Langkah awal dan paling rasional dalam merespon sebuah insiden serangan adalah memeriksa dan mengetahui jenis serangan apa yang sedang terjadi.Ini sangat vital, karena jika kita salah menebak dalam mengambil keputusan akibatnya bisa fatal.
Perlu diketahui bahwa dalam prakteknya, beberapa serangan dapat bertindak pasif, artinya hanya memantau dan mencuri informasi; sedangkan yang lainnya bersifat aktif,artinya melakukan aksi aksi dengan tujuan untuk mengubah atau menghancurkan data dan jaringan
1.1 Trojan Horse
dikenal dengan nama Trojan, merupakan bentuk program (Malware) yang kelihatan seperti berjalan normal membentuk fungsi-fungsi yang kita inginkan, padahal faktanya membahayakan. Trojan biasanya datang menyelinap dengan software lain yang kita install.
Beberapa contoh kerusakan yang ditimbulkan Trojan Horse:
- Terhapus atau tertimpanya data data dalam komputer.
- Menyandikan/mengenkripsi file file melalui serangan cryptoviral extortion, sehingga tidak bisa dibaca oleh si empunya.
- Membuat corrupt file - file.
- Meng-upload dan men-download file file yang tidak diharapkan.
- Menuliskan link link penipuan, yang mengarahkan user user ke website atau forum/chat palsu, atau lokasi lain yang sekiranya dapat mengoleksi informasi rahasia yang dimiliki user user seperti nama account, password, atau nomor pin.
- Memalsukan laporan laporan untuk material material yang kita download dari website palsu atau yang tidak pernah kita kunjungi.
- Membuka akses remote ke komputer korban. Ini dikenal dengan nama RAT (Remote Access Trojan).
- Menyebarkan malware lainnya, seperti virus virus. Jenis trojan ini dikenal dengan Dropper atau Vektor.
- Men-setup konfigurasi jaringan dari komputer komputer zombie (korban perantara) dalam rangka me-launch serangan DDos atau mengirim spam ke target lain.
- Memata-matai user user komputer, mengoleksi informasi informasi seperti kebiasaan browsing atau komunikasi dengan orang lain. Trojan ini dikenal dengan nama Spyware.
- Membuat screenshot screenshoot secara diam diam.
- Mencatat log guna mencuri informasi seperti password-password dan nomor nomor kartu kredit.
- Melakukan phising (pencurian informasi sensitif) terhadap data bank atau detail detail rekening lain yang akan digunakan untuk tujuan kriminal.
- Meng-install program backdoor pada sebuah komputer.
- Menjalankan modem dan mengontak nomor nomor sembarang yang dapat membuat tagihan telepon si korban membengkak.
- Meng-capture alamat alamat e-mail dan menggunakan untuk tujuan spam
- Me-restart komputer saat program (yang terinfeksi) dijalankan oleh user.
- Mematikan atau mengganggu fungsi fungsi antivirus dan program firewall
- Secara random men-shutdown komputer.
- Meng-install virus-virus
- Menginstal ulang dirinya sendiru setelah dinonaktifkan oleh user.
1.2 Virus
Virus merupakan salah satu bentuk trojan, yaitu program yang dapat meng-copy dan menempelkan dirinya sendiri ke program lain untuk menginfeksi data data dalam komputer tanpa sepengetahuan si pemilik. Virus komputer datang dalam beragam fungsi dan bentuk dan telah merugikan jutaan dollar bagi masyarakat pengguna komputer di seluruh dunia. Virus senantiasa berkembang dari waktu ke waktu dibuat oleh orang-orang untuk beragam tujuan, misalnya untuk niat jahat/perusakan, keuntungan pribadi, hobi, atau unjuk kebolehan. Sejak pertama kemunculannya sekitar tahun 70-an, sampai saat ini sudah ribuan virus berkeliaran. Kita bisa melihat daftar lengkapnya di alamat: http://en.wikipedia.org/wiki/List_of_computer_viruses.
1.3 Worm
Pada intinya, worm adalah program yang dapat menduplikasi dirinya sendiri. Biasanya menggunakan koneksi jaringan untuk mengirim salinan dirinya ke node-node lain (komputer-komputer dalam jaringan). Semua aktifitas ini dilakukan tanpa keterlibatan manusia. Berbeda dengan virus, worm tidak menempelkan dirinya ke program lain. Worm hampir selalu menggangu jaringan, terutama mengkonsumsi bandwidth. Adapun virus selalu membuat korup file file pada komputer korban. Worm biasanya tersebar melalui address book dari alamat-alamat e-mail.
1.4 Logic Bomb
Logic Bomb tidak lain potongan kode yang disisipkan secara sengaja ke sebuah software sistem sehingga dapat membentuk fungsi-fungsi yang keliru, merugikan,atau bahkan berbahaya . Sebagai contoh, seorang proggramer menyisipkan penggalan kode tersembunyi yang bisa menghapus file-file atau data-data (seperti database gaji atau laporan pajak), yang tidak disadari oleh perusahaan.
1.5 Eavesdropping
Eavesdropping dapat diistilahkan dengan "mencuri dengar", secara umum, komunikasi-komunikasi jaringan berada dalam posisi dan format yang tidak aman. Banyak sekali peluang dimana seseorang dapat secara diam-diam "mengintip" atau membaca paket-paket data yang hilir mudik dalam sebuah jaringan. Saat penyerang menguping komunikasi-komunikasi kita, mereka cenderung menggunakan untuk tujuan berikutnya, seperti aksi sniffing atau penyusupan.
Gambar 1.1 Skenario Eavesdropping
1.6 Spoofing
Serangan Spoofing adalah situasi dimana seseorang atau sebuah program berhasil melakukan penyamaran diri sebagai orang atau program lain dengan cara memalsukan data guna memperoleh akses ke sebuah sistem untuk melakukan aktifitas-aktifitas yang bukan wewenangnya.
Serangan ini seringkali dibentuk dengan bantuan URL spoofing, yang mengeksploitasi bug-bug browser web dalam rangka menampilakan URL-URL palsu, atau dengan menggunakan DNS cache guna mengarahkan user keluar dari situs yang semestinya dan menuju situs palsu. Ketika user menaruh password mereka pada formulir halaman palsu, kode penyerang akan mengoleksi informasi rahasia tersebut lalu melaporkan konfirnasi "error password" ke user, kemudian mengarahkan kembali (redirect) user tersebut ke situs asli.
Setelah memperoleh akses pada jaringan dengan sebuah account dan password yang valid, penyerang dapat dengan santai memodifikasi, mengubah arah, atau menghapus data-data kita. Mereka bahkan dapat menyusun jenis serangan lain yang lebih berbahaya. Seringkali juga mereka menyimpan atau meninggalkan program-program backdoor untuk memperoleh akses di kesempatan mendatang tanpa sepengetauhuan kita
Pada kasus lainnya, penyerang dapat menggunakan program khusus untuk memanipulasi paket-paket IP sehingga terlihat seolah-olah seperti dari address yang valid pada jaringan perusahaan. Teknik ini betul-betul penipuan tulen dan membuat para administrator menjadi bulan-bulanan.
1.7 Serangan-Serangan Berbasis Password
Metode paling umum pada kebanyakan serangan keamanan adalah sabotase dan pengontrolan akses. Artinya, hak akses kita ke sebuah komputer atau jaringan ditentukan oleh identitas kita, dalam hal ini username dan password.
Aplikasi-aplikasi lebih tua serinkali tidak bisa menjaga informasi identitas untuk proses validasi saat aplikasi tersebut melintasi jaringan. Ini memungkinkan seseorang dapat menyadap informasi dan memperoleh akses ke jaringan dengan masuk sebagai user sah. Saat penyerang dapat menguasai sebuah account yang sah, dia memiliki hak akses yang sama dengan user sesungguhnya. Fatalnya jika user yang disabotase tersebut termasuk grup administrator, maka secara otomatis penyerang memiliki kesempatan yang tak terbatas untuk mengendalikan sistem bersangkutan.
Setelah memperoleh akses ke jaringan melalui account yang sah penyerang berpeluang melakukan aksi-aksi berikut:
- Mengambil data user yang sah dan informasi-informasi jaringan.
- Mengubah konfigurasi server dan jaringan, termasuk kontrol akses dan tabel routing.
- Memodifikasi, mengubah arah, atau menghapus data-data.
- Memasang program-program backdoor untuk menjaga akses mereka di masa mendatang.
1.8 Serangan Man-in-the Middle
Serangan man-in-the-middle adalah dimana seseorang secara aktif menangkap dan mengontrol komunikasi antara seorang user dengan user yang lain yang berkomunikasi secara transparan.
Dalam skenario ini, penyerang dapat mengubah arah pertukaran data. Saat komputer melakukan komunikasi pada layer jaringan level rendah, komputer memang tidak mampu menentukan dengan siapa user-user bertukar data. Serangan man-in-the-middle sering berupa penyamaran, dimana penyerang menyamar sebagai "kita" atau "user yang sah", orang di ujung sana menanggap komunikasi berjalan normal-normal saja, karena penyerang secara aktif merespon atas nama diri kita, dengan maksud untuk menjaga pertukaran tetap berlangsung dan mendapat informasi lebih banyak.
1.9 Serangan Compromised-Key
Sebagai mana kita maklumi, dalam konteks sekuriti komputer dan jaringan, key adalah kode atau nomor rahasia yang dibutuhkan untuk menerjemahkan informasi yang aman/secure. Meski usaha untuk memperoleh key tersebut adalah proses yang sulit dan menghabiskan banyak sumber daya, hal itu masih berpeluang terjadi. Setelah penyerang memperoleh key, maka key itu disebut sebagai Compromised-Key.
Penyerang menggunakan compromised-key untuk memperoleh akses ke sebuah lingkungan komunikasi yang secure, tanpa disadari oleh si pengirim atau penerima. Dengan compromised-key, penyerang dapat melakukan decrypt (penguraian sandi) atau mengubah data, atau menebak key-key lainnya. Serangan compromised-key umumnya terjadi pada praktek-prakek bisnis dan intelijen.
1.10 Sniffer
Sniffer adalah jenis aplikasi /perangkat yang dapat membaca, memonitor, dan menangkap pertukaran data dalam sebuah jaringan. Jika paket data tersebut tidak dienkripsi, sniffer bisa dengan mudah membaca dan membeberkan seluruh data yang diperolehnya.
Dengan menggunakan sniffer, penyerang dapat melakukan beberapa aksi berikut:
- Menganalisa jaringan dan mendapatkan informasi jaringan.
- Melancarkan skenario serangan sehingga menyebabkan jaringan crash atau menjadi korup.
Contoh laporan-laporan sniffer:
Gambar 1.2 Peng-capture-an address
1.11 Serangan Layer Aplikasi
Serangan layer aplikasi biasanya tertuju pada server-server aplikasi. Penyerangan dengan sengaja menimbulkan kesalahan pada sistem operasi atau server aplikasi. Ini menyebabkan penyerang memperoleh kemampuan untuk melakukan bypass kontrol akses normal. Dari situasi ini, penyerang mengambil banyak keuntungan; memperoleh kontrol atas aplikasi-aplikasi, sistem-sistem, atau jaringan.
Selanjutnya mereka dapat melakukan aksi-aksi lebih jauh:
- Membaca, menambah, menghapus, mengubah data atau sistem operasi.
- Memasukan program virus untuk membuat duplikat virus ke seluruh jaringan.
- Memasukan program sniffer untuk menganalisa jaringan dan memperoleh informasi yang bisa digunakan untuk menghancurkan atau merusak sistem dan jaringan.
- Secara abnormal mematikan aplikasi data atau sistem operasi.
- Menonaktifkan kontrol keamanan lainnya agar bisa melakukan serangan di lain waktu.
2. TANDA-TANDA HACKING PADA SISTEM WINDOWS
Bagi para pengguna server-server Windows, bahasan di bawah ini adalah tanda-tanda umum jika server kita diserang. Jika salah satu anda temukan, maka waspadalah dan perhatikan dengan teliti apa yang terjadi. Jangan terburu-buru mengambil tindakan spekulatif karena boleh jadi tebakan kita yang salah. Tetaplah tenang namun harus terus memeriksa.
2.1 Ditemukannya Rootkit yang Terinstal atau Berjalan
Rootkit tidak lain bentuk program (atau gabungan program-program) yang didesain khusus untuk melakukan bermacam tugas pengendalian kunci (dalam Unix diistilahkan akses "root", dan dalam Windows diistilahkan akses "administrator") dari sebuah sistem komputer., tanpa sepengetauan pemilik atau pengelola sistem komputer bersangkutan. Secara singkat, Rootkit nyaris menyerupai Trojan.
Rootkit telah menjadi hal yang lazim disalahgunakan orang-orang untuk menyerang platform-platform Windows, ini karena program proram Rootkit tersedia bebas di Internet dan cukup mudah digunakan oleh siapa pun, termasuk pemula.
Apa yang Dilakukan Rootkit.
Rootkit dapat melakukan banyak hal yang menabjubkan, seperti:
- Menyembunyikan keadaan dirinya saat sebuah sistem berhasil disusupi.
- Menangkap informasi vital seperti password user-user.
- Meng-install program backdoor yang dapat digunakan untuk akses jarak jauh oleh penyerang.
- Menginfeksi komputer.
- Mengendalikan sebuah komputer untuk mengeksploitasi komputer-komputer lain.
Bagaimana Rootkit Dikenali
File-file biner Rootkit terkadang mudah dideteksi oleh program-program antivirus atau program-program removal third-party. tetapi pada beberapa kasus tertentu, file file Rootkit cukup sulit dideteksi.
Bagaimana Mengatasi Rootkit
Ketika kita mendapati sebuah program Rootkit ter-install, atau menjalankan sebuah layanan dalam sistem kita, maka dipastikan sebuah penyerangan sedang berlangsung. Untuk penanganan pendauluan, segera matikan program tersebut. kemudian meng-uninstall-nya
2.2 Ditemukan Aktifitas Mencurigakan pada Record-Record File Log
Indikasi kuat lain terjadinya pelanggaran/penyerangan adalah ditemukannya aktivitas-aktivitas mencurigakan pada catatan file log. Misalnya baris-baris informasi logon yang ganjil, ditemukannya aktivitas logon tak dikenal, kegagalan layanan, restart sistem tanpa sebab, berjalannya sebuah layanan misterius secara berulang-ulang.
2.3 Ditemukannya Account User dan Group yang Asing
Saat kita mendapati sebuah nama user atau nama grup baru yang tak dikenal terdaftar dalam sebuah komputer kita, maka waspadalah karena itu boleh jadi indikasi penyusupan. Seseorang telah menambahkan dirinya ke database user/group yang dimiliki komputer kita.
Yang lebih berbahaya lagi adalah ketika user asing tersebut memliki hak akses istimewa, atau dengan kata lain menjadi bagian dari group Administrator. Dengan kekuasaan "Administrator", maka sudah pasti user penyusup dapat melakukan apa saja pada sistem kita, termasuk melakukan pembacaan file file, perubahan setting konfigurasi sistem, perubahan setting user-user, melakukan tugas-tugas administrasi sistem, dan banyak hal lainnya.
2.4 Ditemukannya Aplikasi yang berjalan Otomatis Secara Tidak Sah
Seorang penyusup lazimnya menjalankan program backdoor, yaitu program yang bisa berjalan secara tidak transparan atau luput dari perhatian si pemilik sistem. Shortcut dari program backdoor bisa dijalankan otomatis oleh sistem setiap kali komputer di restart atau boot up. Foler Startup Windows berlokasi di "C:\Documents and Setttings\%username%\Start Menu\Program\Startup".
Melihat konten pada folder Startup bisa juga dilakukan dengan mengklik menu Start > All Proggrams > Startup. Catat bahwa Windows memiliki dua folder Startup. satu untuk user lokal dan satu lagi untuk semua user. Saat log on , semua aplikasi di dalam kedua folder "All Users" dan Startup user akan dijalankan. Inilah mengapa penting memeriksa semua folder Startup untuk mencari aplikasi-aplikasi yang mencurigakan.
2.5 Ditemukannya Layanan yang Tidak Sah
Kebanyakan program backdoor akan meng-install dirinya sendiri sebagai sebuah layanan (service) yang akan dijalankan otomatis saat sistem melakukan boot up. Layanan-layanan ini dapat berjalan sebagai user siapa saja dengan hak akses "Logon as a Service".
2.6 Berubahnya keabsahan File-File Penting
File-file penting yang dimiliki sistem operasi Windows seperti Autoexec.bat , Autoexec.nt , config.sys , system.ini dan win.ini seringkali menjadi sasaran perubaan oleh penyusup, tentu saja dalam rangka mendukung tujuan jahatnya. File-file ini dapat digunakan penyusup untuk menjalankan program backdoor miliknya saat komputer melakukan boot. File-file penting Windows umumnya terletak di bawah folder C:\WINDOWS atau subfolder-subfolder di bawahnya.
2.7 Berubahnya Binary-Binary Sistem
Program Trojan yang disusupkan oleh penyusup bisa membuat file-file sistem Windows kita berubah fungsinya atau berjalan tidak normal. Meskipun begitu, file-file tersebut dapat kelihatan normal-normal saja, baik dari sisi ukuran atau atau timestamp-nya sebagaimana versi resminya.
Karena alasan di atas inilah, kita tidak bisa dengan mudah menentukan apakah program tersebut sudah diubah atau belum. Kita tidak cukup memeriksa Properties dan timestamp file-file tersebut, melainkan harus melalui software-software analis pembantu.
2.8 Ditemukannya Nilai-Nilai yang Tidak Sah pada Konfigurasi-Konfigurasi Jaringan
Penyusup bisa menyerang konfigurasi-konfigurasi jaringan, seperti mengubah atau menambahkan setting-setting pada WNS, DNS, IP forwarding, file hosts, dan yang sejenisnya. Setting-setting ini sangat vital untuk komunikasi jaringan kita.
2.9 Ditemukannya Job Terjadwal Tidak Sah
Lagi, penyusup dapat meninggalkan program backdoor miliknya di komputer kita. File excutable dari program backdoor ini mereka bisa daftarkan ke layanan Windows Task Scheduler sehingga dapat dijalankan oleh Windows secara terjadwal di lain waktu, tanpa sepengetauan kita. Teknik ini biasanya sebagai trik penyusup untuk bisa "bertamu kembali ke sistem kita.
Pada Windows 7 kita dapat mengakses Task Scheduler dengan cara mengklik menu Start > Control Panel > System and Security > Administrative Tools > Schedule Task.
Pada Windows XP kita dapat mengakses Task Scheduler dengan cara mengklik menu Start > Settings > Control Panel > Scheduled Task.
2.10 Ditemukannya Proses-Proses Tidak Sah
Kita dapat menggunakan tool Task Manager atau perintah pulist.exe dan tlist.exe dari Windows resource kit pada prompt perintah untuk memeriksa proses-proses yang sedang berjalan dalam sistem kita. Tool bagus lainnya adalah Process Exploler dari Sysinternal.
Layanan-layanan yang berjalan biasanya terhubung dengan account SYSTEM. Pastikan untuk memeriksa hak akses layanan-layanan tersebut, jangan sampai memiliki wewenang yang lebih tinggi dari yang seharusnya.
Perintah tlist.exe dengan flag -t akan menampilkan proses-proses yang menjalankan proses turunan. Di samping itu, beberapa versi Windows (Windows XP dan Windows Server 2003) menyertakan perintah tasklist.exe, yang ketika digunakan dengan switch /svc, akan menampilkan proses yang berjalan di bawah "svchost.exe", dan saat digunakan dengan switch /m , akan menampilkan semua modul yang digunakan.
Microsoft juga menyediakan tool System Information yang memberi sejumlah informasi tentang lingkup lainnya, termasuk:
- Tugas-tugas yang berjalan.
- Modul-modul yang di load.
- Layanan-layanan.
- Program-program Startup.
- Driver-driver.
Tool System Information kita jalankan dengan memanggil perintah msinfo32.msc dari prompt perintah.
2.11 Ditemukannya File-File Tersembunyi
Jika kita tidak sengaja menemukan file-file atau direktori-direktori yang disembunyikan pada salah satu lokasi sistem, maka itu pertanda kuat jika sistem kita telah dijebol, dan penyusup menaruh materi-al-material asing untuk keperluannya, biasanya berupa program backdoor atau password cracker.
Dalam Windows, file-file tersembunyi umumnya cukup mudah diungkap melalui Exploler. Untuk melakukannya:
1. Buka Exploler.
2. Klik menu Tools, pilih Folde Options
3. Jendela Folder Option akan terbuka, Klik tab View.
4. Selanjutnya dari daftar setting yang tampil, pilih opsi Show hidden files and folders.
5. Setelah itu, hapus seleksi pada Hide file extensions for known file types and Hide protected operating system files.
Untuk menampilkan file tersemunyi pada prompt perintah, ketik dir/ah. Adapun disk-disk dengan filesystem NTFS memungkinkan penyusup menyembunyikan data-data pada data stream alternatif. Tool seperti Sysinternal Stream dapat kita gunakan untuk mencari data-data stream alternatif tersebut.
Satu trik lainnya, dengan boot sebagai LocalSystem atau melakukan boot dari OS berbasis CD seperti Knoppix atau BartPE/WinPE, akan mampu menampilkan file-file pada direktori yang diproteksi oleh penyusup dan menampilkan file/ direktori yang disembunyikan olehnya melalui rootkit.
2.12 Berubahnya Perizinan File atau Key Registry Secara Tidak Sah
Salah satu solusi dari pengamanan sistem windows adalah membatasi perizinan pada file-file penting dan key-key registry, sehingga user-user yang tidak sah tidak bisa mengganggu material-material tersebut. Jika ternyata kita menemukan adanya perubahan pada setting permisi file-file penting dan key-key registry, bisa dipastikan bahwa seseorang telah merusaknya melalui program-program seperti backdoor atau keylogger.
Untuk memeriksa setting permisi dari file-file yang dimiliki sistem kita, gunakan program xcals.exe atau showacls.exe yang merupakan bagian dari bundel Resource Kit.
Konsol Local Security Settings (secpol.msc) juga dapat kita gunakan untuk menganalisa sistem terhadap perbedaan konfigurasi-konfigurasi dari yang telah kita tetapkan sebelumnya. Ini akan membantu menentukan apa yang telah dimodifikasi.
2.13 Berubahnya Setting Policy User atau Komputer
Policy digunakan pada sistem Windows untuk menetapkan berbagai konfigurasi, juga digunakan untuk mengontrol apa yang bisa dan tidak bisa digunakan untuk mengontrol apa yang bisa dan tidak bisa dilakukan oleh user-user. Untuk komputer stand-alone atau work-group, policy ini dikonfigurasi via Local Computer Policy. Sedang pada lingkungan domain Active Directory , opsi ini secara khusus dikonfigurasi menggunakan Group Policy pada mesin Domain Controller, kemudian di-link ke Organizational Unit.
Kita disarankan untuk menyimpan salinan policy yang telah kita buat tersebut. Seandainya suatu waktu policy mengalami perubahan akbat ulah penyusup, kita dapat dengan mudah menentukan bagian mana saja yang telah berubah.
Microsoft menawarkan GPInventory untuk membantu administrator mengumpulkan berbagai rangkaian yang dihasilkan User Policy bersama, beserta beberapa informasi lainnya. Atau kita menggunakan perintah gpresult /v untuk melihat Group Policy Object mana yang diaplikasikan.
3. PERTOLONGAN PERTAMA PADA INSIDEN HACKING
KETIKA SEBUAH PENYERANGAN BENAR-BENAR MENIMPA SERVER DAN JARINGAN KITA, APA YANG HARUS KITA LAKUKAN?
Ini adalah pertanyaan logis dari seorang administrator sistem dan jaringan. Saat sebuah serangan terjadi, memang dapat membuat para administrator kalang kabut. Ini wajar karena tanggung jawab seorang "Admin" itu cukup besar. Mereka itu orang yang harus bisa menjaga keutuhan sistem yang mereka kelola, terutama data-data milik user-user, klien-klien, partner-partner, atau konsumen-konsumen.
Inilah kiat-kiat dan langkah yang tepat untuk menanganinya
3.1 Sebelum Mulai Melangkah
Sebelum melakukan upaya-upaya penanganan dan pemulihan sistem akibat serangan, usahakan untuk menenangkan diri dan jangan berbuat tergesa-gesa. Keputusan yang salah hanya akan menambah buruk keadaan.
3.2 Mengambil Alih Kontrol Kembali
3.2.1 Putuskan Koneksi Jaringan untuk semua Sistem yang Tercemar
Untuk mengambil alih kontrol kembali, terkadang kita harus memutuskan koneksi jaringan untuk semua komputer yang tercemar, termasuk koneksi dial-in. Setelah itu, mungkin perlu logon ke mode operasi single user (UNIX) atau sebagai local administrator (Windows) untuk memastikan bahwa kita memiliki kontrol penuh terhadap komputer, tanpa peluang intervensi dari penyerang.
3.2.2 Menyalin Image dari Semua Sistem yang Tercemar
Sebelum menganalisa penyusupan, dianjurkan pula kita membuat BACKUP KOMPLIT dari sistem kita sekarang ini. Backup ini dapat memberikan "potret" dari kondisi sistem pada saat terjadi penyerangan tersebut, yang mungkin membantu saat dibutuhkan dalam proses analisa mendatang.
Membuat backup low-level ini penting, terutama saat kita ingin melihat kondisi /keadaan sistem yang tercemar seperti pertama kalinya ditemukan. Juga, file-file yang ada di dalamnya mungkin dapat membantu dalam penyelidikan resmi. Kita harus memberikan label/nama dan tanggal/waktu pada backup tersebut, lalu menyimpannya pada ruangan yang terjamin keamanannya.
Menyalin dalam Windows
Pada sistem-sistem Windows verso lama, tidak ada perintah copy lengkap yang built-in seperti dd, namun pada versi-versi baru semisal Windows XP, Windows Vista, atau Windows Server 2003/2008, kita memiliki fasilitas Windows Backup atau Windows Backup and Restore Center yang memiliki fitur cukup canggih.
Kita bahkan dapat menggunakan aplikasi-aplikasi third-party yang mampu membuat salinan image dari seluruh isi hard drive.
3.3 Menganalisa Penyusupan
Dengan diputusnya sistem dari koneksi jaringan, kita sering dapat mempelajari seluruh file log dan file konfigurasi yang dimiliki sistem. Ini berguna untuk mencari tanda-tanda penyusupan, aksi-aksi modifikasi yang dilakukan penyusup dan kelemahan-kelemahan konfigurasi sebagai sumber masalah.
3.4 Memeriksa Tool-Tool dan Data-Data yang Ditinggalkan Penyusup
Penyusup umunmnya secara diam-diam meng-install beberapa tool atau software yang bisa membuatnya dapat kembali di lain waktu, atau software yang dapat merusak sistem kita secara kontinyu, atau juga software yang menyadap informasi dari waktu ke waktu. Program-program seperti ini dikenal dengan program backdoor.
3.4.1 Mengenali Jenis Tool-Tool Penyusup
Secara umum, jenis-jenis tool/software yang ditinggalkan penyusup adalah:
a) Network Sniffers:
Tool yang dapat memonitor dan mencatat aktivitas jaringan kita dan melaporkan hasilnya ke sebuah file data/log. Penyusup umumnya menggunakan network sniffers untuk mendapatkan data-data username dan password yang dihantarkan dalam bentuk teks murni melalui jaringan.
b) Trojan Horse:
Penyusup menggunakan Trojan untuk menggunakan Trojan untuk menyembunyikan aktivitasnya, mendapatkan data username dan password, atau membuat "pintu belakang" untuk masuk di lain waktu =.
c) Backdoor:
Program Backdoor dirancang untuk "menyembunyikan diri" di dalam host target. Backdoor memungkinkan penyusup dapat mengakses sistem tanpa menggunakan proses otorisasi/logon normal, atau untuk mengeksploitasi kelemahan sistem korban
d) Eksploitasi Kelemahan:
Mayoritas pencemaran sistem adalah akibat komputer target mengandung hole atau versi software yang rentan. Penyusup sering menggunakan tool spesifik untuk mengeksploitasi kelemahan ini dalam rangka mendapatkan akses yang sah. Tool-tool ini kemudian sering ditinggalkan pada sistem korban dalam direktori yang disembunyikan.
3.4.2 Carilah Data-Data yang Ditinggalkan Penyusup
Penyusup dapat membuat dan meninggalkan file-file log atau data-data yang menampung informasi yang dihasilkan oleh tool-tool penyusup. File-file log ini bisa mengandung banyak informasi tentang situs kita, atau situs-situs lain yang terlibat.
3.5 Mempelajari File-File Log
Mempelajari file-file log sangat membantu untuk mendapatkan ide tentang bagaimana komputer kita dijebol, apa yang dilakukan penyusup selama menyusup, dan mesin mesin/host-host remote mana yang menjadi perantara penyusup dalam mengakses komputer yang disusup dalam mengakses komputer yang disusup.
Untuk sistem-sistem Windows, kita biasanya dapat dengan mudah mencari informasi file-file log, yaitu dengan membuka layanan Event Viewer.
4. PEMULIHAN DARI PENYEGARAN
Setelah mengambil langkah peneluran terhadap sumber penyerangan dan memeriksa seluruh kerusakan yang terjadi, sekarang tiba saatnya kita melakukan pemulihan.
4.1 Install Versi "Clear" Sistem Operasi
Selalu ingat bahwa komputer yang sudah terserang , apa pun pada sistem bisa jadi telah diubah, termasuk kernel, program-program binary, file-file data, layanan-layanan konfigurasi-konfigurasi sistem, memory, dan lainnya. Secara umum, satu-satunya cara agar komputer bebas dari backdoor dan modifikasi-modifikasi penyusup adalah dengan melakukan INSTALL ULANG sistem operasi dari media distribusi orisinil.
4.2 Matikan Layanan-Layanan Yang Tidak perlu
Setelah mendapatkan sistem operasi baru yang "clear", selanjutnya matikan layanan-layanan yang tidak perlu. Untuk meminimalkan peluang sabotasem sistem kita dianjurkan untuk hanya menjalankan layanan-layanan yang memang diperlukan saja oleh sistem operasi dan user-user, adapun layanan-layanan lainnya dihapus saja.
Sebagai contoh, jika komputer tersebut dirancang untuk dijadikan web server, maka cukup aktifkan layanan web server, dan jangan mengaktifkan FTP, mail, atau sharing file dan printer.
4.3 Install Semua Patch Sekuriti dari Vendor
Selanjutnya jangan lupa menginstal patch sekuriti dari vendor bersangkutan. Ini penting. Sebagai contoh, jika sistem operasi kita adalah Windows, maka kunjungi website Microsoft untuk memperoleh patch-patch sekuriti terbaru yang tersedia dan meng-install-nya ke sistem kita. Aktifkan juga layanan Windows Update jika sistem kita men-support-nya.
Patch-patch sekuriti berguna untuk menjaga sistem operasi agar tetap up-to-date, semua celah kelemahan sekuriti dapat ditutup sehingga tidak bisa dimanfaatkan oleh seseorang untuk menyerang. Dianjurkan kita memeriksa patch-patch terbaru dari vendor resmi secara berkala.
4.4 Ambil Backup dari Sumber yang Bersih
Sekarang kembalikan (Restore) backup data-data yang dimiliki. Pastikan backup itu sendiri berasal dari media/sistem yang tidak tercemar.
4.5 Install Tool-Tool Keamanan
Install tool-tool keamanan sebelum komputer kita tersambung kembali ke jaringan/Internet, seperti antivirus.
4.6 Konfigurasikan Firewall untuk Melindungi Jaringan dan Host-Host di Bawahnya
Pastikan kita memfilter jaringan dengan server firewall atau router. Juga install dan aktifkan layanan dengan firewall pada komputer-komputer individual kita. Jika kita menggunakan Windows, maka aktifkan layanan Windows Firewall.
Tidak ada komentar:
Posting Komentar