Web Threats

Laporan Tugas Besar 1

Disampaikan Sebagai Bagian dari Pengerjaan Tugas Besar Mata Kuliah

Keamanan Informasi dan Manajemen Resiko

Oleh:

1212012 Candyda Andhika

1212048 Frederick Victor

1212050 Richard Aditya

1212054 Inzalya Rahadiani

DEPARTEMEN SISTEM INFORMASI

INSTITUT TEKNOLOGI HARAPAN BANGSA

BANDUNG

2015

Web Threats

Ancaman web meningkat dan menjadi lebih agresif pada tahun 2014, dan terus

berlanjut hingga tahun 2015.

Threat adalah seseorang atau pihak-pihak yang memiliki kemampuan dan keinginan

untuk mengeksploitasi vulnerability yang ada dalam sebuah asset. Threat bisa terstruktur

maupun tidak terstruktur.

Threat terstruktur adalah ancaman/ serangan dengan metodologi formal, sponsor

finansial, dan tujuan yang jelas. Beberapa contoh diantaranya adalah mata-mata ekonomi,

organisasi kriminal, teroris, agen intelejen asing, dan pihak yang menamakan diri mereka

information warriors.

Sedangkan threat tidak terstruktur tidak memiliki metodologi, finansial, dan tujuan

seperti pada kategori terstruktur. Para pelaku biasanya hanya melakukan serangan karena rasa

penasaran, atau mungkin hanya script code otomatis berjalan. Threat tidak terstruktur

termasuk "cracker musiman", malware yang disebarkan tanpa tujuan yang pasti dan user

internal yang tidak berwenang.

http://www.jakethitam.com/2013/02/apa-itu-resiko.html

Vulnerability

Vulnerability adalah kelemahan dalam sebuah asset yang dapat menyebabkan

ekploitasi. Vulnerability bisa timbul karena desain, implementasi atau penyimpanan data

yang kurang bagus/ kurang terstruktur.

Pada tahun 2014, muncul ancaman dengan nama FREAK. Freak attack pertama kali

dikenal saat digunakan untuk menyerang sejumlah situs milik pemerintah AS, beberapa situs

pemerintah yang menjadi korban Freak diantaranya, whitehouse.gov, dan fbi.gov. Celah

keamanan ini awalnya diyakini hanya mengancam perangkat mobile dan komputer Mac,

namun kini Freak diketahui juga bisa membobol komputer Windows.

Para peretas pertama-tama harus mencari web server yang rentan diserang, setelah itu

coba untuk membobol kuncinya dengan cara mencari PC atau perangkat mobile yang mudah

diserang. Jika kedua tahap itu sudah berhasil dilalui, maka peretas baru bisa mendapatkan

akses ke dalamnya. Serangan ini memungkinkan adanya middle attaks ketika enkripsi

komunikasi berlangsung antara website dan pengunjung website, dimana serangan tersebut

dapat menahan dan memecahkan komunikasi antara klien dan server. Sekali proses enkripsi

diserang, maka penyerang dapat mencuri password dan informasi personal lainnya, serta

dapat melakukan penyerangan lebih lanjut terkait website yang telah diserang tersebut.

http://telsetnews.com/98056/microsoft-ingatkan-serangan-freak-ke-pc-windows/

http://yujikop.com/awas-freak-jangan-gunakan-browser-bawaan-android/

Heartbleed

Heartbleed menyerang OpenSSL Cryptographic software library: penyerang dapat

mengakses penyimpanan data pada memori server website selama proses enkripsi

berlangsung. Session data yang diserang termasuk: detail kartu kredit, passwords, ataupun

private keys yang dapat membuka proses pertukaran enkripsi. Tidak hanya menyerang media

penyimpanan data, tapi serangan ini juga dapat mengambil data ketika ada password yang

diupdate.

Heartbleed menyerang 17% dari SSL web servers, dengan menggunakan sertifikat

SSL dan TLS. Untuk menangani serangan ini pemilik website harus memperbarui servernya

dan menerapkan versi tambahan dari OpenSSL, kemudian menginstall sertifikat SSL baru,

dan menimpa yang lama. Setelah itu, pemilik website haru mengganti password, adalah cara

yang efektif untuk melawan ancaman tersebut. Untungnya, hal tersebut cepat dilakukan oleh

para pemilik website, dan dalam 5 hari setelah cara penanganan ini dilansir, jumlah website

yang rentan terserang ancaman ini menurun hingga 1.8% dari 50.000 website.

Fakta seputar Heartbleed:

The Heartbleed menyerang setengah juta dari trusted website secara signifikan, pada

keamanan datanya.

The Heartbleed sangat mudah menyerang sebuah website, karena kebanyakan pemilik

website langsung mempercayai dan menyetujui implementasi sertifikast SSL dan TSL

pada OS yang mereka gunakan.

Para penyerang mengambil keuntungan dari teknologi dan infrastruktur yang

melegitimasi jaringan tambahan untuk mendistribusikan serangan dan tindakan

pencurian yang dilakukannya.

Dari 5% total website yang terinfeksi secara anonym dibagi menjadi 10 jenis situs

terinfeksi.

Ini adalah sejumlah distribusi operating system yang dirilis dengan versi OpenSSL yang

rentan:

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

CentOS 6.5, OpenSSL 1.0.1e-15

Fedora 18, OpenSSL 1.0.1e-4

OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mei 2012) dan 5.4 (OpenSSL 1.0.1c 10

Mei 2012)

FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013

NetBSD 5.0.2 (OpenSSL 1.0.1e)

OpenSUSE 12.2 (OpenSSL 1.0.1c)

Distribusi sistem operasi yang aman:

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14

SUSE Linux Enterprise Server

FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013

FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013

FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)

FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

http://ekajogja.com/heartbleed-bug-definisi-titik-rentan-dan-cara-penanggulangannya/

ShellShock and Poodle

Pada September 2014, muncul serangan baru, yang dikenal sebagai “Bash Bug”/

“ShellShock”, yang paling banyak menyerang versi-versi dari Linux dan Unix serta Mac OS

X. ShellShock merupakan salah satu contoh serangan yang secara cepat mengubah faktor

keamanan website secara teratur bagi para pemilik website.

Serangan ini terjadi ketika pemilik website memperbarui servernya dan mengunduh

beberapa patch baru, namun kemudian secara tiba-tiba proses pengunduhan beberapa patch

menjadi tidak komplit, dan harus dilakukan patch ulang. Para penyerang biasanya

menggunakan Common Gateway Interface (CGI), dengan menggunakan serangan pada web

secara dinamik, untuk menambahkan command pada variable dalam website. The Bourne

Again Shell (Bash), adalah komponen server yang memungkinkan serangan tersebut

dijalankan. Shellshock memungkinkan penyerang mengekspos server dan menghubungkan

jaringan website yang diserang, yang kemudian dimatai-matai.

Dan pada bulan Oktober 2014, Google menemukan sebuah ancaman baru yang

dikenal sebagai Poodle (menyerang proses enkripsi). Serangan ini memungkinkan penyerang

untuk mengeksploitasi server yang mendukung protokol SSL 3.0. Poodle memaksa protokol

server menggunakan SSL 3.0, dan tidak dapat merubahnya, untuk melancarkan serangannya.

Kemudian setelah berhasil mengeksploitasi website, biasanya terjadi serangan man-in-the-

middle, yang akan mengambil data Cookie HTTP, lalu kemudian digunakan untuk mencuri

informasi atau mengendalikan rekening online korban. Penyerang perlu memiliki akses ke

jaringan antara klien-server, misalnya, melalui Wi-Fi publik hotspot.

High-Profile Vulnerabilities and Time to Patch

Meskipun sama-sama melakukan penyerangan terhadap enkripsi data, Heartbleed dan

SHELLSHOCK umumnya dilihat sebagai kelas yang berbeda dari tingkat penyerangan

vulnerabilitasnya, dan media penyerangannya. Berikut adalah grafik yang menunjukkan

jumlah serangan Heartbleed dan ShellShock.

SSL and TLS Certificates Are Still Vital to Security

TLS adalah kependekan dari Transport Layer Security. TLS dan pendahulunya SSL

(Secure Sockets Layer) adalah protocol untuk kriptografi untuk menyediakan komunikasi

internet yang aman melalui internet. TLS dan SSL menggunakan sertifikat X.509 dalam

menyelenggarakan enkripsinya. Enkripsi yang digunakan menggunakan enkripsi asimetris,

suatu enkripsi yang menggunakan private key dan public key.

http://www.proweb.co.id/articles/support/tls.html

Pada awal tahun 2015, berkat kerja keras dan kewaspadaan organisasi seperti CA /

Browser Forum, dan Symantec sebagai salah satu anggota, yang terus meningkatkan standar

industri kemanan website, maka sertifikat SSL dan TLS masih dapat menjaga situs-situs

website, bahkan semakin lama kemananya semakin terjaga.

Vulnerabilities as a Whole

Berikut adalah grafik vulnerabilities website dari tahun ke tahun:

Terdapat peningkatan 8% pada segi vulnerabilitas website yang dilaporkan pada

tahun 2014. Microsoft Internet Explorer melaporkan jumlah terbesar kerentanan, diikuti oleh

Google Chrome. Laporan tersebut dapat dilihat pada grafik di bawah ini:

Dari total 336 vulnerabilitas, ada penurunan 10% dalam jumlah vulnerabilitas plug-in

yang dilaporkan pada tahun 2014, data tersebut dapat dilihat pada grafik di bawah ini:

Seperti yang terjadi pada tahun 2013, vulnerabilitas sertifikat SSL dan TLS yang

paling umumnya dimanfaatkan pada tahun 2014.

Pada tahun 2014, 20%(1 dari 5) dari semua peneyrangan pada aspek vulnerabilitas

yang ditemukan di website dianggap berbahaya, yang berarti mereka dapat memungkinkan

penyerang untuk mengakses data sensitif, mengubah website konten, dan lain sebagainya.

Untuk data pada tahun 2013 dan 2012 dapat dilihat pada gambar di bawah ini:

Jumlah situs yang ditemukan dengan malware menurun hampir setengah tahun 2014.

Untuk data pada tahun 2013 dan 2012 dapat dilihat pada gambar di bawah ini:

Berikut adalah data website yang paling sering dieksploitasi pada tahun 2013-2014:

Berikut adalah data pemberhentian serangan website per bulan pada tahun 2013-2014:

Adanya data yang menunjukkan penurunan 47% unik domain web berbahaya pada

201, yang menunjukkan adanya peningkatan penggunaan toolkit berbasis cloud dengan jenis

SaaS. Untuk data pada tahun 2011-2014 dapat dilihat pada gambar di bawah ini:

Berikut adalah data pemberhentian serangan website per hari pada tahun 2012-2014:

Compromised sites

Compromised merupakan sebuah bagian dari Insiden keamanan jaringan yaitu

aktivitas terhadap suatu jaringan komputer yang memberikan dampak terhadap keamanan

sistem yang secara langsung atau tidak bertentangan dengan security policy sistem tersebut

Pada tahun 2014 tigaperempat dari situs symatec scan menemukan isu-isu yang

hampir sama seperti tahun-tahun lalu karena meningkat kritis dari 16 menjadi 20 persen.

Sebaliknya malware yang ditemukan jauh lebih rendah dari tahun lalu yang menyebabkan

adanya efek knock-on pada jumlah serangan web yang di blokir perharinya menjadi ikut

menurun sebanyak 12,7 persen. Hal tersebut disebabkan oleh Serangan web toolkit dirancang

untuk menggunakan cloud sebagai perangkat lunak layanan (SaaS).

Serangan toolkit ini melakukan scan pada computer korban untuk mencari rentang

plug-in karena itu merupakan serangan yang paling efektif. Selain itu toolkit ini sering

terletak di layanan bulletproof hosting dengan IP address yang bisa berubah dengan cepat dan

nama domain yang dapat berubah secara dinamis sehingga sulit untuk menemukan

infrastruktur SaaS yang berbahaya.

Hal itu menyebabkan pada tahun 2014 penyerang dapat dengan sukses untuk

mengeksploitasinya dan dapat mengambl keuntungan dari kerentanan SSL dan TLS.

Selain itu, prevalensi yang lebih besar dari penipuan media sosial dan malvertising

pada tahun 2014 menunjukkan penyerang sudah beralih ke metode alternatif distribusi

malware.

Web Attacks Toolkit

Dengan setengah dari toolkit serangan web aktif jatuh ke dalam kategori "other",

penggunaan toolkit keseluruhan jauh lebih terfragmentasi pada tahun 2014 dibandingkan

tahun-tahun sebelumnya.

Setelah menduga pada akhir 2013, toolkit Blackhole telah turun 14 persen pada tahun

2014, yang terdiri dari hanya lima persen dari semua aktivitas toolkit serangan web. Pada

puncaknya, Blackhole membuat 41 persen dari semua aktivitas toolkit.

Malvertising

Browlock virus adalah salah satu ancaman malware terbaru yang telah kita lihat

menyerang pengguna komputer. Browlock adalah jenis ransomware berbahaya. Ransomware

adalah virus komputer yang akan mencegah penggunaan komputer Anda, internet, atau

aplikasi tertentu untuk menutup browser dan menuduh korban telah melanggar hokum

dengan mengakses situs pornografi sementara itu menuntut uang tebusan dibayar.

Contoh dari browlock adalah:

https://virushelpcenter.com/id/remove-browlock-virus/

Malvertising at Large

Virus ini bukan hanya ransomware yang menyebar melalui malvertising yaitu iklan

berbahaya juga redirect ke situs yang menginstal Trojan. Beberapa iklan berbahaya bahkan

menggunakan serangan drive-by untuk menginfeksi perangkat korban tanpa pengguna

mengklik iklan. daya tarik bagi penyerang adalah menggunakan malvertising melalui iklan

yang cenderung sangat terbatas di penargetan mereka, berarti penyerang dapat menyesuaikan

penipuan mereka untuk spesifik korbannya.

Denial of Service

“Denial of Service (DoS) attack” merupakan sebuah usaha (dalam bentuk serangan)

untuk melumpuhkan sistem yang dijadikan target sehingga sistem tersebut tidak dapat

menyediakan servis-servisnya (denial of service).

Sebagai contoh, Symantec melihat peningkatan 183 persen dalam serangan

amplifikasi DNS antara Januari dan Agustus 2014,50 Menurut survei oleh Neustar, 60 persen

dari perusahaan yang terkena dampak serangan DDoS pada 2013 dan 87 persen terkena lebih

dari once.51 Motif termasuk pemerasan untuk uang, pengalihan perhatian dari bentuk-bentuk

lain dari serangan, hacktivism, dan balas dendam. semakin, calon mendustakan pelayanan

dapat menyewa serangan dari durasi tertentu dan intensitas untuk sesedikit $ 10- $ 20 di pasar

gelap online.

Traffic DDoS memuncak pada bulan April dan Juli 2014. Ada 183 persen

peningkatan amplifikasi DNS serangan antara Januari dan Agustus 2014.

http://www.g-excess.com/pengertian-denial-of-service-attack-dan-cara-kerjanya.html

Berikut adalah jenis-jenis serangan website lainnya yang ditemukan dari beberapa

referensi lain:

Back doors: disebut sebagai Trap Doors, yang mengijinkan unauthorized access ke

dalam system. Back Doors adalah code-code yang ditulis kedalam aplikasi atau

operating system untuk mendapatkan akses programmers tanpa melalui jalur

authentikasi normal. Back Doors ini biasanya ditulis dengan maksud sebagai alat

untuk monitoring code applikasi yang mereka develop.

Logic bombs: suatu feature dalam program yang menjadikannya mati / tidak berfungsi

jika suatu kondisi tertentu dipenuhi. Logic Bombs adalah programmed threats yang

biasa digunakan oleh suatu software yang dijual, dan mungkin sebagai demo

pemakaian dalam sebulan – jika lewat sebulan maka program tersebut akan jadi tidak

berfungsi dan memerlukan suatu aktifasi khusus untuk mengaktifkannya kembali.

Trojan horses: program yang nampaknya mempunyai satu fungsi saja, akan tetapi

dalam kenyataanya mempunyai fungsi-2 lain yang kadang membahayakan. Seperti

dalam cerita Yunani kuno dalam kuda Trojan yang mempesona yang ternyata

mengankut pasukan penyusup.

Viruses: sederetan code yang disisipkan kedalam program executable lain, yang mana

jika program normal tersebut dijalankan maka viral code juga akan dieksekusi. Viral

code ini bisa menggandakan diri kepada program-2 lainnya. Virus bukan lah program

yang terpisah, dia tidak bisa berjalan sendiri, biasanya ada program lain yang

mentrigernya agar bisa jalan.

Worms: programs yang bisa merambat dari satu komputer ke komputer lainnya lewat

suatu jaringan, tanpa harus memodifikasi program lainnya pada mesin yang ditarget.

Worms adalah program yang bisa berjalan secara independen dan berkelana dari satu

mesin ke mesin lainnya.

Botnet: Deskripsi: BOT (program yang otomatis) dan Net Networking). Jadi botnet

merupakan program yang secara otomatis, bekerja dalam network tertentu yang

bertujuan untuk mendapatkan “sesuatu” secara brutal, karena semua komputer yang

terhubung dalam jaringan akan diserang semuanya secara otomatis.

Brute Force dan kamus password (Dictionary): Menyerang database atau menyerang

login prompt yang sedang aktif.

- Brute Force: upaya menemukan password dari account user dengan cara

sistematis, mencoba berbagai kombinasi angka, huruf dan simbol.

- Dictionary: upaya menemukan password dengan mencoba berbagai kemungkinan

password yang dipakai user dengan kamus password yang sudah didefinisikan

sebelumnya.

Denial of Service (DoS): bentuk penyerangan adalah mengirim paket data yang besar

terhadap suatu server dan memanfaatkan celah yang rentan dari sistem operasi,

layanan-2 atau aplikasi-2.

Identity Theft: pencurian informasi tentang identitas kita yang dilakukan melalui

komputer offline, jaringan LAN, internet maupun melalui transaksi-transaksi dalam

kehidupan sehari-hari.

Smurf Attack: membanjiri komputer client dengan spam, mengirimkan broadcast

kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket

broadcast.

Ping of Death: menggunakan tool khusus dengan mengirimkan paket ping oversized

yang banyak sekali kepada korbannya.

Stream Attack: mengirim jumlah paket besar menuju port pada sistem korban

menggunakan sumber nomor yang random.

Spoofing: mengganti IP address atau node source yang asli.

Serangan Pembajakan (Man in the Middle)

Spamming

Sniffer (Snooping Attact)

Crackers & Hackers

Back Door

Social Engineering: serangan yang memanfaatkan sisi kelemahan manusia, misalnya

dengan merekayasa perasaan user sehingga user bersedia mengirim informasi kepada

hacker untuk selanjutnya digunakan untuk merusak sistem.

DNS Poisoning: usaha merubah atau merusak isi DNS sehingga semua akses yang

memakai DNS akan disalurkan ke alamat yang salah atau alamat yang dituju tidak

bisa diakses.

Phising Mail

Adware

Dan lain sebagainya

http://www.jaringan-komputer.cv-sysneta.com/mengenal-ancaman-keamanan-internet