(Mengatasi Remote Attack)

Transkripsi

1 The Remote Attack (Mengatasi Remote Attack)

2 Pengertian Remote Attack adalah sebuah/beberapa serangan yang diaktifkan untuk menyerang sebuah mesin, di mana sebenarnya penyerang (cracker) sekarang tidak mempunyai kendali atas mesin tersebut; maksudnya serangan tersebut ditujukan kepada mesin selain mesin milik penyerang (apakah mesin tersebut berada dalam satu subnet penyerang maupun berada 10,000 mil jauhnya) Remote Machine adalah mesin (selain mesin yang sedang kita pakai) yang bisa dicapai melalui beberapa protokol baik mengakses melalui internet, network, maupun media yang lain

3 Sasaran Serangan Institusi finansial & bank Internet Service Provider (ISP) Perusahaan farmasi Lembaga pemerintah & pertahanan Perusahaan multinasional Beberapa lembaga di atas adalah lembaga yang paling rentan terhadap serangan cracker

4 Profil Cracker (Attacker) Pria berusia antara tahun Meningkatkan kemampuan Cracking Memakai resource network untuk keperluan pribadi Opportunis (mencoba mencari celah) Mengambil akses administrator (root) Melakukan akses backdoor

5 Koneksi Perusahaan/Istansi dengan Internet Jaringan lokal (Intranet) Perusahaan Jaringan luar atau Internet Pengguna Layanan Permintaan layanan Pengguna Permintaan layanan Proxy server & gateway/firewall Proxy server mewakili permintaan dan penerimaan dari penyedia layanan Pengguna Permintaan layanan Layanan Perusahaan/instansi menggunakan teknik-teknik firewall dan proxy server untuk hubungan berupa hosting webserver, service , dan akses internet lain untuk user

6 Modus Operasi Mencari jalan untuk akses informasi intra corporate Umumnya Cracker tidak menyerang webserver Cracker yang menyerang webserver umumnya hanya (merubah file) untuk menjatuhkan citra perusahaan/lembaga Menyerang server Server mempunyai saluran langsung ke dalam intranet untuk bertukar

7 Modus Operasi Lanj. Menyerang router (cracker yang cukup canggih) Menggunakan scanner terhadap protokol SNMP (Simple Network Management Protocol) yang pada akhirnya router menjadi jembatan memasuki intranet melalui internet

8 Cara Menyerang Menggunakan teknik cloak (sembunyi waktu menyerang sehingga administrator tidak sadar mesinnya sedang diserang) Teknik cloak yang biasa digunakan : Bouncing (melompat) dari mesin yang sebelumnya telah diserang melalui program telnet atau remote shell ssh Bouncing dari mesin yang menjalankan windows melalui wingate mereka Bouncing dari server proxy yang salah kofigurasinya

9 Teknik Mengumpulkan Informasi Menggunakan Software nslookup dalam memberikan perintah ls <domain network> Melihat file HTML di server web anda untuk mengidentifikasi host lain di intranet anda Melihat berbagai dukumen yang ada di server file (FTP) anda Melakukan hubungan ke server mail anda menggunakan perintah telnet host 25 dan memberikan perintah expn <user> Mem-finger pengguna yang memiliki account di mesin yang terbuka di internet Teknik-teknik ini di jalankan di UNIX (bukan windows)

10 Implementasi Identifikasi komponen jaringan (secure way) Mencari mesin secure dengan cara cek daftar export dari Network File System (NFS) ke direktori /usr/bin, /etc dan /home Mengeksploitasi kelemahan Common Gatewai Internet (CGI) untuk akses file /etc/hosts.allow Selanjutnya identifikasi kelemahan mesin (biasanya dengan program-program scanner yang disembunyikan)

11 Scanning Target Port Transmission Control Protocol (TCP) Service Remote Procedure Call (RPC) memakai port mapper Daftar export melalui NFSD (Network File System Directory) Daftar share directory melalui samba/netbios Melakukan finger untuk identifikasi account default kelemahan CGI (Common Gateway Internet) Identifikasi kelemaha software-software server yang dijalankan di mesin seperti : sendmail, IMAP, POP3, RPC status & RPC mounted

12 Final Ambil kendali administrator/root Clean up log Pasang program backdoor (anti-cracker) Pasang.rhosts file di /usr/bin untuk menjalankan rsh & csh Menutup lubang security yang ada

13 The Machine Has Been Defeted Menjadikan jembatan antara internet dan intranet network Menginstalasi sniffer untuk melihat traffic ; password, no kartu kredit dll. Menghancurkan mesin dengan perintah rm rf /& jika perintah tersebut dijalankan mesin akan hancur lebur, butuh waktu berjam-jam sampai berbulan-bulan untuk memperbaikinya jika tidak pernah memback-up setting mesin

14 Antisipasi Firewall

15 Protect RPC and Remote Access

16 Turn Off auto-update

17

18 Anti sniffer ( Protect NFS Protect FTP Blocked Unknown Application Blocked Unknown IP Address Blocked Unknown User dll

19 Daftar Pustaka Purbo, Onno W Teknik Mengcrack Riley, Charles and Friends, 2003, The Best Damn Cisco Internetworking Book Period Syngress Publishing, Inc. Rockland MA Maximum Security: A Hacker's Guide to Protecting Your Internet Site and Network Macmillan, Computer Publishing advanced/