PERTEMUAN TAHUNAN VI
ID-CERT 2014
BANDUNG, 21 APRIL 2014
___________________________
AGENDA HARI INI
13.00 - 13.30
13.30 - 14.00
14.00 - 14.15
14.15 - 14:45
14.45 - 15.15
15.15 – 16.00
16:00 – 16:30
●
Daftar ulang peserta
●
Pembukaan dan sambutan oleh Bpk. Budi
Rahardjo,PhD
●
Laporan aktivitas ID-CERT
●
Update Aktifitas Riset Malware
●
Rencana Kerja Tim Malware ID-CERT
●Diskusi Tren IT Security 2014
Tim Kami
●
Ketua
: Budi Rahardjo, PhD
●
Wakil
Ketua: Andika Triwidada
●
Manager & Researcher
: Ahmad Alkazimy
●
Incident Response Officer – Helpdesk
: Rahmadian
●
Technical Editor
: Wayan Achadiana
Penambahan Personel di 2013
●
01-Feb-13: Technical Editor: Ikhlasul Amal
●
01-Okt-13: Penambahan staf Support untuk RBL:
Wayan Achadiana
●
01-Okt-13 Penambahan staf magang untuk Malware
Lab: Ade Yoseman
●
02-Okt-13 Penambahan staf magang untuk Malware
Keanggotaan KORPORAT
●
Mendapatkan laporan
rutin aktifitas ID-CERT
●
Mendapatkan laporan rutin
Incident Monitoring Report
,
30 hari
lebih awal
sebelum ditampilkan diweb/milis publik.
●
Mendapatkan layanan
Peringatan Keamanan/Security Advisories
30 hari lebih awal sebelum ditampilkan diweb/milis publik.
●
Mendapatkan layanan
Catatan Kerentanan/Vulnerability Notice
30
hari lebih awal
sebelum ditampilkan diweb/milis publik.
●
Partisipasi dalam
layanan
ID-CERT lainnya.
●
Summary report
(rangkuman insiden): incident Handling yang
dikostumasi per Anggota, dikeluarkan setiap
10 hari sekali dan 1
bulan sekali
.Dikirimkan dalam format ASCII Plain Text via email.
●
Pencantuman
logo
diweb ID-CERT:
http://www.cert.or.id/dukungan/
●Iuran bulanan sebesar Rp.
2,5 juta/bulan
Keanggotaan UMUM
●
Security Advisories,30 hari setelah diterbitkan untuk
versi korporasi
●
Vulnerability Notice,30 hari setelah diterbitkan untuk
versi korporasi
●
Incident Monitoring Report, 30 hari setelah diterbitkan
untuk versi korporasi.
Formulir Keanggotaan KORPORAT
●
Nama Perusahaan:
●Nomer telpon utama:
●
Nomer telpon tambahan:
●Email utama:
●
Email lainnya:
●
Nama PoC perusahaan
●Softcopy Logo
Kegiatan
● 01-Feb-13 Penambahan Staf baru untuk Technical Editor
● 6-9 Feb 2013 ASEAN-Japan Cyber Security Workshop, Bangkok ● 14-Feb-13 Pertemuan Tahunan ke-5 ID-CERT
● 12-15 Maret 2013 Partisipasi ID-CERT dalam Cyber Intelligence Asia di Kuala
Lumpur
● 14-Mar-13 Pertemuan ID-CERT dengan telecom-ISAC Japan
● 21-Mar-13 Undangan dari Kedubes Inggris terkait Cyber Security Indonesia ● 24-27 Mar 2013 APCERT AGM Brisbane
● 25-Mar-13 Kunjungan ke kantor AusCERT, Brisbane
● 24 & 28 Mar 2013 Kunjungan ke kantor APNIC, Brisbane
● 12-14 April 2013 Partisipasi dalam TRACEROUTE PARTY di JCC, ID-CERT
mendapatkan sponsor Booth dari IDC dan The.net serta menjadi pembicara dalam Workshop pada 12 April 2013
● 13-Mei-13 Undangan pembicara tentang Cyber Security Nasional oleh
KEGIATAN
● 23-Mei-13 Undangan pembicara tentang Lokakarya Penulisan Jurnalistik
dan Pengelolaan portal KEMLU di Bandung
● 30-Mei-13 Undangan pembicara tentang Pelatihan Cyber Defense
KEMHAN di PUSILKOM UI Salemba, Jakarta
● 19-Jun-13 Undangan Pembicara tentang Indonesia Malware Incident
Updates pada workshop Honeynet Indonesia Chapter di Jakarta
● 24-Jun-13 Undangan Pembicara FGD Organisasi Keamanan Siber,
KEMHAN & ITB
● 2-3 Juli 2013 Undangan Workshop Network Visibility & Security di
SMARTFREN
● 25-Jul-13 Penganugerahan Medali 10 tahun APCERT oleh kedubes
Australia di Jakarta
● 26-27 Juli 2013 Undangan Pembicara FGD SOP Penanganan Insiden Web
Deface, KAMINFO
● 19-Sep-13 Undangan Pembicara Security Awareness dan Pengenalan
KEGIATAN
●
01-Okt-13 Penambahan staf Support untuk RBL: Wayan
Achadiana
●
01-Okt-13 Penambahan staf magang untuk Malware Lab: Ade
Yoseman
●
02-Okt-13 Penambahan staf magang untuk Malware Lab: Ardy
●03-Okt-13 Undangan Panelis Strategi Keamanan Infrastruktur TIK
Sektor Pemerintahan, PUSTEKKOM KEMDIKBUD, Bandung
●
08-Okt-13 Undangan Pembicara FGD "Antisipasi dan solusi terhadap
kejahatan cyber guna meningkatkan ketahanan nasional",
WANTANAS,Jakarta
●
04-Nop-13 Website baru ID-CERT
KEGIATAN
●
07-Nop-13 Pelaksanaan Security Drill perdana ID-CERT untuk
konstituen APJII
●
19-Nop-13 Rapat dengan SC APCERT mengenai kerjasama dengan
APRICOT, disela acara OIC CERT, Bandung
●
03-Des-13 Penambahan staf magang untuk Malware Lab: Hadi
Rasyid Sono
●
9-10 Des 2013
Undangan sebagai Peserta dalam Grand Design
Cyber Defense Workshop-KEMHAN di Hotel Oasis Amir Jakarta,
dihadiri oleh AKA dan BR
●
12-Des-13 Kunjungan Pemkab Berau - KALTIM ke ID-CERT, ruang di
fasilitasi oleh IDC Indonesia
●
23-Des-13 Undangan sebagai Penanggap dalam acara FGD Urgensi
Pembentukan Lembaga Koordinasi Pengamanan Siber Nasional oleh
POLHUKAM
MITRA KAMI
●
PANDI
●
KEMKOMINFO/GovCSIRT
●KEMDIKBUD
●
BPPT
●
PT. ARSEN KUSUMA INDONESIA
●QWORDS
●
PT. Insan Infonesia
●PT. CNI
Rencana Kerja ID-CERT
2014
TERBARU:
●
Feed Harian kepada DIKBUD terkait masalah insiden
Statistik Malware
●
Progress: sudah 90%
Rencana Pelatihan
●
Latar belakang:
● Munculnya banyak pertanyaan seputar hal-hal mendasar terkait PGP Key ● Perlu lebih banyak sosialiasi terkait masalah IT Security
●
Target:
● Engineer ● High Level
● Sektor: ISP, Instansi Pemerintahan, Pendidikan, Penmegak Hukum dan Finansial
●
Kapasitas dan biaya:
● 20 peserta per pelatihan
● Peserta tidak dikenakan biaya
●
Kendala:
● Tidak pernah dianggarkan dalam kegiatan ID-CERT ● Perlu dukungan sponsor terhadap aktifitas ini
Rencana Pelatihan dan Pertemuan
●
ID-CERT Gathering VI: Riset Malware (21 APRIL
2014)
●
Pertemuan tahunan ID-CERT membahas:
●
Perkembangan terbaru seputar IT Security di Indonesia
●Aktifitas Rutin ID-CERT
●
Kegiatan terbaru: Riset Malware dan Rencana
Pelatihan
●
ID-CERT Gathering VII dan Silaturahmi Anggota
( Awal Agustus 2014)
●
Pertemuan tahunan ID-CERT membahas:
●
Perkembangan terbaru seputar IT Security di Indonesia
●Aktifitas Rutin ID-CERT
Pelatihan Dasar (1 Hari)
●
Pengenalan Information Security, Tren IT Security
2013/2014 per Sektor
●
Security Audit Methodology
●Pengenalan ID-CERT
●
Incident Monitoring Report
●Secure Email
●
Topik Pembicara lainnya Per Sektor: GovCSIRT,
AcadCSIRT, dsb
●
Tanggal Tentative:
●
23 Juni 2014: sektor ISP
●
18 Agustus 2014: Sektor penegak hukum
●11 September 2014: Sektor Pemerintahan
Pelatihan Lanjutan (2 Hari)
● Pengenalan Information Security, Tren IT Security 2014 per Sektor ● 10 Domains of Security
● Security Audit Methodology ● Pengenalan ID-CERT
● Incident Monitoring Report ● Secure Email
● Penetration Testing
● Teknologi Pengamanan ● Diskusi
● Tanggal Tentative:
● 19-20 Mei, sektor Pemerintahan ● 13-14 Okt, sektor ISP
● 17-18 Nov, sektor Penegak Hukum ● 8-9 Des, sektor Finansial
Layanan Existing
●
Antispam RBL (operasional bersama dengan APJII)
●Security Advisory
●
IMR
●
Incident Handling
●Riset Malware
Layanan
●
Jumlah laporan yang
diterima di tahun 2013:
133.297
laporan
●
Laporan terbesar adalah
●Spam: 64.514 laporan
(48,4 %)
●Network Incident: 37.071
laporan (27,81%)
●Malware 13.426 laporan
(10,07%)
●
Respon terhadap pengaduan
ditahun 2013:
1.244
Laporan
●
Jumlah laporan yang diterima
di tahun 2012:
265.194
laporan
●
Laporan terbesar adalah
Network Incident: 202.963
(76,53 % dari total) laporan
yang terdiri dari:
●
Brute Force (90%)
●Open Proxy (5%)
●DDoS, dll (5%)
●
Respon terhadap pengaduan
Aduan yang masuk:
Darimana
Informasi didapat?
●
Informasi dari aduan pengguna internet di dalam negri
yang mengetahui kelemahan tersebut;
●
Informasi dari aduan pengguna internet diluar maupun
komunitas tertentu yang mengetahui kelemahan yang
ada;
Beberapa Kasus Yang Sering Diadukan
●
Pembajakan akun media sosial (FB, Twitter, dsb)
●Pembajakan pengelolaan nama domain
●
Deface
●
Pemalsuan Situs Web/Phishing
●
HaKI
●
Malware
●
Insiden Jaringan
Kendala
yang dihadapi atas aduan yang diterima
●
Email tidak valid;
●
Nomer Telpon tidak valid;
●Alamat tidak valid/berubah;
●
Kontak yang ada merupakan kontak pihak ketiga yang
sudah tidak valid;
Laporan
Incident Monitoring Report
(IMR)
●
TOTAL:
39 RESPONDEN
RESPONDEN
●ID-CERT
●APJII
●PANDI
●KEMDAG
●KEMKOMINFO
●DETIK.NET
●ZONE-h
●AFCC
●3 OPERATOR
TELEKOMUNIKASI
●7 NAP
●21 ISP
Network Incident (76,53%)
●Brute Force
●DDoS
●Open Proxy
●Deface
●System Vulnerability
Email Phishing (Bagian I)
From - Wed Oct 02 06:51:26 2013
● Return-Path: <[email protected]> ● X-Original-To:xxx
● Delivered-To: xxx
● Received: from mail.xxxx.or.id (mail.xxx.or.id [119.xx.xxx.100]) by xxxx.xxxx.or.id
(Postfix) with ESMTP id 2FBE83409B2 for xxx; Wed, 2 Oct 2013 06:28:13 +0700 (WIT)
● Received: from s16923115.onlinehome-server.info (fdp-kreistagsfraktion-soest.de
[87.106.16.148])
● by mail.xxxx.or.id (Postfix) with ESMTPS id AF74D3F2011
● for <[email protected]>; Wed, 2 Oct 2013 06:28:09 +0700 (WIT)
● Received: by s16923115.onlinehome-server.info (Postfix, from userid 10005) id
0D5261B0E101; Wed, 2 Oct 2013 01:25:56 +0200 (CEST)
● To: [email protected]
● Subject: Invitation: UN|DESA World Summit on Sustainable Development 18 - 21
Email Phishing (bagian II)
● Dear Invitee, Nonprofit/NGO Colleague,
● On behalf of the organizing and scientific working committee, the United Nations
invites you to a Four-day summit …..
● Registration to this Summit is absolutely "free" and strictly for invited individuals and
organizations only. As an invitee, you have received a registration code
UNDESA/03260/2013/UK with the invitation letter, which grants you access to the registration form. The United Nations Department of Economic and Social Affairs (UNDESA) will sponsor free travel costs and all-round flight ticket for all participant. Invited participants will only be responsible for their hotel accommodation and feeding cost at the Royal Eagles Hotel....
● The following topics can be covered in your submission and presentation: ● * Causes and Solutions of the Global Financial and Economic Crisis...
● For further details about registration form,visa,flight ticket and other details, write an
acceptance letter to be part of this event and send directly to the (Conference
Organizing Secretary) Ms. Cristina Parceog via e-mail: [email protected]
● For more information call +44-703-595-8760
Potential Loss and Current Loss of Fraud reported
in Indonesia
Laporan
Diskusi Tren IT Security
2013 - 2014
BGP Hijack
●
Kasus AS4761 pada 3 April 2014
●
10 Negara terkena dampak langsung
Malware APT
●
Terdeteksi pada 26 DESEMBER 2013
●6.000+ IP Address Indonesia terinfeksi
●
Lebih dari 98 instansi termasuk Pemerintahan,
PERINGATAN KEAMANAN:
Kelemahan Joomla
http://www.cert.or.id/index-berita/id/berita/16/
●
Pada 22 Des 2012, ID-CERT kembali mendapatkan informasi dari
NCCIC tentang adanya kelemahan sistem yang melibatkan sejumlah
IP Address Indonesia. Sebelumnya, pada 14 Desember yang lalu,
ID-CERT juga telah menerima laporan tentang hal yang sama.
●
Sejak Agustus 2012, sejumlah situs terkontaminasi dan digunakan
untuk menyimpan dan melakukan Distributed Denial of Service
(DDoS).
●
Kelemahan pada Joomla versi 1.6 hingga 2.5.4 telah teridentifikasi
dan telah digunakan untuk menyerang
●
Solusi:
Developer.joomla.org/security/news/470-20120601-core-privilege-escalation.html
Developer.joomla.org/security/news/395-20120303-core-privilege-escalation.html
PERINGATAN KEAMANAN
Malware CMS yang mengakibatkan Spam
http://www.cert.or.id/index-berita/id/berita/39/
●
Pada 04 Des 2013, ID-CERT mendapatkan informasi dari
Norwegian National Healthcare CSIRT, GoDaddy serta
sejumlah pihak lainnya tentang adanya sistem yang
terinfeksi malware pada CMS sehingga berpotensi
digunakan untuk melakukan aktifitas pengiriman spam.
●
Antisipasi:
1. Lakukan pemeriksaan kesehatan sistem secara berkala
2. Lakukan pembersihan terhadap PHP/HTML Malware
yang telah tertanam
3. Segera update aplikasi CMS ke versi terbaru
4. Lakukan update Antivirus secara berkala.
PERINGATAN KEAMANAN:
OpenSSL Heartbleed
http://www.cert.or.id/index-berita/id/berita/47/
●
Pada 13 APRIL 2014: ID-CERT menerima informasi dari sumber yang valid
mengenai kerentanan yang ada pada versi OpenSSL 1.0.1 hingga 1.0.1f
yang dapat mengungkapkan informasi sensitif milik pengguna ke penyerang
.
●
Dampak dari kerentanan ini adalah remote , penyerang yang tidak
berkepentingan mungkin dapat mengambil informasi sensitif , seperti kunci
rahasia . Dengan menggunakan informasi sensitif , penyerang mungkin
dapat mendekripsi , spoof , atau melakukan serangan man-in- the-middle
pada lalu lintas jaringan yang seharusnya dapat dilindungi oleh OpenSSL .
●
Solusi:
a. Menerapkan update
b. Nonaktifkan dukungan detak jantung OpenSSL
c. Rekomendasi lain adalah untuk mengkompilasi ulang OpenSSL dengan -
DOPENSSL_NO_HEARTBEATS FALG .
Reading Room
Peringatan Keamanan 5-2012 tentang Kerentanan Sistem:
http://www.cert.or.id/indeks_berita/berita/15/
Peringatan Keamanan 4-2012 tentang Celah Keamanan Joomla
http://www.cert.or.id/indeks_berita/berita/13/
Peringatan Keamanan 3-2012 tentang Saran Pengamanan Sistem
http://www.cert.or.id/indeks_berita/berita/11/
Peringatan Keamanan 2-2012 tentang Malware Grumbot
http://www.cert.or.id/indeks_berita/berita/8/
Peringatan Keamanan 1-2012 tentang Malware Zeus dan target yang dicari:
http://www.cert.or.id/indeks_berita/berita/5/
DNS Changer https://www.hkcert.org/my_url/en/blog/12022901
Malware Zeus http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29
Penelitian dan Incident Handling Report ID-CERT:
READING ROOM: cara melapor ke ID-CERT
●
Konsultasikan dengan ID-CERT melalui email:
[email protected]
(sangat direkomendasikan via email)
atau telpon di
0889-1400-700
;
●
Sertakan informasi penting terkait hal yang diadukan,
seperti:
●
Log file
●
URL / Link bermasalah?
●
Surat Keterangan
dari instansi (untuk situs palsu)
●
