PERTEMUAN TAHUNAN VI ID-CERT 2014 BANDUNG, 21 APRIL 2014 ID-CERT INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Transkripsi

1 PERTEMUAN TAHUNAN VI ID-CERT 2014 BANDUNG, 21 APRIL 2014 ID-CERT

2 AGENDA HARI INI :45 Daftar ulang peserta Pembukaan dan sambutan oleh Bpk. Budi Rahardjo,PhD Laporan aktivitas ID-CERT Update Aktifitas Riset Malware :00 16:30 Rencana Kerja Tim Malware ID-CERT Diskusi Tren IT Security 2014 PENUTUP: Silaturahmi Anggota

3 Tim Kami Ketua: Budi Rahardjo, PhD Wakil Ketua: Andika Triwidada Manager & Researcher: Ahmad Alkazimy Incident Response Officer Helpdesk: Rahmadian Technical Editor: Wayan Achadiana Didukung oleh sejumlah voluntir lainnya.

4 Penambahan Personel di Feb-13: Technical Editor: Ikhlasul Amal 01-Okt-13: Penambahan staf Support untuk RBL: Wayan Achadiana 01-Okt-13 Penambahan staf magang untuk Malware Lab: Ade Yoseman 02-Okt-13 Penambahan staf magang untuk Malware Lab: Ardy

5 Keanggotaan KORPORAT Mendapatkan laporan rutin aktifitas ID-CERT Mendapatkan laporan rutin Incident Monitoring Report, 30 hari lebih awal sebelum ditampilkan diweb/milis publik. Mendapatkan layanan Peringatan Keamanan/Security Advisories 30 hari lebih awal sebelum ditampilkan diweb/milis publik. Mendapatkan layanan Catatan Kerentanan/Vulnerability Notice 30 hari lebih awal sebelum ditampilkan diweb/milis publik. Partisipasi dalam layanan ID-CERT lainnya. Summary report (rangkuman insiden): incident Handling yang dikostumasi per Anggota, dikeluarkan setiap 10 hari sekali dan 1 bulan sekali.dikirimkan dalam format ASCII Plain Text via . Pencantuman logo diweb ID-CERT: Iuran bulanan sebesar Rp. 2,5 juta/bulan

6 Keanggotaan UMUM Security Advisories,30 hari setelah diterbitkan untuk versi korporasi Vulnerability Notice,30 hari setelah diterbitkan untuk versi korporasi Incident Monitoring Report, 30 hari setelah diterbitkan untuk versi korporasi. Iuran: Tidak ada

7 Nama Perusahaan: Nomer telpon utama: Nomer telpon tambahan: utama: lainnya: Nama PoC perusahaan Softcopy Logo Formulir Keanggotaan KORPORAT

8 01-Feb-13 Penambahan Staf baru untuk Technical Editor Kegiatan 6-9 Feb 2013 ASEAN-Japan Cyber Security Workshop, Bangkok 14-Feb-13 Pertemuan Tahunan ke-5 ID-CERT Maret 2013 Partisipasi ID-CERT dalam Cyber Intelligence Asia di Kuala Lumpur 14-Mar-13 Pertemuan ID-CERT dengan telecom-isac Japan 21-Mar-13 Undangan dari Kedubes Inggris terkait Cyber Security Indonesia Mar 2013 APCERT AGM Brisbane 25-Mar-13 Kunjungan ke kantor AusCERT, Brisbane 24 & 28 Mar 2013 Kunjungan ke kantor APNIC, Brisbane April 2013 Partisipasi dalam TRACEROUTE PARTY di JCC, ID-CERT mendapatkan sponsor Booth dari IDC dan The.net serta menjadi pembicara dalam Workshop pada 12 April Mei-13 Undangan pembicara tentang Cyber Security Nasional oleh AcadCSIRT di Bali

9 KEGIATAN 23-Mei-13 Undangan pembicara tentang Lokakarya Penulisan Jurnalistik dan Pengelolaan portal KEMLU di Bandung 30-Mei-13 Undangan pembicara tentang Pelatihan Cyber Defense KEMHAN di PUSILKOM UI Salemba, Jakarta 19-Jun-13 Undangan Pembicara tentang Indonesia Malware Incident Updates pada workshop Honeynet Indonesia Chapter di Jakarta 24-Jun-13 Undangan Pembicara FGD Organisasi Keamanan Siber, KEMHAN & ITB 2-3 Juli 2013 Undangan Workshop Network Visibility & Security di SMARTFREN 25-Jul-13 Penganugerahan Medali 10 tahun APCERT oleh kedubes Australia di Jakarta Juli 2013 Undangan Pembicara FGD SOP Penanganan Insiden Web Deface, KAMINFO 19-Sep-13 Undangan Pembicara Security Awareness dan Pengenalan GovCSIRT, Manado, KAMINFO

10 01-Okt-13 Penambahan staf Support untuk RBL: Wayan Achadiana KEGIATAN 01-Okt-13 Penambahan staf magang untuk Malware Lab: Ade Yoseman 02-Okt-13 Penambahan staf magang untuk Malware Lab: Ardy 03-Okt-13 Undangan Panelis Strategi Keamanan Infrastruktur TIK Sektor Pemerintahan, PUSTEKKOM KEMDIKBUD, Bandung 08-Okt-13 Undangan Pembicara FGD "Antisipasi dan solusi terhadap kejahatan cyber guna meningkatkan ketahanan nasional", WANTANAS,Jakarta 04-Nop-13Website baru ID-CERT 05-Nop-13RBL Indonesia diujicoba untuk konstituen ID-CERT.

11 KEGIATAN 07-Nop-13Pelaksanaan Security Drill perdana ID-CERT untuk konstituen APJII 19-Nop-13Rapat dengan SC APCERT mengenai kerjasama dengan APRICOT, disela acara OIC CERT, Bandung 03-Des-13 Penambahan staf magang untuk Malware Lab: Hadi Rasyid Sono 9-10 Des 2013 Undangan sebagai Peserta dalam Grand Design Cyber Defense Workshop-KEMHAN di Hotel Oasis Amir Jakarta, dihadiri oleh AKA dan BR 12-Des-13 Kunjungan Pemkab Berau - KALTIM ke ID-CERT, ruang di fasilitasi oleh IDC Indonesia 23-Des-13 Undangan sebagai Penanggap dalam acara FGD Urgensi Pembentukan Lembaga Koordinasi Pengamanan Siber Nasional oleh POLHUKAM

12 MITRA KAMI PANDI KEMKOMINFO/GovCSIRT KEMDIKBUD BPPT PT. ARSEN KUSUMA INDONESIA QWORDS PT. Insan Infonesia PT. CNI APJII

13 Rencana Kerja ID-CERT 2014

14 TERBARU: Feed Harian kepada DIKBUD terkait masalah insiden siber.

15 Statistik Malware Progress: sudah 90% Mengetahui tren top 10 malware

16 Latar belakang: Rencana Pelatihan Munculnya banyak pertanyaan seputar hal-hal mendasar terkait PGP Key Perlu lebih banyak sosialiasi terkait masalah IT Security Target: Engineer High Level Sektor: ISP, Instansi Pemerintahan, Pendidikan, Penmegak Hukum dan Finansial Kapasitas dan biaya: 20 peserta per pelatihan Peserta tidak dikenakan biaya Kendala: Tidak pernah dianggarkan dalam kegiatan ID-CERT Perlu dukungan sponsor terhadap aktifitas ini

17 Rencana Pelatihan dan Pertemuan ID-CERT Gathering VI: Riset Malware (21 APRIL 2014) Pertemuan tahunan ID-CERT membahas: Perkembangan terbaru seputar IT Security di Indonesia Aktifitas Rutin ID-CERT Kegiatan terbaru: Riset Malware dan Rencana Pelatihan ID-CERT Gathering VII dan Silaturahmi Anggota ( Awal Agustus 2014) Pertemuan tahunan ID-CERT membahas: Perkembangan terbaru seputar IT Security di Indonesia Aktifitas Rutin ID-CERT Silaturahmi Anggota

18 Pelatihan Dasar (1 Hari) Pengenalan Information Security, Tren IT Security 2013/2014 per Sektor Security Audit Methodology Pengenalan ID-CERT Incident Monitoring Report Secure Topik Pembicara lainnya Per Sektor: GovCSIRT, AcadCSIRT, dsb Tanggal Tentative: 23 Juni 2014: sektor ISP 18 Agustus 2014: Sektor penegak hukum 11 September 2014: Sektor Pemerintahan

19 Pelatihan Lanjutan (2 Hari) Pengenalan Information Security, Tren IT Security 2014 per Sektor 10 Domains of Security Security Audit Methodology Pengenalan ID-CERT Incident Monitoring Report Secure Penetration Testing Teknologi Pengamanan Diskusi Tanggal Tentative: Mei, sektor Pemerintahan Okt, sektor ISP Nov, sektor Penegak Hukum 8-9 Des, sektor Finansial

20 Layanan Existing Antispam RBL (operasional bersama dengan APJII) Security Advisory IMR Incident Handling Riset Malware Penajaman laporan teknis: kostumasi

21 Layanan Incident Handling

22 Jumlah laporan yang diterima di tahun 2012: laporan Laporan terbesar adalah Network Incident: (76,53 % dari total) laporan yang terdiri dari: Brute Force (90%) Open Proxy (5%) DDoS, dll (5%) Respon terhadap pengaduan ditahun 2012: 868 Laporan Layanan Jumlah laporan yang diterima di tahun 2013: laporan Laporan terbesar adalah Spam: laporan (48,4 %) Network Incident: laporan (27,81%) Malware laporan (10,07%) Respon terhadap pengaduan ditahun 2013: Laporan

23 Aduan yang masuk: Darimana Informasi didapat? Informasi dari aduan pengguna internet di dalam negri yang mengetahui kelemahan tersebut; Informasi dari aduan pengguna internet diluar maupun komunitas tertentu yang mengetahui kelemahan yang ada; Informasi dari media online dan mailing list;

24 Beberapa Kasus Yang Sering Diadukan Pembajakan akun media sosial (FB, Twitter, dsb) Pembajakan pengelolaan nama domain Deface Pemalsuan Situs Web/Phishing HaKI Malware Insiden Jaringan Spam

25 Kendala yang dihadapi atas aduan yang diterima tidak valid; Nomer Telpon tidak valid; Alamat tidak valid/berubah; Kontak yang ada merupakan kontak pihak ketiga yang sudah tidak valid; Terkait masalah Hukum;

26 Laporan Incident Monitoring Report (IMR)

27 RESPONDEN ID-CERT APJII PANDI KEMDAG TOTAL: 39 RESPONDEN KEMKOMINFO DETIK.NET ZONE-h AFCC 3 OPERATOR TELEKOMUNIKASI 7 NAP 21 ISP

28

29 Network Incident (76,53%) Brute Force DDoS Open Proxy Deface System Vulnerability

30

31 Samples: Phishing-Malware

32

33

34 Phishing

35 From - Wed Oct 02 06:51: Phishing (Bagian I) Return-Path: <gewerbevereinwel@s onlinehome-server.info> X-Original-To:xxx Delivered-To: xxx Received: from mail.xxxx.or.id (mail.xxx.or.id [119.xx.xxx.100]) by xxxx.xxxx.or.id (Postfix) with ESMTP id 2FBE83409B2 for xxx; Wed, 2 Oct :28: (WIT) Received: from s onlinehome-server.info (fdp-kreistagsfraktion-soest.de [ ]) by mail.xxxx.or.id (Postfix) with ESMTPS id AF74D3F2011 for <xxxxx@xxxx.or.id>; Wed, 2 Oct :28: (WIT) Received: by s onlinehome-server.info (Postfix, from userid 10005) id 0D5261B0E101; Wed, 2 Oct :25: (CEST) To: xxxxx@xxxx.or.id Subject: Invitation: UN DESA World Summit on Sustainable Development November London, United Kingdom.

36 Phishing (bagian II) Dear Invitee, Nonprofit/NGO Colleague, On behalf of the organizing and scientific working committee, the United Nations invites you to a Four-day summit.. Registration to this Summit is absolutely "free" and strictly for invited individuals and organizations only. As an invitee, you have received a registration code UNDESA/03260/2013/UK with the invitation letter, which grants you access to the registration form. The United Nations Department of Economic and Social Affairs (UNDESA) will sponsor free travel costs and all-round flight ticket for all participant. Invited participants will only be responsible for their hotel accommodation and feeding cost at the Royal Eagles Hotel... The following topics can be covered in your submission and presentation: * Causes and Solutions of the Global Financial and Economic Crisis... For further details about registration form,visa,flight ticket and other details, write an acceptance letter to be part of this event and send directly to the (Conference Organizing Secretary) Ms. Cristina Parceog via registration@un-summit.org For more information call Ronald Pierre, [Coordinator],Communication and Public Affairs.

37

38 Phishing: tselnet.com

39

40

41

42

43

44 Potential Loss and Current Loss of Fraud reported in Indonesia

45 Response

46 Laporan Tim Riset Malware ID-CERT

47 Diskusi Tren IT Security

48 BGP Hijack Kasus AS4761 pada 3 April Negara terkena dampak langsung Semua layanan mati termasuk data dan voice

49 Malware APT Terdeteksi pada 26 DESEMBER IP Address Indonesia terinfeksi Lebih dari 98 instansi termasuk Pemerintahan, Edukasi, ISP

50 PERINGATAN KEAMANAN: Kelemahan Joomla Pada 22 Des 2012, ID-CERT kembali mendapatkan informasi dari NCCIC tentang adanya kelemahan sistem yang melibatkan sejumlah IP Address Indonesia. Sebelumnya, pada 14 Desember yang lalu, ID- CERT juga telah menerima laporan tentang hal yang sama. Sejak Agustus 2012, sejumlah situs terkontaminasi dan digunakan untuk menyimpan dan melakukan Distributed Denial of Service (DDoS). Kelemahan pada Joomla versi 1.6 hingga telah teridentifikasi dan telah digunakan untuk menyerang Solusi: Developer.joomla.org/security/news/ core-privilegeescalation.html Developer.joomla.org/security/news/ core-privilegeescalation.html

51 PERINGATAN KEAMANAN Malware CMS yang mengakibatkan Spam Pada 04 Des 2013, ID-CERT mendapatkan informasi dari Norwegian National Healthcare CSIRT, GoDaddy serta sejumlah pihak lainnya tentang adanya sistem yang terinfeksi malware pada CMS sehingga berpotensi digunakan untuk melakukan aktifitas pengiriman spam. Antisipasi: 1. Lakukan pemeriksaan kesehatan sistem secara berkala 2. Lakukan pembersihan terhadap PHP/HTML Malware yang telah tertanam 3. Segera update aplikasi CMS ke versi terbaru 4. Lakukan update Antivirus secara berkala.

52 PERINGATAN KEAMANAN: OpenSSL Heartbleed Pada 13 APRIL 2014: ID-CERT menerima informasi dari sumber yang valid mengenai kerentanan yang ada pada versi OpenSSL hingga 1.0.1f yang dapat mengungkapkan informasi sensitif milik pengguna ke penyerang. Dampak dari kerentanan ini adalah remote, penyerang yang tidak berkepentingan mungkin dapat mengambil informasi sensitif, seperti kunci rahasia. Dengan menggunakan informasi sensitif, penyerang mungkin dapat mendekripsi, spoof, atau melakukan serangan man-in- the-middle pada lalu lintas jaringan yang seharusnya dapat dilindungi oleh OpenSSL. Solusi: a. Menerapkan update b. Nonaktifkan dukungan detak jantung OpenSSL c. Rekomendasi lain adalah untuk mengkompilasi ulang OpenSSL dengan - DOPENSSL_NO_HEARTBEATS FALG.

53 DISKUSI?

54 Peringatan Keamanan tentang Kerentanan Sistem: Peringatan Keamanan tentang Celah Keamanan Joomla Peringatan Keamanan tentang Saran Pengamanan Sistem Peringatan Keamanan tentang Malware Grumbot Reading Room Peringatan Keamanan tentang Malware Zeus dan target yang dicari: DNS Changer Malware Zeus Penelitian dan Incident Handling Report ID-CERT:

55 READING ROOM: cara melapor ke ID-CERT Konsultasikan dengan ID-CERT melalui (sangat direkomendasikan via ) atau telpon di ; Sertakan informasi penting terkait hal yang diadukan, seperti: Log file URL / Link bermasalah? Surat Keterangan dari instansi (untuk situs palsu) Bila merupakan masalah hukum atau lainnya, ID-CERT akan mengarahkan/mengkonsultasikannya kepada pihak yang tepat.

56 PERTANYAAN, SARAN & MASUKAN? Kontak Desk ID-CERT: Telpon: (+62) Ahmad Alkazimy(Manajer ID-CERT) Rahmadian L. Arbianita (Helpdesk ID-CERT) Mailing List: