting dan cross-site scripting
seorang attacker bisa mengexploitasi pertukaran cookies antara browser dan
webserver. Fasilitas ini dapat mengaktifkan script untuk merubah tampilan web
dll. Script ini bisa menjalankan malware, membaca infomasi penting dan meng
expose data sensitive seperti nomor credit card dan password.
Pada akhirnya attacker
dapat menjalankan denial of service dengan URL flood, yang dilakukan dengan
cara mengulang dan terus mengulang permintaan terhadap port 80 httpd yang
melalui batas TTL (time to live)
Source : MBT Group
0 Response