46 4) Siklus Hidup Penilaian Kerentanan Siklus hidup Penilaian Kerentanan meliputi fase-fase berikut: a) Membuat Baseline Membuat Baseline adalah fase pra-penilaian dari siklus hidup penilaian kerentanan siklus hidup di mana pentester atau administrator jaringan yang melakukan melakukan penilaian mengidentifikasi sifat jaringan perusahaan, aplikasi, dan layanan, aplikasi, dan layanan. Dia membuat inventaris semua sumber daya dan aset yang membantu untuk mengelola, memprioritaskan penilaian. selanjutnya, dia juga memetakan infrastruktur, mempelajari tentang kontrol keamanan, kebijakan, dan standar yang diikuti oleh organisasi. Pada akhirnya, baseline membantu merencanakan proses secara efektif, menjadwalkan tugas, dan mengelolanya sesuai prioritas. b) Penilaian Kerentanan Tahap Penilaian Kerentanan difokuskan pada penilaian target. Proses penilaian Proses penilaian meliputi pemeriksaan dan inspeksi langkah-langkah keamanan seperti keamanan fisik serta kebijakan dan kontrol keamanan. Dalam fase ini Dalam fase ini, target dievaluasi untuk kesalahan konfigurasi, konfigurasi default kesalahan, dan kerentanan lainnya baik dengan memeriksa setiap komponen satu per satu atau Gambar 11 Vulnerability Asesment Lifecycle
47 menggunakan alat penilaian. Setelah pemindaian selesai, temuan diurutkan berdasarkan prioritasnya. Pada akhir fase ini, kerentanan laporan penilaian kerentanan menunjukkan semua kerentanan yang terdeteksi, cakupannya, dan prioritasnya. c) Penilaian Risiko Penilaian Risiko mencakup cakupan kerentanan yang teridentifikasi ini dan dampaknya dampaknya terhadap jaringan perusahaan atau organisasi. d) Remediasi Fase remediasi mencakup tindakan perbaikan untuk kerentanan yang terdeteksi kerentanan yang terdeteksi ini. Kerentanan dengan prioritas tinggi ditangani terlebih dahulu karena dapat menyebabkan dampak yang sangat besar. e) Verifikasi Fase verifikasi memastikan bahwa semua kerentanan dalam suatu lingkungan dihilangkan. f) Pemantauan Fase pemantauan mencakup pemantauan lalu lintas jaringan dan system untuk mengetahui adanya penyusupan lebih lanjut. 5) Solusi Penilaian Kerentanan a) Pendekatan yang berbeda untuk Penilaian Kerentanan Solusi Berbasis Produk Vs Solusi Berbasis Layanan Solusi berbasis produk digunakan dalam jaringan perusahaan suatu organisasi atau jaringan pribadi. Solusi ini biasanya untuk didedikasikan untuk jaringan internal (pribadi). Solusi berbasis layanan adalah solusi pihak ketiga yang menawarkan keamanan dan audit ke jaringan. Solusi ini dapat menjadi tuan rumah baik di dalam maupun di luar jaringan. Karena solusi ini diizinkan untuk jaringan internal, maka risiko keamanan yang dikompromikan. Penilaian Berbasis Pohon Vs. Penilaian Berbasis Inferensi Penilaian berbasis pohon adalah pendekatan penilaian di mana auditor mengikuti strategi yang berbeda untuk setiap komponen lingkungan. Untuk Sebagai contoh, pertimbangkan
48 skenario jaringan organisasi di mana berbagai mesin yang berbeda, auditor dapat menggunakan pendekatan untuk mesin berbasis Windows sedangkan teknik lain untuk server berbasis Linux. Penilaian berbasis inferensi adalah pendekatan lain untuk membantu tergantung pada inventarisasi protokol dalam suatu lingkungan. Sebagai contoh, jika auditor menemukan protokol, dengan menggunakan pendekatan penilaian berbasis inferensi, auditor akan menyelidiki port dan layanan yang terkait dengan protokol tersebut. Praktik Terbaik untuk Penilaian Kerentanan Berikut ini adalah beberapa langkah yang direkomendasikan untuk Penilaian Kerentanan untuk hasil yang efektif. Seorang administrator jaringan atau auditor harus mengikuti praktik terbaik ini praktik terbaik untuk penilaian kerentanan. Sebelum memulai alat penilaian kerentanan apa pun di jaringan, auditor auditor harus memahami fungsionalitas lengkap dari alat penilaian tersebut alat tersebut. Ini akan membantu memilih alat yang tepat untuk mengekstrak informasi yang diinginkan. Pastikan tentang alat penilaian yang tidak akan menyebabkan kerusakan apa pun kerusakan atau tidak tersedianya layanan yang berjalan di jaringan. Pastikan lokasi sumber pemindaian untuk mengurangi area fokus. Jalankan pemindaian sesering mungkin untuk mencari kerentanan. b) Sistem Penilaian Kerentanan Sistem Penilaian Kerentanan Umum (CVSS) Sistem Penilaian Kerentanan Umum (Common Vulnerability Scoring System/CVSS) menyediakan cara untuk menangkap karakteristik utama kerentanan dan menghasilkan skor numerik yang numerik yang mencerminkan tingkat keparahannya. Skor numerik kemudian dapat diterjemahkan ke dalam representasi kualitatif (seperti rendah, sedang, tinggi, dan kritis) untuk membantu organisasi menilai dan memprioritaskan manajemen kerentanan mereka dengan benar manajemen kerentanan mereka dengan benar.
49 Keamanan Peringkat Skor Dasar Tidak ada 0.0 Rendah 0.1 – 3.9 Sedang 4.0 – 6.9 Tinggi 7.0 – 8.9 Kritis 9.0 – 10.0 Kerentanan dan Keterpaparan Umum (CVE) Kerentanan dan Keterpaparan Umum (CVE) adalah platform lain tempat untuk dapat menemukan informasi tentang kerentanan. CVE menyimpan daftar kerentanan yang diketahui termasuk nomor identifikasi dan deskripsi kerentanan keamanan siber yang diketahui. Basis Data Kerentanan Nasional AS (NVD) diluncurkan oleh National National Institute of Standards and Technology (NIST), Daftar CVE menjadi masukan bagi NVD, yang kemudian membangun informasi yang termasuk dalam Entri CVE untuk menyediakan informasi yang disempurnakan untuk setiap entri seperti informasi perbaikan, skor keparahan, dan peringkat dampak. Sebagai bagian dari informasi yang disempurnakan, NVD juga menyediakan fitur pencarian lanjutan seperti berdasarkan OS; berdasarkan nama vendor, nama produk, dan/atau nomor versi; dan berdasarkan jenis kerentanan, tingkat keparahan, eksploitasi terkait jangkauan, dan dampak. Pemindaian Kerentanan Di era teknologi dan kemajuan modern ini, menemukan kerentanan dalam lingkungan yang ada menjadi mudah dengan menggunakan alat yang berbeda. Beragam alat, alat otomatis maupun manual, tersedia untuk membantu untuk menemukan kerentanan. Pemindai Kerentanan adalah utilitas otomatis yang yang secara khusus dikembangkan untuk mendeteksi kerentanan, kelemahan, masalah, dan lubang dalam sistem operasi, jaringan, perangkat lunak, dan aplikasi. Pemindaian ini alat melakukan pemeriksaan mendalam terhadap skrip, port terbuka, spanduk, berjalan layanan, kesalahan konfigurasi, dan area lainnya.
50 Alat pemindaian kerentanan ini meliputi: • Nessus • OpenVAS • Nexpose • Retina • GFI LanGuard • Qualys FreeScan, dan banyak alat lainnya. Alat-alat ini tidak hanya memeriksa perangkat lunak dan aplikasi yang sedang berjalan untuk menemukan risiko dan kerentanan oleh para ahli Keamanan tetapi juga oleh para penyerang untuk mencari tahu celah dalam lingkungan operasi organisasi. b. Peretasan Sistem (System hacking) System hacking merujuk pada kegiatan meretas atau mengakses ilegal sistem komputer, jaringan, atau perangkat elektronik lainnya. Aktivitas hacking dapat melibatkan penggunaan pengetahuan teknis dan keahlian komputer untuk menembus keamanan suatu sistem dengan cara-cara yang tidak diizinkan. Tujuan dari system hacking bisa bermacammacam, mulai dari mencuri data, mengubah informasi, mencuri informasi sensitif, hingga merusak atau mengganggu operasi suatu sistem. Beberapa metode umum yang digunakan dalam system hacking meliputi: 1. Penetrasi keamanan (Penetration Testing). Ini melibatkan identifikasi celah atau kerentanan dalam sistem yang dapat dimanfaatkan untuk masuk. Dalam konteks yang legal, ini dikenal sebagai uji penetrasi, yang dilakukan untuk mengetahui sejauh mana suatu sistem rentan terhadap serangan dari pihak luar. 2. Phishing. Metode ini melibatkan pembuatan situs palsu atau pesan palsu yang menyerupai entitas terpercaya untuk mencuri informasi sensitif seperti kata sandi, informasi kartu kredit, atau informasi pribadi dari pengguna. 3. Exploiting Vulnerabilities. Hacker akan mencari celah atau kerentanan dalam perangkat lunak atau sistem operasi untuk mendapatkan akses yang tidak sah. Mereka dapat menggunakan malware, virus, atau kode-kode tertentu untuk mengeksploitasi celah keamanan tersebut.
51 4. Backdoors. Sebagian besar sistem memiliki pintu belakang (backdoors) yang memungkinkan akses untuk keperluan perawatan atau keadaan darurat. Namun, dalam hacking, backdoors dapat dimanfaatkan untuk masuk ke sistem tanpa izin. 5. Social Engineering. Teknik ini memanfaatkan psikologi manusia untuk mendapatkan informasi rahasia atau akses ke sistem. Ini bisa melibatkan manipulasi orang dengan menyamar sebagai orang yang memiliki otoritas atau kepercayaan untuk mendapatkan informasi yang diperlukan. Penting untuk diingat bahwa hacking ilegal dan tidak etis adalah ilegal dan dapat menyebabkan konsekuensi hukum yang serius. Di sisi lain, ada peneliti keamanan atau etis hacker yang melakukan aktivitas hacking dengan izin untuk menemukan celah keamanan dan membantu meningkatkan keamanan sistem. Penggunaan teknik hacking haruslah sesuai dengan hukum dan etika. Proteksi sistem dari serangan hacking terus berkembang, namun demikian, penting bagi pemilik sistem untuk selalu mengambil langkah-langkah keamanan yang diperlukan untuk melindungi data dan infrastruktur mereka. a. Metodologi Peretasan Sistem Dalam peretasan sistem, penyerang menemukan dan mengeksploitasi kerentanan dalam sistem untuk mendapatkan keuntungan ilegal dan akses data tidak sah. Untuk ini, mereka mencari informasi tentang sistem, jaringan, serta bagian-bagian ilmu komputer yang relevan. Karena sistem yang terhubung ke internet rentan, para peretas menggunakan teknik seperti spam email, rekayasa sosial, trojan, worm, phishing, kerentanan port, dll. untuk melancarkan serangan peretasan sistem. Untuk meretas suatu sistem, ada kebutuhan untuk menemukan eksploitasi tertentu di OS, perangkat lunak, aplikasi, atau sistem yang relevan. Eksploitasi dapat ditemukan menggunakan berbagai teknik dan alat, seperti ExploitDB dan Metasploit. Beberapa alat pemindaian kerentanan seperti OpenVAS, Nexpose, dan Nessus juga digunakan. Berikut adalah beberapa contohnya :
52 • Modul Metasploit Modul Metasploit adalah perangkat lunak yang digunakan untuk menemukan eksploitasi dan kerentanan pada sistem atau jaringan target. Modul dapat digunakan sebagai modul eksploitasi, modul tambahan, atau modul pasca eksploitasi. Untuk mengonfigurasi eksploitasi, peretas perlu mencari modul dengan menggunakan operator pencarian di alat tersebut. Operator pencarian membantu membuat kueri yang tepat dengan menerapkan beberapa jenis filter seperti nama modul, jalur, platform, ID CVE, aplikasi, dan banyak lagi. Berdasarkan filter ini, daftar hasil akan ditampilkan. • Exploit-DB (Exploit Database atau EDB) Exploit-DB (Exploit Database atau EDB) adalah salah satu proyek paling disukai yang menunjukkan eksploitasi berdasarkan kategori. Kategori ini mencakup platform, jenis, bahasa, port, dan banyak lagi. Ini membantu dalam mencari eksploitasi untuk keadaan tertentu. Setelah menemukan eksploitasi yang mungkin berhasil pada sistem target, para peretas menggunakannya di Kali untuk melakukan serangan. Buka browser di Kali seperti Iceweasel dan buka eksploitasi-db.com. Di situs web, buka opsi Pencarian dan klik untuk mencari database eksploitasi. Dari sini, Anda dapat menemukan eksploitasi dalam suatu sistem. 1) Password Cracking Pembobolan kata sandi adalah tindakan mengungkap kata sandi pengguna. Situs web menggunakan enkripsi untuk menyimpan kata sandi Anda sehingga pihak ketiga tidak dapat mengetahui kata sandi Anda yang sebenarnya. Kata sandi Anda disimpan di server situs web sebagai rangkaian karakter terenkripsi yang disebut hash. Peretas tidak dapat membalikkan algoritma hashing dan mengungkap kata sandi Anda. Namun ada banyak teknik peretasan kata sandi yang dapat mereka gunakan untuk mendapatkan apa yang mereka inginkan. Mereka bahkan dapat meminta Anda mengetikkan kata sandi ke situs web yang tidak sah dan berbahaya. Berikut adalah penjelasan lebih dekat tentang
53 beberapa metode peretasan kata sandi teratas dan bagaimana Anda dapat melindunginya. 2) Guessing Password Kata sandi harus sulit dipecahkan tetapi mudah diingat. Sayangnya, banyak orang yang meremehkan risikonya dan terlalu cenderung membuat kata sandi mereka mudah diingat. Seringkali mudah untuk mengakses informasi hanya dengan menebak bahwa kata sandinya sebenarnya adalah “kata sandi”. Kata sandi umum lainnya mencakup ulang tahun dan hobi, yang membuat kata sandi Anda mudah ditebak. Saat mengatur kata sandi Anda, jangan gunakan istilah yang mudah ditebak atau ditemukan secara online. Sebaliknya, gunakan kata sandi atau frasa sandi yang panjang dan sulit ditebak yang menggabungkan beberapa kata acak. 3) Blind Attack Metode brute force mencoba setiap kombinasi karakter yang mungkin. Pemecah kata sandi brute force mengubah jutaan kemungkinan kata sandi menjadi hash dan membandingkan hash tersebut dengan hash yang terkait dengan kata sandi Anda. Cara ini memakan waktu yang sangat lama — semakin rumit kata sandinya, semakin lama pula waktu yang dibutuhkan untuk memecahkannya. Kata sandi yang cukup rumit akan membutuhkan waktu ratusan atau bahkan ribuan tahun bagi komputer yang kuat untuk dapat dipecahkan. Meskipun beberapa serangan ini menggunakan kekuatan botnet , kata sandi yang tepat masih dapat menghindari serangan brute force. Peretasan brute force juga dapat memanfaatkan daur ulang kredensial, yang merupakan penggunaan kombinasi nama pengguna dan kata sandi yang diretas di masa lalu. Demikian pula, serangan brute force terbalik dimulai dari kata sandi umum (seperti “kata sandi”) dan sebagai gantinya mengendus nama pengguna. 4) Dictionary Attack Serangan kamus melibatkan tabel besar kata sandi semi-umum dan hashnya. Misalnya, alat serangan kamus mungkin membandingkan hash terenkripsi yang ditemukan di
54 server Facebook dengan yang ada di database-nya. Dan mungkin akan menemukan kecocokan. Contoh kata sandi ini berisi frasa atau kata dari kamus dengan sedikit variasi. Dengan begitu, kata sandi yang menambahkan atau menghilangkan karakter atau angka acak di tengah kata sandi mungkin masih bisa terbongkar. 5) Social Engineering Rekayasa sosial melibatkan manipulasi seseorang agar menyerahkan informasi sensitif. Peretas tahu persis jenis email apa yang cenderung dibuka orang tanpa berpikir panjang. Jika Anda mendapat email yang memperingatkan Anda tentang masalah keamanan yang akan terjadi pada akun Anda, jangan klik tautan dan masukkan kata sandi atau detail pribadi lainnya. Taktik lainnya termasuk menggunakan alamat email palsu seperti admin [at] paypa|.com. Anda akan terkejut dengan banyaknya orang yang tidak memperhatikan perbedaan antara huruf kecil L dan | simbol. 6) Rainbow Table Attack Serangan tabel pelangi menghilangkan kebutuhan untuk menyimpan ratusan juta kombinasi hash kata sandi. Tabel pelangi mengingat bagian-bagian hash sebelum mencoba menemukan seluruh string, mengurangi volume dan membuat kombinasi hash kata sandi lebih mudah ditemukan. Meskipun serangan brute force memakan banyak waktu dan serangan kamus memakan banyak ruang (karena file berukuran besar harus disortir), serangan tabel pelangi memberikan pengorbanan tertentu dan mengurangi jumlah waktu dan ruang yang dibutuhkan. Ini terbukti sangat efektif, terutama dengan alat RainbowCrack yang populer. https://www.avg.com/en/signal/password-cracking-techniques-hackers-use C. Rangkuman Analisis kerentanan adalah bagian dari fase pemindaian. Dalam siklus peretasan, analisis kerentanan adalah bagian utama dan penting. Adapun beberapa pembahasannya yang penting yaitu : konsep Penilaian Kerentanan, Penilaian Kerentanan fase, jenis penilaian, alat, dan aspek
55 penting lainnya. Penilaian Kerentanan adalah tugas mendasar bagi penguji penetrasi untuk menemukan kerentanan dalam suatu lingkungan. Penilaian kerentanan meliputi menemukan kelemahan dalam suatu lingkungan, kelemahan desain, dan keamanan lainnya kekhawatiran yang dapat menyebabkan sistem operasi, aplikasi atau situs web disalahgunakan disalahgunakan. Siklus hidup penilaian kerentanan terdiri dari Membuat Baseline, Penilaian Kerentanan, Penilaian Risiko, Remediasi, Verifikasi, dan Pemantauan. Alat pemindaian kerentanan ini meliputi Nessus, OpenVAS, Nexpose, Retina, GFI LanGuard, Qualys FreeScan, dan banyak alat lainnya. System hacking merujuk pada kegiatan meretas atau mengakses ilegal sistem komputer, jaringan, atau perangkat elektronik lainnya. Aktivitas hacking dapat melibatkan penggunaan pengetahuan teknis dan keahlian komputer untuk menembus keamanan suatu sistem dengan cara-cara yang tidak diizinkan. Tujuan dari system hacking bisa bermacam-macam, mulai dari mencuri data, mengubah informasi, mencuri informasi sensitif, hingga merusak atau mengganggu operasi suatu sistem. D. Latihan 1. Apa yang Anda ketahui tentang Vulnerability? 2. Jelaskan penyebab terjadinya Vulnerability) 3. Apa yang dimaksud dengan penilaian kerentanan? 4. Jelaskan tentang siklus hidup penilaian kerentanan? 5. Sebutkan tools yang digunkaan dalam melakukan Vulnerability Scanning? 6. Apa yang Anda ketahui tentang System Hacking? 7. Sebutkan metode umum yang digunakan dalam melakukan System Hacking? 8. Apa yang Anda ketahui tentang phising? 9. Jelaskan tentang cara kerja backdoors? 10. Jelaskan tentang metodologi peretasan sistem?
56 KEGIATAN BELAJAR 5 SNIFING A. Tujuan Pembelajaran Adapun tujuan pembelajaran pada kegiatan belajar 5 adalah sebagai berikut: 1. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu menjelaskan tentang konsep sniffing dan jenis-jenisnya. 2. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu memahami teknik sniffing dan penanggulannya. 3. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu mengetahui tool untuk melakukan sniffing. B. Uraian Materi a. Konsep Snifing Sniffing adalah proses pemindaian dan pemantauan paket data yang ditangkap melewati jaringan menggunakan Sniffers. Proses sniffing dilakukan dengan menggunakan port Promiscuous. Dengan mengaktifkan fungsi mode promiscuous pada antarmuka jaringan yang terhubung, memungkinkan penangkapan semua lalu lintas, bahkan ketika lalu lintas tidak ditujukan untuk mereka. Setelah paket ditangkap, Anda dapat dengan mudah melakukan pemeriksaan. Ada dua jenis Sniffing: - - Sniffing Aktif - Sniffing pasif Dengan menggunakan Sniffing, penyerang dapat menangkap paket seperti lalu lintas Syslog, lalu lintas DNS, lalu lintas Web, Email, dan jenis lalu lintas data lainnya yang mengalir melalui jaringan. Dengan menangkap paket-paket ini, penyerang dapat mengungkapkan informasi seperti data, nama pengguna, dan kata sandi dari protokol seperti HTTP, POP, IMAP, SMTP, NMTP, FTP, Telnet, dan Rlogin serta informasi lainnya. Siapa pun dalam LAN yang sama, atau terhubung ke jaringan target dapat Sniffing paket-paket tersebut. Mari kita fokuskan
57 bagaimana sniffer melakukan tindakannya dan apa yang kita dapatkan dengan menggunakan sniffing. Dalam proses Sniffing, penyerang terhubung ke jaringan target untuk Sniffing paket. Menggunakan Sniffers, yang mengubah Network Interface Card (NIC) sistem penyerang ke mode promiscuous, penyerang menangkap paket tersebut. Mode promiscuous adalah mode antarmuka di mana NIC merespons setiap paket yang diterimanya. Seperti yang dapat Anda amati pada gambar di bawah, penyerang terhubung dalam mode promiscuous, menerima setiap paket, bahkan paket yang tidak ditujukan untuknya. Setelah penyerang menangkap paket, ia dapat mendekripsi paket tersebut untuk mengekstrak informasi. Konsep dasar di balik teknik ini adalah jika Anda terhubung ke jaringan target dengan switch dan bukan hub, lalu lintas siaran dan multicast ditransmisikan pada semua port. Alihkan paket unicast ke port tertentu tempat host sebenarnya terhubung. Switch mempertahankan tabel MAC-nya untuk memvalidasi siapa yang terhubung ke port mana. Dalam hal ini, penyerang mengubah konfigurasi saklar dengan menggunakan teknik yang berbeda seperti Port Mirroring atau Switched Port Analyzer (SPAN). Semua paket yang melewati port tertentu akan disalin ke port tertentu (port tempat penyerang terhubung dengan mode promiscuous). Jika Anda terhubung ke hub, ia akan mengirimkan semua paket ke semua port. Gambar 12 Paket Snifing
58 b. Jenis-jenis Sniffing 1) Sniffing Pasif Sniffing Pasif adalah jenis sniffing yang tidak memerlukan pengiriman paket tambahan atau mengganggu perangkat seperti Hub untuk menerima paket. Seperti yang kita ketahui, Hub menyiarkan setiap paket ke portnya, yang membantu penyerang memantau semua lalu lintas yang melewati hub tanpa usaha apa pun. 2) Sniffing Aktif Sniffing Aktif adalah jenis sniffing di mana penyerang harus mengirim paket tambahan ke perangkat yang terhubung seperti Switch untuk mulai menerima paket. Seperti yang kita ketahui, paket unicast dari switch ditransmisikan ke port tertentu saja. Penyerang menggunakan teknik tertentu seperti MAC Flooding, DHCP Attacks, DNS Poisoning, Switch Port Stealing, ARP Poisoning, dan Spoofing untuk memantau lalu lintas yang melewati switch. Teknik-teknik ini dijelaskan secara rinci nanti dalam Chapter ini. c. Hardware Protocol Analyzer Penganalisis Protokol, baik penganalisis Perangkat Keras atau Perangkat Lunak, digunakan untuk menganalisis paket dan sinyal yang ditangkap melalui saluran transmisi. Penganalisis Protokol Perangkat Keras adalah peralatan fisik yang digunakan untuk menangkap tanpa mengganggu lalu lintas jaringan. Keuntungan utama yang ditawarkan oleh penganalisis protokol perangkat keras ini adalah mobilitas, fleksibilitas, dan throughput. Dengan menggunakan penganalisis perangkat keras ini, penyerang dapat: • Memantau Penggunaan Jaringan • Identifikasi Lalu Lintas dari perangkat lunak peretasan Dekripsi paket • Ekstrak informasi Ukuran Paket
59 d. Penyadapan Penyadapan adalah proses memperoleh informasi dengan menyadap sinyal dari kabel seperti saluran telepon atau Internet. Kebanyakan penyadapan dilakukan oleh pihak ketiga untuk memantau percakapan. Penyadapan pada dasarnya adalah penyadapan listrik pada saluran telepon. Penyadapan Resmi disebut Intersepsi Hukum yang sebagian besar dilakukan oleh lembaga pemerintah atau keamanan. Penyadapan diklasifikasikan menjadi dua jenis: - 1) Penyadapan Aktif Penyadapan Aktif adalah pemantauan, pencatatan informasi dengan cara penyadapan, selain itu penyadapan aktif meliputi perubahan komunikasi. 2) Penyadapan Pasif Memantau dan Merekam informasi dengan penyadapan tanpa ada perubahan komunikasi. 3) Intersepsi yang Sah Intersepsi Sah (LI) adalah proses penyadapan dengan izin yang sah yang memungkinkan lembaga penegak hukum menyadap komunikasi pengguna individu secara selektif. Organisasi standardisasi telekomunikasi menstandarkan gerbang intersepsi legal untuk intersepsi komunikasi oleh lembaga. Alat Perencanaan untuk Integrasi Sumber Daya (PRISM) Alat Perencanaan PRISM untuk Integrasi Sumber Daya adalah singkatan dari Sinkronisasi dan Manajemen. PRISM adalah alat yang dirancang khusus untuk mengumpulkan informasi dan memproses, melewati server Amerika. Program PRISM dikembangkan oleh divisi Special Source Operation (SSO) dari Badan Keamanan Nasional (NSA). PRISM dimaksudkan untuk identifikasi dan pemantauan komunikasi target yang mencurigakan. Perutean lalu lintas internet melalui AS, atau data yang disimpan di server AS disadap oleh NSA.
60 e. Tools Sniffing Wireshark adalah alat Network Protocol Analyzer yang paling populer dan banyak digunakan di organisasi komersial, pemerintahan, nirlaba, dan pendidikan. Ini adalah alat sumber terbuka gratis yang tersedia untuk Windows, Linux, MAC, BSD, Solaris, dan platform lainnya. Wireshark juga menawarkan versi terminal yang disebut “Shark.” f. Penanggulangan Sniffing Praktik terbaik melawan Sniffing mencakup pendekatan berikut untuk melindungi lalu lintas jaringan. • Menggunakan HTTPS, bukan HTTP, Menggunakan SFTP, bukan FTP, Menggunakan Switch, bukan Hub, Konfigurasikan Keamanan Port, Konfigurasikan DHCP Snooping • Konfigurasikan Inspeksi ARP Dinamis Konfigurasikan penjaga Sumber • Gunakan alat Deteksi Sniffing untuk mendeteksi fungsi NIC dalam mode promiscuous • Gunakan protokol Enkripsi yang Kuat
61 C. Rangkuman Sniffing adalah proses pemindaian dan pemantauan paket data yang ditangkap melewati jaringan menggunakan Sniffers. Proses sniffing dilakukan dengan menggunakan port Promiscuous. Dengan mengaktifkan fungsi mode promiscuous pada antarmuka jaringan yang terhubung, memungkinkan penangkapan semua lalu lintas, bahkan ketika lalu lintas tidak ditujukan untuk mereka. Setelah paket ditangkap, Anda dapat dengan mudah melakukan pemeriksaan. Ada dua jenis Sniffing yaitu Sniffing Aktif dan Sniffing pasif. Sniffing Pasif adalah jenis sniffing yang tidak memerlukan pengiriman paket tambahan atau mengganggu perangkat seperti Hub untuk menerima paket. Seperti yang kita ketahui, Hub menyiarkan setiap paket ke portnya, yang membantu penyerang memantau semua lalu lintas yang melewati hub tanpa usaha apa pun. Sniffing Aktif adalah jenis sniffing di mana penyerang harus mengirim paket tambahan ke perangkat yang terhubung seperti Switch untuk mulai menerima paket. Seperti yang kita ketahui, paket unicast dari switch ditransmisikan ke port tertentu saja. Penyadapan adalah proses memperoleh informasi dengan menyadap sinyal dari kabel seperti saluran telepon atau Internet. Kebanyakan penyadapan dilakukan oleh pihak ketiga untuk memantau percakapan. Penyadapan pada dasarnya adalah penyadapan listrik pada saluran telepon. Penyadapan Resmi disebut Intersepsi Hukum yang sebagian besar dilakukan oleh lembaga pemerintah atau keamanan. Alat Perencanaan PRISM untuk Integrasi Sumber Daya adalah singkatan dari Sinkronisasi dan Manajemen. PRISM adalah alat yang dirancang khusus untuk mengumpulkan informasi dan memproses, melewati server Amerika. Program PRISM dikembangkan oleh divisi Special Source Operation (SSO) dari Badan Keamanan Nasional (NSA). PRISM dimaksudkan untuk identifikasi dan pemantauan komunikasi target yang mencurigakan. Wireshark adalah alat Network Protocol Analyzer yang paling populer dan banyak digunakan di organisasi komersial, pemerintahan, nirlaba, dan pendidikan. Ini adalah alat sumber terbuka gratis yang tersedia untuk Windows, Linux, MAC, BSD, Solaris, dan platform lainnya. Wireshark juga menawarkan versi terminal yang disebut “Shark.”
62 D. Latihan 1. Apa yang Anda ketahui tentang Snifing? 2. Sebutkan jenis-jenis Snifing? 3. Sebutkan tools yang digunakan dalam melakukan snifing? 4. Jelaskan kerugian yang ditimbulkan dari snifing? 5. Jelaskan penaggulangan yang bisa dilakukan untuk mengatasi snifing? 6. Apa yang dapat dilakukan oleh penyerang menggunakan hardware protocol analyzer? 7. Apa fungsi Wireshark? 8. Apa perbedaan HTTP dan HTTPS? 9. Apa perbedaan FTP dan SFTP? 10. Jelaskan tentang DSCP Snooping?
63 KEGIATAN BELAJAR 6 SOCIAL ENGINEERING A. Tujuan Pembelajaran Adapun tujuan pembelajaran pada kegiatan belajar 4 adalah sebagai berikut: 1. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu menjelaskan tentang konsep konsep Rekayasa Sosial, Jenis serangan Rekayasa Sosial 2. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu mengetahui teknik dan tools yang digunakan dalam melakukan rekayasa sosial. 3. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu menganggulangi rekasaya sosial. B. Uraian Materi a. Konsep Social Engineering Social Engineering merupakan tindakan mencuri informasi dari manusia. Karena tidak berinteraksi dengan sistem atau jaringan target, serangan ini dianggap sebagai serangan nonteknis. Social Engineering dianggap sebagai seni meyakinkan target untuk mengungkapkan informasi. Ini mungkin berupa interaksi fisik satu lawan satu dengan target atau meyakinkan target di platform apa pun seperti media sosial yang merupakan platform populer untuk rekayasa sosial. Ini adalah fakta bahwa masyarakat ceroboh, atau tidak menyadari pentingnya informasi berharga yang mereka miliki. b. Kerentanan terhadap Serangan Rekayasa Sosial Salah satu kerentanan utama yang menyebabkan serangan jenis ini adalah "Kepercayaan". Pengguna mempercayai pengguna lain dan tidak mengamankan kredensial mereka dari mereka. Hal ini dapat menyeChapterkan serangan oleh pengguna, sehingga orang kedua dapat mengungkapkan informasi tersebut kepada orang ketiga. Organisasi yang tidak menyadari serangan Rekayasa Sosial, serta tindakan pencegahan dan penanggulangannya juga rentan terhadap serangan ini. Program pelatihan dan pendidikan karyawan yang tidak memadai menciptakan kerentanan keamanan terhadap Rekayasa Sosial. Setiap organisasi harus melatih karyawannya untuk mewaspadai rekayasa sosial.
64 Setiap organisasi juga harus mengamankan infrastrukturnya secara fisik. Seorang karyawan yang memiliki tingkat wewenang yang berbeda harus dibatasi untuk melakukan pekerjaan sesuai hak istimewanya yang terbatas. Karyawan tidak diperbolehkan mengakses departemen seperti departemen Keuangan, ia harus dibatasi hanya pada departemen yang diperbolehkan. Dalam hal karyawan bebas bergerak dapat melakukan rekayasa sosial dengan cara Dumpster Diving atau Bahu selancar. Kurangnya kebijakan keamanan dan privasi juga rentan. Kebijakan keamanan harus cukup kuat untuk mencegah karyawan meniru identitas pengguna lain. Privasi antara orang atau klien yang tidak berwenang dan karyawan suatu organisasi harus dijaga untuk menjaga keamanan dari akses tidak sah atau pencurian. c. Fase Serangan Rekayasa Sosial Serangan Social Engineering bukanlah serangan kompleks yang membutuhkan kekuatan pengetahuan teknis. Seorang penyerang mungkin adalah pribadi non-teknis seperti yang dijelaskan sebelumnya; itu adalah tindakan mencuri informasi dari orang-orang. Namun, serangan Rekayasa Sosial dilakukan dengan langkah-langkah berikut yang disebutkan di bawah ini: 1) Riset Fase penelitian mencakup pengumpulan informasi tentang organisasi sasaran. Informasi ini dapat dikumpulkan dengan cara menyelam ke tempat sampah, memindai situs web organisasi, mencari informasi di internet, mengumpulkan informasi dari karyawan organisasi target, dan lainlain. 2) Pilih Sasaran Dalam fase pemilihan target, penyerang memilih target di antara karyawan lain dalam suatu organisasi. Target yang frustrasi lebih disukai karena informasi darinya akan mudah terungkap. 3) Hubungan Fase hubungan mencakup menciptakan hubungan dengan target sedemikian rupa sehingga dia tidak dapat mengidentifikasi niat sebenarnya target akan mempercayai penyerang. Semakin tinggi tingkat kepercayaan antara target dan penyerang maka akan semakin mudah dalam mengungkapkan informasi. 4) Mengeksploitasi
65 Eksploitasi hubungan dengan kumpulan informasi sensitif seperti Nama Pengguna, Kata Sandi, informasi jaringan, dll. d. Teknik Rekayasa Sosial 1) Jenis Rekayasa Sosial Serangan Rekayasa Sosial dapat dilakukan dengan teknik yang berbeda. Berbagai teknik serangan rekayasa sosial diklasifikasikan ke dalam jenis berikut: a) Rekayasa Sosial Berbasis Manusia Rekayasa Sosial berbasis manusia mencakup interaksi satu lawan satu dengan target. Social Engineer mengumpulkan informasi sensitif dengan cara menipu seperti memastikan kepercayaan, memanfaatkan kebiasaan, perilaku, dan kewajiban moral. b) Peniruan Peniruan identitas adalah teknik rekayasa sosial berbasis manusia. Peniruan identitas berarti berpura-pura menjadi seseorang atau sesuatu. Peniruan identitas dalam Rekayasa sosial adalah berpura-pura bahwa penyerang adalah pengguna yang sah atau berpurapura menjadi orang yang berwenang. Peniruan identitas ini dapat dilakukan secara pribadi atau di belakang saluran komunikasi seperti saat berkomunikasi melalui Email, telepon, dll. Peniruan identitas pribadi dilakukan dengan pencurian identitas, ketika penyerang memiliki cukup informasi pribadi tentang orang yang berwenang, penyerang mengumpulkan informasi dengan menyamar sebagai pengguna sah yang memberikan informasi pribadi pengguna sah. Meniru identitas sebagai agen dukungan teknis yang meminta kredensial adalah cara lain untuk menyamar dan mengumpulkan informasi. c) Eavesdropping dan Shoulder Surfing Eavesdropping adalah teknik di mana penyerang mengungkapkan informasi dengan mendengarkan percakapan secara diam-diam. Ini tidak hanya mencakup Mendengarkan percakapan; itu termasuk membaca atau mengakses sumber informasi apa pun tanpa pemberitahuan.
66 Shoulder Surfing didefinisikan di bagian Jejak Kaki di buku kerja ini. Singkatnya, Selancar Bahu adalah metode pengumpulan informasi dengan berdiri di belakang target ketika dia berinteraksi dengan informasi sensitif.
67 d) Dumpster Diving Dumpster Diving adalah proses mencari harta karun di tempat sampah. Teknik ini lebih tua namun masih efektif. Ini termasuk mengakses sampah target seperti sampah printer, meja pengguna, sampah perusahaan untuk menemukan tagihan telepon, informasi kontak, informasi keuangan, kode sumber, dan materi bermanfaat lainnya. 2) Reverse Social Engineering Serangan rekayasa sosial terbalik memerlukan interaksi penyerang dan korban, di mana penyerang meyakinkan target bahwa ia mempunyai masalah atau mungkin mempunyai masalah di masa depan. Jika korban yakin, dia akan memberikan informasi yang dibutuhkan penyerang. Rekayasa sosial terbalik dilakukan melalui langkah-langkah berikut: a) Penyerang merusak sistem target atau mengidentifikasi kerentanan yang diketahui. b) Penyerang mengiklankan dirinya sebagai orang yang berwenang untuk memecahkan masalah tersebut. c) Penyerang mendapatkan kepercayaan dari target dan memperoleh akses ke informasi sensitif. d) Setelah berhasil membalikkan rekayasa sosial, pengguna mungkin sering meminta bantuan penyerang. 3) Piggybacking dan Tailgating Piggybacking dan Tailgating adalah teknik serupa. Piggybacking adalah teknik di mana orang yang tidak berkepentingan menunggu orang yang berwenang untuk masuk ke dalam area terlarang, sedangkan Tailgating adalah teknik di mana orang yang tidak berwenang mendapatkan akses ke area terlarang dengan mengikuti orang yang berwenang. Dengan menggunakan ID palsu dan mengikuti secara dekat saat melintasi pos pemeriksaan, tailgating menjadi mudah. 4) Rekayasa Sosial Berbasis Komputer Ada berbagai cara untuk melakukan Rekayasa Sosial Berbasis Komputer termasuk jendela Pop-up yang memerlukan kredensial login, Pesan Internet dan Email seperti surat Hoax, Surat berantai, dan Spam. 5) Phishing Proses Phishing adalah suatu teknik di mana Email Palsu terlihat seperti itu
68 email yang sah dikirim ke host target. Ketika penerima membuka link tersebut, dia tertarik untuk memberikan informasi. Biasanya pembaca diarahkan ke halaman web palsu yang menyerupai situs resmi. Pengguna memberikan semua informasi sensitif ke situs web palsu yang diyakini sebagai situs resmi karena kemiripannya. 6) Spear Phishing Spear Phishing adalah jenis phishing yang terfokus pada suatu target. Ini adalah serangan phishing yang ditargetkan pada seseorang. Spear phishing menghasilkan tingkat respons yang lebih tinggi dibandingkan dengan serangan phishing acak. 7) Rekayasa Sosial berbasis seluler a) Mempublikasikan Aplikasi Berbahaya Dalam Rekayasa Sosial Berbasis Seluler, salah satu tekniknya adalah dengan mempublikasikan aplikasi berbahaya di toko aplikasi agar tersedia untuk diunduh dalam skala besar. Aplikasi berbahaya ini biasanya merupakan replika atau salinan serupa dari aplikasi populer. Misalnya, penyerang mungkin mengembangkan aplikasi berbahaya untuk Facebook. Pengguna, alih-alih mengunduh aplikasi resmi, mungkin secara tidak sengaja atau sengaja mengunduh aplikasi berbahaya pihak ketiga ini. Saat pengguna masuk, aplikasi berbahaya ini akan mengirimkan kredensial login ke server jarak jauh yang dikendalikan oleh penyerang. b) Mengemas Ulang Aplikasi yang Sah Dalam Rekayasa Sosial Berbasis Seluler, teknik lainnya adalah dengan mengemas ulang aplikasi yang sah dengan malware. Penyerang awalnya mengunduh aplikasi Gambar 13 Mempublikasikan Aplikasi Berbahaya
69 populer dan paling banyak diminta dari toko aplikasi, biasanya Game dan Anti-virus yang paling umum digunakan. Penyerang mengemas ulang aplikasi dengan malware dan mengunggahnya ke toko pihak ketiga. Pengguna mungkin tidak mengetahui ketersediaan aplikasi tersebut di toko aplikasi atau mendapatkan tautan untuk mengunduh aplikasi berbayar secara gratis. Alih-alih mengunduh dari aplikasi resmi dari toko tepercaya, pengguna secara tidak sengaja atau sengaja mengunduh aplikasi yang dikemas ulang ini dari toko pihak ketiga. Saat pengguna masuk, aplikasi berbahaya ini akan mengirimkan kredensial login ke server jarak jauh yang dikendalikan oleh penyerang. c) Aplikasi Keamanan Palsu Mirip dengan teknik di atas, penyerang mungkin mengembangkan aplikasi keamanan palsu. Aplikasi keamanan ini dapat diunduh melalui jendela pop-up saat pengguna menjelajahi situs web di internet. d) Serangan Orang Dalam Rekayasa Sosial tidak hanya tentang orang ketiga yang mengumpulkan informasi tentang organisasi Anda. Ini mungkin orang dalam, karyawan organisasi Anda yang memiliki hak istimewa atau tidak, yang memata-matai organisasi Anda untuk tujuan jahat. Serangan orang dalam adalah serangan yang dilakukan oleh orang dalam tersebut. Orang dalam ini mungkin didukung oleh pesaing suatu organisasi. Pesaing mungkin mendukung seseorang di organisasi Anda karena mengungkapkan informasi sensitif dan rahasia. Gambar 14 Mengemas Ulang Aplikasi Sah
70 Selain memata-matai, Insider mungkin punya niat membalas dendam. Orang yang tidak puas dalam suatu organisasi mungkin akan mengkompromikan informasi rahasia dan sensitif untuk membalas dendam. Seorang karyawan mungkin tidak puas seseorang ketika dia tidak puas dengan manajemen, kesulitan yang dihadapinya dari organisasi, penurunan pangkat atau akan diberhentikan. C. Rangkuman Social Engineering merupakan tindakan mencuri informasi dari manusia. Karena tidak berinteraksi dengan sistem atau jaringan target, serangan ini dianggap sebagai serangan non-teknis. Social Engineering dianggap sebagai seni meyakinkan target untuk mengungkapkan informasi. Serangan Social Engineering bukanlah serangan kompleks yang membutuhkan kekuatan pengetahuan teknis. Seorang penyerang mungkin adalah pribadi non-teknis seperti yang dijelaskan sebelumnya; itu adalah tindakan mencuri informasi dari orang-orang. Serangan Rekayasa Sosial dapat dilakukan dengan teknik yang berbeda. Berbagai teknik serangan rekayasa sosial diklasifikasikan ke dalam jenis berikut Rekayasa Sosial Berbasis Manusia, Peniruan, Eavesdropping dan Shoulder Surfing dan Dumpster Diving. Serangan rekayasa sosial terbalik memerlukan interaksi penyerang dan korban, di mana penyerang meyakinkan target bahwa ia mempunyai masalah atau mungkin mempunyai masalah di masa depan. Jika korban yakin, dia akan memberikan informasi yang dibutuhkan penyerang. Piggybacking adalah teknik di mana orang yang tidak berkepentingan menunggu orang yang berwenang untuk masuk ke dalam area terlarang, sedangkan Tailgating adalah teknik di mana orang yang tidak berwenang mendapatkan akses ke area terlarang dengan mengikuti orang yang berwenang. Dalam Rekayasa Sosial Berbasis Seluler, salah satu tekniknya adalah dengan mempublikasikan aplikasi berbahaya di toko aplikasi agar tersedia untuk diunduh dalam skala besar. Aplikasi berbahaya ini biasanya merupakan replika atau salinan serupa dari aplikasi populer. Misalnya, penyerang mungkin mengembangkan aplikasi berbahaya untuk Facebook. Pengguna, alih-alih mengunduh aplikasi resmi, mungkin secara tidak sengaja atau sengaja mengunduh aplikasi berbahaya pihak ketiga ini.
71 D. Latihan 1. Apa yang Anda ketahui tentang social engineering? 2. Apa tujuan melakukan social engineering? 3. Siapa saka yang dapat menjadi target social engineering? 4. Apa saja tools yang dapat digunakan dalam melakukan social engineering? 5. Sebutkan fase dalam melakukan social engineering? 6. Sebutkan dan jelaskan teknik social engineering? 7. Jelaskan tentang Eavesdropping dan Shoulder Surfing? 8. Apa yang dimaksud dengan reversed social engineering? 9. Jelaskan tentang rekayasa sosial berbasis seluler? 10. Apa yang Anda ketahui tentang serangan orang dalam?
72 KEGIATAN BELAJAR 7 DENIAL OF SERVICE A. Tujuan Pembelajaran Adapun tujuan pembelajaran pada kegiatan belajar 7 adalah sebagai berikut: 1. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu menjelaskan tentang konsep konsep DoS/DDoS 2. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu mengetahui tools yang digunakan dalam melakukan DoS/DDoS 3. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu memahami penanggulangan DoS/DDoS B. Uraian Materi a. Konsep Denial of Service (DoS) Denial-of-Service (DoS) adalah jenis serangan di mana layanan yang ditawarkan oleh suatu sistem atau jaringan ditolak. Layanan dapat ditolak, dikurangi fungsinya, atau mencegah akses ke sumber daya bahkan kepada pengguna yang sah. Ada beberapa teknik untuk melakukan serangan DoS seperti menghasilkan permintaan layanan dalam jumlah besar ke sistem target. Permintaan masuk dalam jumlah besar ini membebani kapasitas sistem untuk menerima penolakan layanan yang diakibatkannya. Gambar 15 Serangan Denial-of-Service
73 Gejala Umum serangan DoS adalah: • Performa lambat • Peningkatan email spam • Tidak tersedianya sumber daya Hilangnya akses ke situs web • Pemutusan koneksi internet nirkabel atau kabel Penolakan akses ke layanan internet apa pun. b. Distributed Denial-of-Service (DoS) Mirip dengan Denial-of-service di mana penyerang mencoba melakukan serangan DoS, Dalam serangan DoS Terdistribusi, beberapa sistem yang dikompromikan terlibat untuk menyerang target yang menyeChapterkan penolakan layanan. Botnet digunakan untuk serangan DDoS. Biasanya pembuatan koneksi terdiri dari beberapa langkah di mana pengguna mengirimkan permintaan ke server untuk mengautentikasinya. Server kembali dengan persetujuan otentikasi. Pengguna yang meminta mengakui persetujuan ini, dan kemudian koneksi dibuat dan diizinkan ke server. Dalam proses serangan Denial of Service, penyerang mengirimkan beberapa permintaan otentikasi ke server. Permintaan ini memiliki alamat pengirim palsu, sehingga server tidak dapat menemukan pengguna untuk mengirimkan persetujuan autentikasi. Proses otentikasi ini menunggu waktu tertentu untuk menutup sesi. Server biasanya menunggu lebih dari satu menit, sebelum menutup sesi. Penyerang terus menerus mengirimkan permintaan yang menyeChapterkan sejumlah koneksi terbuka di server sehingga mengakibatkan penolakan layanan. c. Kategori Dasar Serangan DoS/DDoS 1) Serangan Volumetrik Serangan Denial of Service dilakukan dengan mengirimkan trafik dalam jumlah besar menuju sasaran. Serangan Volumetrik difokuskan untuk membebani kemampuan konsumsi bandwidth secara berlebihan. Serangan volumetrik ini dilakukan dengan tujuan untuk
74 memperlambat kinerja dan degradasi layanan. Biasanya, serangan ini menghabiskan bandwidth ratusan Gbps. 2) Serangan Fragmentasi Serangan Fragmentasi DoS adalah serangan yang memecah datagram IP menjadi beberapa paket berukuran lebih kecil. Paket yang terfragmentasi ini memerlukan perakitan ulang di tujuan yang memerlukan sumber daya router. Serangan fragmentasi terdiri dari dua jenis berikut: • Serangan fragmentasi UDP dan ICMP • Serangan fragmentasi TCP 3) Serangan TCP-State Exhaustion Serangan TCP-State Exhaustion difokuskan pada server web, firewall, penyeimbang beban, dan komponen infrastruktur lainnya untuk mengganggu koneksi dengan menggunakan tabel status koneksi. Serangan TCP State-Exhaustion mengakibatkan habisnya jumlah koneksi bersamaan yang terbatas yang dapat didukung oleh perangkat target. Serangan kelelahan negara yang paling umum adalah ping kematian. 4) Serangan Lapisan Aplikasi Serangan DDoS lapisan aplikasi juga disebut serangan DDoS lapisan 7. Serangan DoS tingkat aplikasi adalah bentuk serangan DDoS yang memfokuskan lapisan aplikasi model OSI sehingga mengakibatkan penolakan degradasi layanan. Serangan tingkat aplikasi membebani layanan atau fitur tertentu dari situs web atau aplikasi dengan tujuan penolakan atau tidak tersedianya. d. Teknik Serangan DoS/DDoS 1) Serangan Bandwidth Serangan bandwidth memerlukan banyak sumber untuk menghasilkan permintaan yang membebani target. Serangan DoS menggunakan satu mesin tidak mampu menghasilkan
75 cukup banyak permintaan yang dapat membebani layanan. Serangan dos terdistribusi adalah teknik yang sangat efektif untuk membanjiri permintaan terhadap target menggunakan serangan Terdistribusi. Seperti yang kita ketahui, Zombi adalah sistem yang disusupi yang dikendalikan oleh komputer utama (penyerang) atau pengontrolan zombi melalui pengendali yang memberikan dukungan untuk memulai serangan DDoS. Botnet, yang dijelaskan nanti dalam Chapter ini, juga digunakan untuk melakukan serangan DDoS dengan membanjiri paket ICMP Echo di jaringan. Tujuan dari serangan Bandwidth adalah untuk menghabiskan bandwidth sepenuhnya; tidak ada bandwidth yang tersisa bahkan untuk penggunaan yang sah. Gambar 17 Setelah serangan bandwidth DDoS Gambar 16 Sebelum serangan bandwidth DDoS
76 Dengan membandingkan angka-angka di atas, Anda akan memahami cara kerja serangan Distributed-Denial-of-Service dan dengan menggunakan seluruh bandwidth, lalu lintas yang sah ditolak.
77 2) Service request Flood Service Request Flood adalah serangan DoS di mana penyerang membanjiri permintaan terhadap layanan seperti aplikasi Web atau server Web hingga semua layanan kelebihan beban. Ketika pengguna yang sah mencoba untuk memulai koneksi, koneksi tersebut akan ditolak karena koneksi TCP yang berulang oleh penyerang menghabiskan semua sumber daya hingga habis. 3) Serangan SYN / Flood SYN Attack atau SYN Flooding memanfaatkan jabat tangan tiga arah. Penyerang, dengan mengirimkan banyak permintaan SYN ke server target dengan tujuan untuk mengikat suatu sistem. Permintaan SYN ini memiliki alamat IP sumber palsu yang tidak dapat menemukan korbannya. Korban menunggu pengakuan dari alamat IP tetapi tidak ada respon karena alamat sumber permintaan SYN yang masuk palsu. Masa tunggu ini mengikat koneksi "dengarkan antrian" ke sistem karena sistem tidak akan menerima ACK. Koneksi yang tidak lengkap dapat diikat selama 75 detik. Gambar 18 SYN Flooding
78 4) Serangan ICMP Flooding Internet Control Message Protocol (ICMP) adalah jenis serangan yang digunakan serangan penyerang menggunakan permintaan ICMP. ICMP adalah protokol pendukung yang digunakan oleh perangkat jaringan untuk mengoperasikan informasi, kesalahan dan indikasi. Permintaan ini dan tanggapannya menghabiskan sumber daya perangkat jaringan. Jadi, dengan membanjiri permintaan ICMP tanpa menunggu respons akan menghabiskan sumber daya perangkat. 5) Serangan Peer-to-Peer Serangan DDoS peer-to-peer mengeksploitasi bug di server peer-to-peer atau teknologi peering menggunakan protokol Direct Connect (DC++) untuk mengeksekusi serangan DDoS. Sebagian besar jaringan Peer to Peer ada di klien DC++. Setiap jaringan klien berbasis DC++ terdaftar di hub jaringan. Setelah dikompromikan, penyerang akan mudah melakukannya. Jaringan peer to peer dikerahkan di antara sejumlah besar host. Satu atau lebih host jahat di jaringan peer to peer dapat melakukan serangan DDoS. Serangan DoS atau DDoS mungkin memiliki tingkat pengaruh berbeda berdasarkan topologi jaringan Peer to Peer yang berbeda. Dengan mengeksploitasi host terdistribusi dalam jumlah besar, penyerang dapat dengan mudah meluncurkan serangan DDoS ke target. 6) Serangan Permanent DoS Serangan Denial-of-Service permanen adalah serangan DoS yang bukannya berfokus pada penolakan layanan, melainkan berfokus pada sabotase perangkat keras. Perangkat keras yang terkena serangan PDoS rusak sehingga memerlukan penggantian atau instalasi ulang perangkat keras. PDoS dilakukan dengan metode yang dikenal sebagai “blinking” yang menyebabkan kerusakan permanen pada perangkat keras, atau “Memperbaiki suatu sistem” dengan mengirimkan pembaruan perangkat keras palsu. Setelah kode berbahaya ini dieksekusi secara tidak sengaja oleh korban, kode tersebut akan dieksekusi. 7) Serangan Application Level Flooding Serangan tingkat aplikasi difokuskan pada lapisan Aplikasi yang menargetkan server aplikasi atau komputer klien yang menjalankan aplikasi. Penyerang menemukan kesalahan dan kelemahan dalam suatu aplikasi atau sistem operasi dan mengeksploitasi kerentanan untuk melewati kontrol akses dan mendapatkan kendali penuh atas aplikasi, sistem atau jaringan.
79 8) Distributed Reflection Denial of Service Serangan Distributed Reflection Denial of Service adalah jenis serangan DoS di mana perantara dan korban Sekunder juga terlibat dalam proses peluncuran serangan DoS. Penyerang mengirimkan permintaan ke perantara korban yang mengarahkan lalu lintas menuju korban Sekunder. Korban sekunder mengarahkan lalu lintas menuju target. Keterlibatan korban perantara dan korban C. Rangkuman Denial-of-Service (DoS) adalah jenis serangan di mana layanan yang ditawarkan oleh suatu sistem atau jaringan ditolak. Layanan dapat ditolak, dikurangi fungsinya, atau mencegah akses ke sumber daya bahkan kepada pengguna yang sah. Ada beberapa teknik untuk melakukan serangan DoS seperti menghasilkan permintaan layanan dalam jumlah besar ke sistem target. Mirip dengan Denial-of-service di mana penyerang mencoba melakukan serangan DoS, Dalam serangan DoS Terdistribusi, beberapa sistem yang dikompromikan terlibat untuk menyerang target yang menyeChapterkan penolakan layanan. Botnet digunakan untuk serangan DDoS. Dalam proses serangan Denial of Service, penyerang mengirimkan beberapa permintaan otentikasi ke server. Permintaan ini memiliki alamat pengirim palsu, sehingga server tidak dapat menemukan pengguna untuk mengirimkan persetujuan autentikasi. Proses otentikasi ini menunggu waktu tertentu untuk menutup sesi. Server biasanya menunggu lebih dari satu menit, sebelum menutup sesi. Penyerang terus menerus mengirimkan permintaan yang menyeChapterkan sejumlah koneksi terbuka di server sehingga mengakibatkan penolakan layanan. Serangan Volumetrik difokuskan untuk membebani kemampuan konsumsi bandwidth secara berlebihan. Serangan volumetrik ini dilakukan dengan tujuan untuk memperlambat kinerja dan degradasi layanan. Biasanya, serangan ini menghabiskan bandwidth ratusan Gbps. Service Request Flood adalah serangan DoS di mana penyerang membanjiri permintaan terhadap layanan seperti aplikasi Web atau server Web hingga semua layanan kelebihan beban. Ketika pengguna yang sah mencoba untuk memulai koneksi, koneksi tersebut akan ditolak karena koneksi TCP yang berulang oleh penyerang menghabiskan semua sumber daya hingga habis.
80 D. Latihan 1. Jelaskan perbedaan Dos dan DDos? 2. Apa yang Anda ketahui tentang Zombie pada DDoS? 3. Jelaskan gejala umum yang terjado pada serangan DoS? 4. Jelaskan tentang serangan volumetrik? 5. Sebutkan jenis-jenis serangan fragmentasi? 6. Jelaskan tentang teknis serangan DoS/DDoS? 7. Jelaskan perbedaan sebelum dan setelah serangan bandwidth? 8. Apqa yang dimaksud dengan serangan permanent DoS? 9. Apa saja tool yang digunakan dalam melakukan serangan DoS/DDoS? 10. Bagaimana cara menanggulangi serangan DoS/DDoS?
81 KEGIATAN BELAJAR 8 SESSION HIJACKING A. Tujuan Pembelajaran Adapun tujuan pembelajaran pada kegiatan belajar 8 adalah sebagai berikut: 1. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu menjelaskan tentang konsep konsep session hijacking 2. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu mengetahui tools yang digunakan dalam melakukan session hijacking. 3. Melalui kegiatan membaca dan menyimak e-module mahasiswa mampu memahami penanggulangan session hijacking. B. Uraian Materi a. Konsep Session Hijacking Session hijacking adalah jenis penyerangan siber yang dilakukan oleh penyerang siber jahat dengan menempatkan dirinya di antara komputer Anda dengan website server yang sedang Anda telusuri dengan harapan untuk melakukan pencurian data-data personal. Penyerang melakukan pembajakan melalui session pengguna atau juga dikenal dengan pembajakan cookie. Adapun session adalah mekanisme untuk mempertahankan informasi pada semua halaman web yang berbeda untuk mengidentifikasi pengguna pada saat mereka menelusuri situs atau aplikasi. Suatu session dimulai ketika seorang pengguna login pada suatu servis dan berakhir ketika pengguna tersebut logout. Dengan demikian, penyerangan ini bergantung pada pengetahuan penyerang terhadap session cookie pengguna. Adapun contoh session hijacking misalnya Anda mendapatkan suatu e-mail mengenai penjualan dari toko retail favorit Anda kemudian Anda pun mengakses link pada email dan mulai berbelanja. Pada dasarnya email tersebut dikirim oleh penyerang yang menyertakan kunci sesinya sendiri sehingga penyerang pun dapat menyerang keseluruhan sesi dan melakukan belanja dengan kartu kredit Anda. Berdasarkan contoh tersebut, dapat dilihat pengguna menggunakan session cookie untuk melakukan pencurian siber.
82 b. Session Hijacking Techniques Untuk mengetahui cara penyerang mengambil alih session dalam internet, maka Anda perlu mengetahui metode session hijacking yang digunakan oleh penyerang, yakni sebagai berikut: 1) Session sniffing Adapun pada jenis penyerangan ini, penyerang akan menangkap lalu lintas jaringan yang berisi Session ID antara sebuah website dan klien menggunakan software seperti Wireshark atau Proxy. Dengan demikian, ketika penyerang mampu menangkap hal tersebut maka dia bisa menggunakan token yang valid ini untuk mendapatkan akses yang tidak sah. 2) Cross-site scripting (XSS) Pada jenis session hijacking ini, penyerang akan mengambil keuntungan dengan adanya keamanan web service yang lemah dan memasukkan skrip halaman web. Misalnya ketika penyerang mengirimkan tautan khusus kepada korban yang berisi kode-kode JavaScript yang jahat. Ketika korban melakukan klik pada tautan tersebut, maka JavaScript akan menjalankan atau mengikuti instruksi penyerang tersebut. Dengan demikian, penyerang mampu mengakses kunci session Anda sehingga bisa melakukan pengambilalihan dan mendapatkan informasi personal. 3) Brute Force Attack Penyerangan session hijacking jenis ini memungkinkan penyerang untuk menebak session ID sampai dia berhasil. Ketika dia berhasil, maka penyerang akan melakukan pembajakan session. Serangan ini umumnya hanya berfungsi jika keamanan situs web yang lemah dan memiliki kunci session yang pendek dan cepat ditebak. 4) Malware Pada dasarnya, penyerang bisa menjebak pengguna dengan melakukan klik link yang dapat menyebarkan malware terhadap device. Ketika malware mampu melakukan pelacakan maka memungkinkan pencurian session cookie dan mentransmisikannya kepada penyerang. Dari data tersebut, penyerang bisa mendapatkan session ID dan membajak session. 5) Session Fixation
83 Session fixation merupakan jenis session hijacking yang memungkinkan penyerang untuk membuat session ID dan menipu pengguna untuk menggunakannya. Salah satu metode yang sering digunakan adalah dengan mengirimkan email kepada pengguna yang menyertakan tautan login screen untuk web yangingin diakses oleh penyerang. 6) Man-in-the-browser-attack Melalui metode ini, penyerang akan melakukan install Trojan horse pada komputer pengguna yang memungkinkan untuk mengubah transaksi web pengguna. Pada dasarnya, metode ini akan membuat website mengalami kesulitan untuk mengidentifikasi hal yang palsu. c. Session Hijacking Process Langkah pertama dalam serangan pembajakan sesi adalah menemukan pengguna target. Penyerang mencari dua hal sebelum melakukan serangan - pertama, mereka mencari jaringan yang memiliki tingkat pemanfaatan yang tinggi; Jaringan bervolume tinggi membantu penyerang untuk tetap anonim dan menyediakan banyak pilihan pengguna, yang juga membantu serangan. Kedua, pengguna yang menggunakan protokol jaringan tidak aman seperti Telnet, rlogin (login jarak jauh), dan FTP (protokol transfer file) adalah sasaran empuk karena desainnya yang pada dasarnya tidak aman. Perangkat lunak packet sniffing dapat digunakan untuk mengendus lalu lintas jaringan untuk tujuan menemukan protokol yang rentan seperti FTP, Telnet, dan rlogin. Perangkat lunak pemindaian port juga dapat digunakan untuk mengidentifikasi server yang memiliki port FTP, Telnet, atau rlogin terbuka. 1. Mengendus Sesi Aktif Penyerang kemudian menemukan sesi aktif antara target dan mesin lain dan menempatkan dirinya di antara keduanya. Dengan menggunakan sniffer seperti Wireshark, dia menangkap lalu lintas dan mencoba mengumpulkan informasi tentang sesi tersebut. 2. Memantau Dia kemudian memonitor lalu lintas untuk protokol yang rentan seperti HTTP, telnet, rlogin, dll., dan mencoba menemukan paket otentikasi valid yang lewat.
84 3. Pengambilan Id Sesi Penyerang mencoba memprediksi id sesi menggunakan informasi yang tersedia. Setelah target dipilih, langkah selanjutnya dalam proses pembajakan sesi adalah prediksi nomor urut. Prediksi nomor urut adalah langkah penting karena kegagalan dalam memprediksi nomor urut yang benar akan mengakibatkan server mengirimkan paket reset dan menghentikan upaya koneksi. Jika penyerang salah menebak nomor urut berulang kali, kemungkinan serangan terdeteksi meningkat. 4. Mencuri Dalam pembajakan tingkat aplikasi, serangan aktif dilakukan untuk mencuri Id sesi. Serangan man in the middle, skrip lintas situs, sniffing digunakan untuk mencuri id sesi. 5. Brute Forcing Ini adalah proses yang memakan waktu. Meskipun tebakan nomor urut dapat dilakukan secara manual oleh penyerang yang terampil, perangkat lunak tersedia untuk mengotomatiskan prosesnya. 6. Jadikan Salah Satu Pihak Offline Setelah sesi dipilih dan nomor urut diprediksi, salah satu target harus dibungkam. Hal ini umumnya dilakukan dengan serangan penolakan layanan. Penyerang harus memastikan bahwa komputer klien tetap offline selama serangan berlangsung, atau komputer klien akan mulai mengirimkan data di jaringan yang menyebabkan stasiun kerja dan server berulang kali mencoba menyinkronkan koneksi mereka; mengakibatkan kondisi yang dikenal sebagai badai ACK. 7. Ambil alih Sesi dan Pertahankan Koneksi Fase terakhir dari serangan pembajakan sesi memerlukan pengambilalihan sesi komunikasi antara workstation dan server. Penyerang akan memalsukan alamat IP kliennya, untuk menghindari deteksi, dan memasukkan nomor urut yang telah diprediksi sebelumnya. Jika server menerima informasi ini, penyerang telah berhasil menyerang sesi komunikasi.
85 Session hijacking, juga dikenal sebagai session theft, adalah serangan yang terjadi ketika seorang penyerang mengambil alih sesi yang valid dan sah antara pengguna dan server. Serangan ini bisa memungkinkan penyerang untuk mengakses akun atau data pengguna tanpa izin. Mari kita jelaskan bagaimana session hijacking dapat terjadi dalam OSI (Open Systems Interconnection) model dengan lebih detail : 1) Physical Layer (Layer 1) Pada lapisan fisik OSI, serangan session hijacking biasanya tidak terjadi karena ini adalah lapisan yang berfokus pada perangkat keras jaringan, seperti kabel dan perangkat jaringan fisik. Serangan session hijacking lebih terkait dengan lapisan-lapisan yang lebih tinggi dalam model OSI. 2) Data Link Layer (Layer 2) Lapisan data link juga jarang menjadi sasaran serangan session hijacking. Ini mengatur bagaimana data dikirim dan diterima di tingkat perangkat keras jaringan. Serangan session hijacking cenderung lebih terfokus pada kerentanan di lapisan aplikasi dan transportasi. 3) Network Layer (Layer 3) Pada lapisan jaringan, serangan session hijacking dapat terjadi jika penyerang menguasai alamat IP pengguna atau mengganggu lalu lintas jaringan. Serangan DDoS (Distributed Denial of Service) atau serangan man-in-the-middle yang mempengaruhi lapisan jaringan dapat berdampak pada keamanan sesi pengguna. 4) Transport Layer (Layer 4) Lapisan transportasi dalam model OSI mengatur pengiriman data antara pengguna dan server. Serangan session hijacking di lapisan transportasi biasanya melibatkan serangan man-in-the-middle di mana penyerang mencoba memantau atau mengubah lalu lintas data. Ini dapat melibatkan serangan seperti TCP session hijacking, di mana penyerang mencoba memalsukan koneksi TCP yang ada atau mencuri sesi yang ada. 5) Session Layer (Layer 5) Lapisan sesi dalam model OSI sebenarnya berperan dalam mengelola dan memulai sesi antara dua entitas yang berkomunikasi. Dalam beberapa konteks, serangan session hijacking dapat melibatkan manipulasi data sesi atau penipuan sesi dengan menciptakan sesi palsu untuk mengelabui pengguna atau server. 6) Presentation Layer (Layer 6)
86 Lapisan presentasi fokus pada penanganan format data dan enkripsi. Penyerang dapat mencoba menggunakan kerentanan dalam format data atau enkripsi untuk meretas sesi. Namun, serangan session hijacking biasanya lebih terkait dengan lapisan-lapisan yang lebih rendah dalam model OSI. 7) Application Layer (Layer 7) Lapisan aplikasi adalah tempat di mana serangan session hijacking paling sering terjadi, terutama dalam konteks aplikasi web. Contoh serangan termasuk Cross-Site Scripting (XSS) di mana penyerang menyisipkan skrip berbahaya dalam halaman web yang dieksekusi oleh pengguna. Serangan XSS dapat digunakan untuk mencuri token sesi atau session cookies, yang memungkinkan penyerang untuk mengakses akun pengguna. Penting untuk diingat bahwa serangan session hijacking dapat melibatkan berbagai lapisan dalam model OSI, tergantung pada kerentanannya yang dimanfaatkan. Oleh karena itu, praktik keamanan yang kuat dan pemantauan aktif harus diimplementasikan di semua lapisan untuk mengurangi risiko serangan ini. Spoofing dan hijacking adalah dua jenis serangan keamanan komputer yang berbeda dalam cara mereka dilakukan dan hasil yang diinginkan. Mari kita jelaskan keduanya secara rinci : 1) Spoofing Spoofing adalah jenis serangan di mana penyerang berusaha untuk menyamar atau memalsukan identitasnya atau sumber asal saat berinteraksi dengan sistem atau perangkat lain. Tujuan utama Spoofing adalah untuk memanipulasi atau membingungkan sistem atau entitas yang menerima data palsu dengan mengelabui mereka tentang identitas atau sumber data. Salah satu contoh umum adalah IP Spoofing, di mana penyerang memalsukan alamat IP sumber dalam paket data untuk menyembunyikan identitasnya atau mengecoh sistem sasaran. 2) Hijacking Hijacking adalah serangan di mana penyerang mencuri kendali atau akses ke sesuatu yang semestinya dimiliki oleh entitas atau pengguna yang sah. Tujuan utama Hijacking adalah untuk mengambil alih kontrol atau akses ke sumber daya atau akun yang sah, seringkali dengan tujuan merusak, mencuri informasi, atau menjalankan tindakan jahat lainnya. Sebuah
87 contoh yang umum adalah Session Hijacking, di mana penyerang mencoba mengambil alih sesi atau sesi yang sudah ada antara pengguna dan aplikasi web untuk mendapatkan akses ke akun pengguna tersebut. Jadi, perbedaan utama antara Spoofing dan Hijacking adalah bahwa Spoofing berfokus pada pemalsuan identitas atau sumber data, sedangkan Hijacking berfokus pada mengambil alih kendali atas sesi atau koneksi yang sudah ada. Keduanya dapat digunakan dalam konteks serangan keamanan komputer untuk mencapai tujuan yang berbeda. C. Rangkuman Session hijacking adalah jenis penyerangan siber yang dilakukan oleh penyerang siber jahat dengan menempatkan dirinya di antara komputer Anda dengan website server yang sedang Anda telusuri dengan harapan untuk melakukan pencurian data-data personal. Penyerang melakukan pembajakan melalui session pengguna atau juga dikenal dengan pembajakan cookie. Adapun session adalah mekanisme untuk mempertahankan informasi pada semua halaman web yang berbeda untuk mengidentifikasi pengguna pada saat mereka menelusuri situs atau aplikasi. Suatu session dimulai ketika seorang pengguna login pada suatu servis dan berakhir ketika pengguna tersebut logout. Dengan demikian, penyerangan ini bergantung pada pengetahuan penyerang terhadap session cookie pengguna. Langkah pertama dalam serangan pembajakan sesi adalah menemukan pengguna target. Penyerang mencari dua hal sebelum melakukan serangan - pertama, mereka mencari jaringan yang memiliki tingkat pemanfaatan yang tinggi; Jaringan bervolume tinggi membantu penyerang untuk tetap anonim dan menyediakan banyak pilihan pengguna, yang juga membantu serangan. Kedua, pengguna yang menggunakan protokol jaringan tidak aman seperti Telnet, rlogin (login jarak jauh), dan FTP (protokol transfer file) adalah sasaran empuk karena desainnya yang pada dasarnya tidak aman. Perangkat lunak packet sniffing dapat digunakan untuk mengendus lalu lintas jaringan untuk tujuan menemukan protokol yang rentan seperti FTP, Telnet, dan rlogin. Perangkat lunak pemindaian port juga dapat digunakan untuk mengidentifikasi server yang memiliki port FTP, Telnet, atau rlogin terbuka. Session hijacking, juga dikenal sebagai session theft, adalah serangan yang terjadi ketika seorang penyerang mengambil alih sesi yang valid dan sah antara pengguna dan server. Serangan ini bisa memungkinkan penyerang untuk mengakses akun atau data pengguna tanpa izin. Jadi, perbedaan utama antara Spoofing dan Hijacking adalah bahwa Spoofing berfokus pada
88 pemalsuan identitas atau sumber data, sedangkan Hijacking berfokus pada mengambil alih kendali atas sesi atau koneksi yang sudah ada. Keduanya dapat digunakan dalam konteks serangan keamanan komputer untuk mencapai tujuan yang berbeda. D. Latihan 1. Apa yang dimaksud dengan "Session Hijacking Process"? 2. Apa perbedaan antara Spoofing dan Hijacking? 3. Bagaimana Session Hijacking terkait dengan lapisan OSI Model dalam konteks keamanan jaringan? 4. Apa yang dimaksud dengan "Application Level Session Hijacking"? 5. Apa beberapa contoh teknik yang digunakan dalam Session Hijacking? 6. Bagaimana Man-in-the-Middle Attack bekerja dalam konteks Compromising Session IDs? 7. Apa yang dimaksud dengan Man-in-the-Browser Attack dalam konteks Compromising Session IDs? 8. Bagaimana Client-side Attacks digunakan untuk mencuri Session IDs? 9. Bagaimana cara attacker mendapatkan session id korban? 10. Apa efek dari serangan RST hijaking?