data dan menyimpan atau
memprosesnya. Beberapa program meminta data, seperti kotak yang meminta nama dan kata sandi,
namun di lain waktu data ini datang dari jaringan dan harus diarahkan ke program yang akan
menanganinya. Contoh kasus terakhir ini yaitu email masuk: Email baru dapat dikirim kapan saja,
jadi program layanan yang berjalan di komputer harus siap menerima email dan meneruskannya
ke klien email pemakai seperti Microsoft Outlook atau Mozilla Thunderbird . Layanan semacam
itu terkadang disebut daemon; misalnya, daemon yang siap menerima surat masuk bernama popd,
daemon yang mendukung fungsi penerimaan surat Protokol Kantor Pos.
Banyak layanan umum terikat pada port yang disepakati, yang pada dasarnya hanyalah angka untuk
mengidentifikasi layanan yang berbeda; nomor port tujuan diberikan di header setiap paket atau
unit data. Port 0 hingga 4095 disebut port terkenal dan menurut konvensi terkait dengan layanan
tertentu. Misalnya, email masuk sering dikirim dengan Post Office Protocol (POP), dan server
POP biasanya terikat ke port 110. Server POP yaitu program yang menerima dan menyimpan
email masuk dan menunggu klien untuk meminta email yang telah sudah diterima dan antri. Klien
menghubungi server, mengirim ke port 110 paket yang meminta pembentukan sesi; dengan respons
server, klien dan server bernegosiasi untuk mentransfer email dari server.
142
Tinjauan atau tinjauan jaringan ini dengan sendirinya menghilangkan detail penting. Tujuan kami
hanya untuk memastikan Anda mengetahui beberapa istilah dan konsep dasar jaringan sehingga
kami dapat memeriksa masalah keamanan dalam jaringan.
Untuk topik ketiga dari bagian ini kami mengeksplorasi ketersediaan, atau kerugiannya, dalam kelas
serangan yang dikenal sebagai penolakan layanan. sebab konektivitas atau akses merupakan
aspek penting dari komputasi jaringan, segala sesuatu yang sangat membatasi pemakai an jaringan
meniadakan seluruh tujuan jaringan. Dengan demikian, penyerang yang dapat menolak layanan
kepada pemakai memicu kerugian serius. Serangan penolakan layanan yaitu contoh
pertama dalam buku ini di mana ketersediaan, bukan kerahasiaan atau integritas, yaitu fitur
keamanan yang dominan.
Saat kami menyajikan tiga jenis ancaman ini, kami juga mengisyaratkan kontrol dan
penanggulangannya. Namun, Bagian II dari bab ini yaitu tempat kami menyajikan kontrol dan
penanggulangan ini secara mendalam.
Bagian I—Perang terhadap Jaringan: Serangan Keamanan Jaringan
Pada bagian ini kami membahas tiga jenis ancaman dan kerentanan keamanan: Pertama, kami
mempertimbangkan kegagalan kerahasiaan dan integritas versi jaringan. Dalam jaringan, hilangnya
kerahasiaan sering disebut penyadapan (bahkan saat tidak ada kabel fisik yang terlibat), dan
hilangnya integritas berada di bawah judul korupsi data yang luas. Meskipun metode serangannya
mungkin baru, hilangnya kerahasiaan atau integritas harus diketahui dari bab-bab sebelumnya di
mana kita mengeksplorasi kegagalan ini dalam program, browser, dan sistem operasi.
Ancaman kedua yang kami tangani melibatkan jaringan nirkabel. Di sini juga, bahaya utama yaitu
kerahasiaan atau integritas data pemakai . Berbeda dengan jaringan area luas bersama, jaringan
nirkabel yaitu sesuatu yang dapat dikontrol oleh pemakai . Dalam jaringan bersama yang besar,
dikelola secara terpusat, pemakai memiliki sedikit kendali atas jenis layanan keamanan yang
tersedia. Sebaliknya, jaringan nirkabel lebih kecil, mungkin tidak ada manajemen atau pemantauan
aktif, dan pihak yang berbagi jaringan cukup lokal. Akibatnya, pemakai memiliki peran yang lebih
langsung dalam keamanan.
3.2 Ancaman Terhadap Komunikasi Jaringan
Sekarang kita melihat ancaman keamanan dalam jaringan. Dari uraian k tentang ancaman di Bab
1, Anda mungkin ingat empat jenis potensi bahaya:
• intersepsi, atau melihat tanpa izin
• modifikasi, atau perubahan tidak sah
• fabrikasi, atau kreasi yang tidak sah
• gangguan, atau mencegah akses resmi
Keempat jenis ini berlaku untuk jaringan, meskipun terminologinya sedikit berbeda. Intersepsi
kadang-kadang disebut penyadapan atau penyadapan, modifikasi dan fabrikasi biasanya dikenal
143
dengan istilah kegagalan integritas yang lebih umum, dan gangguan dalam jaringan yaitu
penolakan layanan. Selanjutnya kami mempertimbangkan masalah keamanan jaringan ini. Kami
juga membahas pemindaian port: pengintaian sebelum serangan.
3.2.1 Intersepsi: Eavesdropping dan Penyadapan
Analis keamanan terkadang memakai konsep perimeter keamanan, garis virtual yang
mengelilingi serangkaian sumber daya komputasi yang dilindungi. Anda mungkin menganggap
perimeter keamanan mencakup lokasi fisik, seperti rumah, sekolah, kantor, atau toko. Tentu saja,
jalur-jalur ini tidak benar-benar ada, dan untuk banyak pemakai an jaringan, Anda perlu memperluas
akses Anda di luar zona yang dilindungi. namun sebab Anda kehilangan kendali atas peralatan
(kabel, perangkat jaringan, server) di luar zona Anda, kemampuan Anda untuk mengamankan data
menjadi terbatas.
Eavesdropping yaitu aktifitas mendengarkan (listening) terhadap konversasi yg dilakukan pihak
lain dengan tidak diketahui oleh pihak ini . Umumnya dapat terjadi pada media Telepon,
Email, Instant Messaging, dan media komunikasi lainnya Tujuannya untuk mencuri data yang tidak
terenkripsi dan dikirimkan melalui jaringan data. Seperti yang digambarkan pada Gambar 3.6
Gambar 3-6 Mekansime Eavesdropping
Penyadapan yaitu nama yang diberikan untuk penyadapan data, seringkali terselubung dan tidak
sah. Seperti yang dijelaskan Studi Kasus 3-2, bahkan pintu belakang yang ditujukan hanya untuk
penyadapan resmi pengadilan dapat disalahgunakan. Nama penyadapan mengacu pada mekanisme
asli, yang merupakan perangkat yang dilampirkan ke kawat untuk memisahkan jalur kedua yang
akan diikuti oleh data selain jalur utama. Sekarang, tentu saja, medianya berkisar dari kawat tembaga
hingga kabel serat dan sinyal radio, dan cara penyadapan bergantung pada medianya.
144
Penyedia telekomunikasi bekerja sama dengan pemerintah dalam apa yang disebut
penyadapan yang sah. Setiap kali pengadilan mengizinkan penyadapan di telepon
atau komunikasi data, agen pemerintah bekerja sama dengan penyedia layanan
untuk memasang penyadapan. Perangkat keras dan perangkat lunak telekomunikasi
modern menyertakan fitur khusus untuk mengimplementasikan penyadapan ini
seiring dengan berkembangnya teknologi. Bahkan komunikasi suara sekarang sering
ditransmisikan secara digital, memakai router dan protokol perutean seperti
yang dipakai untuk jaringan data di Internet.
Pada konferensi keamanan Black Hat pada bulan Februari 2010, peneliti keamanan
IBM Tom Cross mempresentasikan sebuah makalah di mana ia mengungkapkan
masalah teknis dan prosedural dengan router Cisco yang memengaruhi intersepsi
yang sah. Router Cisco telah rentan terhadap kelemahan keamanan yang pertama
kali diumumkan pada tahun 2008: Cacat ini dapat memungkinkan akses yang
tidak diautentikasi ke router. Meskipun patch telah dirilis, tidak semua router jaringan
telekomunikasi telah diperbarui. Lebih lanjut, Cross mengatakan peralatan Cisco
tidak melacak upaya login yang gagal atau memberi tahu administrator, membuat
perangkat rentan terhadap serangan tebak kata sandi otomatis, dan tidak ada audit
yang dihasilkan dari pemakai an fungsi intersep.
sebab itu, seorang karyawan ISP berpotensi memantau penyadapan penyadapan
yang sah secara sah dan memperingatkan subjek bahwa mereka sedang diawasi,
menurut Cross. Demikian pula, seorang karyawan dapat membuat penyadapan
yang tidak sah terhadap pelanggan mana pun, dan ISP tidak akan memiliki jejak
audit untuk mendeteksi penyadapan.
Cross menunjukkan bahwa Cisco yaitu satu-satunya vendor perangkat keras
utama yang merilis untuk pengawasan publik desain produknya untuk fungsi
intersep yang sah; dia lalu mengatakan bahwa sebab perusahaan lain belum
mempublikasikan desain mereka, tidak ada yang bisa memastikan apakah produk
mereka aman.
Kerentanan di Kasus ini diutarakan secara tentatif: "bisa berpotensi ..." dan "bisa
membangun ..." Pilihan kata itu menunjukkan bahwa kita tidak tahu apakah peralatan
Cisco telah disusupi dengan cara itu.
Namun, peralatan Vodafone Yunani, penyedia telekomunikasi lain, dikompromikan
dengan serangan serupa, yang melibatkan komunikasi pejabat tinggi Yunani, seperti
yang dilaporkan oleh Vassilis Pervalakis dan Diomidis Spinellis [PRE07]. Vodafone
memakai peralatan yang diproduksi oleh Ericsson, produsen Swedia. Dapat
dimengerti, Ericsson ingin membuat satu model perangkat keras dan perangkat lunak
yang dapat dijual di banyak pasar, sehingga mencakup kode untuk menerapkan
intersep yang sah namun menonaktifkan kode untuk pelanggan yang tidak membeli
Studi Kasus 3-2 : Intersepsi yang Tidak Diinginkan
145
paket itu. Vodafone tidak mendapatkan pengaya itu. Pada tahun 2003, Ericsson
meningkatkan perangkat lunak dan secara tidak sengaja mengaktifkan kode intersep
dalam versi yang dikirimkan ke Vodafone. Meskipun kodenya ada di sana, kode itu
tidak muncul di antarmuka tingkat pemakai , sehingga karyawan Vodafone tidak
memiliki cara untuk mengaksesnya, apalagi mengetahui bahwa mereka memilikinya.
Situasi ini yaitu contoh sempurna dari pintu jebakan yang dijelaskan di Bab 3,
dengan semua peringatan yang kami sampaikan di sana juga. Dan di bab yang
sama kami menentang keamanan melalui ketidakjelasan—berharap tidak ada yang
akan menemukan sesuatu jika Anda tidak mempublikasikannya.
Agen tidak dikenal memasang tambalan di perangkat lunak sakelar Ericsson yang
mengaktifkan kode intersepsi yang tidak aktif. Selanjutnya, agen melakukannya
dengan cara yang tidak menghasilkan log audit, meskipun intersepsi dan penyalinan
panggilan biasanya membuat entri audit untuk catatan penegakan hukum. Modifikasi
kode ini dibuat dengan hati-hati agar tidak ditemukan.
Dengan kode ini, orang luar yang tidak dikenal dapat mendengarkan semua
percakapan telepon seluler dari sekitar 100 pejabat politik, termasuk perdana menteri,
istrinya, dan beberapa menteri kabinet.
Skema ini akhirnya terungkap pada tahun 2004 hanya saat Ericsson mendistribusikan
patch perangkat lunak lain; sebab interaksi dengan perangkat lunak jahat, pesan
kesalahan dalam perangkat lunak sakelar nyata tidak berhasil dikirim, yang memicu
kondisi peringatan. Saat menyelidiki sumber peringatan ini , teknisi Ericsson
menemukan tambahan ini .
Pelajaran dari kompromi itu yaitu bahwa pintu belakang, bahkan tanpa dokumen,
dapat ditemukan dan dieksploitasi. Keamanan melalui ketidakjelasan bukanlah
tindakan pencegahan yang efektif.
pemakai umumnya memiliki sedikit kendali atas perutean sinyal. Dengan sistem telepon, misalnya,
panggilan dari New York ke Sydney mungkin melakukan perjalanan ke barat melalui satelit,
mentransfer ke kabel bawah laut, dan mencapai tujuan akhir dengan kabel konvensional. Sepanjang
jalan, sinyal bisa melewati berbagai negara, serta wilayah internasional lautan dan langit. Hal yang
sama berlaku untuk komunikasi digital jaringan, yang memakai beberapa sumber daya yang
sama dengan telepon. Sinyal dapat melakukan perjalanan melalui daerah yang tidak bersahabat
dan daerah yang penuh dengan pesaing. Sepanjang jalan mungkin orang-orang dengan metode,
peluang, dan motif untuk mendapatkan data Anda. Dengan demikian, jaringan area luas bisa jauh
lebih berisiko daripada jaringan lokal yang terkontrol dengan baik.
Enkripsi yaitu tindakan pencegahan terkuat dan paling umum dipakai terhadap intersepsi,
meskipun keamanan fisik (melindungi jalur komunikasi itu sendiri), jalur khusus, dan perutean
terkontrol (memastikan bahwa komunikasi hanya berjalan di sepanjang jalur tertentu) juga memiliki
peran. Kami memeriksa enkripsi untuk komunikasi nanti dalam bab ini.
146
3.2.2 Apa yang Membuat Jaringan Rentan terhadap Intersepsi?
pemakai rumahan yang terisolasi atau kantor yang berdiri sendiri dengan beberapa karyawan
tidak mungkin menjadi target banyak serangan. namun tambahkan jaringan ke dalam campuran
dan risikonya meningkat tajam. Pertimbangkan bagaimana jaringan berbeda dari lingkungan yang
berdiri sendiri.
Anonimitas
Seorang penyerang dapat melakukan serangan dari jarak ribuan mil dan tidak pernah melakukan
kontak langsung dengan sistem, administratornya, atau pemakai nya. Dengan demikian, penyerang
potensial aman di balik perisai elektronik. Serangan ini dapat melewati banyak host lain dalam
upaya untuk menyamarkan asal serangan. Dan otentikasi komputer-ke-komputer tidak sama untuk
komputer seperti halnya untuk manusia. Seperti yang diilustrasikan oleh Studi Kasus 3-3, otentikasi
terdistribusi yang aman membutuhkan pemikiran dan perhatian terhadap detail.
Studi Kasus 3-3 : Kegagalan Otentikasi Terdistribusi
Otentikasi harus ditangani dengan hati-hati dan benar dalam jaringan sebab
jaringan melibatkan otentikasi tidak hanya orang namun juga proses, server, dan
layanan yang hanya terkait secara longgar dengan seseorang. Dan untuk jaringan,
proses otentikasi dan database sering didistribusikan untuk kinerja dan keandalan.
Pertimbangkan skema otentikasi yang diterapkan Microsoft untuk sistem operasi
Windows-nya pada tahun 2000. Pada Windows NT 4.0, sistem Microsoft pertama yang
mendukung komputasi terdistribusi skala besar, basis data otentikasi didistribusikan
di antara beberapa pengontrol domain. Setiap pengontrol domain ditetapkan sebagai
pengontrol utama atau cadangan. Semua perubahan pada basis data otentikasi harus
dilakukan pada pengontrol domain primer (tunggal); perubahan lalu direplikasi
dari pengontrol domain utama ke cadangan. Pendekatan ini berarti perubahan secara
konsisten dikendalikan dan diimplementasikan pada satu titik pengontrol utama.
Tentu saja, pengontrol tunggal ini juga menjadi satu titik kegagalan dan potensi
kemacetan kinerja untuk domain ini .
Pada Windows 2000, konsep pengontrol domain utama dan cadangan ditinggalkan.
Sebagai gantinya, jaringan melihat pengontrol sebagai pohon yang sama di hutan,
di mana pengontrol domain dapat memperbarui database otentikasi. Skema ini
mencerminkan gagasan Microsoft bahwa sistem itu "multimaster": Hanya satu
pengontrol yang bisa menjadi master pada waktu tertentu, namun pengontrol apa
pun bisa menjadi master. Setelah perubahan dibuat ke master, mereka secara
otomatis direplikasi ke pengontrol domain yang tersisa di hutan.
Pendekatan ini lebih fleksibel dan kuat daripada pendekatan primer-sekunder sebab
memungkinkan pengontrol mana pun untuk mengambil alih—terutama berguna jika
satu atau lebih pengontrol gagal atau tidak berfungsi sebab alasan tertentu. namun
pendekatan multimaster menimbulkan masalah baru: sebab pengontrol domain
mana pun dapat memulai perubahan pada basis data autentikasi, peretas mana pun
147
yang dapat mendominasi pengontrol domain tunggal dapat mengubah basis data
autentikasi. Dan, yang lebih buruk, perubahan yang salah itu lalu direplikasi
di seluruh hutan yang tersisa. Secara teoritis, peretas dapat mengakses apa pun di
hutan yang mengandalkan Windows 2000 untuk otentikasi.
saat kita memikirkan penyerang, kita biasanya memikirkan ancaman dari luar sistem.
Namun pada kenyataannya pendekatan multimaster bisa menggoda orang di dalam
sistem juga. Administrator domain di domain mana pun di hutan dapat mengakses
pengontrol domain dalam domain ini . Berkat multimaster, administrator domain
juga dapat memodifikasi basis data autentikasi untuk mengakses hal lain di hutan.
Untuk alasan ini, administrator sistem harus mempertimbangkan bagaimana mereka
mendefinisikan domain dan pemisahannya dalam jaringan. Kalau tidak, mereka bisa
memunculkan skenario yang menakutkan tapi mungkin. Misalnya, anggaplah satu
administrator domain yaitu apel yang buruk. Dia mencari cara untuk memodifikasi
database otentikasi untuk menjadikan dirinya administrator untuk seluruh hutan.
lalu dia dapat mengakses data apa pun di hutan, mengaktifkan layanan untuk
beberapa pemakai , dan mematikan layanan untuk pemakai lain.
Titik Serangan
Sistem komputasi sederhana yaitu unit mandiri. Kontrol akses pada satu mesin menjaga kerahasiaan
data pada prosesor ini . Namun, saat file disimpan di host jaringan yang jauh dari pemakai ,
data atau file itu sendiri dapat melewati banyak host untuk sampai ke pemakai . Administrator
satu host dapat menerapkan kebijakan keamanan yang ketat, namun administrator ini tidak
memiliki kendali atas host lain dalam jaringan. Dengan demikian, pemakai harus bergantung pada
mekanisme kontrol akses di masing-masing sistem ini. Serangan dapat datang dari host mana pun
ke host mana pun, sehingga jaringan besar menawarkan banyak titik kerentanan.
Berbagi (Sharing)
sebab jaringan memungkinkan berbagi sumber daya dan beban kerja, sistem jaringan membuka
akses potensial ke lebih banyak pemakai daripada komputer tunggal. Mungkin lebih buruk, akses
diberikan ke lebih banyak sistem, sehingga kontrol akses untuk sistem tunggal mungkin tidak
memadai dalam jaringan.
Kompleksitas Sistem
Keamanan yang andal sulit, jika bukan tidak mungkin, pada sistem operasi besar, terutama yang
tidak dirancang khusus untuk keamanan. Jaringan menggabungkan dua atau lebih sistem operasi
yang mungkin berbeda. Oleh sebab itu, sistem operasi/kontrol jaringan cenderung lebih kompleks
daripada sistem operasi untuk sistem komputasi tunggal. Selain itu, komputer laptop biasa saat ini
memiliki daya komputasi yang lebih besar daripada banyak komputer kantor dalam dua dekade
terakhir.
Penyerang dapat memakai kekuatan ini untuk mendapatkan keuntungan dengan memicu
komputer korban melakukan bagian dari perhitungan serangan. Dan sebab rata-rata komputer
148
sangat kuat, sebagian besar pemakai tidak tahu apa yang sebenarnya dilakukan komputer mereka
setiap saat: Proses apa yang aktif di latar belakang saat Anda memainkan Invaders from Mars?
Kompleksitas ini mengurangi kepercayaan pada keamanan jaringan.
Perimeter Tidak Diketahui
Perluasan jaringan juga menyiratkan ketidakpastian tentang batas jaringan. Satu host mungkin
merupakan node pada dua jaringan yang berbeda, sehingga sumber daya pada satu jaringan dapat
diakses oleh pemakai jaringan lain juga. Meskipun aksesibilitas yang luas merupakan keuntungan,
kelompok yang tidak diketahui atau tidak terkendali dari pemakai yang mungkin berbahaya ini
merupakan kerugian keamanan.
Masalah serupa terjadi saat host baru dapat ditambahkan ke jaringan. Setiap node jaringan harus
dapat bereaksi terhadap kemungkinan kehadiran host baru yang tidak dapat dipercaya. Gambar 3-7
menunjukkan masalah dalam mendefinisikan batas-batas jaringan. Perhatikan, misalnya, bahwa
pemakai di host di jaringan D mungkin tidak menyadari koneksi potensial dari pemakai jaringan
A dan B. Dan host di tengah jaringan A dan B sebenarnya milik A, B, C, dan E. Jika jaringan ini
memiliki aturan keamanan yang berbeda, aturan apa yang menjadi subjek host ini ?
Jalur Tidak Diketahui
Gambar 3-8 mengilustrasikan bahwa mungkin ada banyak jalur dari satu host ke host lainnya.
Misalkan pemakai di host A1 ingin mengirim pesan ke pemakai di host B3. Pesan itu mungkin
dirutekan melalui host C atau D sebelum tiba di host B3. Host C dapat memberikan keamanan
yang dapat diterima, namun D tidak. pemakai jaringan jarang memiliki kendali atas perutean pesan
mereka. Ketidakmampuan untuk mengontrol angka perutean dalam intersepsi sinyal ponsel, seperti
yang dijelaskan di Studi Kasus 3-4.
Gambar 3-7 Batas Jaringan Tidak Jelas
149
Gambar 3-8 Beberapa Jalur Perutean
Studi Kasus 3-4 : Percakapan dengan Handphone
Telepon seluler jauh lebih rumit daripada yang kadang-kadang kita bayangkan. Dengan
telepon rumah, pada dasarnya Anda memiliki satu kabel yang menghubungkan
telepon Anda dengan kantor peralihan telepon lokal, sehingga sebagian besar telepon
hanyalah elektronik untuk mengubah suara audio menjadi sinyal elektronik dan
kembali lagi. Telepon seluler melakukan itu, ditambah lagi mereka harus mengatur
koneksi ke jaringan seluler. Berbeda halnya dengan komunikasi darat, saat ponsel
bergerak (dan terkadang bahkan saat tidak), perangkat terus mencari sinyal berbeda
untuk dihubungkan.
Pada konferensi Defcon 18 2010 di Las Vegas, Nevada, peneliti keamanan Chris
Paget mendemonstrasikan menara GSM buatannya sendiri, dan meyakinkan
hingga 30 peserta tanpa disadari dengan ponsel untuk terhubung ke sistemnya.
Bagian-bagiannya berharga sekitar $ 1500, dan dia memakai laptop biasa
yang menjalankan aplikasi open source yang pada dasarnya mengubah laptop
menjadi stasiun pangkalan GSM. Ponsel akan mencoba mengasosiasikan sinyal
terkuat yang dapat ditemukannya; kedekatan membantunya memenuhi tujuan itu.
pemakai tidak menyadari saat ponsel membuat atau mengubah hubungannya
dengan penyedia.
Amerika Serikat memiliki undang-undang yang melarang penyadapan percakapan
telepon, jadi Paget berhati-hati untuk mengumumkan niat dan aktivitasnya kepada
para hadirin. Dia juga dengan hati-hati menghilangkan semua jejak panggilan telepon
yang ditangani sistemnya untuk menjaga privasi pelanggannya. (Namun, sebagian
besar penyerang tidak akan begitu sopan.) Untuk tujuan demonstrasi, dia hanya
mencegat panggilan keluar dan memainkan pesan peringatan kepada penelepon.
Mungkin yang paling menarik, sistemnya memaksa ponsel yang terhubung untuk
memakai protokol 2G yang lebih lama; Paget juga mengatakan sistemnya,
dalam kemampuan negosiasi dengan ponsel, bisa memaksa ponsel untuk tidak
memakai enkripsi (yang tentu saja memfasilitasi intersepsi).
150
Tujuan Paget untuk demonstrasi yaitu untuk menunjukkan betapa mudahnya
penyerang dapat mencegat komunikasi di jaringan seluler. “Masalah utamanya
yaitu GSM rusak. Anda memiliki 3G dan semua protokol selanjutnya dengan
masalah untuk GSM yang telah dikenal selama beberapa dekade. Sudah waktunya
kita melanjutkan, ” kata Paget.
Orang-orang memang pindah … tapi tidak seperti yang dimaksud Paget. Pada
bulan Desember 2010, dua peneliti di Chaos Computer Club Congress di Berlin,
Jerman, menunjukkan kemampuan mereka untuk mencegat panggilan GSM. Karsten
Nohl dan Sylvain Munaut memakai ponsel murah Motorola untuk mencegat
panggilan yang sedang berlangsung. Ponsel Motorola berisi firmware yang mudah
diganti, mengubah ponsel menjadi pencegat yang menerima semua lalu lintas
dalam jangkauan. Dari alam semesta itu, mereka dapat mengisolasi komunikasi
telepon mana pun. Dengan memakai Tabel besar kunci enkripsi yang telah
dibuat sebelumnya, mereka menentukan kunci khusus yang dipakai untuk aliran
komunikasi itu dan akhirnya mencegat teks biasa dari seluruh percakapan.
Dengan demikian, jaringan berbeda secara signifikan dari lingkungan lokal yang berdiri sendiri.
Karakteristik jaringan secara signifikan meningkatkan risiko keamanan.
3.2.3 Data Corruption : Modifikasi dan Fabrikasi
Penyadapan tentu saja merupakan ancaman yang signifikan, dan merupakan inti dari insiden besar
pencurian rahasia dagang atau spionase. namun intersepsi yaitu ancaman pasif: Komunikasi
berjalan normal, kecuali bahwa pihak ketiga yang tersembunyi juga mendengarkan.
Jika Anda ingat dari Bab 1, modifikasi dan fabrikasi juga merupakan masalah keamanan komputer,
dan juga berlaku untuk jaringan. Ancamannya yaitu bahwa komunikasi akan berubah selama
transmisi. Terkadang tindakan ini melibatkan modifikasi data dalam perjalanan; di lain waktu itu
memerlukan pembuatan konten baru atau mengulangi komunikasi yang sudah ada. Ketiga serangan
ini masing-masing disebut modifikasi, penyisipan, dan pemutaran ulang. Serangan ini dapat
berbahaya atau tidak, diinduksi atau dari penyebab alami.
Orang sering menerima data yang salah atau rusak: salah mengeja nama, kesalahan ketik yang
jelas, entri yang salah pada daftar. Jika Anda menonton teks tertutup secara real-time di televisi,
terkadang Anda melihat teks normal berubah menjadi omong kosong dan lalu kembali normal
setelah beberapa saat. Kesalahan seperti ini terjadi, dan kami menghubungi seseorang untuk
meminta koreksi jika masalahnya serius atau mengabaikannya jika tidak. Kesalahan sering terjadi
sehingga terkadang kita tidak menyadarinya.
Pada Gambar 3-9 kami mengingatkan Anda tentang beberapa sumber korupsi data; kami sebelumnya
telah menjelaskan sebagian besar penyebab ini. Anda harus ingat bahwa kerusakan data dapat
disengaja atau tidak disengaja, dari sumber yang berbahaya atau tidak berbahaya, dan diarahkan
atau tidak disengaja. Korupsi data dapat terjadi selama entri data, dalam penyimpanan, selama
151
pemakai an dan komputasi, dalam perjalanan, dan pada keluaran dan pengambilan. Pada bagian
ini kita tertarik pada korupsi sebagai bagian dari interaksi jaringan.
Kadang-kadang modifikasi terang-terangan, membuatnya mudah terlihat bahwa perubahan telah
terjadi (misalnya, penghapusan lengkap, yang dapat dideteksi oleh program, atau penggantian teks
dengan data biner, yang akan terlihat oleh pembaca manusia). Di lain waktu perubahannya tidak
kentara, seperti perubahan satu bit, yang memungkinkan pemrosesan berlanjut, meskipun mungkin
menghasilkan hasil yang salah.
Kesalahan
ketik Program
Error
malicious
code
Noise,
kecelakaan
Kegagalan
Hardware
Flaw pada
Software Masalah
Tranmisi Aktifitas
Hacker
Human
Error
Gambar 3-9 Sumber Data Corruption
Media komunikasi diketahui rentan terhadap korupsi data. Faktor sederhana seperti cuaca dan
pepohonan dapat mengganggu transmisi bersih. Untuk alasan ini, protokol komunikasi menyertakan
fitur untuk memeriksa dan memperbaiki, setidaknya beberapa, kesalahan dalam transmisi. Paket
protokol TCP/IP (yang akan kami jelaskan nanti dalam bab ini), dipakai untuk sebagian besar
komunikasi data Internet. TCP/IP memiliki fitur ekstensif untuk memastikan bahwa penerima
mendapatkan aliran data yang lengkap, benar, dan tertata dengan baik, meskipun ada kesalahan
selama transmisi.
Pada bagian ini kami menjelaskan beberapa kegagalan modifikasi yang rentan terhadap
komunikasi.
Sequencing
Serangan atau masalah pengurutan melibatkan permutasi urutan data. Paling sering ditemukan
dalam komunikasi jaringan, kesalahan pengurutan terjadi saat fragmen aliran data berikutnya tiba
sebelum yang sebelumnya: Paket 2 tiba sebelum paket 1.
Kesalahan pengurutan sebenarnya cukup umum dalam lalu lintas jaringan. sebab unit data dirutekan
menurut informasi perutean yang tersedia, saat paket 1 dikirim, rute terbaik, yang mana rute yang
dipilih, melewati node C. Selanjutnya router mengetahui node C tidak lagi optimal, sehingga saat
paket 2 akan dikirim, routing melalui node D. Rute kedua memang lebih unggul, sehingga paket 2
152
tiba sebelum paket 1. Kemacetan, gangguan jaringan, peralatan yang rusak atau gagal, dan masalah
kinerja dapat dengan mudah memicu kesulitan kecepatan seperti ini.
Protokol jaringan seperti TCP suite memastikan urutan lalu lintas yang tepat. Namun, program
aplikasi tidak selalu mendeteksi atau memperbaiki masalah pengurutan dalam aliran data. Misalnya,
jika aplikasi menangani input dari banyak klien bersamaan di situs belanja, aplikasi harus memastikan
bahwa pesanan individu dibuat dengan benar, terlepas dari urutan kedatangan pesanan.
Substitution
Serangan substitusi yaitu penggantian satu bagian dari aliran data dengan yang lain. Substitusi
nonmalicious dapat terjadi jika kerusakan perangkat keras atau perangkat lunak memicu dua
aliran data menjadi kusut, sehingga bagian dari satu aliran dipertukarkan dengan aliran lainnya.
Kesalahan substitusi dapat terjadi dengan kabel yang berdekatan atau komunikasi paralel multipleks
dalam jaringan; kadang-kadang, gangguan, yang disebut crosstalk. memungkinkan data mengalir
ke jalur yang berdekatan. Kabel logam lebih rentan terhadap crosstalk dari kabel yang berdekatan
daripada serat optik. Crossover dalam komunikasi multiplexing terjadi jika pemisahan antar subchannel
tidak memadai. Substitusi yang diinduksi perangkat keras seperti itu jarang terjadi.
Penyerang jahat dapat melakukan serangan substitusi dengan menyambungkan bagian dari satu
komunikasi ke komunikasi lainnya. Dengan demikian, Amy dapat memperoleh salinan dari dua
komunikasi, satu untuk mentransfer $100 ke Amy, dan yang kedua untuk mentransfer $100.000 ke
Bill, dan Amy dapat menukar dua jumlah atau dua tujuan. Serangan substitusi semacam ini paling
mudah dilakukan dengan komunikasi terformat. Jika Amy tahu, misalnya, bahwa byte 24-31 mewakili
nomor akun, dia tahu cara merumuskan pesan baru yang mengalihkan uang ke akunnya.
Penanggulangan yang jelas terhadap serangan substitusi yaitu enkripsi, mencakup seluruh pesan
(membuat penyerang sulit melihat bagian mana yang akan diganti) atau membuat pemeriksaan
integritas (membuat modifikasi lebih jelas).
Tidak semua serangan substitusi berbahaya, seperti yang dijelaskan pada contoh Studi Kasus
3-5.
Studi Kasus 3-5 : Donor Pengganti
Layanan Kesehatan Nasional Inggris (NHS) memelihara database donor organ
potensial di Inggris. Menurut sebuah artikel di The Register 12 April 2010, bidang
status donor organ salah dimasukkan untuk orang-orang yang mendaftarkan
preferensi donasi organ mereka saat mengajukan permohonan SIM. Sekitar 400.000
bidang data dikoreksi oleh NHS dan 300.000 orang lainnya harus dihubungi untuk
menentukan nilai yang benar.
Menurut tinjauan berikutnya [DUF10], kesalahan muncul pada tahun 1999 dan tidak
diketahui sejak saat itu hingga 2010. NHS menerima data dari tiga sumber: rumah
sakit, dokter, dan kantor SIM. Saat mengajukan permohonan SIM atau mendaftar
153
Insersi
Serangan penyisipan, yang hampir merupakan bentuk substitusi, yaitu serangan di mana nilai data
dimasukkan ke dalam aliran. Seorang penyerang bahkan tidak perlu merusak skema enkripsi untuk
memasukkan data yang tampak otentik; selama penyerang tahu persis di mana harus menyelipkan
data, bagian baru dienkripsi di bawah kunci yang sama dengan komunikasi lainnya.
Replay
Dalam serangan replay, data yang sah dicegat dan dipakai kembali, umumnya tanpa modifikasi.
Serangan replay berbeda dari serangan penyadapan (di mana konten data diperoleh namun tidak
dipakai kembali) dan serangan man-in-the-middle (di mana konten dimodifikasi untuk menipu
dua ujung agar percaya bahwa mereka berkomunikasi secara langsung ).
Dalam kehidupan nyata, bank mencegah seseorang menyetor cek yang sama dua kali dengan
menandai cek fisik, namun dengan setoran elektronik, di mana deposan mengambil Gambar cek
dengan smartphone, mencegah pemakai an kembali lebih sulit. Contoh klasik serangan replay
melibatkan transaksi keuangan dengan cara berikut. Pedagang yang tidak bermoral memproses
kartu kredit atau transfer dana atas nama pemakai dan lalu , melihat bahwa transfer berhasil,
mengirimkan kembali transaksi lain atas nama pemakai .
Dengan serangan replay, pencegat tidak perlu mengetahui konten atau format transmisi; pada
kenyataannya, serangan replay dapat berhasil pada data terenkripsi tanpa mengubah atau merusak
enkripsi. Misalkan pedagang memiliki terminal kartu kredit dengan enkripsi bawaan, sehingga nomor
kartu pemakai , mungkin PIN, jumlah transaksi, dan pengenal pedagang terikat menjadi satu pesan,
dienkripsi, dan dikirim ke pusat pemrosesan kredit. Bahkan tanpa melanggar enkripsi, pedagang
yang menyadap saluran komunikasi dapat mengulangi pesan transaksi yang sama untuk transfer
kedua dengan jumlah yang sama. Tentu saja, dua transaksi yang identik dengan satu pedagang
akan terlihat dan wajar bagi klien untuk disengketakan, dan keuntungan bersih dari pengulangan
satu pembelian kredit akan relatif kecil. Namun demikian, kemungkinan pengulangan transaksi
akan menjadi kerentanan.
ke dokter atau rumah sakit, pemohon dapat menandai kotak yang menyebutkan
organ mana, jika ada, yang ingin disumbangkan pemohon setelah kematian.
Catatan yang dikirimkan ke NHS dari sumber mana pun berisi data identifikasi
dan tujuh digit nomor berkode 1 untuk tidak dan 2 untuk ya. Namun, urutan organ
yang tercantum pada aplikasi lisensi berbeda dari urutan pemakai an dua sumber
lainnya, yang ditangani dengan benar oleh perangkat lunak sebelum tahun 1999.
Dalam peningkatan perangkat lunak pada tahun 1999, semua input salah diproses
dengan urutan yang sama.
Tinjauan setelah penemuan kesalahan merekomendasikan prosedur pengujian
yang ditingkatkan, pemberitahuan kepada semua pihak yang terpengaruh setiap
kali perubahan pemrograman akan diterapkan, dan audit sistem secara berkala,
termasuk validasi catatan sampel.
154
Serangan replay juga dapat dipakai dengan kredensial otentikasi. Mengirim identitas dan kata
sandi secara jelas merupakan kelemahan yang jelas, namun mengirimkan identitas secara jelas
namun dengan kata sandi terenkripsi juga lemah, seperti yang ditunjukkan pada Gambar 3-10. Jika
penyerang dapat memasukkan kata sandi terenkripsi ke dalam jalur komunikasi, maka penyerang
dapat menyamar sebagai pemakai yang valid tanpa mengetahui kata sandinya.
Gambar 3-10 Kegagalan Kata Sandi Terenkripsi
Contoh serupa melibatkan cookie untuk otentikasi. Program email yang berjalan di dalam browser
(seperti Gmail, Yahoo mail, dan Hotmail) terkadang mengidentifikasi dan mengautentikasi dengan
cookie sehingga pemakai tidak perlu berulang kali mengetik pengenal dan kata sandi untuk
membuka email. Jika penyerang dapat mencegat cookie yang dikirim ke (atau mengekstrak cookie
yang disimpan oleh) browser korban, maka mengembalikan cookie yang sama dapat memungkinkan
penyerang membuka sesi email dengan identitas korban. Pertukaran login dan kata sandi dapat
dienkripsi dengan aman dan begitu juga konten cookie. Agar serangan ini berhasil, layanan email
jarak jauh hanya perlu menerima salinan cookie-nya sendiri sebagai kredensial login yang valid.
Serangan ulangan dilawan dengan nomor urut. Pengirim memberikan setiap komunikasi nomor urut,
yang dapat unik untuk satu penerima (pesan 1 ke James, pesan 2 ke James, dan sebagainya) atau
satu urutan penomoran untuk semua pesan (pesan 1, pesan 2, pesan 3, di mana 1 pergi ke James,
2 ke Klara, dan 3 ke Lars). Setiap penerima menyimpan nomor pesan terakhir yang diterima dan
memeriksa setiap pesan yang masuk untuk memastikan bahwa jumlahnya lebih besar dari pesan
yang diterima sebelumnya.
Physical Replay
Akhirnya, untuk contoh fisik, pikirkan kamera keamanan yang memantau ruang, misalnya, pintu ke
brankas bank. Penjaga di ruang kendali jarak jauh menonton monitor video untuk mendeteksi akses
tidak sah ke pintu. Seorang penyerang dapat memberi makan Gambar yang tidak bersalah ke monitor.
Para penjaga dibiarkan melihat Gambar yang tidak bersalah, selama waktu itu penyerang memiliki
akses tak terpantau ke brankas bank. Tipuan ini ditampilkan dalam film Ocean's 11. Serangan serupa
dapat dipakai terhadap otentikasi biometrik (misalnya, serangan sidik jari karet yang dijelaskan
dalam Bab 2). Serangan serupa akan melibatkan pelatihan kamera pada Gambar ruangan di bawah
pengawasan, lalu memutar ulang Gambar sementara pencuri bergerak tanpa terdeteksi di
seluruh lemari besi.
155
Seperti yang ditunjukkan contoh-contoh ini, serangan replay dapat menghindari identifikasi biasa,
otentikasi, dan pertahanan kerahasiaan, dan dengan demikian memungkinkan penyerang untuk
memulai dan
melakukan pertukaran dengan kedok korban. Nomor urut membantu melawan serangan ulangan.
Serangan Modifikasi
Semua serangan ini melibatkan beberapa aspek integritas. Ingat kisaran properti yang dicakup oleh
konsep umum integritas; kami mengulanginya dari Bab 1 untuk referensi:
• tepat
• akurat
• tidak dimodifikasi
• dimodifikasi hanya dengan cara yang dapat diterima
• dimodifikasi hanya oleh orang yang berwenang
• dimodifikasi hanya oleh proses resmi
• konsisten
• konsisten secara internal
• bermakna dan berguna
Melindungi properti yang berbeda ini memerlukan tindakan pencegahan yang berbeda, termasuk
alat, protokol, dan kriptografi. Dalam bab-bab sebelumnya kami menyajikan beberapa pendekatan
ini, dan sekarang kami membangun metode-metode sebelumnya.
3.2.4 Interruption: Hilangnya Layanan
Kelas terakhir dari serangan jaringan yang kami pertimbangkan melibatkan ketersediaan, kaki ketiga
dari triad C-I-A. Kita semua tahu betapa frustasinya kehilangan akses ke layanan penting, seperti
saat listrik padam atau sambungan telepon terputus. Tiba-tiba kami melihat semua cara kami
bergantung pada layanan itu saat kami menunggu dengan cemas kru perbaikan.
Jaringan, dan terutama Internet, memiliki layanan yang sangat terjamin. Dari desain paling awal
untuk Internet, redundansi dan toleransi kesalahan yaitu karakteristik penting, dan ketahanannya
tetap ada. Sebagian kekuatan ini disebabkan oleh arsitektur mesh dari Internet. Yang disebut last
mile, koneksi terakhir antara host dan infrastruktur jaringan yang lebih besar, yaitu jalur yang unik,
sehingga setiap kegagalan di sana akan mengisolasi host. namun begitu masuk ke jaringan, router
memiliki banyak jalur sehingga jika salah satu tidak tersedia, jalur lain dapat dipakai .
Seperti kerentanan lain yang baru saja kita bahas, hilangnya layanan bisa berbahaya atau tidak
berbahaya, disengaja atau tidak disengaja. Tidak seperti kegagalan kerahasiaan dan integritas,
bagaimanapun, penolakan layanan bukanlah biner: Ya, Anda memiliki layanan atau tidak, namun
pertanyaan kritis yaitu berapa banyak? Kapasitas layanan dapat dikurangi. Apakah penurunan
layanan sebesar 0,1 persen atau 1 persen atau 10 persen merupakan bencana besar? Jawabannya
tergantung pada jaringan tertentu yang bersangkutan, beban lalu lintasnya, dan kekritisan datanya.
Jadi, kita harus mempertimbangkan tidak hanya apakah layanan ada atau tidak, namun juga apakah
jumlah yang ada memadai.
156
Routing
Seperti yang baru saja kami jelaskan, protokol perutean Internet rumit. Router harus saling percaya
untuk pembaruan status pada aksesibilitas bagian lain dari Internet. Satu informasi buruk dapat
meracuni kumpulan data dari banyak router, sehingga mengganggu aliran banyak jalur. Meskipun
protokol perutean Internet menyembuhkan diri sendiri, yang berarti mereka memulihkan dari data
yang buruk dengan mengkalibrasi ulang saat mereka menemukan ketidakakuratan, perlu beberapa
waktu agar efek kesalahan dihapus dari sistem.
Meskipun jarang dan sangat canggih, serangan terhadap sistem perutean dimungkinkan. Kami
menjelaskan beberapa serangan yang relatif sederhana nanti dalam bab ini.
Permintaan yang berlebihan
Meskipun Mae West dilaporkan telah mengatakan "terlalu banyak hal yang baik bisa menjadi luar
biasa," sentimen itu hampir tidak berlaku untuk jaringan. Kapasitas jaringan sangat besar namun
terbatas, dan kapasitas tautan atau komponen tertentu jauh lebih kecil. Jadi, dengan permintaan
yang ekstrim, penyerang dapat memFlooding i bagian penting dari jaringan, dari server halaman
web ke router atau jalur komunikasi.
Bagaimana komponen yang diFlooding i merespons bervariasi. Beberapa komponen dimatikan
sepenuhnya, beberapa menyediakan layanan yang diturunkan (lebih lambat) untuk semua
permintaan, dan yang lain menghentikan beberapa aktivitas dalam upaya mempertahankan layanan
untuk beberapa pemakai .
Serangan penolakan layanan yang berbahaya biasanya dilakukan melalui permintaan yang
berlebihan. Tujuannya yaitu untuk membebani kapasitas korban atau mengurangi kemampuan
untuk melayani pemohon sah lainnya.
Kegagalan Komponen
Menjadi perangkat keras, komponen gagal; kegagalan ini cenderung sporadis, individual, tak terduga,
dan tidak berbahaya. Seperti yang telah kami katakan, Internet cukup kuat sehingga dapat mengatasi
kegagalan sebagian besar komponen. Dan penyerang biasanya tidak dapat memicu kegagalan
suatu komponen, sehingga masalah ini jarang disebabkan oleh serangan berbahaya. (Lihat Studi
Studi Kasus 3-6 untuk penjelasan tentang apa yang tampaknya merupakan kegagalan perangkat
keras yang disebabkan.) Namun demikian, teknisi keamanan perlu tetap memperhatikan potensi
kerusakan sistem akibat kegagalan peralatan.
Selanjutnya kita beralih ke teknik yang dipakai penyerang untuk menentukan cara memasang
serangan. Seperti pencuri yang mencari kerentanan di lingkungan sekitar, penyerang yang berhasil
berniat melukai korban tertentu sering menghabiskan waktu untuk menyelidiki kerentanan dan
pertahanan korban, dan merencanakan serangan yang sesuai. Investigasi ini bukanlah serangan
itu sendiri, namun sesuatu yang berkontribusi pada metode dan peluang penyerang.
157
Pada bulan Juni 2010, fasilitas pengayaan nuklir di Iran terkena virus komputer
Stuxnet yang kompleks dan canggih (disebutkan di Bab 3 dan dibahas di Bab
13). Stuxnet menargetkan sistem kontrol industri dengan memodifikasi kode pada
pengontrol logika yang dapat diprogram (PLC) untuk membuatnya bekerja dengan
cara yang diinginkan penyerang dan untuk menyembunyikan perubahan ini
dari operator peralatan. Sistem yang dipakai Stuxnet yaitu yang memakai
pengontrol Siemens Simatic, tampaknya di pembangkit nuklir di Bushehr atau Natanz.
Stuxnet menargetkan catu daya khusus yang dipakai untuk mengontrol kecepatan
perangkat, seperti motor. Perintah yang dimodifikasi malware dikirim ke drive dari
perangkat lunak Siemens SCADA, memicu pengontrol mengubah kecepatan
perangkat, membuatnya mengubah kecepatan sebentar-sebentar.
Stuxnet menargetkan drive tertentu yang berjalan pada kecepatan tinggi. Kecepatan
tinggi ini hanya dipakai untuk aplikasi tertentu, salah satunya yaitu
pengayaan uranium. Menurut Eric Chien dari Symantec “Stuxnet mengubah frekuensi
daya keluaran untuk waktu yang singkat menjadi 1410Hz dan lalu ke 2Hz
dan lalu ke 1064Hz.” Frekuensi normal motor yaitu 1064 Hz; berlari pada
kecepatan 1400 Hz bisa menghancurkan peralatan. Osilasi frekuensi liar seperti
itu memicu motor dipercepat, lalu melambat, dan lalu dipercepat lagi.
Pengayaan uranium membutuhkan sentrifugal berputar pada kecepatan yang tepat
untuk waktu yang lama; mengubah kecepatan akan secara signifikan mengurangi
kualitas produk yang diperkaya.
Memang, beberapa ahli luar berpikir sebanyak 1000 dari sekitar 8000 sentrifugal
dalam program pengayaan Iran gagal pada 2009 hingga 2010, selama puncak
operasi Stuxnet. Iran memproduksi sentrifugalnya sendiri, yang diketahui gagal
secara teratur, meskipun mungkin tidak sebanyak 1000 dari 8000. Virus ini mungkin
juga dimaksudkan untuk membuat para insinyur dan perancang pemeliharaan sibuk
mengganti perangkat keras yang gagal dan mencari cara untuk menjaga agar
seluruh sistem tetap berjalan. Stuxnet dapat berkontribusi pada tingkat kegagalan
ini, mungkin contoh pertama dari serangan berbahaya yang memicu kegagalan
perangkat keras.
Studi Kasus 3-6 : Stuxnet Mungkin Mengakibatkan Kegagalan Perangkat Keras
3.2.5 Pemindaian Port
Pemindaian yaitu kegiatan inspeksi, dan sebab itu tidak memicu kerusakan itu sendiri (jika
Anda tidak menganggap belajar tentang lawan Anda sebagai bahaya). Namun, pemindaian sering
dipakai sebagai langkah pertama dalam serangan, penyelidikan, untuk menentukan serangan
selanjutnya yang mungkin berhasil. Dengan demikian, selanjutnya kami akan memperkenalkan
topik probing subnetwork untuk arsitektur dan eksposurnya.
158
Kerentanan dalam berbagai versi produk perangkat lunak sudah diketahui dengan baik: Vendor
memposting daftar kekurangan dan tindakan protektif atau korektif (tambalan dan penyelesaian),
dan profesional keamanan memelihara dan mendistribusikan daftar serupa, serta alat untuk menguji
kerentanan. Peretas mengedarkan salinan kode dan skrip serangan. Masalah bagi penyerang yaitu
mengetahui serangan mana yang ditujukan ke mesin mana: Serangan terhadap versi tertentu dari
Adobe Reader tidak akan bekerja jika mesin target tidak menjalankan Reader atau menjalankan
versi yang tidak mengandung kerentanan tertentu. Mengirim serangan terhadap mesin yang tidak
rentan setidaknya memakan waktu namun lebih buruk, bahkan mungkin membuat penyerang menonjol
atau menjadi terlihat dan dapat diidentifikasi. Penyerang ingin menembakkan panah mereka hanya
pada target yang mungkin.
Cara mudah untuk mengumpulkan informasi jaringan yaitu dengan memakai pemindai port,
sebuah program yang, untuk alamat Internet (IP) tertentu, melaporkan port mana yang merespons
permintaan dan beberapa kerentanan yang diketahui tampaknya ada. Dan Farmer dan Wietse
Venema [FAR90, FAR95] yaitu orang-orang pertama yang menjelaskan teknik dalam alat COPS
dan SATAN. Sejak itu, alat-alat seperti NESSUS dan Nmap telah memperluas konsep penyelidikan
jaringan.
Pemindaian port mirip dengan pemeriksaan fisik rutin dari dokter, terutama pertanyaan awal yang
dipakai untuk menentukan riwayat kesehatan. Pertanyaan dan jawaban itu sendiri mungkin tidak
tampak signifikan, namun mereka menunjuk ke area yang menyarankan penyelidikan lebih lanjut.
Alat Pemindaian Port
Alat pemindaian port sudah tersedia, dan tidak hanya untuk komunitas bawah tanah. Pemindai
Nmap, aslinya ditulis oleh Fyodor dan tersedia di www.insecure.org/nmap, yaitu alat yang berguna
yang dapat diunduh siapa saja. Diberikan sebuah alamat, Nmap akan melaporkan semua port
yang terbuka, layanan yang didukung masing-masing, dan pemilik (ID pemakai ) daemon yang
menyediakan layanan ini . (Pemiliknya penting sebab menyiratkan hak istimewa apa yang
akan diberikan pada seseorang yang menyusup ke layanan itu. Administrator cenderung memberi
nama akun istimewa dengan nama seperti admin atau sistem.)
Pemindai lain yang tersedia yaitu netcat, yang ditulis oleh Hobbit, di www.l0pht.com/users/l0pht.
Produk komersial sedikit lebih mahal, namun tidak mahal. Pemindai komersial yang terkenal yaitu
Nessus (Nessus Corp. [AND03]), Pemindai CyberCop (Rekanan Jaringan), Pemindai Aman (Cisco),
dan Pemindai Internet (Sistem Keamanan Internet).
Hasil Pemindaian Port
Seperti dijelaskan sebelumnya dalam bab ini, port hanyalah penunjukan numerik untuk merutekan
data ke program tertentu yang menunggunya. Program menunggu, yang disebut daemon atau
demon, dikatakan mendengarkan port tertentu; pada kenyataannya, ia mendaftar dengan perangkat
lunak manajemen jaringan sehingga menerima data yang ditujukan ke port ini . Misalnya,
menurut konvensi, port 110 yaitu nomor port yang terkait dengan Post Office Protocol untuk email,
80 didedikasikan untuk lalu lintas HTTP (halaman web), dan 123 ditetapkan ke Network Time Protocol
untuk sinkronisasi jam. Seiring waktu jumlah layanan telah melebihi kisaran jumlah yang tersedia,
sehingga terjadi tabrakan, pemakai an kembali, pemakai an informal, dan realokasi.
159
Mari kita lanjutkan pembahasan kita sebelumnya tentang permintaan data yang masuk pada port
110, Protokol Kantor Pos. Klien memulai permintaan untuk terhubung dengan server POP dengan
protokol yang ditentukan yang diimplementasikan dalam perintah teks ASCII. Server merespons,
biasanya mengidentifikasi dirinya sendiri dan terkadang nomor versinya (sehingga klien dan server
dapat tersinkronisasi pada kemampuan dan harapan). Kami menunjukkan contoh pertukaran itu
pada Gambar 3-11. Baris dari klien diberi label CL dan tanggapan dari server POP diberi label SV.
Siapapun dapat memulai pertukaran seperti itu dengan memakai Telnet, program emulator
terminal.
Gambar 3-11 Pembuatan Sesi Server POP
Pemindai seperti Nmap menyelidiki berbagai port, menguji untuk melihat layanan apa yang
merespons. Contoh output dari Nmap ditunjukkan pada Gambar 3-12. (Nama dan alamat situs
telah diubah.) Perhatikan bahwa seluruh pemindaian hanya membutuhkan waktu 34 detik.
Gambar 3-12 Keluaran Pemindai Nmap
Pemindaian port memberi tahu penyerang tiga hal: port atau layanan standar mana yang berjalan
dan merespons pada sistem target, sistem operasi apa yang diinstal pada sistem target, dan aplikasi
serta versi aplikasi apa yang ada. Informasi ini tersedia untuk diminta dari sistem jaringan; itu dapat
diperoleh secara diam-diam, tanpa nama, tanpa identifikasi atau otentikasi, menarik sedikit atau
tidak sama sekali perhatian pada pemindaian.
160
Tampaknya nama sistem operasi atau versi aplikasi sistem tidak akan signifikan, namun mengetahui
bahwa host tertentu menjalankan versi tertentu—yang mungkin berisi cacat yang diketahui atau
bahkan tidak diungkapkan—dari suatu layanan, penyerang dapat merancang serangan untuk
mengeksploitasi secara tepat kerentanan itu. Dengan demikian, pemindaian port dapat menjadi
langkah pertama dalam serangan yang lebih serius.
Hal lain yang dapat dipelajari penyerang yaitu konektivitas. Gambar 3-12 menyangkut satu host.
Pada Gambar 3-13 kami telah memperluas pencarian ke seluruh subnetwork (sekali lagi, dengan
mengubah nama dan alamat). Seperti yang Anda lihat, jaringan terdiri dari router, tiga komputer,
dan satu perangkat tak dikenal.
Gambar 3-13 Pemindaian Nmap dari Jaringan Kecil
Informasi dari Gambar 3-14 memberikan petunjuk penting lainnya: sebab waktu latensi (waktu
antara saat sebuah paket dikirim ke perangkat dan perangkat merespons) untuk semua perangkat
serupa, mereka mungkin berada di segmen jaringan yang sama. Dengan demikian, Anda dapat
membuat sketsa diagram konektivitas jaringan (seperti yang ditunjukkan pada Gambar 3-14).
Gambar 3-14 Diagram Konektivitas Jaringan Kecil
161
Nmap memiliki banyak pilihan; orang luar dapat membuat sidik jari pemilik dan pemakai ,
mengidentifikasi layanan umum yang berjalan pada port yang tidak biasa, memetakan konektivitas
(rute antar) mesin, atau menyimpulkan jenis perangkat yang tidak diketahui sebenarnya. Perhatikan
bahwa dengan hanya beberapa perintah, penyerang dalam dua contoh yang ditampilkan belajar
untuk mengetahui :
• Berapa banyak host yang ada
• Apa alamat IP mereka
• Apa alamat fisik (MAC) mereka
• Apa mereknya
• Sistem operasi apa yang dijalankan masing-masing, dan versi apa
• Port apa yang menanggapi permintaan layanan
• Aplikasi layanan apa yang merespons, dan program serta versi apa yang dijalankannya
• Berapa lama respons yang dibutuhkan (yang menunjukkan kecepatan berbagai koneksi jaringan
dan dengan demikian dapat menunjukkan desain jaringan)
Untuk penyerang yang malas, Nmap bahkan memiliki opsi yang secara otomatis menghasilkan
sejumlah alamat IP acak dan lalu memindai alamat ini . Poin ini sangat penting untuk
keamanan komputer. Jika penyerang ingin mengeksploitasi kerentanan yang diketahui dalam versi
tertentu dari beberapa perangkat lunak, penyerang tidak perlu menjalankan serangan berulang
kali terhadap banyak sistem yang menjalankan versi berbeda—atau bahkan perangkat lunak yang
sama sekali berbeda. Sebagai gantinya, penyerang pertama-tama menjalankan pemindaian Nmap
baik memilih, katakanlah, 10.000 alamat secara acak, atau memilih semua alamat dalam rentang
tertentu, misalnya, 100.200.*.*. saat Nmap mengembalikan hasil dari semua pemindaian ini,
penyerang dapat memakai editor teks sederhana untuk memilih dari output besar hanya baris
yang mengidentifikasi versi perangkat lunak yang diinginkan.
Bahaya dari Pemindaian Port
Anda mungkin bertanya apa bahayanya mesin dan layanan yang diketahui seseorang; lagi pula,
alasan port terbuka yaitu untuk bertukar data. Pemindai hanya mengambil data yang diungkapkan
mesin secara sukarela.
Pikirkan alih-alih dua rumah di lingkungan yang dikepung pencuri. Dia tidak tahu apa-apa tentang
rumah pertama. Mengenai rumah kedua, dia tahu dua orang tinggal di sana, kamar tidur mereka
ada di lantai atas. Pasangan itu memiliki seekor anjing, yang tidur di ruang bawah tanah di balik
pintu yang tertutup. Mereka selalu membiarkan jendela belakang terbuka sedikit agar kucing bisa
masuk dan keluar. Dan salah satu penghuni baru-baru ini keseleo pergelangan kakinya, jadi dia
bergerak perlahan dan dengan sedikit rasa sakit. Jelas rumah kedua lebih menarik bagi pencuri,
sebagian sebab dia dapat merencanakan serangan yang memanfaatkan kerentanan yang diketahui
di rumah itu. Dengan demikian, mengekspos karakteristik sistem komputasi yang tidak perlu dapat
berbahaya.
Pemindai jaringan dan kerentanan, di mana Nmap hanyalah salah satu contohnya, memiliki dua
tujuan, satu baik dan satu buruk. pemakai an yang baik yaitu oleh administrator jaringan atau
pemilik sistem yang akan menjelajahi jaringan mereka dengan alat ini. Alat ini akan melaporkan
perangkat mana yang mungkin kedaluwarsa dan versi perangkat lunak yang rentan yang harus
162
ditingkatkan atau port mana yang tidak perlu diekspos dan harus ditutup. Administrator jaringan
besar dapat memakai pemindai untuk mendokumentasikan dan meninjau semua perangkat
yang terhubung ke jaringan (sebab perangkat baru dapat ditambahkan ke jaringan kapan saja). Tapi
tentu saja, seperti yang telah kami tunjukkan, pemakai an pemindai jaringan yang buruk yaitu
memungkinkan penyerang mempelajari suatu sistem. (Hukum tidak ditetapkan apakah memindai
komputer tanpa izin yaitu ilegal.) sebab pentingnya pemakai an yang baik, perusahaan perangkat
lunak komersial yang sehat terus meningkatkan pemakai an dan kegunaan pemindai jaringan yang,
sayangnya, juga mendukung pemakai an yang buruk.
Pemindaian port sulit untuk diklasifikasikan. Mereka tentu saja yaitu alat yang banyak dipakai
oleh penyerang jaringan sebagai langkah pertama dalam upaya yang lebih serius. Apakah mereka
kerentanan? Tidak; kerentanannya terletak pada jumlah dan jenis informasi yang diizinkan oleh
administrator jaringan untuk diekspor ke program apa pun yang diminta. Apakah mereka ancaman?
Tidak juga, sebab bukaan yang mereka laporkan tersedia dengan atau tanpa pemindaian port.
Haruskah mereka dilarang dengan cara tertentu? Mungkin sudah terlambat untuk tindakan itu,
terutama sebab setiap programmer yang kompeten dengan pengetahuan dasar tentang protokol
jaringan dapat dengan mudah menulis yang dasar. Jadi, paling baik kita dapat mengatakan bahwa
teknik pemindaian port ada, dan administrator jaringan harus memakai pemindai port itu sendiri
untuk menentukan seberapa banyak orang luar dapat mempelajari jaringan mereka. Pemindai port
sendiri tidak memicu penolakan layanan atau kegagalan jaringan lainnya, namun mereka
memfasilitasi dan sering mempercepatnya.
3.2.6 Ringkasan Kerentanan
Seperti yang ditunjukkan oleh contoh yang baru saja disajikan, banyak serangan terhadap infrastruktur
jaringan area luas dapat memicu intersepsi, modifikasi, dan penolakan layanan. sebab
serangan ini bekerja terhadap jaringan besar, mereka jarang dipakai terhadap satu pemakai
tertentu, yang mungkin sulit untuk diisolasi di alam semesta jutaan komunikasi bersamaan. (Seperti
yang akan kami jelaskan nanti dalam bab ini, serangan penolakan layanan dapat, dan sering kali,
ditujukan terhadap satu korban tertentu.)
Di bagian berikutnya, kami mengeksplorasi bagaimana trik serupa dapat dipakai di jaringan lokal
nirkabel, di mana hanya segelintir pemakai yang memungkinkan untuk memfokuskan serangan
hanya pada satu. Perhatikan bahwa jaringan ini masih dapat terhubung ke jaringan area yang
lebih luas seperti Internet. Jadi aktivitas penuh satu pemakai masih terbuka untuk intersepsi dan
modifikasi; titik intrusi hanya berbatasan langsung dengan pemakai .
163
3.3 Keamanan Jaringan Nirkabel
Pada bagian ini kami menyajikan teknologi jaringan nirkabel. Kami lalu menjelaskan
dua pendekatan untuk mengamankan jaringan ini. Yang pertama secara luas diakui sebagai
kegagalan keamanan. Mempelajari upaya yang gagal ini harus menghasilkan wawasan mengapa
mengintegrasikan keamanan sulit untuk teknologi yang ada dengan kendala non-keamanan.
Diungkapkan secara berbeda, kisah ini yaitu contoh utama mengapa insinyur keamanan memohon
untuk dimasukkan dalam desain sejak awal: Menambahkan keamanan setelah desain diperbaiki
jarang berhasil. Namun, dari cerita ini Anda dapat melihat apa yang seharusnya atau bisa telah
diramalkan dan ditangani.
Pendekatan kedua lebih baik, namun juga memiliki keterbatasan keamanan. Dalam contoh ini Anda
dapat melihat bahwa bahkan dengan contoh jebakan keamanan yang harus dihindari, menyusun
pendekatan yang berhasil memerlukan pertimbangan yang cermat terhadap kemungkinan titik
kegagalan.
3.3.1 Latar Belakang WiFi
Lalu lintas nirkabel memakai bagian dari spektrum radio, sehingga sinyal tersedia bagi siapa saja
yang memiliki antena efektif dalam jangkauan. sebab komputasi nirkabel sangat terbuka, diperlukan
tindakan untuk melindungi komunikasi antara komputer (disebut klien) dan stasiun pangkalan
nirkabel atau titik akses. Mengingat bahwa semua komunikasi ini berada pada frekuensi radio yang
telah ditentukan, Anda dapat mengharapkan penyerang menguping untuk mencoba mencegat dan
menyamar. Bagian yang harus dilindungi yaitu menemukan titik akses, mengautentikasi komputer
jarak jauh ke titik akses, dan sebaliknya, dan melindungi aliran komunikasi. Komunikasi nirkabel
tidak akan pernah seaman kabel, sebab sinyal yang terpapar lebih rentan. Komunikasi nirkabel
memiliki kerentanan lain, seperti yang terkait di Studi Kasus 3-7.
Studi Kasus 3-7 : Intersepsi Nirkabel
The New Zealand Herald melaporkan bahwa sebuah perusahaan telekomunikasi
besar terpaksa menutup layanan email selulernya sebab kelemahan keamanan
dalam perangkat lunak jaringan nirkabelnya. Cacat ini memengaruhi pemakai
di jaringan perusahaan yang mengirim email di ponsel mereka yang mendukung
WAP (protokol aplikasi nirkabel).
Kerentanan terjadi saat pemakai menyelesaikan sesi email. Faktanya, perangkat
lunak tidak mengakhiri sesi WAP selama 60 detik lagi. Jika pelanggan jaringan
kedua memulai sesi email dalam 60 detik ini dan terhubung ke port yang
sama dengan pelanggan pertama, pelanggan kedua lalu dapat melihat pesan
pelanggan pertama.
Perusahaan menyalahkan perangkat lunak pihak ketiga yang disediakan oleh portal
seluler. Namun demikian, perusahaan telekomunikasi itu merasa sangat malu,
164
terutama sebab "menganggap masalah keamanan dengan jaringan nirkabel"
sebagai "faktor utama yang mengancam untuk menghambat perkembangan teknologi
[nirkabel]."
Siapa pun yang memiliki kartu jaringan nirkabel dapat mencari jaringan yang tersedia.
Konsultan keamanan Chris O'Ferrell telah dapat terhubung ke jaringan nirkabel di
Washington D.C. dari luar gedung kantor Senat, Mahkamah Agung, dan Pentagon
[NOG02]; yang lain bergabung dengan jaringan di bandara, di pesawat, dan di
kedai kopi. Produk Pengamat dari Instrumen Jaringan dan Penganalisis Keamanan
Nirkabel IBM dapat menemukan koneksi nirkabel terbuka di jaringan sehingga
administrator keamanan dapat mengetahui bahwa jaringan dapat diakses untuk
akses nirkabel.
Dan lalu beberapa pemakai LAN nirkabel menolak untuk mematikan atau
melindungi layanan mereka. Pengecer BestBuy dipermalukan oleh pelanggan yang
membeli produk nirkabel; saat di tempat parkir, dia memasangnya di komputer
laptopnya. Sangat mengejutkan, dia menemukan dia bisa terhubung ke jaringan
nirkabel toko. BestBuy lalu membuat semua mesin kasir nirkabelnya offline.
namun rantai apotek CVS mengumumkan rencana untuk melanjutkan pemakai an
jaringan nirkabel di semua 4100 tokonya, dengan alasan “Kami memakai
teknologi nirkabel secara ketat untuk manajemen item internal. Jika kami pernah
bergerak ke arah transmisi informasi [pelanggan] melalui LAN nirkabel di dalam
toko, kami akan mengenkripsi data” [BRE02a]. Dalam banyak kasus, tidak ada yang
mengingat niat awal untuk melindungi data saat seseorang mengubah aplikasi
bertahun-tahun lalu .
Komunikasi Nirkabel
Untuk menghargai bagaimana keamanan diterapkan pada komunikasi nirkabel dan di mana ia dapat
gagal, Anda perlu mengetahui struktur umum komunikasi data nirkabel. Komunikasi data nirkabel
(dan juga kabel) diimplementasikan melalui serangkaian pertukaran yang teratur yang disebut
protokol. Kami memakai protokol dalam kehidupan sehari-hari untuk mencapai pertukaran
sederhana. Misalnya, protokol yang sudah dikenal melibatkan membuat dan menerima panggilan
telepon.
Jika Anda menelepon teman, Anda melakukan versi langkah-langkah ini:
1. Menekan tombol untuk mengaktifkan telepon Anda.
2. Menekan tombol untuk memilih dan mengirimkan nomor teman (proses yang dulu disebut
panggilan telepon).
3. Teman Anda mendengar nada dan menekan tombol untuk menerima panggilan Anda.
4. Teman Anda mengatakan “halo”, atau sapaan lainnya.
5. Anda menyapa.
6. Memulai percakapan.
165
Proses ini tidak berfungsi jika Anda mulai berbicara sebelum teman Anda mendengar dan menjawab
telepon, atau jika teman Anda menerima panggilan Anda namun tidak pernah mengatakan apa
pun. Keenam langkah ini harus diikuti secara berurutan dan dalam bentuk umum ini untuk proses
sederhana membuat panggilan telepon berfungsi. Kita semua mempelajari dan memakai
protokol ini tanpa memikirkan prosesnya, namun polanya membantu kita berkomunikasi dengan
mudah dan efisien.
Protokol serupa mengatur seluruh proses komunikasi WiFi. Anda dapat memakai komputer
Anda, yang dibuat di satu negara dengan perangkat lunak yang ditulis di negara lain, untuk terhubung
ke titik akses nirkabel di seluruh dunia sebab protokol ini merupakan standar yang disepakati
secara internasional, yang disebut rangkaian protokol 802.11. Kami sekarang menyajikan poin-poin
penting dari
Protokol 802.11 yang penting untuk keamanan.
Suite Protokol 802.11
Semua protokol 802.11 menjelaskan bagaimana perangkat berkomunikasi dalam pita sinyal radio
2,4 GHz (pada dasarnya 2,4 GHz–2,5 GHz) yang dialokasikan untuk WiFi. Pita dibagi menjadi 14
saluran atau subrentang di dalam pita; saluran ini tumpang tindih untuk menghindari gangguan
dengan perangkat di sekitar. Perangkat WiFi dirancang untuk hanya memakai beberapa
saluran, sering kali saluran 1, 6, dan 11. Sinyal nirkabel dapat menempuh jarak hingga 100 meter
(300 kaki), meskipun kualitas sinyal berkurang seiring dengan jarak, dan mengganggu objek seperti
dinding dan pohon juga mengganggu komunikasi. Protokol 802.11n meningkatkan jangkauan, dan
perangkat yang disebut repeater dapat memperluas jangkauan pemancar nirkabel yang ada.
Seperti yang ditunjukkan pada Gambar 3-15, jaringan nirkabel terdiri dari titik akses atau router
yang menerima, meneruskan dan mengirimkan data, dan satu atau lebih perangkat, kadang-kadang
disebut stasiun, seperti komputer atau printer, yang berkomunikasi dengan titik akses. Titik akses
yaitu hub dari subjaringan nirkabel. Setiap perangkat harus memiliki kartu antarmuka jaringan,
atau NIC, yang mengomunikasikan sinyal radio dengan titik akses. NIC diidentifikasi oleh alamat
perangkat keras 48 atau 64-bit unik yang disebut kode akses menengah, atau MAC. (Alamat MAC
seharusnya tetap dan unik, namun seperti yang akan kami jelaskan nanti dalam bab ini, alamat MAC
dapat diubah.) Untuk melihat penyalahgunaan alamat MAC untuk otentikasi, lihat Studi Kasus
3-8.
Gambar 3-15 Stasiun Lokal Berkomunikasi dengan Jaringan Jarak Jauh
166
Jangkauan Akses WiFi
Jarak merupakan pertimbangan penting dengan WiFi, namun sulit untuk menyatakan dengan tepat.
Sinyal nirkabel menurun sebab gangguan dari objek yang mengganggu, seperti dinding, mesin,
dan pohon, serta jarak; penerima tidak akan membuat, atau mungkin memutuskan, koneksi dengan
sinyal yang buruk, yang lemah atau kehilangan banyak data. Sinyal luar ruangan, dengan lebih
sedikit objek yang mengganggu, umumnya menempuh jarak yang lebih jauh daripada sinyal dalam
ruangan.
Studi Kasus 3-8 : memakai Alamat MAC untuk Otentikasi [Ide Buruk]
Dalam apa yang kami harapkan yaitu tipuan, sebuah posting yang diduga dari
departemen layanan TI Universitas Harvard menunjukkan bahwa Harvard akan mulai
memakai alamat MAC untuk otentikasi. (http://video2.harvard.edu/wireless/
Wireless_Registration_Procedure_072910.pd Pengumuman menyatakan bahwa
setelah mendaftar dengan layanan jaringan Harvard, mesin siswa akan dikenali
oleh alamat MAC dan siswa tidak perlu lagi memasukkan ID dan PIN Harvard untuk
mengakses jaringan nirkabel Harvard. Postingan itu ada di server web Harvard yang
tidak jelas, bukan halaman layanan TI utama, dan tampaknya tidak disebutkan di
tempat lain di situs web Harvard.
Seperti yang baru saja kami laporkan, programmer jaringan yang cukup terampil
dapat mengubah alamat MAC, dan program yang disebut sniffer melaporkan alamat
MAC perangkat yang berpartisipasi dalam jaringan nirkabel. Dengan demikian,
siapa pun yang ingin memakai jaringan WiFi Harvard dapat dengan mudah
mendapatkan akses terotentikasi dengan mengendus alamat MAC dari sesi
yang sedang berlangsung dan mengatur kartu NIC untuk menampilkan alamat
ini .
Mungkin situs web ini yaitu lelucon dari saingan terdekat Harvard, M.I.T.?
Di sisi lain, antena dapat disetel ke frekuensi komunikasi nirkabel. Memfokuskan langsung pada
sumber sinyal juga dapat meningkatkan penerimaan pada jarak yang jauh. Pada Tabe
