MENYERANG D

Mengetahui Bagaimana Hack Pertahanan yang Kuat P

Komp Komp

Muhammad Zen S

DAN BERTAHAN

kers Beraksi dan Membangun Pada Sistim dan Jaringan

puter puter

S. Hadi, ST. MSc.

Materi

• mengenal hackers, crac

• ethical hacking ethical hacking

• network mapping, scann

• vulnerability assessmen vulnerability assessmen

• eksploitasi sistim target

• backdoors trojan horse

• backdoors, trojan horse

• membangun sistim pert

ckers, blackhat, whitehat ning, fingerprinting

nt nt

(remote & local) s rootkits

s, rootkits

ahanan yang baik

Hackers, Crackers, Black

• ^hackers:

•

tukang ngoprek yang selalu

• ^crackers:

•

pembobol sistim / aplikasi

• ^blackhat:

•

hacker yang jahat

• ^whitehat:

•

hacker yang baik

khat, Whitehat

penasaran

Mengapa Perlu Tahu Tek

• mengetahui sudut pand security

security

•

know your enemies

• meningkatkan kewaspa g p

•

kita tidak pernah tahu kapan

• meningkatkan respon te

•

bagaimana melakukan respo

knik Hacking?

ang hackers terhadap

daan staff IT

n hackers akan menyerang

erhadap insiden

on yang baik

Kelemahan Protokol TCP

• target spoofing

•

X adalah kekasih Y, dan Z b

• session hijacking

•

X menelpon Y, dan Z menga

• dapat dimanipulasi

•

Y kirim parsel ke X, dan Z m

• Denial of Service (DoS)

•

Jalan ke rumah Y hanya mu memenuhi jalan agar X tidak memenuhi jalan agar X tidak

P/IP

berpura-pura menjadi X ambil-alih percakapan

mengganti isi parsel dengan bom

)

at 1 mobil, Z memarkirkan 4 mobil k dapat berkunjung ke rumah Y

k dapat berkunjung ke rumah Y

Penetration Attack Steps

•

Footprinting (nslookup, whois, dig

•

Port scanner (nmap)Port scanner (nmap)

•

Network enumeration (nullsession

•

Gaining & keeping root / administr

•

Gaining & keeping root / administr

•

Using access and/or information g

•

^{Att k}

•

^Attack

- Denial of Services (DoS) :Netw - Buffer overflows : Software er - Malware :Virus, worm, trojan h - Brute force

•

Covering his tracks (hapus jejak)

•

Leaving backdoor

s

)

n) : cari account name yang sah rator access

rator access gained

work flooding ror

horse

Hacking

Methodology

^Footp

Methodology

Sca Enum

Gainin Escalatin Escalatin Pilf Coverin

Creating

Denial o

printing whois, nslookup

anning Nmap, fping

meration dumpACL, showmount legion, rpcinfo

g Access g Privilege

Tcpdump, Lophtcrack NAT (cgh spoofing) g Privilege

fering

Johntheripper, getadmin Rhosts, userdata Config files registry ng Tracks

Config files, registry zap, rootkits

Back Doors

Cron,at, startup folder netcat, keystroke logger

remote desktop of Service Synk4, ping of death

tfn/stacheldraht

Mencari & Mengumpulka

• Secara aktif

•

portscanning

•

network mapping

•

OS detection

•

applications fingerprinting

•

applications fingerprinting

• Secara pasif

•

via Internet Registry (domainvia Internet Registry (domain

•

website target

•

mailing-list

an Informasi

n IP Address) n, IP Address)

Mencari & Mengumpulka

• whois namadomain



Nama domain



Nama domain



Lokasi organisasi





Kontak administrasi



Nomor telp & fax



Subnet address

• ^{nslookup nslookup}



File yang berisi : subnet yang v Informasi host & IP

Informasi host & IP

• Search Engine





Mengumpulkan informasi tamb



Header email

an Informasi

valid, mail server, server web,

bahan

Network Scanning

• Menginterpretasikan inf didapat mengenai sistim didapat mengenai sistim

•

membandingkan informasi y (domain/hostname) dengan

• Mengidentifikasi hosts y

•

dapat menjadi target attack

• ^{M t k t kt j i}

• Memetakan struktur jari

•

membuat struktur jaringan ta

•

dapat mencari tahu hosts ya

•

dapat mencari tahu hosts ya

• Mencari hosts yang vuln

•

mengidentifikasi service danmengidentifikasi service, dan database exploit yang dimilik

formasi yang sudah m dan jaringan target m dan jaringan target

yang sudah didapat kenyataan

yang aktif

t t

ngan target

arget

ang tidak dilindungi dengan baik ang tidak dilindungi dengan baik

nerable

n membandingkannya dengan n membandingkannya dengan ki

Network Scanning

•

traceroute/tracert



Melacak path dari satu host ke ho

•

Scanning host servis



Ping Scanning (inetTools dari wild



Ping Scanning (inetTools dari wild



Port Scanning



^{TCP h lf S i}



TCP half Scanning



Fin Scanning

•

^Monitoring



Network Analyzer (bahasa, tipe en browser)

st yang lain

dpackets) dpackets)

ncoding, id cookie, sistem operasi,

Mendapatkan Akses

• Mengeksploitasi vulnera

•

remote host

• $ gcc -o exploit exploit.c; ./ex

# hostname; id

webserver.xyz.co.id

uid=0(root) gid=0(wheel) groups=

•

^localhost

• $ gcc -o exploit exploit.c; ./ex

# hostname; id

localhost.localdomain

uid=0(root) gid=0(wheel) groups=

• Social Engineering

•

memperdayai user untuk me

•

memperdayai user untuk me password

(kasus Kevin Mitnick)

•

mengamati seseorang mema

******** -> zenhadi

• Bruteforcing Username Bruteforcing Username

ability holes

xploit -t www.xyz.co.id

=0(wheel), 1(daemon), 2(kmem), 3(sys)

xploit

=0(wheel), 1(daemon), 2(kmem), 3(sys)

emberitahukan username dan emberitahukan username dan

asukkan username dan password

& Password

& Password

Apa yang Dilakukan Hac

• Menginstall Backdoors, Rootkits

Rootkits

•

memudahkan akses masuk

•

memperdayai sysadmin untu

( )

(root)

•

menginstal sekumpulan tools login

login

• Menghapus Jejak

•

memodifikasi logfiles sehingg g sysadmin

• ^Menyalin

/etc/passwd

&

/etc/master.passwd

•

diperlukan sewaktu-waktu jik

ckers Selanjutnya?

Trojan Horses, dan

kembali

uk mendapatkan akses penuh s untuk menjadi invisible ketika

ga tidak menimbulkan kecurigaan

g g

/etc/shadow

atau

ka semua backdoor terhapus

Metodologi Hacking (1/4)

• Buffer Overflow Attacks

•

Victim adalah aplikasi yang d

•

Memanfaatkan kesalahan pr sisipan code

•

Dapat dieksploitasi secara re

•

Dapat dieksploitasi secara re aplikasi

•

Spesifik pada Processor & O

• Denial of Service

•

Menjadikan service tidak dap

•

Target DoS:

•

Traffic flooding (membanj banyak data)

banyak data)

•

Request flooding (memba request thd sebuah layan

)

ditulis dengan tidak baik

rogramming untuk mengeksekusi emote atau local tergantung

emote atau local, tergantung Operating System tertentu

pat dipergunakan

jiri lalu lintas jaringan dengan anjiri jaringan dengan banyak nan jaringan)

• Di t ib t d D i l f S i

Metodologi Hacking (2/4)

• Distributed Denial of Servic

•

Sama seperti DoS, namun mengg satu target

•

Hosts yang digunakan untuk meny dikuasai (zombie), dengan cara m dan diinstall dengan DDoS Trojan Stacheldraht.

•

Eksekusi DDoS dilakukan secara hosts), dengan SYN flooding atau

•

Efek yang ditimbulkan lebih berba

(DD ) Att k

)

ce (DDos) Attacks

gunakan banyak hosts untuk menyerang yerang biasanya hosts yang telah berhasil mencari host yang vulnerable di internet

seperti TFN, TFN2K, Trinoo, dan

bersama-sama (menggunakan master ping of death

ahaya

Metodologi Hacking (3/4)

• Penyalahgunaan Trust

•

Hanya berlaku pada jaringan tipikal arsitektur jaringan yan

•

Memanfaatkan trust antar ho

•

Sulit dibedakan antara intrud

•

Sulit dibedakan antara intrud

• Brute Force Attacks

•

Secara berulang melakukanSecara berulang melakukan

•

Menebak username dan pas

•

Mengcrack shadow passwor

• MITM (Man in the middl

•

Memakai packet analyzer

•

Session Hijacking

•

hunt, sshmitm, webmitm, ds mailsnarf smdsnarf urlsnarf mailsnarf, smdsnarf, urlsnarf

)

n berskala kecil dan menggunakan ng lama

osts / systems

der dan user biasa der dan user biasa

percobaan otentifikasi percobaan otentifikasi ssword

rd file

le attack)

niff, arpspoof, dnsspoof, filesnarf, f webspy tcpkill tcpnice dll

f, webspy, tcpkill, tcpnice, dll.

Metodologi Hacking (4/4)

• CGI / WWW Attacks

•

Terbagi dalam 3 (tiga) kateg

•

buffer overflow: tidak mel

•

command execution: dap tambahan

tambahan

•

subverting client-side scr mengeksekusi buffer ove disisi client

• Backdoors & Trojans

•

Memperdayai user atau sysa password mereka tanpa dike

•

Dapat berupa program yangDapat berupa program yang digunakan sehingga tidak m

)

ori:

lakukan validasi pada user input pat mengeksekusi perintah

ipting: dapat dimanfaatkan untuk erflow dan command execution

admin untuk memberikan etahui

umum dikenal dan sering umum dikenal dan sering enimbulkan kecurigaan

Melancarkan Serangan (

•

Buffer OverFlow (ping of death atta mengirimkan data yang melebihi kapa berukuran sangat besar.g

•

SYN Attack (SYN Flooding)

H lf ti tt k

Half-open connection attack

(DoS)

ack)

asitas sistim, misalnya paket ICMP yang

Melancarkan Serangan (

•

Land Attack

Mengirimkan data TCP SYN dengan alamat palsu.

S

Paket SYN yang telah direkayasa atau dispoof ini berisikan source address dan source port number yang sama persis dengan destination address dan persis dengan destination address dan destination port number. Dengan

demikian, pada waktu host

mengirimkan paket SYN/ACK kembali ke client, maka terjadi suatu infinite loop.

•

ICMP Flood AttackICMP Flood Attack

Spt Syn Attack, yaitu dengan

membanjiri target dengan paket ICMP dengan alamat source yang

dispoofing.

(DoS)

Melancarkan Serangan (

•

Serangan TearDrop

mengirimkan paket IP dengan nilai offset y

•

Smurf Attack

Serangan yang dibangun dengan menggu echo request sehingga target akan mene echo request sehingga target akan mene alamat host lain.

(DoS)

yang membingungkan.

unakan pemalsuan terhadap paket-paket ICMP erima paket ICMP bervolume besar dengan

erima paket ICMP bervolume besar dengan

Melancarkan Serangan (

•

UDP Bomb Attack

Penyerang mengirim sebuah paket UD dispoof atau direkayasa sehingga berp y gg field tertentu.

(DoS)

DP (User Datagram Protocol) yang telah isikan nilai-nilai yang tidak valid di field-y g

Hacking Tools

• ^Scanners

•

mengidentifikasi sistim targe

•

mencari vulnerability holes

• ^Exploits

•

memanfaatkan vulnerability

•

mendapatkan akses penuh (

• Backdoors Trojan Hors

• Backdoors, Trojan Hors

•

membuat jalan masuk tersem

•

menghapus jejakmenghapus jejak

•

mengelabui sistim administra

• Password Crackers

•

mengcrack shadow passwor

• ^{Spoofing p g}

et

holes

(UNIX: root)

ses dan Rootkits ses, dan Rootkits

mbunyi ator

rd

Membangun Pertahanan

• Secure Network Design

•

penggunaan switch untuk m

•

membagi jaringan berdasark

•

bedakan antara kelas ser

•

menempatkan firewall ID

•

menempatkan firewall, ID

• Implementasi Security P

•

berhubungan dengan userberhubungan dengan user

•

berkaitan pada penggunaan

•

harus diawasi dengan benar

n (1/4)

n

enghindari network sniffing kan klasifikasi penggunaan

rver dengan kelas workstation DS pada posisi yang tepat

DS pada posisi yang tepat

Policy

sistim dan jaringan r

Membangun Pertahanan

• ^Firewall

•

commercial vs opensource

•

konfigurasi firewall

•

block all vs permit all

• ^{I t i D t ti S t}

• Intrusion Detection Syst

•

commercial vs opensource

•

Network Intrusion DetectionNetwork Intrusion Detection

•

Host-based Intrusion Detect

n (2/4)

t (IDS) tem (IDS)

System (NIDS) System (NIDS)

ion System (HIDS)

Membangun Pertahanan

• Security Monitoring

•

berkaitan dengan policy

•

mengamati anomali event

• Secure Logging

•

logging itu perlu

•

mengamankan log dari man

• System Hardening

• System Hardening

•

menggunakan kernel securit

•

menonaktifkan service yangmenonaktifkan service yang

•

melokalisasi vulnerable prog

n (3/4)

ipulasi ty patch

tidak perlu tidak perlu

gram dengan chroot atau jail

Membangun Pertahanan

• Security Audit

•

memeriksa status service da

•

membandingkan versi aplika

• Penetration Testing

•

ethical hacking?

•

menyewa hacker (atau ex-ha

•

melakukan test pembobolanmelakukan test pembobolan

•

memberikan advisori terhada

n (4/4)

an sistim secara berkala asi dengan versi terbaru

acker)?

dan eksploitasi service dan eksploitasi service ap setiap titik rawan

Contoh setting di Firewal

Force SYN packets check

Make sure NEW incoming tcp connections are SYN iptables -A INPUT -p tcp ! --syn -m state --state NEW

Force Fragments packets check

Packets with incoming fragments drop them. This att iptables -A INPUT -f -j DROP

XMAS packets

Incoming malformed XMAS packets drop them:

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Drop all NULL packets

Incoming malformed NULL packets:

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DR

Block Spoofing and bad addresses

# Drop packet that claiming from our own server

$iptables -A INPUT -s $SERVER_IP –j DROP

$iptables -A FORWARD -s $SERVER_IP –j DROP

# Drop packet that claiming from our own internal LA

$iptables -A INPUT -s $LAN_RANGE –j DROP

$iptables –A FORWARD -s $LAN_RANGE –j DROP p _ j

ll

packets; otherwise we need to drop them:

W -j DROP

tack result into Linux server panic such data loss.

P

OP

AN

Contoh setting di Firewal

Syn-flood protection:

# iptables -A FORWARD -p tcp --syn -m limit --

Furtive port scanner:

# iptables -A FORWARD -p tcp --tcp-flags SYN ACCEPT

Ping of death:

# iptables -A FORWARD -p icmp --icmp-type ec

ll

limit 1/s -j ACCEPT

N,ACK,FIN,RST RST -m limit --limit 1/s -j

cho-request -m limit --limit 1/s -j ACCEPT