Kategori
DCH3D3 keamanan jaringan

Latihan 17 Keamanan Jaringan – Digital Forensik

Kepada mahasiswa peserta mata kuliah keamanan jaringan hari ini kita akan belajar tentang Digital Forensik. Untuk itu silahkan kerjakan latihan 17 digital forensik berikut ini:

Dalam praktek ini anda diminta melakukan penyidikan terhadap sebuah kasus kejahatan. Anda akan diberi image dari sebuah barang bukti. Lakukan penyidikan terhadap image tersebut dan laporkan data apa saja yang anda temukan pada barang bukti tersebut:

1. Recovery File:

  1. Download Image barang bukti dari link berikut: zip
  2. Pada barang bukti terdapat beberapa file yang telah dihapus. Lakukan proses recovery dan temukan file-file tersebut (ada 13 file). Laporkan File apa saja yang ditemukan

2. Foto Forensic

Foto berikut adalah barang bukti sebuah kejahatan. Untuk mengetahui lokasi pelaku, anda diminta untuk mengidentifikasi dimana foto ini diambil. Lakukan penyidikan terhadap foto diatas dan laporkan pada koordinat berapa foto ini diambil:

 

3. Browser Forensic

Anda diminta untuk melaporkan aktifitas browsing dari seorang pelaku kejahatan. Aktifitas browsing dari pelaku bisa diunduh dari link berikut ini: http://downloads.securityfocus.com/downloads/JSchmo-InternetActivity.zip Lakukan forensik terhadap aktifitas browsing pelaku dan laporkan

  • Website apa yang sering dikunjungi pelaku
  • Kata kunci apa saja yang dicari pelaku di internet

Buat laporan dan kumpulkan ke email dengan subjek latihan 17 keamanan jaringan!

Have Fun!

Beberapa tools yang bisa anda gunakan:

Bahan bacaan:

http://exif.regex.info/exif.cgi

Kategori
DCH3D3 keamanan jaringan

Latihan 16 Keamanan Jaringan- analisa malware

Kepada mahasiswa peserta kuliah keamanan jaringan hari ini kita akan belajar tentang dasar-dasar analisa malware. Silahkan kerjakan latihan 16 Analisa Malware berikut:

Teori:

  1. Jelaskan apa yang dimaksud dengan analisa malware dengan metoda statik!
  2. Jelaskan apa yang dimaksud dengan analisa malware dengan metoda dinamis!
  3. Jelaskan apa yang dimaksud dengan reverse engineering!
  4. Sebutkan 5 tools yang dapat digunakan untuk melakukan analisa malware!
  5. Jelaskan apa saja tahapan yang harus dilakukan dalam melakukan analisa malware!
  6. Jelaskan bagaimana cara membuat “safe environment” untuk melakukan analisa malware!
  7. Jelaskan apa kegunaan dari Sandbox!
  8. Jelaskan bagaimana cara antivirus mendeteksi malware!

Praktek

  1. Buat sebuah malware dengan menggunakan tools RAT (Remote Access Trojan)! (Tools RAT bebas! Silahkan cari sendiri)
  2. Analisa sampel malware yang anda buat dengan menggunakan web Virus Total! Laporkan hasilnya!
  3. Analisa sampel malware yang anda buat dengan menggunakan web Malwr! Laporkan Hasilnya!
  4. Pada hasil analisa no 3 Jelaskan apa kegunaan hasil static analysis, behavioural analysis, dan network analysis dari hasil no 3!
  5. Lakukan analisa sampel malware anda dengan menggunakan PEStudio Laporkan hasilnya!

Buat Laporan dan kirimkan ke email dengan subjek Latihan 16 keamanan jaringan.

Have Fun!

Kategori
malware

Presentasi tentang Fileless Malware

Presentasi tentang Fileless Malware - Indonesia Malware Summit
Presentasi tentang Fileless Malware - Indonesia Malware Summit

Pada tulisan sebelumnya saya sudah share materi presentasi pada acara Indonesia Malware Summit 2017. Namun masih ada satu materi yang belum saya share, yaitu tentang Fileless Malware. Pada pertemuan ini, saya yang diminta bercerita tentang Fileless Malware. Di awal presentasi saya cerita tentang laporan Kaspoersky lab yang menemukan malware yang menginfeksi 140 perusahaan di dunia. Perusahaan yang jadi korban ada dari perbankan, perusahaan Telekomunikasi, maupun pemerintahan. Perusahaan-perusahaan ini melaporkan komputernya dihack, namun setelah dilakukan analisa tidak ditemukan ada jejak2 serangan maupun malware. Setelah dilakukan analisa secara mendalam, Kaspersky menemukan bahwa serangan ini menggunakan teknik Fileless malware, sebuah tipe serangan baru.

Fileless Malware

Fileless Malware ini sebuah tipe serangan baru, dimana malware bersembunyi di dalam registry maupun memory. Malware ini mengeksploitasi fitur Powershell dan WMI pada windows. Dengan cara ini malware dapat mengelabui Antivirus. Memang penulis malware selalu berinovasi mencari cara baru untuk mengelabui anti virus. Beberapa teknik pengelabuan malware adalah:

  • Memory resident (malware bersembunyi di dalam memory);
  • Rootkit
  • Bersembunyi di windows registry

Salah satu jenis Fileless Malware yang pertama muncul adalah poweliks. Malware ini termasuk dalam jenis malware trojan click bot. Makssudnya bila komputer kita terinfeksi malware ini, maka komputer kita diam diam akan membuka sebuah alamat tertentu dan mengklik sebuah link tertentu. Misalnya mengklik sebuah halaman iklan. Biasanya setiap satu iklan yang diklik, si penuliss malware akan mendapat bayaran.semakin banyak iklan yang diklik maka semakin banyak juga bayaran yang dia dapat.

Malware jenis ini sebenarnya tidak terlalu berbahaya, namun yang membedakan poweliks dengan malware lainnya adalah, poweliks bersembunyi di registry. Jadi kalau kita melakukan analisa terhadap komputer korban, kita tidak akan menemukan sampel malware. Namun kalau kita membuka windows registry maka akan kita temukan sesuatu yang mencurigakan. Di sebuah registry key berikut

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[ ]

ada sebuah entry yang null [ ]. Isi registry ini tidak bisa dibaca. Bagian registry ini membuat malware ini akan dijalankan setiap kali komputer dihidupkan. Namun kalau kita menggunakan tools registry dump, maka akan terlihat isi entry dari registry ini adalah perintah untuk menjalankan sebuah javascript.

Selain itu ada juga payload malware yang fungsinya adalah untuk menguji apakah pada komputer korban terdapat powershell dan .net. Payload ini diencode dengan base64 dan dipasang di registry. Bila pada komputer tidak ditemukan adanya powershell, maka malware akan mengunduh dari powershell dari web microsoft. Powershell adalah sebuah fitur yang disediakan microsoft untuk memudahkan admin jaringan. Fungsinya seperti shell pada unix. Selain itu script ini akan memasang file .dll, serta menerima perintah dari server C&C (Command & Control). Dengan adanya powershell maka malware dapat menjalankan script berbahaya. Script ini juga diencode dulu dengan base64. Kemudian dipasang di windows registry. Dengan cara ini maka akan sulit bagi antivirus untuk mendeteksi malware ini.

Infeksi Fileless Malware

Selain poweliks beberapa malware yg menggunakan teknik ini, diantaranya Gootkit. Gootkit adalah sebuah malware jenis banking trojan. Secara umum ada beberapa tahapan infeksi dari fileless malware pada komputer korban, yaitu:

  • Auto-Start Registry
  • Loader di Registry yang menjalankan script à Powershell
  • Execute binary – memory

Sementara itu sumber infeksi fileless malware ini adalah berasal dari

  • Website yang terinfeksi malware
  • Email spam

Bila kita mengunjungi sebuah website yang menyebarkan exploit kit Fileless malware, website tersebut akan melakukan scanning terhadap browser kita. Yang dicari adalah browser yang masih memiliki celah keamanan. Selain itu malware akan melakukan scanning untuk mencari Flash, Java dan Microsoft Silverlight pada komputer korban

Beberapa saran pencegahan agar komputer kita tidak terinfeksi Fileless Malware:

  • Hati-hati Email Spam
  • Perhatikan alamat pengirim, Subjek, Isi Pesan, URL
  • Update
  • Web Reputation
  • Behaviour analysis

Bila anda melakukan analisa terhadap komputer yang terkena Fileless Malware, perhatikan beberapa bagian berikut:

  • Process –> rundll32.exe ; dllhost.exe
  • Prefetch
  • Registry

Sementara itu para pakar malware memprediksi teknik fileless ini akan semakin banyak digunakan. Diantaranya digunakan pada:

  • Kovter —> Cryptowall
  • AnglerEK –> mencari sistem PoS (Point of Sale)
  • AnglerEK –> Teslacrypt
  • Hacked website, install script

Demikian sharing saya pada acara indonesia malware summit. Semoga bermanfaat!

Slide presentasi dapat dilihat pada web berikut:

http://www.cert.id/media/files/Jul-_fileless_Malwarev2.pdf

Kategori
DCH3D3 keamanan jaringan

Latihan 15 Keamanan Jaringan – Teknik Hardening

Kepada para mahasiswa peserta mata kuliah keamanan jaringan, hari ini kita akan mengenal tentang teknik Hardening OS. Untuk silahkan kerjakan latihan 15 berikut ini:

  1. Jelaskan apa tujuan dari Hardening!
  2. Jelaskan langkah-langkah apa saja  yang harus kita lakukan dalam melakukan Hardening pada sistem Operasi Windows! (hardening checklist)
  3. Jelaskan langkah-langkah apa saja  yang harus kita lakukan dalam melakukan Hardening pada sistem operasi Linux! (hardening checklist)
  4. Untuk memudahkan proses Hardening kita bisa menggunakan beberapa alat bantu berikut ini Lynis, dan Bastille Linux,. Silahkan pilih salah satu tools tersebut! (alternatif dapat menggunakan juga OpenVAS, Nessus dll). Unduh dan install tool tersebut!
  5. Kemudian lakukan scanning terhadap sistem operasi anda dengan menggunakan tools diatas!
  6. Laporkan celah keamanan apa saja yang ditemukan dari hasil scanning!
  7. Lakukan langkah hardening pada OS anda untuk menutup celah keamanan yang ditemukan pada nomer 6!

Buat laporan dan kumpulkan ke email dengan subjek latihan 16 keamanan jaringan

Have Fun!

Beberapa bahan bacaan:

https://help.ubuntu.com/community/Security

https://www.debian.org/doc/manuals/securing-debian-howto/

https://wiki.debian.org/Hardening

http://www.nist.org/news.php?extend.204

https://www.rsaconference.com/writable/presentations/file_upload/crwd-r04-top-10-security-hardening-settings-for-windows-servers-and-active-directory.pdf

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-Hardening_Your_System_with_Tools_and_Services.html

http://cecs.wright.edu/~pmateti/Courses/4420/HardenOS/

http://fodor.ii.metu.edu.tr/~adnan/Defending%20Operating%20Systems%20-%20Lab.pdf

Kategori
DCH3D3 keamanan jaringan

Kajian 3 Attack Defense

Kepada para mahasiswa peserta mata kuliah keamanan jaringan, di akhir kajian 3 keamanan jaringan ini kita akan mengadakan game security simulasi hacking. Game ini memakai format CTF (capture the flag) dengan format attack defense.

Jadi kalian diminta membuat kelompok 2-3 orang. Setelah itu membuat sebuah server yang aman. Kemudian nanti servernya akan diadu, kalian akan diminta mempertahankan sistem kita, dan menyerang komputer lawan.

Peserta akan mendapat poin dari defense dan attack. Poin defense didapat dari bagaimana anda mempertahankan server, sementara poin attack diperoleh dari bagaimana anda bisa membobol sistem lawan. Silahkan baca ketentuan berikut:

  1. Buat Kelompok 2-3 orang
  2. Masing-masing kelompok membuat 1 Server untuk diserang dan 1 komputer penyerang
  3. Server harus memiliki minimal 2 layanan yang aktif, contohnya http, ssh!
  4. Kalian akan diminta menyerang server teman kalian
  5. Penilaian dibagi 2: defense dan attack
  6. Nilai defense dipilih dari cara untuk mengamankan server
  7. Nilai attack diambil dari teknik penyerangan yang digunakan
  8. Penilaian dari laporan yg dibuat (defense&attack)
  9. Server yang diserang boleh menggunakan Firewall, IDS, dll
  10. OS bebas
  11. Tools penyerang bebas; tidak boleh DOS attack, Netcut dll
  12. Waktu 120 menit termasuk membuat laporan
  13. Hal teknis lainnya akan dijelaskan pada waktu asesment!

Sekarang silahkan diskusi dan mempersiapkan server yang akan digunakan untuk assessment.

  1. Tentukan kelompok!
  2. Tentukan OS apa yang akan digunakan!
  3. Rencanakan 2 layanan apa saja yang akan disediakan pada server anda
  4. Rencanakan pengamanan apa saja yang akan digunakan!
  5. Apakah akan menggunakan tools tambahan! (IDS dll) Tools apa?

Bikin laporan hasil diskusi dan kirimkan ke email dengan subjek kajian 3 keamanan jaringan

Have Fun!

Tips:

  1. untuk membuat server yang aman, bisa kalian googling dengan keyword secure OS, secure distro, hardening OS, dll. List beberapa OS yang dibuat dengan pertimbangan keamanan bisa dilihat pada link berikut:
  2. Lakukan teknik Hardening OS! Hardening adalah teknik untuk mengamankan sebuah sistem operasi. Ada berbagai macam konfigurasi yang harus dilakukan. Dan ada beberapa tools juga yang kita bisa gunakan dalam proses hardening seperti Lynis dan Bastille Linux, OpenVAS, Nessus dll. Lebih lanjut tentang Hardening akan saya bahas pada pertemuan berikutnya.
  3. Atau bisa dengan memasang tools seperti Firewall, IDS, IPS dll. Contoh list aplikasi firewall bisa dilihat pada link berikut:https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions .Contoh aplikasi IDS yang bisa kalian gunakan http://sectools.org/tag/ids/
  4. Untuk penyerangan kalian bisa cari berbagai macam tools penetration test. Contoh daftar tools yang bisa digunakan dapat dilihat pada link berikut:http://sectools.org Atau bisa cari OS yang biasa digunakan untuk Penetration test, seperti Kali Linux, Backbox, pentoo, tails dll

Have Fun!

Kategori
malware

Presentasi tentang DGA Malware

Materi berikutnya pada acara Indonesia Malware Summit 2017 adalah presentasi tentang DGA Malware. Presentasi ini disampaikan oleh Enrico Hugo dari Indonesia Honeynet Project. DGA adalah singkatan dari Domain Generation Algorithm.

DNS

Pada awal presentasi Enrico bercerita tentang DNS (Domain Name System). DNS adalah layanan yang biasa digunakan untuk menerjemahkan alamat IP ke alamat domain, dan sebaliknya menerjemahkan alamat domain ke alamat IP. DNS ini sebuah layanan yang sangat dibutuhkan di jaringan. Hanya saja DNS belum pernah diupgrade sejak direlease. Padahal ada banyak ancaman keamanan pada DNS  ini Threat, diantaranya:

  • DNS Cache Poisoning
  • DNS tunneling
  • DNS amplification attack
  • Domain Generation Algorithm
  • DNS Fast Flux, dll

DGA

DGA adalah algoritma yang banyak ditemukan pada berbagai famili malware yang digunakan untuk menggenerate nama domain yang bisa digunakan sebagai tempat komunikasi dengan server C&C. Teknik ini digunakan penyerang untuk menghindari server C&C (Command & Control) nya di takedown.

Beberapa karakteristik DGA:

  • NXDOMAIN response
  • menggunakan nama domain 2LD/ 3LD secara acak. (2LD=2nd level domain)
  • Peningkatan rikues yang banyak dari IP yang sama
  • Ada yang membuat domain dengan kata-kata yg tidak bisa dibaca, ada juga yang mengandung kata-kata yang bisa dibaca

Contoh malware yang menggunakan teknik DGA:

  • Kraken
  • Conficker
  • Gameover Zeus
  • Pykspa
  • Cryptolocker
  • Dyre
  • Darkshell
  • Locky
  • Mad Max
  • PandaBanker
  • Pushdo
  • Ramnit
  • Srizbi
  • Torpig
  • Virut, dll

Enrico melakukan pengujian deteksi DGA malware di CBN, dengan memasang 2 server passive DNS monitoring. Untuk mendeteksi DGA digunakan Zipfs Law. Caranya yaitu dengan meranking tingkat random, dan frequensi nama domain menggunakan Bigram Distribution index. Cara lain untuk mendeteksi malware yaitu menggunakan teknik hierarchical clustering utk DGA.

Pykspa

Menurut Enrico teknik yang dia gunakan memiliki tingkat akurasi sampai 90%. Kemudian Enrico share tentang proses deteksi malware Pykspa menggunakan teknik ini. Pada saat itu muncul sejumlah DNS rikues yang banyak dari sebuah IP. IP tersebut ternyata adalah alamat IP seorang karyawan CBN. Enrico kemudian mencoba melakukan deploy Honeypot Dionaea pada subnet yang sama. Honeypot ini dikonfigurasi untuk memiliki aksess SSH langsung. Kemudian dia mencoba melakukan monitoring proses menggunakan ps aux, melihat penggunaan resource dengan top, dan menemukan beberapa file mencurigakan. File-file ini kemudian diupload ke virustotal. Hasil analisa Virustotal, dideteksi bahwa file tersebut mengandung KillAV Trojan dan Pykspa Worm.

Pykspa biasanya menyebar melalui Skype. Selain itu ditemukan port smb yang terbuka. Enrico kemudian bercerita tentang hasil riset dari Jonathan Bader. Mr. Bader ini telah melakukan reverse engineering terhadap Pykspa worm, dan menemukan worm ini menggunakan algoritma DGA. Menggunakan skrip python yang dishare Mr.Bader, Enrico berhasil menemukan alamat beberapa domain yang digenerate oleh malware tersebut.

Menurut Enrico untuk meningkatkan monitoring DGA dapat menggunakan metoda blacklist dan whitelist. Selain itu perlu dikembangkan metode untuk memastikan apakah sebuah domain benar-benar dibuat oleh DGA. Menurut Enrico melakukan  Block domain tidak menyelesaikan masalah. Untuk mendeteksi algoritma DGA dengan cara mencari quiery NXdomain dan servfail.
Slide presentasi DGA Malware dapat dilihat pada link berikut:

https://www.cert.id/media/files/DGA_Malware.pdf

Kategori
event

Presentasi tentang Smartphone Malware

presentase smartphone malware
presentase smartphone malware

Materi berikutnya dari acara Indonesia Malware Summit 2017 adalah presentasi tentang smartphone malware. Presentasi ini disampaikan oleh salah satu Mbahnya Malware Indonesia yaitu mas M.Ali Syarief. Mas ali ini ini security analyst, pentester dan malware analyst.  Beliau juga alumni lab riset ID-SIRTII, pernah membuat AMOS (Android Malware Operating System) yaitu sistem operasi Linux untuk melakukan analisa malware android. Menjadi narasumber juga di Bareskrim, aktif di Indonesian Coder.

Smartphone Malware

Pada awal presentasi Mas ali menampilkan data statistik dari Hootsuite tentang Indonesia tahun 2017:

  • Total Populasi Indonesia: 262 juta ; Urbanisation 55%
  • Pengguna Internet: 132,7 juta: 55% dari jumlah populasi
  • Aktif di Media Sosial:106 juta; 40%
  • Jumlah pelanggan mobile: 371,4  juta; 142%
  • Pengguna pengguna sosial media menggunakan smartphone:92 juta; 35%

Sementara itu sebaran pengguna sistem operasi mobile di Indonesia tahun 2013-2017 menurut statcounter global stats:

  • Android: 64,99%
  • Nokia Series 40: 9,11%
  • Tidak diketahui: 7,26%
  • Blackberry OS: 5,48%
  • Symbian OS: 4,27%
  • iOS:3,23%

Evolusi Mobile malware

Kemudian beliau sharing tentang evolusi mobile malware menurut Fortinet:

  • 2004 Mobile Worm pertama yaitu Cabir pada OS Symbian khususnya Nokia seri 60, serangan ini memunculkan kata « Caribe »pada layar ponsel yang terinfeksi. penyebarannya melalui bluetooth
  • 2005 Mobile MMS pertama yaitu CommWarrior, ditemukan pada tahun 2005,meneruskan jejak Cabir dengan menambahkemampuan menyebarkan diri menggunakan bluetooth dan MMS.
  • 2006 Malware sebagai Mesin Penghasil Uang Trojan RedBrowser.RedBrowser dirancang untuk menginfeksi ponsel melalui platformJava 2 Micro Edition (J2ME) dirancang secara khusus untuk memanfaatkan layanan SMS tarif premium
  • 2009 Botnet Mobile; Yxes juga memiliki perbedaan sebagai sebuah aplikasi Symbian yang bersertifikasi, dan memanfaatkan keanehan ekosistem Symbian yang memungkinkan pengembang untuk menonaktifkan aplikasi dengan sendirinya
  • 2010 Mobile Malware Era Industri: Zitmo, yaitu Zeus pada mobile, pertama kali dikenal sebagai kelanjutan dari Zeus,Trojan perbankan yang sangat ganas dan dikembangkan untuk dunia PC
  • 2011 android malware: Mulai populernya malware yang dibuat untuk Android
  • 2013 ransomware pertama untuk ponsel Android. Menyamar sebagai anti-virus, Malware ini mengunci ponsel dan mengharuskan korban membayar tebusan

Menurut securelist indonesia menduduki ranking 5 untuk persentasi user yang terkena serangan malware mobile (40,36%). Selanjutnya mas Ali menyampaikan persentase distribusi malware baru pada tahun 2015-2016 menurut securelist:

  • risk tool 43%
  • adware 13%
  • trojan-sms 11%
  • trojan dropper 11%
  • trojan spy 10%
  • trojan ransom 4%
  • trojan downloader2%
  • Backdoor 1%

Kemudian Mas Ali bercerita tentang sistem keamanan 7 lapis di google play. Jadi seharusnya apps yang ada di google play sudah aman dari malware. Namun tetap saja ada kasus apps di play store yang disusupi malware. Selain itu perhatikan juga review pengguna yang ada di play store. Hindari android market alternatif seperti Android Black alpha. Menurut mas ali beberapa ciri-ciri Android yang terkena infeksi malware:

  • HP mati mendadak
  • lambat,
  • batere cepet habis,
  • data internet naik drastis.

Untuk melakukan deteksi apakah malware tersebut terinfeksi malware bisa menggunakan apps virustotal dan apps antivirus, disarankan yang berbayar. Kemudian mas ali bercerita tentang tools analis malware MobSF (Mobile Security Framework).  Dan terakhir beliau menampilkan demo bagaimana sebuah trojan yang menginfeksi smartphone Android, kemudian bisa dikontrol dari sebuah server C&C.

Semoga Bermanfaat!

Slidenya bisa dilihat disini:

http://www.cert.id/media/files/Persentasi_Malware-M.Ali-Syarief.pdf

Blognya mas Ali

https://0xc1r3ng.wordpress.com/

Kategori
event

Indonesia Malware Summit 2017

indonesia malware summit 2017
indonesia malware summit 2017

Setelah pertemuan tahunan ID-CERT selesai, acara dilanjutkan dengan Indonesia Malware Summit 2017. Acara ini merupakan lanjutan dari acara indonesia malware summit pertama pada tahun 2015. Pembukaan acara dilakukan oleh pak Ahmad Alkhazimy. Pak Ahmad bercerita tentang acara Indonesia malware summit I tahun 2015. Pada waktu itu hadir sejumlah developer Anti Virus lokal. Dari pertemuan itu disimpulkan bahwa: anti virus lokal saat ini  baru jadi 2nd layer protection.

Banyak permasalahan yang dihadapi para developer ini diantarnya:

  • keterbatasan SDM
  • antivirus lokal banyak yang tidak kompatibel dg Anti Virus luar negeri

Hasil rekomendasi dari pertemuan tersebut adalah:

  • perlu adanya forum antar developer Anti Virus lokal.
  • Perlu adanya kerjasama dengan lembaga pendidikan,
  • Perlu kerjasama dengan perusahaan untuk mengatasi masalah kendala perangkat.
  • Perlu dibuat adanya suatu Layanan malware scanner.
  • Usulan fitur whitelist

Dracos

Selanjutnya presentasi dari Dracos yang diwakili Bapak Matias Prasodjo tentang Automatic Malware analysis dan repository. Dracos adalah OS lokal. OS Dracos berasal dari nama komodo. Ide dibuatnya dracos ini berasal dari forum http://gauli.net . Gauli merupakan singkatan dari Gaul with Linux (Bergaul dengan Linus) . Dracos dibangun berbasis Linux from scratch. Dibangun oleh anak sma dan smp. OS ini berisi banyak tools untuk melakukan pentest (penetration testing)

Selanjutnya presentasi dilanjutkan oleh om Satria Ady Pradana (konon katanya di dracos panggilannya om dan tante). Ide sistem automatic malware analysis ini berasal dari forum gauli dan draclabs. Idenya membuat malware repository. Yaitu tempat sharing sampel malware dan otomatis melakukan analisa sampel tersebut. Yang ingin dikumpulkan adalah malware lokal. Sistem ini akan menyediakan Platform sharing dan menampilkan  statistik. Misalnya kota sumber malware dll.

Sistem ini tujuannya ingin menjadi seperti virus total. Fungsinya adalah:

  • Melakukan analisis secara otomatis.
  • terhubungkan dengan banyak penyedia untuk automatic analysis.
  • Melakukanautomatic behaviour analysis.

Saat ini sistem analisa ini mendukung analisa malware dari berbagai platform, yaitu PC Malware (Windows, Linux). Kedepannya diharapkan bisa support juga untuk analisa Mobile malware dari Andoid dan IoS. Sistem ini juga akan terhubung ke penyedia Anti Virus.

Sistem sudah berhasil untuk mendeteksi malware berbasis windows, sedang mengembangkan utk android. Akan disediakan juga API agar bisa terintegrasi dg AV lokal. Progres saat ini bisa dilihat di http://draclabs.com  dan http://draclabs.org  Kedepannya akan digunakan raspberry pi sebagai agent untuk mengumpulkan malware. Sistem ini  berbasis cuckoo dan berbagai tools analisis lainnya. Bisa tracking lokasi yang upload, dengan menggunakan geo IP location.

Tanya jawab

Pak moko bertanya ttg malware lokal. ttg ide enkripsi lokal.condrosengkolo.standarisasi digunakan utk berkomunikasi dg sistem luar. pengembang algoritma DC3 pak yusuf.

Pertanyaan apa yg membedakan dracos dg kali Linux . Kemudian tools  apa aja yang ada di dracos. Dracos dibuat utk mempelajari sistem. Jadi semuanya berbasis terminal. Memaksa user utk belajar, tidak hanya menggunakan tools saja. Toolsnya sama. Ditambah beberapa tools yg dikembangkan sendiri. Dracos memaksa pengguna pake terminal. Moto mereka we are dracos, bring back terminal.

Semoga Bermanfaat!

Slide presentasi Dracos bisa dilihat disini:

http://www.cert.id/media/files/DracLab_-_Automatic_Malware_Analysis__Repository.pdf

Video acara ini bisa dilihat disini:

https://www.facebook.com/IDCERT/videos/1392641387425035/

Tentang Pak Matias Prasodjo bisa dilihat disini:

About

Kategori
event

Presentasi CBN tentang Anti DDoS

presentasi CBN tentang anti ddos
presentasi CBN tentang anti ddos

Materi berikutnya pada acara pertemuan tahunan ID-CERT 2017 adalah presentasi CBN tentang Anti DD0S. Yang memberikan presentasi adalah Pak Harry Sudjana, beliau adalah Corporate Solutions Manajer di CBN (PT Cyberindo Aditama). Beliau bercerita CBN telah memiliki  sistem penanganan Anti DDoS. Sistem ini dinamai CBN clean Pipe solution. Saat ini DDoS telah menjadi ancaman serius. Serangan DDos selalu menghabiskan  bandwidth. Kemudian beliau sharing kasus DDoS pada salah satu klient CBN. Penyerang setelah melakukan DDoS dapat merubah konfigurasi sistem korban.

CBN kemudian mempelajari tentang serangan DDoS dan sharing tentang cara penanganan. Pak Harry kemudian menjelaskan tentang serangan DDoS. CBN memiliki sistem AntiDDoS yang dikembangkan berbasis teknologi Anti DDoS dari Tata Communication. bila terjadi serangan, sistem antiDDOS CBN akan menghentikan paket serangan. Kemudian setiap pengguna akan mendapatkan laporan insiden. Selanjutnya ditampilkan contoh sampel report serangan. Ditampilkan juga jenis serangan apa yg dilakukan seperti UDP Flood, Syn Flood, dll. Selain itu bisa dilihat juga source IP DDoS.  Dan ditampilkan top 5 sumber serangan yang diterima CBN yaitu berasal dari Cina, Rusia, US, dll. Sementara pelakunya diduga adalah profesional (orang yang menyediakan layanan DDoS), org dalam, pesaing, dari kampus dll.

Identity Theft

Selanjutnya presentasi tentang identity theft dari Pak budi rahardjo. ID-CERT sering mendapat aduan tentang identity theft. ID-CERT sebenarnya mengharapkan penyedia layanan seperti FB, Google, dll pada acara ini memberikan sharing tentang identity theft. Definisi Identity Theft adalah upaya utk menggunakan identitas seseorang secara tdk sah utk mendapatkan keuntungan finansial.

Di Dunia maya sulit utk melakukan verifikasi identitas seseorang. Yang pertama berdasarkan pengakuan diri sendiri. Dan yang kedua berasal dari pengakuan pihak lain. Pada prinsipnya susah untuk membuktikan identitas orang di dunia maya. Identitas di dunia maya saat ini:

  • Alamat email.
  • Akun medsos.
  • Identitas lainnya no HP.

Tujuan pencurian identitas:

  • penipuan finansial. minta donasi, minta pulsa.
  • pencemaran nama baik. membuat pernyataan kontroversial, membuat masalah;
  • utk mencuri identitas org lain lagi.

Tingkat kesulitan:

  • Hanya modal paket data internet.
  • Nama,Foto, data media sosial (tempat bekerja, sekolah, organisasi).
  • Membuka akun baru di media sosial lain dgn data tsb.
  • Membujuk org lain utk menjadi teman yg kemudian dijadikan pembenaran identitas org tersebut.

Beberapa cara pembajak akun:

  • Mengeskploitasi fungsi reset password.
  • Ambil alih HP;

Kebocoran akun di sebuah layanan medsos seringalai menyebabkan akun lain juga kena bobol. Hal ini  karena password sama di beberapa akun. Untuk itu gunakan password yg berbeda utk layanan yg berbeda.

Bagaimana jika akun kita dibajak:

  1. reset password
  2. Gunakan jalur pelaporan dari penyedia layanan
  3. Melaporkan kepada insiden respon team utk pembelajaran bg pihak lain & data statistik.
  4. Minta bantuan pihak ketiga. Kasus Hukum.

Untuk Perlindungan dari identity theft:

  • Gunakan password yg berbeda,
  • ubah secara berkala
  • Gunakan password berbeda untuk setiap layanan.
  • pilih password yg cukup sulit ditebak.
  • Jangan gunakan kata yg ada di kamus.
  • Gunakan 2 factor authentication.
  • Jangan terlalu banyak memberikan informasi pribadi di internet. Misalnya tgl lahir asli.

Identity theft adalah bagian dari kehidupan maya. Lindungi akun2 anda. Jangan gunakan password yg sama.

Tanya jawab

Pertanyaan dari Michael dr Jakarta ke CBN, apakah untuk layanan anti DDoS ini inbound dan outbound harus lewat CBN. Apakah ip public bisa difiltering.

Pak Eko dari telkom bertanya tentang availability dan delay dari layanan anti DDoS. Layanan antiDDos hanya menambahkan 1 hop. Jadi tidak ada delay yang besar. Kemudian beliau sharing tentang kasus client cloud yg di DDoS.

Pertanyaan tentang Identity Theft, tentang SSO (single sign on) bagaimana pengamanannya.

Materi berikutnya akan saya share pada tulisan berikutnya

Slide pak Budi tentang identity theft bisa dilihat disini:

Identity Theft from budi rahardjo

Slide CBN bisa dilihat pada link berikut:

http://www.cert.id/media/files/CBN_Clean_Pipe_Update.pdf

Videonya bisa dilihat di FP ID-CERT pada alamat berikut:

https://www.facebook.com/IDCERT/videos/1392533360769171/

Kategori
event

Laporan Aktifitas ID-CERT 2016

laporan aktifitas ID-CERT 2016
laporan aktifitas ID-CERT 2016

Materi berikutnya pada acara pertemuan tahunan ID-CERT 2017 adalah Laporan aktifitas ID-CERT 2016 oleh pak Ahmad Alkhazimy. Laporan pertama tentang Incident handling. Pak Ahmad menampilkan grafik pertumbuhan incident pada tahun 2016. IMR (Insident Monitoring report) di Indonesia dimulai tahun 2010. Saat ini jumlah responden yang terlibat ada sekitar 40 organisasi. Responden ini turut berperan serta mengirimkan laporan insiden ke ID-CERT. Selain itu juga para responden turut juga menerima pengaduan insiden dari ID-CERT. Menurut RFC 2350 ada kewajiban setiap perusahaan memiliki email abuse. Email ini biasanya digunakan untuk melaporkan adanya insiden keamanan.  ID-CERT mengharapkan email abuse diteruskan ke ID-CERTID-CERT menjamin kerahasiaan data, laporan insiden responden.

Menurut pak Ahmad jumlah responden ini masih sangat sedikit. Karena saat ini tercatat ada sekitar 1000 organisasi yg memiliki IP di Indonesia. 600an adalah organisasi non ISP. Kemudian ditampilkan contoh laporan IMR. Laporan IMR bisa dilihat di web http://cert.or.id . Laporan terbanyak adalah insiden IPR /HAKI, misalnya pembajakan film, software dll. Kemudian insiden jaringan seperti DDoS, dll. Insiden HAKI biasanya meningkat di akhir tahun, awal tahun, dan menjelang lebaran dll. Kemudian dilaporkan juga tentang insiden malware, laporan serangan spoofing/phishing, laporan spam dan komplain spam. Laporan ini berasal dari indonesia maupun dari luar negeri.

Ada 3 edisi IMR yang dikeluarkan,

  • edisi umum;
  • edisi khusus dwibulan utk kemdikbud, pandi dan apjii;
  • edisi khusus triwulan utk kominfo.

Beberapa aktifitas laiinya

  • Bulan Oktober 2016 dilakukan ujicoba CA (certificate Authority) kerjasama dengan APJII.
  • ID-CERT juga telah membuat event report tools yang dibantu oleh mahasiswa Kerja praktek.
  • ID-CERT juga membantu Kominfo dlm penyusunan RPM Spam, RPM Tipiki, RPM Standar rujukan keamanan bagi sektor strategis.
  • Pertemuan tahunan 2016 tgl 3 maret di Telkom,
  • Pak Budi sebagai keynote di Cyber Intelligence Asia di Bangkok.
  • Jul diundang memberikan presentasi di acara AP-CERT AGM di Tokyo tgl 24-27 oktober 2016.
  • Pada acara AP-CERT drill hadir sebagai peserta penanganan insiden.
  • Aktifitas lainnya sebagai pembicara di JCLEC. materinya tentang ID-CERT, PGP.
  • ID-CERT diundang juga sebagai pembicara di ITB, Tel-U, dan Univ Bandal Lampung.

Kemudian Pak Ahmad menjelaskan tentang jenis keanggotaan di ID-CERT yaitu:

  • Publik terbuka,
  • korporat

Tanya Jawab

Pertanyaan dari pak Moko dari Kalimantan selatan bertanya tentang prosedur untuk menjadi anggota. Di Kalimantan banyak perusahaan besar yg tertarik ttg security. Menurut pak Ahmad prosedur keanggotaan sederhana, hanya mengisi formulir keanggotaan. Komunikasi dilakukan lewat milis Email maupun grup chat.

Hanier dari Jakarta, bertanya tentang bagaimana tindak lanjut insiden IPR, HAKI dari ID-CERT. ID-CERT sudah berkomunikasi dengan dirjen HAKI. Hanya banyaknya laporan dari luar negeri sehingga tidak bisa diproses oleh dirjen HAKI. Beberapa kasus yang ditangani misalnya Bittorrent, Film bajakan dll. Pak Budi menambahkan aktifitas ID-CERT sifatnya reaktif. Ketika menerima laporan kemudian diteruskan ke pihak yang berkepentingan. Selain itu ID-CERT juga tidak memiliki yurisprudensi.

Pertanyaan berikutnya tentang Hoax, apakah ID-CERT berperan disana? ID-CERT tidak ikut menangani Hoax karena sudah ada institusi lain yg menangani. Pertanyaan Pak Gerry dari Qwords, beliau juga humas relawan TIK. Bertanya tentang bagaimana cara membentuk CERT. Di daerah banyak insiden hacking website. Panduan membuat CERT ada di RFC 2350, yg pertama apakah diperlukan ada CERT. Ekspektasi konstituen dll. Dibutuhkan komitmen tinggi. Utk bantuan teknis, pelatihan dll ID-CERT siap membantu. Misalnya tentang aplikasi RTIR utk ticketing laporan insiden. ID-CERT siap membantu pembentukan CERT.

Pertanyaan berikut dr Pak Haris Stikes Unsyiah Bandung tentang dukungan pemerintah. Saat ini awareness pemerintah ttg security sudah ada. Kapabilitas sudah ada, cuman perlu ditingkatkan jumlahnya. Dukungan ID-CERT banyak melalui Kominfo, terlibat dlm banyak kegiatan, penyusunan aturan dll. Semua instansi yang menyediakan layanan publik wajib memiliki IRT (insiden respon team). Yang dibutuhkan pertama di IRT, menerima aduan adanya insiden. Selanjutnya dibahas isu ttg badan cyber Nasional. ID-CERT diajak untuk terlibat di BCN. Hanya karena berbasis komunitas, ID-CERT memilih untuk tetap independen.

Materi berikutnya akan saya share pada tulisan berikutnya

slide laporan aktifitas bisa dilihat pada link berikut:

http://www.cert.id/media/files/Laporan-Tahunan_2016_dan_Rekap_ID-Malware-Summit-I.pdf

Video acara ini bisa dilihat pada halaman Fanpage ID-CERT pada link berikut:

https://www.facebook.com/IDCERT/videos/1392482547440919/