5 Celah Keamanan yang paling serius tahun 2001
23 Februari 2002
http://www.cert.org/annual_rpts/cert_rpt_01.html
Selama tahun 2001, CERT/CC telah menerima lebih dari 118.907 pesan email dan lebih dari 1.417 panggilan telepon. Sebanyak 2,437 celah keamanan ditemukan dan sebanyak 52,658 insiden dilaporkan terjadi selama tahun 2001. Berikut ini, kami paparkan 5 celah keamanan yang paling sering pada tahun 2001 :
1. Berbagai system kelemahan pada BIND.
Fungsi dari BIND adalah sebagai pengenalan nama suatu web secara huruf (www.vaksin.com) bukan angka (192.168.0.1), dikarenakan manusia lebih baik mengingat nama dari pada mengingat sejumlah angka maka penggunaan nama BIND ini dianggap sangat perlu, untuk itulah di bentuk suatu badan khusus dan membuat standar untuk penggunaan internet nama domain ini, untuk lebih jelasnya anda dapat membaca mengenai BIND ini pada http://www.faqs.org/rfcs/rfc1794.html untuk menjalaskan secara detil apa itu BIND.
Domain Name System (DNS) server digunakan pada berbagai version dari ISC BIND (Internet Software Consursium Barkeley Internet Name Domain). Jika pengoperasian BIND ini secara normal, maka dampak yang dapat di hasilkan adalah celah keamanan atau vulnerability yang dapat kita exploit.
· ISC BIND 8 buffer overflow dalam code penandatanganan transaksi (TSIG = Transaction Signatrure Handling Code)
Pada proses ini , BIND 8 akan mengechek kesalahan pada kunci masukan yang valid. jika code transaksi tidak di temukan maka BIND akan melewati proses normal dan melanjutkan permintaan, dan melompat ke rancangan code untuk mengirim pesan error. Diasumsikan jika permintaan dilakukan secara overload atau melebihi dari kapasitas pada memory, maka hasilnya kita dapat membypass sistem tersebut. sehingga dengan mudahnya orang di luar network dapat memasuki jaringan system komputer dalam (LAN/WAN) secara menyeluruh.
· ISC BIND 4 buffer overflows pada "nslookupComplain()" celah keamanan pada BIND 4 ini ada pada penggunanann array karakter, yang digunakan untuk membangun error message (pesan kesalahan) pada syslog.penyerang atau attacker menempatkan pengexploitan pada celah keamanan ini dengan mengirim format DNS khusus pada server BIND 4. jika konstruksi dari permintaan di anggap sebagai permintaan normal maka ini akan menggangu operasi normal pada proses server DNS.
· ISC BIND 4 input validation error dalam nslookupComplain() celah keamanan ini hampir sama dengan "ISC BIND 4 buffer overflows pada "nslookupComplain()" dan kelemahan ini dapat di patch dengan version BIND yang lebih baru seperti BIND 4.9.5-P1.
· Server dari ISC BIND mungkin menutup beberapa variable celah keamanan informasi pada proses code BIND 4 dan BIND 8 mengikuti remote attacker untuk mengakses stack program, sehingga dapat mencari beberapa celah keamanan pada server BIND.
2. SADMIND/IIS WORM
Penyerang menggunakan kode yang di buat sendiri untuk mengexploit beberapa celah keamanan (vulneribility) pada system solaris dan IIS server.
Apakah exploit itu ?
Exploit kalo diambil dari kata dasarnya berarti adalah menggali atau mencari, jadi maksud dari exploit disini adalah suatu program yang dapat digunakan untuk mencari kelemahan suatu program aplication. seorang yang mempunyai kemampuan lebih dalam bidang internet dan jaringan tetapi dia mempunyai sifat yang merusak dapat saja mereka menggunakan program exploit ini dengan menggabungkan dengan software virus buatannya. Logika yang di guanakan untuk program aplication ini dapat berbagai macam, SADMIND/IIS WORM merupakan jenis virus yang dapat mendeface (mengganti halaman suatu web yang terserang). SADMIND/IIS WORM merupakan type serangan exploit yang menyerang system solaris dan menginstall software untuk menyerang system microsft IIS web server.
Cara kerja dari SADMIN/IIS WORM :
Pertama kali worm akan menginfeksi dan setelah itu worm dengan sendirinya akan menginfeksi ke sistem solaris dan akan menscan system solaris lainnya dan IIS system. IIS system yang terkena virus ini akan mengubah tampilan web nya. Penyerang dapat menggunakan exploit untuk mencari celah keamaanan pada web tersebut dan mencari tingkat tertinggi pada system solaris dan dengan menggunakan command seperti IUSR_namakomputer account pada system windows. jika seorang administrator system pada kantor tersebut menggunakan system default maka hal tersebut dapat terjadi, sekarang apakah maksudnya dari default system disini, diambil contoh adalah jika seseorang administrator tersebut memasangkan IIS (Internet Information Server) secara default, maka secara default nama user dari komp tersebut adalah IUSR_namakomputer, jadi jika virus tersebut telah mendapat namakomputer server tersebut maka worm akan mencoba untuk menginfeksi komputer tersebut dengan menggunakan system default terlebih dahulu.
3. "CODE RED" Worm
Code Red pertama kali terdeteksi pada tanggal 19 juni 2001.kelemahan yang telah terjadi pada microsft IIS 4.0 dan IIS 5.0 yang berjalan pada OS windows NT, windows 2000, dan versi beta dari windows XP. Celah keamanan pada penyerang (intruder) untuk menjalankan code pada mesin yang telah terinfeksi.
Sejak teknik pengexploitan dibuat untuk mencari celah keamanan pada system, maka para system administrator di wajibkan untuk mempatch system os tersebut ke patch yang terbaru untuk menghindari kemungkinan yang akan datang. Banyak sekali ditemukan bug pada suatu program aplication (bug pada unicode) dan masih banyak lagi.
Lantas apakah "bug" itu ??.
Bug menurut harafiah kata dasar berarti kutu, lantas apakah hubungannya antara kutu dengan program pada komputer, jujur saja "saya tidak tahu". Kalau menurut dunia komputer atau dunia IT, bug adalah suatu kesalahan atau error pada suatu program aplikasi yang terjadi setelah program tersebut jadi.
Untuk mencari bug atau error dari program tertentu maka seseorang akan membuat program lain untuk mengexploitnya, jika hal tersebut dapat menyerang secara massal atau menimbulkan banyak kerusakan (mass destructive) akan digabungkanlah program tersebut dengan virus, agar kerja dari program tersebut lebih effektif dan lebih merusak, hal seperti itulah yang digunakan pada worm "CODE RED".
4. W32/Sircam
Sircam ini adalah salah satu jenis virus yang paling banyak menyerang sampai saat ini. Worm ini menyerang melalui email dan ini tergolong ganas dan destruktif, jenis virus worm dulu pada dasaranya bukan type virus perusak, tapi sekarang batas antara virus dengan worm tidak kelihatan lagi, dahulu suatu virus murni menyerang, dan worm murni melakukan copy diri sendiri, sehingga mengakibatkan banyaknya worm, dan effek sampingnya, komputer akan hang, dan melambatkan kinerja dari komputer.
Lain halnya jika sekarang, virus dan worm sudah tidak terlihat lagi batasnya, type dari worm sekarang sudah banyak yang bersifat menghancurkan. Worm ini menginfeksi system dengan 2 cara :
· Ketika email dibuka dari attachment maka code worm dijalankan
· Dengan mengkopikan dirinya ke dalam network share yang tidak terproteksi.
----------penyebaran melalui email.-------------
Worm atau virus ini menggunakan dua bahasa pada text bodynya, yaitu Bahasa Ingris dan Bahasa Spanyol.
contoh Bahasa Inggris
Hi! How are you? (variasi)
See you later. Thanks
Isi dari variasi dapat berupa :
I send you this file in order to have your advice
I hope you like the file that I sendo you
I hope you can help me with this file that I send
This is the file with the information you ask for
Contoh dalam Bahasa Spanyol :
Hola como estas ?
(variasi)
Nos vemos pronto, gracias.
Isi dari variasinya adalah sebagai berikut :
Te mando este archivo para que me des tu punto de vista
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando
Este es el archivo con la informacion que me pediste
Sircam akan mengirim file dengan 2 ekstensi. Contoh filenya adalah sebagai berikut :
"setup.exe.pif"
------penyebaran melalui network sharrinng yang tidak terprotect.-----------
Sircam akan mengkopikan dirinya sendiri ke network sharring dengan menggunakan perintah sebagai berikut :
· Copies itself to \\[share]\Recycled\SirC32.EXE
· Appends "@ win\Recycled\SirC32.exe" to AUTOEXEC.BAT.
Jika network sharing di temukan maka dia akan membuat windows folder share seperti berikut :
· Copies \\[share]\Windows\rundll32.exe to \\[share]\Windows\run32.exe
· Copies itself to \\[share]\Windows\rundll32.exe
· Ketika virus dijalankan dari rundll32.exe, ia akan menjalankan run32.exe
Cara pencegahan untuk menangani virus ini adalah seperti berikut :
· Filter semua email menggunakan firewall
· Hati hati dalam membuka attachment
· Gunakan antivirus dengan update terbaru
5. W32/nimda
Nimda ini termasuk virus jenis worm.
Virus ini menggunakan system serangan, mengambil dari terdahulunya, seperti code red, sircam, dan sadmind.
Dia menyerang pada sistem OS windows95,98,NT,ME, dan 2000. Serangan dapat dilakukan dengan berbagai cara :
· Dari client ke client menggunakan media email
· Dari client ke client melalu network yang di share
· Dari web server ke client melalui browsing pada suatu web yang terinfeksi
· Dari client ke web server yang telah terexploit pada berbagai microsoft IIS 4.0/IIS 5.0
· Dari client ke web server melalui scanning untuk backdoors seperti CODE RED II dan SADMIND/IIS
------pada penyebaran lewat email.---------
Virus ini akan menggunakan MIME sebagai penginfeksiannya.
Apakah MIME itu ???
MIME adalah "Multipurpose Internet Mail Extensions", fungsinya adalah untuk pengiriman data dalam bentuk non-US-ASCII. untuk keterangan MIME anda dapat membaca di http://www.ietf.org/rfc/rfc2045.txt.
Email yang dikirim oleh nimda mengikuti bentuk seperti berikut :
Text dengan subjek yang berlainan dan bervariable, panjang dari attachment sekitar 57344 bite dan worm akan mengirim email kembali setiap 10 hari.
-----penyebaran menggunakan Browser------
Untuk penyebaran menggunakan internet explorer worm akan mengirimkan script sebagai berikut :
Command diatas berarti worm akan mengakses network share dengan menjadikan drive C: sebagai C$, dan membuat account guest pada windowsNT atau woindows2000, dan menempatkan sebagai administrator group pada account.
Footprinting, apakah itu ??
Footprinting adalah pencarian tahap awal serangan , misal menentukan target, kemudian mencari informasi, dan masih banyak lagi.
Langkah langkah dari footprinting adalah sebagai berikut:
Step 1: Menentukan Scope Aktifitas / Serangan.
Step 2: Network Enumeration.
Step 3: Interogasi DNS (domain name).
Step 4: Mengintai Jaringan.
Nimda juga akan melakukan system footprinting yang hasilnya sebagai berikut :
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
Cara ini biasanya digunakan oleh code red untuk mencari system celah keamanan pada system.
Send mail to support@vaksin.com with questions or comments about this web site.
Last modified: 05/14/04
(
geocities.com/hackermuda)