tren keamanan informasi id-cert 2014, 15 okt

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Tren dan Peringatan Keamanan ID-CERT 2014

Padang, 15 OKTOBER 2014

___________________________

Ahmad Alkazimy

(Manajer ID-CERT)

[email protected]

Fingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96


Sejarah CERT

CERT: Computer Emergency Response Team (1988)dibentuk oleh CMU (Carnegie Mellon University).

CSIRT: Computer Security Incident Response Team (1998), dibakukan melalui kesepakatan bersama masyarakat internet dunia dibawah IETF/ICANN.

“CERT”(CMU - 1988)

“RFC 2350”(IETF - 1998)

“Morris Worm”

(CMU - 1988)


Sejarah ID-CERTDimulai pada 01 Des 1998 sebagai respon terhadap kebutuhan pelaporan masalah security yang terkait dengan internet Indonesia;

Bersifat voluntir (come and go)

Memiliki domain dan situs web

Pendiri forum regional APCERT (Asia Pacific Computer Emergency Response Team) pada 2001-2003, dengan status Full Member;

Kontak Utama untuk Indonesia (PoC) di APCERT;

“ID-CERT”(Budi Rahardjo - 1998)

“APCERT”(ID-CERT

pendiri forum 2001-2003)


Misi

Tujuan ID-CERT adalah untuk melakukan koordinasi penanganan insiden yang melibatkan pihak Indonesia dan luar negeri.

ID-CERT tidak memiliki otoritas secara operasional terhadap konstituensinya baik di Indonesia maupun luar negeri, melainkan hanya menginformasikan berbagai keluhan atas insiden jaringan, serta bergantung sepenuhnya pada kerjasama dengan para-pihak yang terlibat dalam insiden jaringan terkait.

ID-CERT dibangun oleh komunitas dan hasilnya akan kembali kepada komunitas.

Memasyarakatkan pentingnya keamanan internet di Indonesia.

Melakukan berbagai penelitian dibidang keamanan internet yang dibutuhkan oleh komunitas internet Indonesia.


Tim Kami

Voluntir:

Ketua: Budi Rahardjo, PhD

Wakil Ketua: Andika Triwidada

Didukung oleh sejumlah voluntir lainnya.

Staf Profesional:

Manager & Researcher: Ahmad Alkazimy

Incident Response Officer – Helpdesk: Rahmadian

Technical Editor: Wayan Achadiana


Layanan

Jumlah laporan yang diterima di tahun 2013: 133.297 laporan

Laporan terbesar adalah

Spam: 64.514 laporan (48,4 %)

Network Incident: 37.071 laporan (27,81%)

Malware 13.426 laporan (10,07%)

Respon terhadap pengaduan ditahun 2013: 1.244 Laporan

Jumlah laporan yang diterima di tahun 2012: 265.194 laporan

Laporan terbesar adalah Network Incident: 202.963 (76,53 % dari total) laporan yang terdiri dari:

Brute Force (90%)

Open Proxy (5%)

DDoS, dll (5%)

Respon terhadap pengaduan ditahun 2012: 868 Laporan


Aduan yang masuk: Darimana Informasi

didapat?

Informasi dari aduan pengguna internet di dalam negri yang mengetahui kelemahan tersebut;

Informasi dari aduan pengguna internet diluar maupun komunitas tertentu yang mengetahui kelemahan yang ada;

Informasi dari media online dan mailing list;


Beberapa Kasus Yang Sering Diadukan

Pembajakan akun media sosial (FB, Twitter, dsb)

Pembajakan pengelolaan nama domain

Deface

Pemalsuan Situs Web/Phishing

HaKI

Malware

Insiden Jaringan

Spam


Kendala yang dihadapi atas aduan yang

diterima

Email tidak valid;

Nomer Telpon tidak valid;

Alamat tidak valid/berubah;

Kontak yang ada merupakan kontak pihak ketiga yang sudah tidak valid;

Terkait masalah Hukum;


Aktifitas

Riset Internet Abuse Indonesia, yang dimulai sejak 2010 dan 2011

Sejak Maret 2012, aktifitas ini berubah nama menjadi Incident Monitoring Report dan bersifat permanen;

Koordinasi dengan tim CERT regional, (seperti: Malaysia CERT, Australian CERT, Japan CERT, dsb);

Membangun kesadaran publik tentang pentingnya IT Security melalui Gathering dan Seminar publik.


Kegiatan

Partisipasi dalam APCERT Drill Februari 2012, 2013

2014: ID-CERT berpartisipasi selaku panitia penyusun skenario drill.

Menghadiri APCERT Annual General Meeting di 2013 dan 2014

Membantu pembentukan Roadmap CERT/CC, Regulasi CERT dan GovCERT yang diadakan oleh DITKAMINFO.

Layanan TERBARU

21 Desember 2011: ID-CERT mulai mengirimkan feed/berita harian tentang situs pemerintah yang terkena insiden siber.

01 Juni 2012: ID-CERT meluncurkan Nomor kontak Desk 0889-1400-700.

05 Nov 2012: ID-CERT mulai mengirimkan feed/berita harian tentang situs Akademik yang terkena insiden siber.

November 2013: Penerbitan Security Advisory dalam format “resmi”.

18 Maret 2014: ID-CERT mulai mengirimkan feed/berita harian tentang situs Pendidikan (SCH.ID dan instansi dibawah koordinasi DIKBUD) yang terkena insiden Siber.


CERT/CSIRT di Indonesia

● ID-CERT (1998), sektor umum dan berbasis aduan;www.cert.or.id

● ID-SIRTII (2007), berbasis monitoring log dan memberikan bukti Digital bila diminta penegak hukum;

www.idsirtii.or.id

● Acad-CSIRT (2010), sektor Akademik, berbasis aduan;http://www.acad-csirt.or.id/

● GovCSIRT / KAMINFO (2012), sektor Pemerintahan, berbasis aduan dan Monitoring log.

http://govcsirt.kominfo.go.id/

●BPPT CERT (2014): http://www.csirt.bppt.go.id/


Survey Malware ID-CERThttp://www.cert.or.id/index-berita/id/berita/49/


1. Melakukan survey lapangan menggunakan USB Flashdisk yang telah diisiportable apps(aplikasi antivirus yang ada yang ketika dicolokkan ke komputer,

tidak perlu lagi melakukan instalasi namun bisa langsung digunakan untukmelakukan scanning PC hingga jaringan);

2. Setelah didapat, maka tim kami akan melakukan pencatatan waktu, namavarian virus serta lokasi penemuannya. Selanjutnya nama-nama virus tersebut

akan dimasukkan kedalam database dan dibuatkan statistiknya. Metodepencatatan juga akan dikembangkan agar bisa melakukan parsing laporan

secara otomatis;

Metodologi


Pendaftaran

1. Kirim email ke [email protected] dengan keterangan nama lengkap, kota tinggal dan email anda

2. Tunggu konfirmasi dari [email protected] atau [email protected] untuk verifikasi akun anda;

3. Untuk info lebih lanjut, harap hubungi [email protected]


Download Apps

Download aplikasi yang digunakan untuk scan malware, di

http://www.cert.or.id/bahan-bacaan/id/konten/20/ Atau;

http://is.gd/idcert; atau

https://www.dropbox.com/sh/n8gwludssk95odx/TrkFpnf49f

lalu pilih download as .zip (agar mudah dapat didownload dalam format .zip)

Setelah selesai didownload, lalu eksrak file Emsisoft Emergency Kit.zip


Pelaporan1. Jalankan start.exe yang terdapat pada folder Emsisoft Emergency Kit

2. Pilih Emergency Kit Scanner -> Scan PC

3. Pilih metode scan sesuai kebutuhan (Quick Scan, Smart Scan, Deep Scan, Custom Scan)

4. Tekan tombol 'Scan'

5. Tunggu sampai scan selesai

6. Tekan tombol 'View Report' dan folder log akan terbuka

7. Kirimkan melalui email file log tersebut ke <mailto:[email protected]> (dengan attachment file log)

(file report tersimpan pada folder /Run/Report/.....)

8. Pelaporan diharapkan dapat dilakukan secara periodik (tiap 1 minggu atau 1 bulan sekali, sesuai kebutuhan)

9. Scan dapat dilakukan pada komputer lain dengan memakai flashdisk (copy tool ke flashdisk), namun dipastikan untuk melakukan scan pada flashdisk tersebut setelah digunakan untuk melakukan scan pada komputer,hal ini diharapkan tidak terjadi penyebaran malware melalui flashdisk tersebut


Laporan Hasil Survey

Dapat dilihat dan diunduh di: http://www.cert.or.id/bahan-bacaan/id/konten/20/


Tren Incident Monitoring ReportDwi Bulan I s/d IV - 2014

Aduan Insiden

Insiden yang ditangani

Insiden yang diselesaikan


Status Terkini Insiden Pemerintahan


Beberapa Insiden Instansi PemerintahanDeface:

http://dkp.sumbarprov.go.id/robots.txt

Malware:

kpud-padangkota.go.id >< kpu-padangkota.go.id (mengandung Malware pada 23 Sep 2013)

2014-09-12 15:26:26 CEST Up(nil):unknown_html_RFI_shell

http://diperta.sumbarprov.go.id/

http://bapedalda.sumbarprov.go.id/

2014-07-17 14:30:36 CEST Down: NA

http://www.padangpariamankab.go.id/cpontact.php

(unknown_html_google_malware) http://www.pta-padang.go.id/pustaka/

Malware CMS

http://new.solokkota.go.id/wp-content/seoSBI.php

http://solokkota.go.id/wp-content/seoFMa.php

Spoof/Phishing

http://pn-solok.go.id/~k7744817/asni/yosa.enri/sfen.php


Malware2014-10-04 01:37:47 CEST Up(nil): unknown_html

http://bengka****.go.id/

http://ftc.mhatr.bengka****.go.id/

http://kgp.mhatr.bengka****.go.id/

http://huc.utxao.bengka****.go.id/

http://zfa.utxao.bengka****.go.id/

http://ymj.utxao.bengka****.go.id/

http://xfj.utxao.bengka****.go.id/

http://amv.mhatr.bengka****.go.id/

http://dny.mhatr.bengka****.go.id/

http://glu.mhatr.bengka****.go.id/

http://wrs.mhatr.bengka****.go.id/

http://qfl.mhatr.bengka****.go.id/

SOLUSI: KOMINFO menyediakan hosting alternatif bagi Pemda, sehingga NS lebih terkontrol.


Sektor di Indonesia yang pernah

diadukan - Phishing

Operator Telekomunikasi

Perbankan

Universitas/Sekolah/Madrasah/Pendidikan

Penerbangan

Korporat

Pemerintahan


Mengapa perlu respon cepat?

Kelemahan (vulnerability) yang terjadi dapat menimbulkan berbagai peluang:

Kebocoran data penting;

Manipulasi data penting;

Penyalahgunaan data penting;

Pemanfaatan oleh pihak lain untuk menyerang target lainnya;

Penyebaran malware;

Phishing/Spoofing serta “penempelan” situs palsu.

Penyebaran email spam;

Masalah Hukum (UU ITE, ataupun penuntutan dari pihak lain);

Lain-lain;


PERINGATAN KEAMANAN:

Kelemahan Joomlahttp://www.cert.or.id/index-berita/id/berita/16/

Pada 22 Des 2012, ID-CERT kembali mendapatkan informasi dari NCCIC tentang adanya kelemahan sistem yang melibatkan sejumlah IP Address Indonesia. Sebelumnya, pada 14 Desember yang lalu, ID-CERT juga telah menerima laporan tentang hal yang sama.

Sejak Agustus 2012, sejumlah situs terkontaminasi dan digunakan untuk menyimpan dan melakukan Distributed Denial of Service (DDoS).

Kelemahan pada Joomla versi 1.6 hingga 2.5.4 telah teridentifikasi dan telah digunakan untuk menyerang

Solusi:

Developer.joomla.org/security/news/470-20120601-core-privilege-escalation.html

Developer.joomla.org/security/news/395-20120303-core-privilege-escalation.html


PERINGATAN KEAMANAN

Malware CMS yang mengakibatkan Spamhttp://www.cert.or.id/index-berita/id/berita/39/

Pada 04 Des 2013, ID-CERT mendapatkan informasi dari Norwegian National Healthcare CSIRT, GoDaddy serta sejumlah pihak lainnya tentang adanya sistem yang terinfeksi malware pada CMS sehingga berpotensi digunakan untuk melakukan aktifitas pengiriman spam.

Antisipasi:

1. Lakukan pemeriksaan kesehatan sistem secara berkala

2. Lakukan pembersihan terhadap PHP/HTML Malware yang telah tertanam

3. Segera update aplikasi CMS ke versi terbaru

4. Lakukan update Antivirus secara berkala.


PERINGATAN KEAMANAN:

OpenSSL Heartbleedhttp://www.cert.or.id/index-berita/id/berita/47/

Pada 13 APRIL 2014: ID-CERT menerima informasi dari sumber yang valid mengenai kerentanan yang ada pada versi OpenSSL 1.0.1 hingga 1.0.1f yang dapat mengungkapkan informasi sensitif milik pengguna ke penyerang .

Dampak dari kerentanan ini adalah remote , penyerang yang tidak berkepentingan mungkin dapat mengambil informasi sensitif , seperti kunci rahasia . Dengan menggunakan informasi sensitif , penyerang mungkin dapat mendekripsi , spoof , atau melakukan serangan man-in- the-middle pada lalu lintas jaringan yang seharusnya dapat dilindungi oleh OpenSSL .

Solusi:

a. Menerapkan update

b. Nonaktifkan dukungan detak jantung OpenSSL

c. Rekomendasi lain adalah untuk mengkompilasi ulang OpenSSL dengan - DOPENSSL_NO_HEARTBEATS FALG .


Peringatan Keamanan Tentang BASH http://www.cert.or.id/index-berita/id/berita/50/

25 SEP 2014, ID-CERT menmerima informasi tentang adanya kelemahan pada Bash.

Dampak: menjalankan kode / Perintah remote / Unauthenticated / Akses tidak sah - dari akun yang ada

Resolusi: Patch / upgrade


Tips bagi Pengguna

Cek URL situs tersebut disitus Antivirus

Ciri-ciri situs palsu:

Menggunakan nama domain di tempat hosting gratis

Mencantumkan kontak personal untuk komunikasi

Mencantumkan nomor telpon pribadi

Mencantuman email gratisan dan atasnama pribadi

Selalu mengunjungi situs asli untuk mendapatkan informasi mengenai program tertentu atau dapat menghubungi Call Center resmi Operator/Bank/ Perusahaan tersebut.


Tips bagi Instansi

Segera laporkan situs palsu yang dijumpai kepada ID-CERT (email pengirim harus email resmi instansi).

Sangat disarankan pihak instansi ybs juga melaporkan masalah ini kepada Penegak Hukum;

Beberapa ISP/hosting kerap meminta surat dari penegak hukum sebagai dasar untuk menutup situs/aktifitas ilegal tersebut.

Berkolaborasi dengan CERT/CSIRT untuk memudahkan kontak dimasa yang akan datang.


Tips di Media Sosial

Pentingnya menjaga kredensial yang ada

Email

User Media Sosial

Hal-hal yang perlu diperhatikan dalam proses pemulihan akun di Media Sosial:

Pastikan email tidak ikut dibajak

Bila email terbajak, maka pulihkan terlebih dahulu akun email

Umumnya Media Sosial memiliki tahapan untuk proses pemulihan akun terbajak.

Bila Media Sosial digunakan untuk kepentingan yang serius, seperti perdagangan atau sosialisasi program pemerintah, maka sebaiknya akun yang didaftarkan di Media Sosial adalah akun email organisasi/instansi pemerintahan:

Memotong jalur pemulihan email, karena server email ada pada organisasi/instansi pemerintah.

Pentingnya menjaga Prilaku ---> Terkait UU ITE

Misal: jangan update status ketika sedang marah.


Tips: beberapa hal yang perlu diperhatikanhttp://variety.com/2014/biz/news/10-things-every-celebrity-

should-do-for-better-online-security-1201315723/

1. Berhati-hatilah dengan konten smartphone;

2. Siapa saja yang menyimpan informasi login?;

3. Gunakan 2 langkah verifikasi

4. Lakukan pergantian password secara berkala

5. Jangan hanya gunakan 1 email saja:

1. Professional

2. Personal (kerabat dan rekan dekat)

3. Finansial

4. Bila memiliki anak, gunakan 1 email khusus untuk laporan email tentang anak anda.

6. Cek setting privacy di media sosial anda

7. Gunakan nomer kedua, misal menggunakan Google Voice atau Skype

8. Pastikan Wifi anda sudah dikonfigurasi secara aman

Bahan Bacaan: Aliases

Referensi Global: RFC 2142 <https://www.ietf.org/rfc/rfc2142.txt>

Contoh Aliases: [email protected]

[email protected]

[email protected]

Dll

Beberapa aliases yang “wajib” ada menurut RFC 2142:

admin@namadomain

noc@namadomain

abuse@namadomain

hostmaster@namadomain

postmaster@namadomain


KESIMPULAN

Perlunya berkoordinasi dengan CERT/CSIRT yang telah ada:

Internal

Eksternal

Melakukan pengecekan keamanan dan kesehatan sistem terhadap seluruh aplikasi yang dijalankan.

Melakukan sosialisasi tentang pentingnya berinternet secara aman;

Peran utama CERT/CSIRT adalah koordinasi dan kolaborasi dengan berbagai pihak secara netral.

Pentingnya CERT/CSIRT mendapatkan dukungan dari berbagai pihak:

Misal: selalu mengupdate kontak agar mudah dihubungi bila terjadi insiden.


READING ROOM: Saran Keamanan

1. Lakukan pemeriksaan kesehatan sistem, misal dengan menggunakan Antivirus untuk memastikan bahwa sistem anda tidak disusupi Malware.

2. Tempatkan seluruh aset sistem kontrol dibelakang firewall, terpisah dari jaringan yang digunakan untuk bisnis.

3. Membangun metode remote akses yang aman, seperti penggunaan Virtual Private Networks (VPN) untuk remote akses.

4. Singkirkan, disable atau rename seluruh akun system default (bila memungkinkan)

5. Implementasikan aturan penguncian akun untuk menghindari upaya coba-coba misal melalui brute force.

6. Implementasikan aturan penggunaan password yang kuat.

7. Lakukan pemantauan pembuatan akun administrator oleh pihak ketiga/vendor.


READING ROOM: cara melapor ke ID-CERT

Konsultasikan dengan ID-CERT melalui email: [email protected] (sangat direkomendasikan via email) atau telpon di 0889-1400-700;

Sertakan informasi penting terkait hal yang diadukan, seperti:

Log file

URL / Link bermasalah?

Surat Keterangan dari instansi (untuk situs palsu)

Bila merupakan masalah hukum atau lainnya,ID-CERT akan mengarahkan/mengkonsultasikannya kepada pihak yang tepat.

Pengecekan File/Situs mencurigakan: www.virustotal.com


Kontak Desk ID-CERT:www.cert.or.id

Telpon (+62)[email protected]

Fingerprint PGP Key: 15CD ADAF 7B01 B838 A795 7408 55C7 877A 4A3B E6E6

______________________________Ahmad Alkazimy(Manajer ID-CERT)

Telpon (+62)838-74-9292-15(+62)8888-777-143 [email protected]

Fingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96

_________________________Rahmadian L. Arbianita (Helpdesk ID-CERT)

[email protected] Fingerprint PGP Key: 414A 1183 199E 8BA5 E0D1 C234 08BF 8BDE 1766 2CC7

__________________Mailing List:

[email protected]

tren keamanan informasi id-cert 2014, 15 okt

Documents