hai ganz, kembali dengan saya admin white-hearTz.
kali ini gua mau bahas tentang Arp spoofing dan Arp poisoning.
ARP spoofing merupakan konsep dari serangan penyadapan diantara terhadap dua mesin yang sedang berkomunikasi atau yang disebut dengan Man in The Middle Attack. Sebuah aplikasi alat bantu untuk menganalisa paket dari protokol kita pergunakan alat yang disebut wireshark di unduh di situs http://www.wireshark.org.
Kita akan melakukan ARP spoofing dengan menggunakan skrip “arpret.c” skrip tersebut dibuat dengan bahasa pemrograman C yang bekerja dengan mengirim ARP reply palsu kepada host target dan hanya bisa dijalankan dalam sistem operasi Linux. Linux Slackware versi 12.1 berjalan di komputer penyadap yang menjalankan skrip tersebut mempunyai IP 192.168.10.22 dengan MAC address 00:1e:ec:c4:86:67 selain itu dilakukan setting kernel untuk bisa mem-forward paket ke tujuan lain dengan kata lain meneruskan paket yang telah diterima.
Host yang menjadi sasaran adalah komputer yang berfungsi sebagai gateway menjalankan sistem operasi Linux Fedora 8 dengan IP 192.168.10.7 (00:0C:F1:86:E3:35) dan komputer pengguna dengan sistem operasi Ms Windows XP SP2 yang menggunakan layanan yang ada di gateway dengan IP 192.168.10.4 (00:0C:F1:96:A7:1C). Setelah proses kompilasi skrip “arpret.c” di sistem operasi Linux Slackware, lalu kita akan mencoba mengirimkan sebuah ARP-reply palsu kepada komputer 192.168.10.7 dimana headernya kita memberikan MAC address penyusup tapi dengan IP 192.168.10.4 yang bertindak sebagai gateway dengan maksud komputer agar komputer penyusup dianggap gateway oleh komputer 192.168.10.7.
Kita mengatur kernel agar bisa melakukan meneruskan paket dengan perintah dalam konsole Linux seperti di bawah ini : # echo ”1” > /proc/sys/net/ipv4/ip_forwarding Dilanjutkan dengan kompilasi skrip dan menjalankan skrip dengan opsi menggunakan kartu Ethernet eth0. Header ARP-reply berisi alamat IP gateway 192.168.10.4 tapi dengan MAC address 00:1e:ec:c4:86:67 lalu dikirimkan ke IP 192.168.10.6 dan opsi –k2 dengan maksud proses meracuni ARP cache dilakukan secara terus-menerus. ./arpret -i eth0 -s 192.168.10.4 -S 00:1e:ec:c4:86:67 -d 192.168.10.7 -D 00:50:ba:83:1b:d1 -k2.
Hal diatas mengakibatkan ter-manipulasinya isi cache ARP yang sebelumnya cache untuk komputer gateway adalah 00:0C:F1:96:A7:1C tapi berubah menjadi MAC address dari komputer penyusup 00:1e:ec:c4:86:67. Seperti yang terlihat pada gambar dibawah ini pada komputer 192.168.10.7 yang menjalankan sistem operasi MS Windows XP SP2 dengan mengetikkan arp –a untuk melihat semua ARP cache yang tersimpan. sebelum arp spoofing Dan berikut gambar ARP cache setelah diracuni menyimpan MAC address penyusup untuk alamat IP 192.168.10.4. arp cache setelah arp spoofing berubah.
Dalam setiap host dan perangkat switch dalam jaringan menyimpan catatan daftar MAC dan IP Address yang disebut dengan ARP cache. Sistem akan menggunakan ARP cache untuk berhubungan dengan host lain dalam pertukaran data. Jika alamat tidak terdapat dalam daftar di memori atau ARP cache, sistem akan menggunakan ARP untuk mencari tahu MAC address pada host tujuan dan perangkat switch menggunakan tabel ARP untuk membatasi trafik hanya untuk MAC address yang terdaftar pada port. Arp spoofing adalah teknik untuk menyadap frame data dalam jaringan lokal, mengubah lalu lintas data atau memberhentikan lalu lintas data.
Seorang penyusup dalam melakukan ARP spoofing akan mengirim pesan ARP palsu ke ethernet jaringan lokal dengan tujuan menyamakan alamat MAC dengan komputer lain misalnya komputer gateway. Jadi setiap lalu lintas data terhadap IP gateway akan mengarah terlebih dahulu ke komputer penyusup sebagai gateway palsu yang akhirnya diteruskan ke gateway yang asli dan memungkinkan untuk memodifikasi data sebelum diteruskan ke gateway. Aksi ini disebut dengan Man in The Middle Attack.
Sebelum serangan terjadi ARP cache dalam keadaan normal menyimpan alamat MAC dari tujuan transmisi data. Target penyadapan adalah di antara dua mesin yang terhubung pada jaringan yang sama dengan penyusup yaitu korban 1 pada IP 192.168.10.4 (00:0C:F1:96:A7:1C) dengan mesin korban 2 pada IP 192.168.10.7 (00:0C:F1:86:E3:35) dan mesin penyusup pada IP (00:1e:ec:c4:86:67). Pada serangan dilakukan sang penyusup akan melakukan pengiriman paket ARP-Reply yang berisi MAC dari mesin penyusup. penyusup —> korban 1 : (IP korban 2) is at (MAC penyusup) penyusup —> korban 2 : (IP korban 1) is at (MAC penyusup).
Jika kita analisa paket-paket yang dikirimkan penyusup ke korban menggunakan aplikasi bantu untuk analisa paket dalam jaringan yang bernama wireshark akan tampak seperti dibawah ini : analisa arp poison dengan wireshark Seperti yang kita lihat komputer penyusup mengirim ARP-reply kepada IP 192.168.10.4 berikut dengan alamat MAC dari komputer penyusup 00:1e:ec:c4:86:67 dan hal yang sama dikirimkan ARP-reply kepada IP 192.168.10.7 berikut dengan alamat MAC dari komputer penyusup 00:1e:ec:c4:86:67.
Lalu lintas yang terjadi antara korban 1 dan korban 2 akan diterima terlebih dahulu oleh komputer penyusup sebelum di teruskan ke tujuan data yang bisa disadap adalah transmisi tidak menggunakan enkripsi atau berbasis plain text seperti TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, NS, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.
Ancaman keamanan muncul ketika ada upaya manipulasi terhadap pengalamatan nomor IP dan MAC address. Proses ini biasa disebut dengan istilah ARP spoofing atau ARP poisoning.
Dengan ARP Poisoning Anda dapat memanipulasi lalu lintas data dari klien target agar semua paket-paket data klien target melalui komputer anda terlebih dahulu. Mengapa proses ini bisa terjadi? proses ini dapat terjadi Karena computer anda akan memberi tahu kepada klien target bahwa MAC address komputer (hardware) anda adalah MAC dari komputer server/gateway.
Kemudian komputer anda juga akan memberi tahu kepada komputer server/gateway (computer yang dituju klien taget) bahwa MAC address dari klien target adalah MAC address dari computer anda sendiri (sebagai penyerang). Serangan semacam ini disebut dengan Men-in-the-Middle (MITM).
Dengan tipe serangan semacam ini penyerang dapat menyadap semua paket data yang dikirimkan oleh klien target ke server/gateway. MITM ini dapat digunakan untuk mencuri akun (username dan password) dari klien target (komputer target). Sebenarnya banyak tool/aplikasi yang dapat digunakan untuk melakukan ARP poisoning seperti ettercap, cain and abel dll.
Pada era sebelum Windows XP SP2, cara favorit dan efektif bagi virus untuk menyebarkan dirinya adalah dengan mengeksploitasi celah keamanan OS yang populer pada waktu itu, Windows 98, Windows 2000 / NT workstation, Windows Server NT/2000 dan Windows XP.
Hal ini terbukti dari virus CodeRed yang sukses mengeksploitasi celah keamanan IIS Server yang notabene digunakan oleh seluruh webserver berbasis Microsoft pada waktu itu. Platform lain yang populer seperti Apache pada Linux juga tidak luput dari serangan virus, katakanlah Slapper yang sukses mengeksploitasi celah keamanan Apache.
Tetapi para pembuat OS tidak tinggal diam dan berusaha menganalisa penyebab celah keamanan ini dapat di eksploitasi oleh virus dan mengapa dapat dimanfaatkan oleh virus. Sebagai informasi, celah keamanan adalah kelemahan dalam sistem sehingga dapat dimanfaatkan oleh pihak yang tidak berhak untuk menjalankan aksinya.
Celah keamanan akan selalu ada dan akan selalu ditemukan setiap hari. Celakanya, virus yang mengeksploitasi celah keamanan akan TETAP berhasil menguasai komputer yang di serangnya “sekalipun” komputer tersebut sudah dilindungi dengan antivirus yang sudah dapat mendeteksi virus tersebut. Jadi “satu-satunya” cara untuk menghadapi virus yang mengeksploitasi celah keamanan adalah melakukan patching atau menambal celah keamanan tersebut.
Jika anda menanyakan mengapa celah keamanan itu ada, apakah sengaja diciptakan oleh pembuat software supaya mereka memiliki bisnis (pendekatan telenovela yang selalu mencurigai adanya skenario tersembunyi dalam banyak hal). Penjelasannya kira-kira begini, software adalah ciptaan manusia.
Manusia itu tidak ada yang sempurna, jadi ciptaannya tentu tidak sempurna juga. Perkembangan software dan hardware makin hari membuat ukuran aplikasi makin besar (saat ini OS Windows Vista sudah mencapai ukuran GB) adalah suatu hal yang sangat sulit (untuk tidak mengatakan mustahil) untuk menciptakan software yang 100 % sempuirna dan tidak memiliki celah keamanan.
OS Linux Debian 4.0 juga datang dalam beberapa DVD dan adalah merupakan hal yang mustahil untuk menjamin OS tersebut sempurna dan tidak mungkin ditembus. Jadi pertanyaan yang sebaiknya anda tanyakan dalam security bukanlah; Apakah suatu OS dapat di eksploitasi atau tidak ? Tetapi yang lebih tepat adalah; Apakah hacker ingin mengeksploitasi OS tersebut atau tidak ? Atau lebih tepatnya; Apakah OS tersebut cukup menarik / menantang untuk di serang ?
Banyak fakta yang mendukung kenyataan di atas dan terakhir adalah OS Macintosh yang berhasil di eksploitasi dalam suatu kompetisi hacking dan sewaktu ditanyakan mengapa menyerang OS Macintosh tersebut ? (yang sempat mengangkat issue tidak diserang virus sebagai salah satu keunggulan produkknya ) tersebut ? Jawabannya si pemenang adalah dari 3 OS yang tersedia, Windows Vista Full Pacth, Debian Full Patch dan Macintosh Full Patch, si penyerang menganggap bahwa Macintosh lebih mudah ditaklukkan daripada OS lainnya.
Lalu apakah berdasarkan fakta diatas apakah berarti kita sudah harus menyerah dan mengibarkan bendera putih kepada penyerang. Kembali ke zaman dulu dan menggunakan sempoa lagi ? TIDAK. Security is a process, jadi anda harus selalu mengikuti perkembangan terkini agar tidak menjadi korban eksploitasi celah keamanan yang selalu ditemukan setiap hari.
Kami tidak menyarankan anda memelototi website Security Focus http://www.securityfocus.com setiap hari untuk mencari dan menutupi celah keamanan aplikasi yang anda gunakan, karena vendor aplikasi sudah mengerjakan PR tersebut untuk anda. Tugas anda adalah melakukan setting yang benar. Solusi apa yang diberikan oleh vendor aplikasi yang dapat menekan eksploitasi celah keamanan ?Jawabannya : Automatic Patching dan Internet.
Kembali ke zaman Codered dan Slapper, penyebab utama suatu server / komputer berhasil “ditaklukkan” virus adalah karena patching belum dilakukan. Kalaupun dilakukan, tenggang waktu antara ditemukannya celah keamanan dan keluarnya patch (tambalan) sangat panjang, mencapai waktu lebih dari 30 hari.
Sehingga virus yang mengeksploitasi celah keamanan dan biasanya muncul beberapa hari sesudah diumumkannya satu celah keamanan akan memiliki tenggang waktu sekitar 30 hari untuk wara-wiri tanpa ada yang mampu mencegahnya. Dan berdasarkan pengalaman, waktu yang dibutuhkan oleh virus untuk mencapai penyebaran maksimalnya ke seluruh dunia adalah kurang dari 1 minggu.
Rupanya vendor aplikasi belajar dari hal tersebut dan makin hari tenggang waktu tersebut makin sempit dan puncaknya adalah pada saat SP 2 (Service Pack 2) Windows XP di luncurkan. Sejak saat itu, virus-virus yang berusaha mengeksploitasi celah keamanan menurun drastis dan penyebaran virus sempat menurun drastis. 1 : 1 untuk Vendor lawan Virus.
Hal ini makin baik sewaktu Windows vista di luncurkan. Berbeda dengan Windows sebelumnya, setting default (awal) adalah “Automatic Update”. Jadi setiap kali Windows Vista di instalasikan pada komputer secara otomatis komputer sudah melakukan automatic update untuk patching dirinya sehingga secara teknis hal ini memungkinkan terjadinya Zero Day Vulnerability pada Windows Vista yang di instal.
Zero Day Vulnerability dapat tercapai jika patch / tambalan langsung tersedia pada saat ditemukannya celah keamanan DAN di instal pada aplikasi yang mengandung kelemahan tersebut sebelum aplikasi jahat (virus) muncul memanfaatkan celah keamanan tetrsebut. Dengan kata lain tenggang waktu virus untuk mengeksploitasi celah keamanan yang baru ditemukan menjadi sangat kecil (dengan asumsi ada koneksi internet yang memadai sehingga OS Windows Vista tersebut dapat terupdate setiap hari).
Tetapi apakah berarti Saruman sudah dikalahkan dan perang sudah selesai ? Ternyata perkembangan selanjutnya menunjukkan bahwa hal ini masih jauh dari selesai dan pembuat malware berusaha mencari teknik-teknik baru untuk mencapai tujuannya. Tujuan akhir TETAP menguasai di komputer, tetapi kalau dulu caranya adalah dengan mengeksploitasi celah keamanan di Operating System komputer, sekarang karena patching sudah berjalan dengan baik maka peluang tersebut semakin kecil.
Sekarang yang menjadi target utama eksploitasi adalah aplikasi-aplikasi non Operating System yang populer seperti Adobe, Firefox, Internet Explorer dan Winamp. Prinsipnya adalah aplikasi-aplikasi yang populer, karena pembuat malware ingin mendapatkan dampak maksimal dari usahanya. Celakanya, rupanya yang memiliki celah keamanan bukan hanya software saja, tetapi hardware dan sistem IP. Karena pada prinsipnya tidak ada hardware yang berjalan tanpa software pendukung, jadi dengan menguasai software yang menjalankan hardware tertentu dapat menguasai hardware tersebut untuk kemudian digunakan menguasai komputer.
Tujuan akhirnya tetap ingin menguasai sistem komputer, hanya caranya saja yang berbeda. Hal ini bukan isapan jempol, kalau tidak percaya silahkan lihat virus terbaru yang memanfaatkan celah keamanan ARP (Address Resolution Protocol) atau dikenal dengan nama APR (ARP Poison Routing) yang saat ini sukses menyebar di seluruh dunia dan celakanya, tidak ada obat efektif yang dapat menjamin jaringan komputer tidak di eksploitasi oleh virus ini kecuali mengganti hardware jaringan anda dengan switch yang memiliki fitur “DHCP Snooping” atau secara manual mengeset IP Address dan Mac Address Gateway internet jaringan di setiap PC dengan perintah “arp -s” dari Dos Prompt.
Gejala jaringan terinfeksi virus Jika koneksi internet di kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi internet dari ISP tidak ada masalah di tambah komputer dalam jaringan “berulang-ulang” mendapatkan insiden virus atau ketika menjalankan Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”. Para pengguna Norman Virus Control setiap kali menjalankan Yahoo Messenger atau MSN Messenger atau menjalankan browser, maka Norman akan mendeteksi (berulang-ulang) virus dengan nama W32/Agent.FUVR. Atau di sistem Windows anda ada file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif maka kemungkinan besar komputer / jaringan anda ada yang terinfeksi virus W32/Agent.FUVR. Aksi virus ini pada beberapa OS adalah sebagai berikut :
l Windows XP tanpa antivirus / antivirus tidak terupdate.
Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus akan menjadi host virus di dalam jaringan.
l Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, Safari, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan bahwa ada virus terdeteksi di sistem Windows.
l Windows Vista. “Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan download error script dari site :
l hxxp://root.51113.com/root.gif
l hxxp://hk.www404.cn:53/ads.js
l hxxp://err.www404.cn:443/014.html
Catatan : Website di atas hanya beberapa yang teridentifikasi oleh Vaksincom dan terus bertambah. Antivirus saja tidak cukup !!
Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus ini. Ada yang mendeteksi sebagai W32/Agent.FUVR (Norman), Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky), HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos), JS_PSYME.CPZ (Trend Micro).
Berarti virus ini tidak dapat menginfeksi komputer yang terlindung antivirus yang terupdate. Tetapi masalahnya adalah dalam kenyataannya di lapangan “sangat sulit” melindungi seluruh komputer di jaringan terlindung dengan antivirus yang terupdate, apalagi jika ada komputer dari luat / notebook dari luar jaringan yang dihubungkan ke jaringan intranet, cukup satu saja komputer yang terinfeksi maka dalam waktu singkat ia akan memalsukan diri sebagai router / geteway dan menyebarkan dirinya ke seluruh komputer lain dalam intranet yang mengakses internet.
Selain itu, virus ini memiliki kemampuan mengupdate dirinya secara otomatis (seperti antivirus) sehingga deteksi antivirus akan menjadi percuma jika pembuatnya meluncurkan varian baru dan dijamin langsung akan menaklukkan semua antivirus sampai vendor antivirus mendapatkan samplenya dan mendeteksi virus tersebut dengan update terbaru.
Masalah kedua dalam patching adalah selama celah kemanan tidak ditutup, maka sekalipun ada antivirus yang melindungi komputer, virus ini tetap akan mampu wara-wiri di dalam jaringan sampai celah keamanan di tutup. Yang menjadi pertanyaan adalah bagaimana menutup celah keamanan yang disebabkan oleh sistem IP yang mengandung kelemahan ARP Spoofing ini ? Salah satu caranya adalah mengganti switch dengan yang mendukung DHCP Snooping.
Sebenarnya ada cara lain yang cukup hemat biaya yaitu dengan menggunakan perintah “arp -s” dari DOS Prompt guna mengunci IP dan Mac Address gateway di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi rasanya solusi ini dapat dikatakan patching membawa sengsara bagi administrator. Belum lagi kalau terjadi perubahan hardware pada gateway.
Masalahnya bukannya apakah antivirus sudah dapat mendeteksi virus ini atau belum, tetapi selama celah keamanan yang di eksploitasi oleh virus ini tidak di tutup dan setiap kali virus ini mengeluarkan varian baru yang “sudah hampir pasti” sulit terdeteksi oleh antivirus yang terupdate sekalipun akan kembali menginfeksi dan melumpuhkan jaringan komputer, sekalipun yang sudah terproteksi oleh antivirus yang terupdate sekalipun. Satu-satunya cara yang tuntas adalah menghilangkan peluang eksploitasi celah kemanan ini.
Baik dengan menggunakan hardware yang mendukung DHCP Snooping atau secara manual mengeset IP dan Mac Address Router di setiap PC yang terkoneksi ke internet melalui gateway. Bagaimana mengatasinya sistem terinfeksi ? Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Tenang saja, bukan anda saja yang pusing. Para administrator lain juga pusing, jadi setidaknya anda tidak sendirian .
Langkah pertama adalah menemukan komputer yang terinfeksi virus dan memalsukan diri sebagai gateway. Bagaimana caranya ? Anda dapat menggunakan tools gratisan Colasoft Mac Scanner.
http://www.colasoft.com/mac_scanner/mac_scanner.php dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxy.
Gambar 1, Colasoft Mac Scanner mendeteksi IP komputer dan Mac Address
Dalam gambar di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan membersihkan dari virus ini.
Langkah pamungkas, Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address di setiap komputer.
Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing.
No comments:
Post a Comment