Bincang Cyber

Dalam beberapa kasus cyberattack, Covid19 di jadikan sebagai tema serangan. Dari mulai serangan phishing dengan menggunakan subject email covid19, hingga serangan kepada organisasi yang memberikan fokus pelayanan medis pandemic ini. Di perkirakan ada sekitar 25ribu email dan password berhasil di retas yang menimpa ketiga organisasi kesehatan WHO, the National Institute of Health (NIH), dan the Center of Disease Control and Prevention (CDC) pada April 2020. Tidak hanya mengenai insiden keamanan terkait Covid19, beberapa kejadian cyberattack di tahun 2020 yang bisa saya kumpulkan akan saya sampaikan dalam urutan bulan. Ulasan mengenai cyberattack ini sifatnya adalah merupakan pengamatan pribadi dan pastinya tidak mencerminkan keseluruhan jumlah kejadian yang terjadi pada periode tersebut. Malam tahun baru 2020 di warnai dengan serangan malware yang menimpa sebagian besar system Travelex, sebuah perusahaan money travel service. Meski tidak di temukan adanya kebocoran data, namun serangan malware ini memaksa Travelex untuk menshutdown systemnya agar dapat mencegah penyebaran (atau lateral movement) yang lebih luas. Dampaknya, proses yang tadinya online di pindah ke cabang di berbagai dunia untuk di kerjakan secara offline. Kasus lain adalah yang menimpa Microsoft sehubungan dengan lima server ElasticSearch mereka yang tereskpose ke Internet. Meski respon sigap dari team Security Microsoft, namun tidak berhasil mencegah 250 juta records yang telah bocor. Data yang ter-eksfiltrate ini berisi email address, IP address, dan detil support case. Kasus lain yang terjadi di bulan ini adalah kebocoran 30 juta record kartu kredit pelanggan Toserba yang bernama Wawa yang bersumber dari 850 cabang. Kejadian ini hampir di pastikan merupakan kebocoran data retail store terbesar selama tahun 2020. Pada bulan February 2020, perusahaan Estee Lauder mengalami kebocoran data percakapan internal email. Meski pihak perusahaan mengkonfirmasi bahwa data pelanggan tidak ikut bocor, namun keseluruhan percakapan internal yang ter-eksfiltrate mencapai 440 juta record yang di sebabkan oleh aplikasi middleware. The Defense Information Systems Agency (DISA), yang menangani pekerjaan IT untuk Gedung Putih, mengakui data breach yang berpotensi membahayakan informasi PII karyawan. Dalam hal ini, Department of Defense (DoD) tidak memberikan informasi detil mengenai insiden ini namun mereka mengkonfirmasi tidak di temukannya penyalahgunaan atas data yang ter-ekfiltrate tersebut. Di bulan Maret 2020, perusahaan telekomunikasi US yang bernama T-Mobile men-disclose informasi tentang serangan hacker pada email akun milik karyawannya yang berpotensi menyebabkan data breach pelanggan. Data milik beberapa pelanggan seperti nama, alamat, nomor telpon, nomor account, paket langganan, dan informasi billing di perkirakan berhasil di ambil. Kasus lain pada bulan ini adalah yang menimpa Marriott. Ini merupakan insiden kedua kalinya, setelah sebelumnya di beritakan terjadi pada bulan November 2019 yang menimpa jaringan Starwood. Insiden kali ini, jumlah record yang terkena breach adalah berjumlah 5.2 juta record nasabah. Peretas mengakses data pengguna loyalty program Marriott Bonvoy setelah meretas akses login karyawan. Record ini berisi data nasabah berupa personal detail nasabah, loyalty account information, partnership information, dan preference nasabah ketika menginap. Pihak Marriott mengungkapkan serangan ini telah terjadi sejak pertengahan Januari dan bahwa data mengenai password, nomor PIN, informasi payment card, nomor passport, nomor SIM, dan nomor identitas penduduk tidak ikut terdampak. Kemudian pada bulan April 2020, perusahaan game console Nintendo mengumumkan telah terjadi serangan account hijacking atas 160 ribu akun user yang memanfaatkan celah keamanan dari legacy login system Nintendo Network ID (atau NNID) yang masih di fungsikan untuk console lama seperti Nintendo Wii U dan Nintendo 3DS. Nintendo tidak menjelaskan detil bagaimana peretas masuk, selain menginstruksikan pelanggan untuk melakukan reset password dan memisahkan password yang di pergunakan antara console lama dan console baru. Data yang bocor dalam insiden ini adalah  nickname user, tanggal lahir, asal negara, region, dan email address. Kasus lain pada bulan ini adalah serangan hacker yang menimpa email provider di Italia yang bernama Email-dot-IT. Serangan ini berdampak pada bocornya 600 ribu record pelanggan yang kemudian di perdagangkan di DarkWeb dengan kisaran harga 0.5 hingga 3 Bitcoin (atau senilai USD 3,500 hingga USD 22,000). Selain data nasabah, peretas juga meng-klaim bahwa mereka menguasai isi pesan text yang di kirimkan melalui aplikasi provider ini. Email provider email-dot-it kemudian segera melakukan patching pada server terdampak  dan menginformasikan pihak otoritas. Selanjutnya mengumumkan bahwa serangan ini tidak berdampak pada pelanggan berbayar yang untungnya tersimpan di server terpisah. Pada bulan May 2020,  maskapai penerbangan EasyJet terdampak data breach yang menyebabkan bocornya 9 juta record nasabah, terdiri dari informasi pribadi dan beberapa informasi terkait finansial. Serangan ini sebenarnya mulai terjadi pada Januari 2020, namun baru di infokan empat bulan kemudian. Tidak ada informasi lebih lanjut mengenai detil serangan selain dari statemen bahwa insiden tergolong sophisticated attack. EasyJet di gugat tuntutan class-action senilai Poundsterling 18 juta atau sebesar Poundsterling 2 ribu per nasabah.  Kasus lain adalah yang menimpa Blackbaud, perusahaan software dan cloud hosting. Insiden yang terjadi pada bulan May 2020 ini bisa segera di tangani namun peretas berhasil mengambil beberapa data dan file yang di simpan nasabah Blackbaud. Selain mengambil data, peretas juga menjalankan ransomware yang berhasil meng-encrypsi beberapa file dan mengancam akan menyebarkan data yang berhasil di ambil. Tidak ada opsi lain bagi Blackbaud untuk mencegah penyebaran data tersebut selain membayar ransom yang di minta peretas. Pada bulan yang sama, serangan serupa menimpa aplikasi mobile Wishbone yang berhasil di retas. Hacker yang bernama ShinyHunters berhasil mendownload 40 juta data pengguna dan kemudian di perjual belikan di DarkWeb seharga 0.85 Bitcoin (atau senilai USD 8,000). Tepat pada tanggal 1 Juni, The University of California at San Fransisco (UCSF) terkena ransomware pada IT system sekolah kedokterannya. Tindakan perlindungan segera di lakukan untuk mencegah penyebaran serta kerusakan lebih lanjut. Kelompok yang bernama Netwalker adalah dalang di balik aktifitas ini. Mereka kemudian mengajukan tuntutan ransom sebesar USD 3 juta, namun setelah negosiasi yang alot, kedua belah pihak akhirnya sepakat untuk pembayaran ransom sebesar USD 1,140,895 dalam mata uang Bitcoin. Pihak universitas merasa tidak ada pilihan lain dikarenakan data yang terkena ransom adalah bagian dari penelitian akademis yang di peruntukkan bagi layanan publik. Di samping berita mengenai peretasan, pada bulan Juni 2020 ini AWS mengumumkan bahwa mereka berhasil menghentikan serangan DDoS sebesar 2.3 Tbps mempergunakan layanan AWS Shield yang terjadi pada pertengahan February 2020. Ini merupakan serangan DDoS terbesar hingga September 2020. Pada bulan ini pula, serangan DDoS lainnya di laporkan oleh Akamai sebesar 1.44 Tbps namun masih di bawah besaran yang di tangani oleh AWS. Bulan July 2020, perusahaan CouchSurfing, layanan online yang memungkinkan pengguna menemukan penginapan gratis terkena CyberAttack. Akibat serangan ini 17 juta record pengguna di perjual belikan di forum underground dan melalui channel Telegram seharga USD 700. Pada record tersebut tidak di dapatkan password pengguna, sehingga meskipun jumlah data terbilang banyak namun insiden ini di kategorikan lebih kecil daripada insiden data breach umumnya. Kasus lain adalah peretasan yang berdampak pada  130 akun Twitter dari beberapa tokoh terkenal, termasuk salah satu pendiri Microsoft Bill Gates dan CEO Tesla Elon Musk. Ini di anggap sebagai peretasan sebagai peretasan terbesar dalam sejarah platform media sosial. Peneliti dari vendor security Checkpoint yang bernama Sagi Tzaik menemukan wormable vulnerability pada Microsoft Windows Domain Name System (DNS) yang di berikan nama SigRed. Vulnerability yang dapat menyerang Windows PC dan Server ini di temukan sudah menetap pada OS Windows sejak 17 tahun lalu, ini artinya sejak versi Windows server versi 2003 hingga versi terkini di 2020. Vulnerability ini di datakan dengan code CVE-2020-1350 dan di berikan scoring 10 yang artinya sangat berbahaya. Microsoft kemudian pada tgl 14 July merilis service pack untuk menutup celah keamanan ini. Bulan Agustus 2020 menurut saya merupakan periode yang signifikan jika di kaitkan dengan serangan ransomware Maze. Hal ini di sebabkan tidak hanya satu insiden yang terjadi terkait Maze ini. Ada tiga perusahaan yang terkena dampaknya, yaitu: Canon, LG, dan Xerox. Peretas meng-klaim mereka berhasil meng-eksfiltrate data sebanyak 50.2 GB dari jaringan internal LG, kemudian 10 GB dari Canon, dan terakhir 25.8 GB dari Xerox. Situs Image-dot-canon yang di pergunakan untuk meng-upload dan menyimpan foto sempat down karena insiden ini, meski hal ini di sanggah kelompok Maze. Threat grup Maze mengklaim bahwa kelompok mereka sudah berhasil meretas dan mendownload hampir 10TB data dengan mempergunakan ransomware besutan mereka. Selain Maze group, anonymous hacker juga menyerang situs FreePik dan FlatIcon dengan memanfaatkan celah SQL Injection vulnerability. Peretas berhasil menguasai sejumlah 8.3 juta record user yang terdaftar di kedua situs ini. Record yang berhasil di retas hanya 3.77 juta yang berisi username dan hashes password. Sebab sisanya adalah federated login dengan mempergunakan Google, Facebook atau Twitter sehingga tidak tersimpan password pada database. Baik FreePik dan FlatIcon kemudian mengirimkan email notification kepada pengguna yang terdampak agar mereka melakukan reset password. Kasus ransomware attack yang berakibat kematian pertama kali terjadi di German pada September 2020. Gagalnya Duesseldorf University Hospital dalam menerima pasien wanita yang membutuhkan penanganan segera adalah di sebabkan pada jaringan system rumah sakit yang terserang ransomware berujung pada kematian pasien. Hal ini disebabkan pasien perlu di larikan ke rumah sakit lain yang berjarak 30 km lebih jauh. Setelah mendengar dampak kematian pasien, peretas kemudian membatalkan tuntutan ransom mereka dan memberikan alat untuk men-decrypt kembali file-file dari 30 server rumah sakit yang telah di kuasai sebelumnya. Investigasi lebih lanjut di lakukan oleh kepolisian German mengingat bahwa ini adalah kasus pembunuhan. Dan berkaitan hal ini, pemerintah German kemudian mengumumkan untuk menutup celah keamanan CVE-2019-19871 yang biasanya dijadikan celah masuk ransomware. Masih di bulan September, Departemen Kehakiman US mengumumkan tiga warga negara Iran telah didakwa atas tuduhan meretas perusahaan ruang angkasa dan satelit AS. Setelah sebelumnya juga pada bulan September, Departemen Kehakiman US juga mengumumkan bahwa kelompok peretas berbahasa China yang di indikasikan tergabung dalam kelompok APT41 dan dua hacker Rusia berhasil mencuri USD 16.8 juta dalam mata uang cryptocurrency dengan memanfaatkan situs phishing. Tanggal 10 October 2020, Barnes and Noble toko buku online di US mengkonfirmasi bahwa mereka mengalami insiden cyberattack yang berdampak pada system Point-of-Sale mereka dan Nook service yang merupakan layanan buku digital. Pengguna Nook melalui social media, mengkonfirmasi bahwa mereka kesulitan untuk mengakses. Sementara beberapa pelanggan lain menyampaikan bahwa buku digital yang mereka telah beli kini menghilang dari perangkat mereka. Dalam serangan ini, data seperti email address, telepon, history pembelian, billing, hingga alamat pengiriman berhasil di download oleh peretas. Setelah kejadian ini, ransomware group yang bernama Egregor mempublikasikan di DarkWeb data pelanggan yang di claim adalah milik Barnes and Noble. Selain Barnes and Noble, dua produsen game terkemuka, Ubisoft dan Crytek. Peretas bahkan memberikan sample data hasil retasan bahkan meng-klaim mereka telah meng-encrypt data-data milik Crytek serta memiliki source code dari Legion game yang tidak lama lagi akan di rilis. Kasus lain dalam bulan October adalah Google melaporkan telah mengatasi serangan DDoS sebesar 2.54 Tbps yang menyerang jaringan mereka. Setelah sebelumnya di bulan Juni, AWS melaporkan serangan 2.3Tbps yang secara jelas menunjukkan bahwa serangan DDoS terus mengalami peningkatan intensitas. Bulan November 2020, perusahaan produsen game asal Osaka Jepang yang bernama Capcom pada tanggal 4 November mengumumkan bahwa salah satu member group mereka mengalami kejadian cyberattack dengan target email dan file server. Selanjutnya, Capcom menjelaskan bahwa tidak ada data pelanggan yang terdampak serangan ini. CyberAttack ini di sebabkan oleh Ragnar Locker ransomware. Kasus lain pada bulan ini adalah serangan pada grup aerospace dan defence dari Brazil yang bernama Embraer telah menjadi sasaran cyberattack. Serangan yang mengarah pada internal system telah menyebabkan partial interuption yang di sebabkan oleh ransomware. Sehingga untuk mencegah penyebaran yang lebih luas, perlu di lakukan isolasi dan upaya contigency. Serangan merupakan yang terburuk dan terkoordinasi dengan mentargetkan layanan public sector di Brazil. Pada penghujung tahun 2020 kita menemukan sebuah teknik penyerangan supply chain attack yang di sebabkan oleh malware yang menyusup pada platform Orion milik Solarwind. Malware yang di beri nama Sunburst ini membuat backdoor yang di jadikan sebagai attack vector.  Keunikan dari teknik supply chain ini terletak pada cara malware ini terdistribusi. Jika pada umumnya malware tersebar setelah peretas memanfaatkan vulnerability yang ada sebelumnya, dalam kasus Solarwind ini justru malware ini menyusup dengan memanfaatkan mekanisme update system. Inilah mengapa di sebut sebagai supply chain attack. Setelah malware tersebar, setidaknya dalam kasus Solarwind ini terdapat 18ribu target yang teridentifikasi, termasuk di dalamnya institusi pemerintahan serta blue chip company. Dampak kerusakan yang di hasilkan pun tidak sedikit, di tambah hampir di pastikan malware ini sudah masuk ke dalam platform Orion milik Solarwind sejak Maret 2020 yang lalu. Kini seluruh pelanggan dan pengguna platform Solarwinds perlu melakukan preventative terhadap potensi kerusakan sejak saat ini hingga mungkin potensi ke depannya jika masih di temukan rentetan lain atas supply chain attack ini. Dari insiden yang telah saya paparkan di sini mungkin kita bisa sama-sama melihat kompleksitas serangan yang terjadi selama tahun 2020. Hasil penelitian yang di lakukan oleh Forester mengungkap bahwa 80% serangan cyberattack di mungkinkan karena kebocoran akses dan privilege escalation. Apa yang terjadi selama dekade terakhir adalah sesuai dengan batasan pemahaman kita terhadap cybersecurity. Bahwa masih banyak yang mengandalkan layer atau lapisan perlindungan keamanan, namun ini sudah terbukti semakin tidak menjamin kecukupan pengamanan. Dinamisasi serangan perlu lebih dari sekedar mempersiapkan benteng pertahanan, namun juga bagaimana kita melihat pergeseran trends sebagai wujud pendekatan yang bersifat predictive. Hal ini akan memperluas cakupan domain cybersecurity sehingga menjangkau ranah-ranah keilmuan lain, seperti bigdata dan artificial intelligence. Saya akan mencoba mengulas pengamatan pribadi saya tentang beberapa hal yang bisa di jadikan gambaran terhadap trends di tahun 2021 pada episode podcast berikutnya. Namun sebagai penutup episode ini, saya ingin berbagi insight bahwa di tahun 2021 nanti; vendor cybersecurity akan berlomba untuk mempercepat bagaimana AI dan Machine Learning bisa menggabungkan wawasan manusia dan kecerdasan mesin sehingga bermanfaat untuk menekan inovasi yang di lakukan peretas serta secara kontinu meningkatkan pertahanan berbasiskan Artificial Intelligence. The post Kilas Balik CyberAttack pada Tahun 2020 [https://bincangcyber.id/kilas-balik-cyberattack-pada-tahun-2020/] written by Faisal Yahya [https://bincangcyber.id/author/faisalyahya/] appeared first on Bincang Cyber [https://bincangcyber.id].

GUEST: KURNIAWAN DARMANTO – SENIOR SECURITY CONSULTANT FORTINET INDONESIA The post Internet of things: ancaman cyber di tengah pandemic – E31 [https://bincangcyber.id/internet-of-things-ancaman-cyber-di-tengah-pandemic-e31/] written by Faisal Yahya [https://bincangcyber.id/author/faisalyahya/] appeared first on Bincang Cyber [https://bincangcyber.id].

Peningkatan trafik Internet yang di alami suatu situs mungkin belum bisa di artikan positif. Kebanyakan kasus yang marak terjadi belakangan ini adalah peningkatan trafik yang tiba-tiba di sebabkan atas serangan dari berbagai sumber yang terjadi secara bersamaan. Serangan yang tiba-tiba ini di artikan sebagai serangan yang terkoordinasi. Ratusan hingga ribuan sumber IP address mengirimkan trafik dalam jumlah besar sehingga menimbulkan target IP address kehilangan banyak Internet bandwidth sehingga tidak mampu untuk memberikan respon atas trafik yang legitimate. Serangan ini diberikan nama Distributed Denial of Service Attack, atau di singkat dengan istilah DDoS. Bahkan dalam situasi pandemic Covid-19 seperti sekarang ini, semakin intens di temukan serangan DDoS ini terjadi di beberapa lokasi. Tidak ada system yang di retas ataupun data yang di curi dalam model serangan DDoS ini. Tujuan utama dari model serangan ini adalah memberikan dampak gangguan sehingga fungsi layanan online atau website dari penyedia jasa layanan terkendala untuk beroperasi. Serangan ini di lancarkan secara intens dan dalam durasi waktu yang cukup lama sehingga terkesan website menjadi offline. Tentunya ini akan terjadi bilamana penyerang berhasil memberikan trafik sebesar dengan bandwidth maksimal yang di miliki penyedia jasa layanan dan tidak ada bandwidth yang cukup tersedia untuk pelanggan lainnya. Ini bukan merupakan satu-satunya cara penyerang dalam kaitan dengan DDoS attack, namun belakangan ini merupakan hal yang cukup sering di lakukan. SEJARAH DDOS Sebelum di sebut dengan istilah DDoS, istilah ini pertama kali di kenal dengan sebuat Denial of Service attack atau DoS. Huruf ‘D’ atau ‘Distributed’ yang kemudian ditambahkan disini melambangkan serangan yang di lakukan secara terkoordinasi namun terpecah. Berawal pada tahun 1974, David Dennis, seorang anak yang berusia 13 tahun tinggal di dekat sebuah laboratorium yang bernama Computer-Based Education Research Laboratory (CERL) yang memiliki sebuah unit komputer yang diberi nama PLATO. Komputer ini memiliki kemampuan untuk terhubung dengan perangkat external devices. Dan instruksi program untuk ini juga tersedia yang memungkinkan pengembangan lebih lanjut. Dennis menemukan sebuah cacat dari program tersebut, yang dapat menyebabkan PLATO menjadi crash dan perlu untuk di restart sebelum dapat kembali melayani user yang terkoneksi. Menyadari akan hal ini, Dennis kemudian mengembangkan program yang memanfaatkan celah kelemahan ini sehingga berhasil menjadikan system PLATO di power-off sehingga merepotkan 31 user yang saat itu sedang terhubung. Dalam kasus ini, serangan yang di lakukan oleh Dennis adalah menyerang availabilitas dari PLATO, meski tidak merusak data-data yang tersimpan. Inilah inti dari serangan DoS attack. Tidak hanya berhenti pada kasus David Dennis ini, pada Agustus 1999 terjadi serangan DoS pada University of Minnesota. Serangan yang di lakukan oleh hacker ini mempergunakan tool yang di sebut ’Trinoo’ yang menyebabkan menciptakan gangguan pada target IP dengan membanjiri jaringan dengan paket UDP yang bersumber dari berbagai perangkat yang di kelompokkan dengan istilah ‘Master’ dan ‘Daemon’. Hal ini merupakan awal dari penambahan kata Distributed pada DoS attack, sehingga kemudian lebih sering di kenal dengan sebutan DDoS. Distributed Denial of Service attack atau di singkat dengan DDoS attack memiliki beberapa jenis kategori. Salah satunya yang baru saja saya sebutkan tadi. Pada episode ke 30 ini saya akan juga menjelaskan beberapa jenis kategori lainnya. Untuk bisa memahami secara lebih dalam terhadap kategori ini, kita perlu sejenak kembali kepada definisi bahwa komunikasi di Internet secara konseptual terjadi melalui 7 tahapan, yang kemudian di sebut dengan istilah Seven Layer OSI. Hal ini mengingatkan saya pada materi komunikasi data saat sedang mengambil S1 dulu. Komunikasi atau pertukaran data terjadi melalui tujuh layer tadi hingga kini masih dipergunakan sebagai pendekatan konseptual. Tujuh layer ini di mulai dari layer paling atas, atau layer ke tujuh, yaitu: Application Layer, di lanjutkan dengan Presentation layer, Session layer, Transport layer, Network layer, Data-link layer, hingga terakhir Physical Layer. Layer pertama atau layer terbawah di analogikan sebagai layer yang paling dekat dengan perangkat, sementara layer ke tujuh merupakan layer ke tujuh adalah layer terluar yang merupakan layer terakhir. Setiap pertukaran data antar perangkat pasti melalui seluruh tahapan layer ini. Dan tentunya serangan cyber attack yang terjadi juga akan di lancarkan pada satu atau beberapa dari ketujuh layer ini. Dalam episode ini saya belum akan menjelaskan satu per satu dari fungsi ke tujuh layer OSI tadi. Melainkan hanya memberikan fokus kepada kategori dari DDoS attack. Kita mulai dari kategori serangan DDoS attack yang paling sering terjadi, yaitu: Volumetric attack. DDoS dengan kategori Volumetric attack akan memberikan fokus serangan kepada penggunaan seluruh bandwidth yang tersedia pada sisi target, sehingga layanan terkesan offline. Serangan ini meski bersumber dari ratusan atau bahkan ribuan IP address; namun dalam prakteknya di lakukan oleh satu atau lebih peretas yang memanfaatkan koordinasi dengan BOT yang sebelumnya telah di persiapkan. Besaran serangan tersebut di tentukan banyaknya BOT tadi. Menariknya, dalam kasus umum initiator serangannya sendiri hampir tidak melakukan penyerangan kepada target, selain hanya mengatur serangan yang seluruhnya bersumber dari BOT tadi. Selain DDoS Volumetric attack, terdapat kategori serangan lainnya yang akan kita bahas di sini. Kategori serangan ini di kenal dengan nama Application Layer attack. Atau di kenal dengan nama lain Layer 7 DDoS, sesuai dengan layer ke tujuh dari OSI layer. Serangan Layer 7 DDoS sulit di bedakan dari akses legal atau normal lainnya. Karena sama-sama mempergunakan Application Layer. Namun akumulasi aksesnya yang menyebabkan resource target komputer menjadi kesulitan bahkan tidak mampu lagi memproses dikarenakan ketidaktersediaan computing resource. Misalnya, aplikasi web yang menyediakan HTTP form login. Setiap proses data yang di isi pada form tersebut, tentunya akan di proses dengan membandingkan dengan data yang tersimpan hingga proses lainnya yang membutuhkan computing power seperti processor dan memory. Jika terjadi akumulasi dari request pada waktu yang sama sehingga berjumlah ribuan atau puluhan ribu, tentunya dapat menciptakan lonjakan penggunaan resource yang berpotensi membuat system menjadi slow response atau bahkan halted. Sender yang me-request tentunya tidak membutuhkan computing power yang tinggi, selain cukup untuk mengirimkan hasil keystroke ke server penerima. Tidak ada upaya ilegal yang di lakukan oleh sender, dan yang di lakukannya pun sama seperti akses legal lainnya. Hingga IP address sender pun terkesan legitimate sehingga sulit di bedakan. Bedanya peningkatan trafik disini di sebabkan oleh akses yang di lakukan oleh BOT pada layer ke tujuh. Peningkatan trafik disini tidak perlu memfokuskan untuk menghabiskan resources bandwidth, cukup dengan membebani computing power dari target perangkat. Sehingga pada akhirnya mengakibatkan kelambatan akses atau bahkan crash. Serangan ini bahkan bisa semakin kompleks. Hal ini dilakukan dengan upaya bervariasi. Di mulai dengan mentargetkan URL yang berbeda-beda pada target perangkat hingga penggunaan browser-agent yang beragam sehingga sulit untuk di lakukan proses filterisasi. Setelah membahas Volumetric dan Layer 7 DDoS. Kini tentang serangan DDoS yang memberikan target Layer 3 dan 4 dari OSI Layer. Serangan ini di sebut dengan nama Protocol Attack. Di samping mentargetkan pada web server, serangan juga kadang ditujukan pada perangkat Firewall atau bahkan ada juga yang mentargetkan pada Load Balancer. Dalam setiap komunikasi antar perangkat, terdapat mekanisme standar yang di kenal dengan TCP handshake. Signal untuk membuka komunikasi pertama kali di kirimkan oleh perangkat sender, kemudian target perangkat akan mengirimkan response acknowledge. Dan menunggu konfirmasi final dari perangkat sender sebelum mulai menerima data dari sender. Segera setelah perangkat target mengirimkan konfirmasi tadi, bukannya menutup komunikasi, malahan sender mengirimkan kembali signal awal komunikasi. Seolah-olah ini adalah request baru. Dan untuk setiap permintaan komunikasi yang hendak di lakukan akan membuka jalur antrian baru pada perangkat penerima. Akumulasi request ini pada akhirnya akan menyebabkan perangkat tujuan akan mengalami kepenuhan jalur antrian sehingga pada akhirnya tidak mampu lagi untuk melayani request baru. Dan tentunya akan menghabiskan computing resource pada perangkat penerima. Selain dari Volumetric, Layer 7, dan Protocol attack; masih terdapat ragam varian DDoS lainnya seperti antara lain DNS Amplification. Tapi ketiga kategori attack yang saya bagikan disini mungkin cukup mewakili mayoritas serangan DDoS yang umum terjadi hingga tahun 2020 ini. Secara umum, serangan DDoS hanya berdampak pada availability dari layanan online. Namun besaran dari serangannya semakin hari semakin meningkat. Jika sebuah perusahaan menempatkan seluruh layanan online-nya pada on-premise, tentunya DDoS akan terbatas pada besaran bandwidth yang di gunakan. Dan dalam kasus ini, tentunya biaya koneksi Internet besarannya akan cenderung tetap untuk setiap waktunya. Tentunya akan berbeda jika pelanggan mempergunakan layanan Cloud yang mana besaran tagihan akan sangat dinamis dari waktu ke waktu. Pastinya peningkatan trafik akses ini berpotensi mempengaruhi besaran biaya operasional layanan cloud. Berpotensi yang saya maksudkan disini adalah perlu persiapan arsitektural yang khusus memperhatikan kemungkinan atas serangan DDoS sehingga mampu menekan dampak availabilitas dan juga pengaruhnya terhadap peningkatan tagihan pada periode berjalan. Inilah mengapa dalam satu hingga dua tahun berjalan ini, praktisi cybersecurity dan CISO semakin memberikan perhatian terhadap penanganan DDoS khususnya di karenakan peningkatan penggunaan infrastruktur Cloud di bandingkan on-premise. Karena kini dampaknya selain kepada availabilitas layanan, bisa berpotensi mengakibatkan kerugian finansial akibat peningkatan biaya operasional. BPS DAN PPS Lebih sering serangan DDoS merupakan serangan Volumetric, yang artinya terjadi peningkatan bobot atau lonjakan trafik yang menghabiskan resource bandwidth. Namun sebenarnya serangan Volumetric ini pada prakteknya terdapat dua kategori dampak. Yang pertama, lonjakan trafik jika di lakukan pengukuran berdasarkan bits-per-second atau di singkat BPS. Mungkin bagian ini cukup jelas bagi kita, yaitu: pengukuran berdasarkan kapasitas kecepatan bandwidth. Kemudian yang kedua, adalah pengukuran berdasarkan packet-per-second yaitu PPS. Artinya pengukuran lonjakan berdasarkan satuan packet yang masuk. Tujuannya adalah di samping menyerang kapasitas yang tersedia, juga akan berdampak pada kemampuan perangkat jaringan memproses lonjakan packet ini. Kejadian ini memungkinkan perangkat jaringan yang menghubungkan internal dan eksternal menjadi terdampak kecepatannya sehingga menyulitkan menerima packet yang legit. Saya mencoba memberikan sederhana dari kedua kategori ini dengan memberikan gambaran antrian kasir pada supermarket. Kategori pertama adalah: ratusan orang antri untuk membayar di kasir dengan masing-masing membawa troli belanjaan yang banyak sehingga memenuhi troli. Proses dari masing-masing pelanggan akan sangat memakan waktu sehingga menyebabkan antrian semakin panjang. Sementara untuk kategori kedua adalah: jutaan pelanggan antri untuk membayar ke kasir dengan masing-masing pelanggan hanya membeli 1 item, misalnya: permen atau minuman ringan. Banyaknya antrian menyebabkan peningkatan jumlah antrian karena item yang di beli sangat variatif dan membingungkan proses. Jika dalam kategori pertama, sistem pengamanan bisa lebih mudah meng-eliminasi pelanggan yang terlalu banyak membawa barang ke kasir. Hal ini tidak dapat di terapkan dengan kategori ke dua di sebabkan pelanggan hanya membawa satu hingga dua item untuk di bayar. Intinya, pada kategori pertama serangan akan menekankan pada penggunaan bandwidth maksimal, sedangkan pada kategori kedua serangan akan mentargetkan pada penggunaan computing resource pada perangkat jaringan sehingga menyebabkan delay proses yang tinggi atau bahkan berpotensi untuk crash. ARCHITECTING FOR FAILURE Pada dekade ini, merancang arsitektur system tidak dapat di lakukan hanya dengan menghubungkan perangkat secara fisik. Kita perlu mempersiapkan segala kemungkinan yang dapat terjadi. Jika kita berbicara mengenai arsitektur cloud, di sarankan untuk menganut konsep pemikiran, Architecting for Failure. Atau dengan kata lain, rancangan arsitektur di persiapkan sedapat mungkin untuk mampu memberikan respon atas segala bentuk serangan yang mungkin terjadi. Ini memerlukan proses berkelanjutan meskipun setelah arsitektur selesai di rancang. Perubahan mekanisme attack pun pastinya akan mengalami perkembangan. Jika saat ini hanya ada tiga kategori DDoS attack, yaitu: Volumetric, Layer 7, dan Protocol Attack, mungkin saja beberapa tahun ke depan akan terdapat banyak kategori serangan baru. Hal ini di sebabkan dinamisasi perubahan landscape yang pastinya akan terus terjadi. Untungnya, perubahan arsitektur di cloud jauh lebih mudah di bandingkan dengan on-premise yang memerlukan investasi capital dan pengadaan perangkat. Konsep monolithic yang umumnya ada di on-premise tentunya sudah sangat ketinggalan. Monolithic adalah sebuah pendekatan yang secara umum di terjemahkan dengan arti di mana semua proses di laksanakan oleh satu aplikasi besar. Sehingga bottleneck dan single point of failure bisa saja terjadi. Hal ini tentunya semakin memperbesar keberhasilan serangan DDoS. Dalam architecture cloud, memiliki pendekatan yang berbeda. Konsep arsitektural cloud memberikan penekanan kepada service, bukan server. Ini artinya, sebuah arsitektur yang lebih mengangkat kepada kolaborasi dari microservices. Kolaborasi ini di sebut dengan istilah lain, yaitu loose coupling. Yang secara khusus di maksudkan agar kegagalan pada satu services tidak menyebabkan kegagalan pada services lainnya. Arsitektur cloud yang terdiri dari beragam microservices saling berinteraksi secara harmonis. Jika terjadi kegagalan pada satu microservices, maka microservice lainnya tidak perlu kemudian di refresh. Cukup microservice yang bermasalah saja. Hal inilah yang membuat availability time dari arsitektur cloud bisa lebih tinggi di capai tanpa mengorbankan biaya yang tinggi dalam menjaga availability tersebut. DDOS DAN ARSITEKTUR CLOUD Serangan DDoS yang mendera infrastruktur baik dengan mengkonsumsi bandwidth yang sangat signifikan dan juga computing resources yang di miliki pada akhirnya mengakibatkan availability system menjadi menurun. Tidak hanya nama baik dan kepercayaan pengguna yang tercoreng, namun biaya akibat penggunaan resource bandwidth dan computing power pun menjadi sesuatu yang tidak dapat di hindari. Namun untungnya, perkembangan teknologi cybersecurity dewasa ini menunjukkan kemampuan yang handal dari penyedia jasa layanan cloud dan content delivery network untuk mampu menekan potensi dari serangan DDoS. Hal ini di sebabkan kemampuan predictive analysis yang di dukung oleh machine learning, telah mampu memanfaatkan data trafik sehingga bisa lebih baik membedakan antara trafik yang legit dan yang malicious. Ini merupakan salah satu keunggulan penerapan arsitektur cybersecurity di cloud, yang mana analisa trafik bisa dapat lebih akurat karena data yang diperoleh sangat banyak dan berasal dari berbagai macam sumber. Tentunya dengan dukungan kapasitas pipa bandwidth yang besar, bisa di pastikan serangan DDoS tidak menyebabkan layanan perusahaan terkena dampak yang berarti. Biaya sebagai akibat atas serangan DDoS diperkirakan dapat mencapai $ 500 miliar. Meski para ahli mengklaim bahwa sekitar 50 juta serangan DDoS masih belum terdeteksi setiap tahunnya. Dalam kasus DDoS, mencegah dan melindungi terhadap ancaman DDoS tidak hanya membutuhkan teknologi otomasi, namun pada beberapa kondisi tetapi juga kecerdasan manusia. Untuk itulah, tetap di perlukan untuk memahami dasar-dasar bagaimana serangan DDoS bekerja. Bentuk perlindungan terbaik datang dalam bentuk keamanan cloud berlapis-lapis hingga dipantau oleh para profesional berpengalaman yang biasanya tergabung dalam team SOC. The post DDoS dan Sekilas Arsitektur Cloud [https://bincangcyber.id/ddos-dan-sekilas-arsitektur-cloud/] written by Faisal Yahya [https://bincangcyber.id/author/faisalyahya/] appeared first on Bincang Cyber [https://bincangcyber.id].

Meski pandemic Covid-19 menjadi pusat fokus seluruh negara di dunia, dampaknya ternyata bukan hanya kepada dunia kedokteran dan kesehatan publik. Belakangan ini dunia cybersecurity juga terkena dampak krisis ini dengan semakin maraknya kejadian data breach yang menimpa hingga ke Indonesia. Survey yang di lakukan oleh Institute Security and Privacy di Carnegie Mellon University dan juga telah di presentasikan di IEEE Workshop 2020, telah memberikan kenyataan yang cukup membuat kaget praktisi cybersecurity. Pasalnya dari survey ini di temukan bahwa hanya terdapat 33 persen dari pengguna yang mengganti password setelah akunnya terkena insiden data breach. Dan yang lebih mengherankan lagi adalah sepertiga dari 33 persen pengguna tadi baru mengganti password akunnya tiga bulan kemudian. Pastinya kita semua sadar akan bahaya dari data breach terhadap privacy data, namun pada prakteknya tidak semua orang betul-betul menerapkan awareness yang dia ketahui. Wah, semoga sobat pendengar Bincang Cyber termasuk kelompok pengguna yang tidak hanya aware, namun juga terus meningkatkan keamanan atas akun yang di miliki. Pada episode ke 29 di Bincang Cyber ini, saya akan mengangkat kejadian insiden keamanan yang baru terjadi beberapa hari yang lalu. Yaitu serangan ransomware yang menimpa perusahaan otomotif Honda. Kejadian ini tentunya sangat mengagetkan, apalagi dengan nama besar yang di miliki perusahaan tersebut. Serangan yang tiba-tiba terjadi ini berdampak tidak hanya pada satu lokasi atau department, sehingga berpengaruh pada layanan kepada pelanggan. Komentar kritik dari pelanggan yang bersumber dari cuitan twitter pun muncul secara sporadis memberikan tekanan kepada perusahaan. Meski pihak perusahaan hingga saat podcast ini di rekam tidak memberikan keterangan detail tentang kondisinya, namun beberapa sumber yang saya peroleh dari berbagai peneliti dan sumber berita bisa saya rangkum disini. Mudah-mudahan bisa memberikan pencerahan tentang bahaya atas serangan ransomware secara umum. HONDA RANSOMWARE ATTACK Kejadian yang serangan Ransomware yang menimpa sebuah global operation perusahaan otomotif Honda di Amerika Serikat baru-baru ini cukup mengejutkan banyak pihak. Hal ini tidak hanya menyebabkan system online mereka tidak dapat di akses oleh pelanggan, namun juga Honda terpaksa men-shutdown beberapa lokasi produksi, termasuk finansial service operation mereka. Serangan yang di lakukan oleh peretas adalah dengan memanfaatkan malware, yang bekerja dengan meng-encryption kan file-file yang tersimpan. Malware ini secara spesifik di sebut dengan Snake Ransomware. Ada banyak sekali varian jenis malware (atau malicious software), namun varian yang melakukan penyerangan dengan meng-encrypsi file sehingga tidak bisa di akses oleh pemiliknya di sebut sebagai ransomware. Tidak ada perubahan letak fisik file tadi, namun encryption yang di terapkan kepada file-file tersebut membuat akses pemilik menjadi tidak dapat di lakukan. Dan dalam kasus Honda, tidak di berikan pesan oleh peretas mengenai berapa banyak ransom (atau tebusan) yang di minta agar peretas memberikan akses kembali atas file yang telah di encryption tersebut. Oleh Honda peristiwa serangan ini di sebut sebagai major ransomware attack disebabkan besaran dampak dan impact kepada sistem operational mereka. Beberapa waktu berselang setelah kejadian, pihak regional Honda secara bertahap berhasil mengaktifkan kembali beberapa pabrik otomotif tersebut, namun tetap masih berkendala untuk mengaktifkan customer service website milik mereka. Hal ini terlihat dari beberapa komplain dari pelanggan melalui cuitan di twitter. Pihak Honda menjelaskan bahwa serangan ransomware ini tidak berdampak sama sekali kepada data pelanggan mereka, ini artinya informasi Personal Identifiable Informasion (PII) yang tersimpan di database Honda aman dari serangan peretas. Namun hal ini hanya di dasarkan kepada data yang di encryption oleh ransomware, namun belum dapat di buktikan atas log pencatatan data exfiltrate yang mungkin saja terjadi sebelum serangan encryption di lancarkan. Peneliti cybersecurity yang memiliki nickname Milkream menemukan sample dari ransomware yang menyerang dan kemudian di kirimkan kepada situs VirusTotal. Di dalamnya di temukan rutin untuk mencheck internal network Honda dengan url mds[dot]honda[dot]com. Hasil simulasi serangan ransomware ini dengan menginstall ransomware pada environmen sandbox menemukan bahwa ransomware ini langsung melakukan stop atau exit segera setelah di jalankan, di duga di sebabkan kegagalan untuk me-resolve url mds[dot]honda[dot]com tadi menyebabkan ransomware ini langsung berhenti. Di samping url mds tadi, di temukan pula bahwa ransomware ini terdapat rutin coding yang berkorespondensi dengan ip address 170[dot]108[dot]71[dot]153, yang memiliki hostname unspec170108[dot]amerhonda[dot]com. Tidak hanya satu IP ini, masih juga terdapat enam IP address lain dan satu email address dc[at]ctm[dot]as dalam rutin coding ransomware. Besar kemungkinan ransomware ini sangat aware dengan lokasi dimana dia di jalankan. Hal ini juga terlihat dari url yang di hard code ke dalam body malware tersebut. Atau bisa saja di asumsikan bahwa ransomware ini memang sedemikian rupa di buat untuk hanya dapat berjalan pada environment milik Honda. Hal ini pastinya akan membuat identifikasi atas proses serangan dan hal lain terkait dengan ransomware ini menjadi semakin sulit untuk di identifikasi. Honda tidak memberikan penjelasan apapun tentang bagaimana Snake ransomware ini dapat masuk menginfeksikan system yang berjalan. Namun beberapa penelitian dan feedback dari sumber di luar Honda menyebutkan, besar kemungkinan infeksi terjadi dengan perantaraan email phishing yang mengatas namakan Covid-19. Dari link yang tersedia dalam email phishing itulah, Snake ransomware kemudian di download hingga dapat menyebar di jaringan internal Honda. Krisis yang terjadi saat pandemic dan mempengaruhi psikologis enduser rupanya turut di manfaatkan oleh peretas untuk masuk dan menciptakan kerusakan. SNAKE RANSOMWARE Ransomware yang menyerang Honda memiliki nama Snake, atau disebut juga Ekans (di baca terbalik dari Snake). Ransomware ini melakukan encryption file-file yang diserangnya dengan mempergunakan symmetric encryption AES-256 dan dan asymetric encryption RSA-2048 untuk key encryption. Dua model encryption ini di rekomendasi oleh NSA sebagai military grade encryption. Untuk membuka encryption AES-256 mengacu kepada kecepatan komputer saat ini, di perlukan 300 milyar tahun. Artinya, proses decryption tanpa mempergunakan key asli akan tidak mungkin di lakukan. Sedangkan untuk key asli yang dipergunakan untuk encryption tersebut, mungkin saja masih ada di memory perangkat (jika belum di reboot); namun tantangan selanjutnya adalah penerapan asymetric encryption pada key tersebut dengan mempergunakan RSA 2048. Kombinasi kedua encryption ini mematikan kemungkinan atas upaya dekripsi atas file-file tersebut. Ransomware menyerang dengan melakukan encrypsi file-file yang berada pada endpoint. Tidak hanya pada PC namun ini sudah berkembang sedemikian rupa sehingga bisa berpotensi menyerang endpoint lainnya. Proses encryption file-file tersebut mempergunakan symetric encryption. Ini artinya key yang di pakai untuk melakukan encryption adalah sama dengan key yang di pergunakan nantinya untuk proses dekripsi. Tentunya pertimbangan efisiensi penggunaan processor resources saat enkripsi di lakukan menjadi alasan utama penggunaan symetric encryption ini. Yang artinya, proses enkripsi bisa lebih cepat di lakukan tanpa pemilik merasakan pengaruh penurunan kecepatan secara significant. Segera setelah proses encryption secara symetric ini selesai di jalankan pada perangkat. Maka step selanjutnya adalah melindungi key tersebut. Inilah kemudian di jalankan rutin encryption RSA 2048 yang sifatnya asymetric, dengan kata lain key yang di pergunakan untuk encryption akan berbeda dengan key yang di pergunakan untuk dekripsi. Hal ini akan menutupi kelemahan dari key yang di hasilkan oleh symetric encryption tadi. Dan meskipun penggunaan processor untuk rutin asymetric ini lebih tinggi dari symetric, namun karena prosesnya hanya di lakukan satu kali (tentunya untuk key tadi), maka prosesnya akan relatif jauh lebih cepat. Kedua kombinasi ini menghasilkan kekuatan encryption dan eksposure kerusakan yang jauh lebih besar yang pastinya meningkatkan kemampuan ransomware dalam menciptakan kerusakan. BUKAN SERANGAN UNTUK PERTAMA KALINYA Serangan cybersecurity yang menimpa Honda adalah bukan merupakan serangan yang pertama kalinya terjadi. Pada July 2019 yang lalu seorang peneliti CyberSecurity yang bernama Justin Paine menemukan unsecured ElasticSearch database di cloud yang berisi 300,000 record data karyawan Honda di seluruh dunia, termasuk CEO nya sendiri. Tidak hanya Personally Identifiable Information (PII) yang terdapat pada database tersebut, namun juga informasi mengenai perangkat komputer pada jaringan. Informasi terkait perangkat komputer ini terdiri dari nama host, nama operating system, bahkan hingga status patch terakhir pada mesin tersebut. Di dalamnya juga di temukan sebuah table database yang bernama “uncontrolledmachines” yang berisi mesin perangkat komputer yang di dalamnya tidak terdapat software security apapun yang terinstall. Setelah kejadian di July 2019 ini, pada tahun yang sama di 11 December, ditemukan kejadian serupa oleh peneliti CyberSecurity Bob Diachenko. Kali ini database ElasticSearch yang bersumber dari informasi telematics perangkat Honda di temukan dapat di akses oleh seluruh pengguna Internet. Yang artinya unprotected. Data pada table ini berisi informasi PII seperti: nama, email address, postal address; dan juga di tambah dengan data terkait kendaraan, seperti Vehicle Identification Number (VIN), Vehicle Make, dan Vehicle Model. Diperkirakan record yang bocor berjumlah 26,000 record pelanggan. Kedua serangan ini di sebabkan oleh misconfiguration pada tata kelola di Cloud, dan tentunya berbeda dengan serangan yang di alami oleh Honda di tahun 2020 yang disebabkan oleh ransomware Snake. SNAKE RANSOMWARE Ransomware Snake atau Ekans sudah mulai terindikasi di temukan oleh beberapa peneliti sejak December 2019. Peneliti yang tergabung dalam MalwareHunterTeam menemukan bahwa Snake ransomware ini memiliki kompleksitas dan kecanggihan yang lebih tinggi dari ransomware lainnya pada masa itu. Setelah menginfeksi target mesin, ransomware Snake mampu mematikan fungsi remote administration yang biasa di pakai oleh Administrator jaringan untuk melakukan maintenance pada perangkat komputer. Termasuk jalan masuk bagi administrator perusahaan untuk melakukan recovery pasca serangan terjadi. Hal ini pastinya menimbulkan kegagalan akses administration dan menyebabkan penanganan ransomware ini menjadi lebih lama dan kompleks. Setelah menginfeksi mesin dan meng-encrypt sebagian besar file yang ada di dalamnya, Snake ransomware memberikan “goodwill” dengan cara mengirimkan tiga file yang telah di decrypt kepada pemiliki perangkat sebagai bukti bahwa mereka akan mendecrypt semua file kembali ke asal setelah pembayaran atas ransom di penuhi oleh pemilik. Meski dalam kasus Honda, tidak di jelaskan besaran ransom yang di minta, juga deadline waktu pembayaran. Snake ransomware di tulis dalam bahasan Golang. Sebuah bahasa pemrograman yang mulai di buat pada tahun 2007 oleh tiga ahli di Google, yang kemudian resmi di perkenalkan sebagai open source program di tahun 2009. Bahasa Go adalah nama lain dari GoLang. Dari routine program yang di temukan oleh pimpinan SentinelLabs, Vitali Kremez, terlihat bahwa Snake memiliki tingkat obfuscation (pengacakan) yang tinggi. Dan berbeda dari varian ransomware lainnya. Pertama, Snake ransomware tidak langsung meng-encrypt file setelah menginfeksi perangkat. Malware ini menunggu hingga waktu tertentu (algoritma penentuannya belum di temukan). Pada waktu tersebut, barulah proses encryption di jalankan. Kedua, tidak seluruh file di encrypt, file dalam directory Windows System, Program files, Local Setting, dan AppData di biarkan dalam bentuk aslinya. Setelah file lainnya di encrypt, Snake ransomware kemudian merubah file ekstension dengan menambahkan lima character secara random. Dan setiap file yang di encrypt tersebut, di dalamnya di tambahkan kata “Ekans” sebagai signature penanda ransomware ini. Pada akhir proses, ransomware ini akan meninggalkan petunjuk pada teks file yang di letakkan pada Desktop perangkat yang terinfeksi. File tersebut di berikan nama Fix-Your-Files[dot]txt yang berisi instruksi untuk menghubungi peretas melalui alamat email yang di sediakan. Tidak hanya itu, dalam file teks ini, peretas menuliskan bahwa akan membantu men-decrypt tiga file yang di pilih oleh user dengan ketentuan ukuran maks sebesar 3 MB dan bukan merupakan file database ataupun spreadsheet. Peretas berjanji akan me-reply email yang di kirimkan dengan meng-attach 3 file ini. SERANGAN RANSOMWARE DI KALA PANDEMIC Permasalahan yang menimpa Honda atau bahkan mungkin perusahaan lainnya adalah bukan semata-mata dampak dari serangan itu sendiri saja. Banyak faktor yang tentunya terkait dalam hal ini. Satu dampak yang paling mungkin adalah nama baik serta reputasi yang tercoreng akibat gagalnya melindungi perimeter keamanan dan data nasabah. Nah, khusus dalam situasi pandemic yang mana sebagian besar karyawan bekerja dirumah, bagi beberapa peneliti; hal ini menimbulkan perluasan area ancaman, atau threat landscape. Perangkat kerja yang berada di rumah karyawan sekarang ini perlu mendapatkan perhatian dari perusahaan. Khususnya terkait kecukupan perlindungan keamanan, seperti misalnya antivirus dan patching. Jika hal ini dulunya kurang mendapatkan perhatian, kini sudah tidak boleh lagi terlewatkan. Perusahaan di samping memberikan fasilitas konektifitas agar karyawannya bisa bekerja dari rumah atau lokasi remote lainnya, kini perlu lebih jeli memperhatikan anomali akses yang terjadi. Penerapan VPN yang menjadi tren saat Work From Home pada prakteknya hanya mampu melindungi Man-In-The-Middle attack. Artinya hanya melindungi saat Data sedang dalam perjalanan, dan tidak mampu mensortir mana transmisi yang legitimate dan mana yang malicious. Intinya, kurang mampu melindungi serangan yang bersumber dari perangkat yang ada di rumah. Misalnya jika salah satu perangkat yang di miliki anggota keluarga terinfeksi malware, maka tentunya hal ini tidak akan mampu melindungi perangkat lainnya dalam area router yang sama. Pasalnya, malware tersebut bisa saja berpindah antar satu perangkat ke perangkat lainnya sehingga pada akhirnya menginfeksi seluruh perangkat yang ada. Jika kondisi ini terjadi, maka serangan yang di lancarkan dari perangkat yang terinfeksi tersebut ke dalam jaringan kantor pun bisa menjadi kondisi berikutnya. Tentunya hal ini akan menambah kompleksitas perlindungan keamanan yang di perlukan, dan berpotensi menjadikan perusahaan sebagai korban serangan cybersecurity berikutnya. Dan jika hal ini terjadi, maka mungkin saja serangan tersebut di samping mematikan akses pelanggan ke service yang di sediakan perusahaan, juga mengakibatkan karyawan yang bekerja secara remote kini tidak lagi dapat melanjutkan aktifitas seperti biasanya. Hal ini tentunya sangat menyulitkan terlebih dalam kondisi pandemic seperti ini. Sobat Bincang Cyber, kondisi pandemic tidak akan mengurangi inovasi yang di lakukan oleh peretas. Terlebih setelah secara statistik di temukan peningkatan pengangguran setdaknya dalam semester awal 2020. Kehilangan pekerjaan bukan berarti kehilangan keahlian. Serangan hacking terhadap perimeter, mungkin semakin sulit di lancarkan sehingga peretas memanfaatkan psikologis pengguna dengan mengaitkan dengan situasi pandemic. Tidak sedikit phishing yang memberikan email bohong dengan tujuan utama untuk menarik minat pembaca agar meng-klik link yang di berikan. Yang berakhir pada infeksi malware pada perangkat kita. Di tambah kondisi work from home yang tentunya bisa menjadikan pertahanan cyber di lokasi kita bekerja menjadi lebih rentan. Pada akhirnya saya hanya bisa berpendapat bahwa sebaik-baiknya keamanan cyber adalah penerapan atas pengetahuan dan awareness penggunanya. Tidak cukup dengan awareness saja, namun aktualita atas keilmuan tersebut pun masih perlu di buktikan. Keamanan cyber yang tadinya hanya di lokasi kantor, kini sudah menjangkau hingga ke lokasi rumah tinggal. Peran serta rekan-rekan dalam meningkatkan keamanan cyber perusahaan kini semakin menjadi sebuah kebutuhan penting. The post Honda dan Snake Ransomware – E29 [https://bincangcyber.id/honda-dan-snake-ransomware-e29/] written by Faisal Yahya [https://bincangcyber.id/author/faisalyahya/] appeared first on Bincang Cyber [https://bincangcyber.id].

Dalam beberapa bulan terakhir ini kita banyak sekali di kejutkan dengan berkembangnya isu data breach yang beredar. Banyak pihak yang menanyakan mengapa hal ini dapat terjadi bahkan terkesan semakin intens di saat kebanyakan dari perusahaan di Indonesia atau secara khusus di pulau Jawa sedang menerapkan PSBB atau Work From Home. Tentu saja ini membuat kita pada akhirnya berkesimpulan bahwa threat actors akan terus berkarya dengan inovasi serangannya meski di tengah pandemic yang sedang terjadi ini. Hal ini bukan yang baru pertama kalinya terjadi. Beberapa bulan yang lalu pada saat terjadinya demonstrasi besar-besaran di Hong Kong, pada saat yang bersamaan pula terjadi serangan cyber yang mempergunakan teknik yang tidak biasanya. Waktu itu, serangan di lancarkan bukan langsung melalui penyebaran malware, melainkan dengan memanfaatkan situs berita palsu yang seolah-olah menampilkan kondisi pemberitaan terkini. Uniknya, link pemberitaan ini tidak hanya tersebar di empat channel forum diskusi yang sering di kunjungi user di Hong Kong, namun juga pada group chat seperti Telegram. Kebanyakan user ini biasanya lengah saat sebuah peristiwa besar sedang terjadi. Hal ini di manfaatkan betul oleh hacker untuk sebanyak mungkin menyebarkan link pemberitaan yang tentunya lebih akan berhasil dikarenakan antusiasme orang untuk terus berupaya mendapatkan update informasi terkini. Bahkan ada yang sampai mem-forward dan men-share link pemberitaan tersebut melalui akun social media masing-masing yang kemudian menyebabkan tingginya dampak kerusakan yang terjadi.  Teknik penyerangan ini pada dasarnya di lakukan dengan mengarahkan pengguna kepada situs jahat. Setelah di buka, situs ini akan menginfeksikan malware kepada perangkat pengguna. Teknik ini di sebut dengan strategi Watering Hole attack. WATERING HOLE ATTACK Dengan menggunakan watering hole attack inilah, hacker menarik user dengan cara menampilkan foto-foto atau infografis di tambah dengan link sumber berita. Tentunya link ini akan di buat seperti sebuah situs pemberitaan resmi. Keterangan kepemilikan domain dan informasi lainnya seperti IP address juga valid. Tidak terkesan IP yang memiliki reputasi jelek. Serangan akan di lancarkan melalui iframe html code yang terdapat pada halaman dari link yang tersebar. Iframe tersebut berisi malicious code yang berpotensi mendownload malware kepada perangkat pengguna. Teknik ini banyak menyerang mobile phone dengan sistem operasi Android, khususnya pada sebelum tahun 2019. Yang di kenal dengan nama dmSpy, sedangkan versi yang menyerang iPhone di berikan nama LightSpy. Dan ketika demonstrasi di Hong Kong terjadi; teknik serangan semakin di sempurnakan dan kini mentargetkan perangkat iPhone dengan versi iOS v12.1 dan v12.2. Serangan pada iPhone terjadi ketika browser Safari mengakses situs berita palsu tersebut dan dengan memanfaatkan vulnerability yang terdapat di Safari, peretas dapat mendownload malware secara tersembunyi. Oleh Safari, hal ini di anggap sebagai proses patching sehingga tidak ada notifikasi download saat malware sedang di kirimkan ke perangkat. Meski sebenarnya vulnerability pada iOS ini sudah di temukan oleh peneliti cybersecurity dengan code CVE-2019-8605, namun rupanya proses patching atas vulnerability ini belum sempurna sehingga tetap dapat di exploit. Apple kemudian me-rilis versi iOS terbaru. Sayangnya iOS versi 13 yang merupakan versi lanjutan yang juga bebas dari vulnerability ini hanya dapat di nikmati oleh pengguna iPhone 6s ke atas. Kesimpulannya, vulnerability ini tetap berpotensi dapat menginfeksi perangkat iPhone seri 6 ke bawah. Pandemic Covid-19 yang menjadi topik perbincangan di dunia cyber turut pula di manfaatkan oleh pihak peretas. Setidaknya hal ini di buktikan dengan peningkatan pembelian nama domain yang mengandung kata Covid-19. Di temukan setidaknya terdapat 1.2 juta nama domain baru yang mempergunakan kata Covid-19 yang kemudian oleh peneliti dari Palo Alto Network di temukan terdapat 86,600 nama domain yang di kategorikan sebagai malicious domain. Bukan tidak mungkin, domain baru tersebut di pergunakan untuk menyebarkan informasi dalam email phishing yang menarik penerima email untuk mengakses situs tersebut. Atau bahkan bisa di fungsikan sebagai Command-and-Control domain yang di jadikan central pusat komunikasi dengan malware yang tersebar untuk instruksi aksi selanjutnya. Ini semua menjadikan landscape penyerangan menjadi lebih dinamis dan desktruktif pada saat yang bersamaan. ADVANCE PERSISTED THREAT Perubahan landscape dan teknik serangan cyber yang semakin inovatif pada intinya berusaha untuk bersembunyi di bawah radar deteksi perangkat keamanan. Jika dalam satu dekade lampau, serangan cyber attack akan bersifat tiba-tiba dan masif. Hal tersebut tentunya jika masih di lakukan, akan dapat segera teridentifikasi sehingga dapat di padamkan dalam waktu yang relatif singkat. Namun kondisi landscape saat ini menunjukkan hal yang jauh berbeda dengan teknis serangan tersebut. Hacker selalu berupaya mencari titik terlemah dalam system pertahanan cyber dengan melakukan serangan dalam volume kecil sehingga tersamar seperti seolah-olah akses tersebut di lakukan oleh pengguna yang sebenarnya. Tentunya model serangan seperti ini membutuhkan waktu yang tidak sedikit, apalagi jika di lakukan oleh hanya satu orang pelaku. Untuk menyiasati waktu durasi penyerangan agar menjadi lebih pendek, tidak jarang hal ini di lakukan dalam sebuah team. Model serangan yang secara perlahan di lakukan ini di kenal dengan istilah Advance Persisted Threat atau di singkat dengan istilah APT. Sementara objectif yang ingin di peroleh oleh teamwork penyerang dalam satu APT, di sebut dengan istilah campaign. Serangan APT yang di lancarkan oleh team hacker biasanya merupakan teknik serangan yang memanfaatkan vulnerability yang belum di ketahui, bahkan tidak jarang vulnerability tersebut di beli dari pihak yang menemukan celah keamanan lebih dahulu. Hal ini yang menyebabkan bahwa peneliti cybersecurity yang mengkaitkan antara serangan APT dengan para sponsor sebagai sumber dana. Bahkan ada juga yang mengkaitkan satu kelompok APT dengan negara tertentu. Footprint yang di tinggalkan kelompok penyerang ini tidak dapat membuktikan asal negaranya, namun deteksi lebih di kaitkan kepada bahasa yang di pergunakan oleh kelompok APT. Tidak hanya itu, nama resmi kelompok pun kadang tidak di temukan. Inilah yang membuat beberapa kelompok APT di sebutkan dengan angka, seperti APT41 dan selanjutnya. Hal ini bahkan berpotensi menyebabkan duplikasi temuan terhadap satu kelompok APT yang sama yang selanjutnya di terjemahkan sebagai dua atau lebih kelompok APT oleh peneliti cybersecurity yang berbeda. WINDOW TIME Insiden data breach yang terkesan semakin marak terjadi dalam 3 bulan terakhir, meninggalkan banyak pertanyaan mengenai teknis penyerangan. Kasus data breach pun rupanya sudah merambah ke Indonesia. Tahun 2020 ini menurut catatan saya, baru pertama kalinya Indonesia masuk dalam pemberitaan luar negeri terkait insiden cybersecurity. Dalam merespon ini, kita tidak bisa saling menyalahkan, namun perlu kerja sama agar tercipta landscape yang lebih aman secara berkesinambungan. Di sisi lain, tidak mudah untuk menemukan teknis serta mekanisme serangan cyber. Bahkan untuk menemukan bukti bahwa serangan telah berdampak pada integritas data pun bukan sesuatu yang mudah. Terdapat rentang waktu saat awal serangan berdampak pada system dan waktu saat serangan tersebut teridentifikasi. Kedua posisi rentang waktu ini di sebut dengan istilah Window Time. Jika kita berbicara mengenai arsitektur cybersecurity. Menurut pengalaman saya pribadi, tidak ada satu pun system cybersecurity yang bebas dari serangan. Namun penentuan mengapa satu system cybersecurity lebih baik dari yang lain, sangat erat terkait dengan Window Time ini. Semakin kecil satuan Window Time tentunya akan meningkatkan penilaian terhadap kehandalan arsitektur. Mengapa tidak memberikan penilaian tertinggi terhadap arsitektur yang tidak terkena serangan cyber? Jawabannya mudah, sebab jika sebuah arsitektur cybersecurity di katakan tidak pernah di serang; jangan-jangan hal tersebut di karenakan serangan yang masuk tidak terdeteksi dan serangan tersebut bisa saja berpotensi masuk ke bagian lebih dalam sehingga pada waktunya nanti akan menyebabkan kerusakan yang lebih fatal. NAIKON APT Negara-negara di Asia semakin hari semakin banyak mendapatkan serangan dari kelompok APT. Oleh Kaspersky, di tahun 2015 di temukan sebuah kelompok APT baru yang di beri nama Naikon. Kelompok APT Naikon adalah kelompok peretas yang mempergunakan bahasa Chinese dalam komunikasinya. Campaign yang di lakukan oleh kelompok APT ini di duga mentargetkan entitas perusahaan milik negara termasuk kantor-kantor pemerintah di Asia Pacific. Fokus campaign atas serangan adalah untuk tujuan espionage. Dan dalam melakukan campaign serangannya, Naikon APT tidak secara langsung melancarkan serangan pada berbagai negara, melainkan satu per satu negara. Oleh peneliti bahkan di sebutkan dari code malware Naikon APT yang hanya berukuran 8 kilobyte itu terdapat 48 rutin perintah yang dapat di fungsikan untuk melakukan serangan ke negara lain dari negara yang telah terinfeksi malware ini. Meski model injeksi malware atas APT ini masih terbilang klasik, yaitu dengan phishing email yang di dalamnya di attach file Microsoft Words. Malware akan di install pada PC tersebut pada saat attachment di buka. Selanjutnya perangkat yang telah di infeksi akan di remote dari sisi Command-and-Control (atau di singkat C&C) server untuk proses penyerangan lebih lanjut. Server C&C dari Naikon APT ini bahkan di duga terdapat 7 buah server yang mempergunakan ip-address Indonesia. Artinya, perintah eksekusi secara remote dapat di lakukan dengan perantaraan ip-address di Indonesia sehingga semakin sulit terdeteksi. BEHAVIOURAL ANALYSIS Dalam episode ke tujuh di podcast BincangCyber ini, saya memberikan sharing mengenai UEBA atau singkatan dari User-Entity Behaviour Analysis. Kemampuan reaktif dari arsitektur CyberSecurity kini sudah sangat tidak sesuai dengan landscape keamanan yang terjadi. Arsitektur keamanan harus menerapkan mekanisme pengamanan yang adaptive berdasarkan perubahan akses. Dalam situasi sebelum adanya wabah Covid-19, sebagian besar karyawan mungkin lebih banyak bekerja dari kantor. Hal ini memudahkan dekteksi insiden, disebabkan lokasi akses yang cenderung seragam. Sementara dengan kondisi WorkFromHome saat ini di mana akses di lakukan dari ip-address yang bervariasi dan waktu yang hampir tidak seragam. Kondisi ini pastinya semakin menyulitkan proses deteksi potensi insiden. Untuk menanggulangi hal ini di perlukan pendekatan berbeda dan semakin lebih memfokuskan kepada behavioural dari pengguna. Contoh: jika saat ini pengguna mengakses ke data center dengan mempergunakan ip address milik operator GSM yang terdaftar di Jakarta. Namun jika terjadi perbedaan signifikan terhadap lokasi geographis dari alamat ip-address tersebut, bisa jadi hal ini merupakan indikasi awal insiden. Terlebih jika akses ke web aplikasi perusahaan sangat variatif dan terkesan berusaha untuk mengirimkan banyak data keluar (exfiltrate) melebihi kebiasaan rutin (waktu berbanding jumlah data). Tidak hanya letak geographic saja, jenis perangkat juga bisa di jadikan indikator potensi insiden. Misalnya, jika keseharian karyawan mempergunakan Windows 8 atau MacOS, dan ternyata kemudian terdeteksi bahwa ada upaya mengakses dari OS yang berbeda; hal ini pun dapat di anggap sebagai salah satu potensi insiden. Sehingga secara umum, kita secara kontinu melakukan pengamatan terhadap seluruh aspek atas akses sehingga potensi insiden dapat di cegah atau setidaknya Window Time atas serangan dapat di tekan ke titik yang paling rendah hingga terus semakin kecil. Peran Aktif Pengguna dalam Menekan Potensi InsidenJika kita melihat dalam sudut pandang pengguna. Tentunya kondisi pandemic ini menciptakan tantangan baru khususnya terkait kesiapan infrastruktur di rumah. Jika di kantor, pastinya kita di lindungi dengan Firewall dan perangkat keamanan lainnya yang mungkin bahkan terdiri dari banyak lapisan. Selain itu, di kantor kita mungkin akan di layani oleh team cybersecurity dan setidaknya seorang Chief Information Security Officer (CISO). Sementara, jika WorkFromHome, artinya kita sepenuhnya harus mengandalkan perangkat di rumah untuk kegiatan kerja sehari-hari. Dan ini pastinya memerlukan pendekatan berbeda dan lebih memerlukan perhatian. Mulai dari kesiapan pengamanan router di rumah, hingga memastikan semua patching atau update terhadap router dan semua perangkat mobile dan komputer. Terkait akan hal ini, saya ingin mencoba membagi beberapa tips yang mungkin dapat menjadi salah satu point peningkatan keamanan pada masa WorkFromHome ataupun masa the New Normal nantinya. 1. Pastikan perangkat wifi yang kita miliki secara rutin, setidaknya 2 bulan sekali, di lakukan pergantian password akses. Pastikan Admin password router juga ikut di rubah. Matikan perangkat wifi pada waktu tidak di pergunakan, misalnya pada malam hari. Hal ini dapat mempersulit pihak yang mencoba meretas password wifi router tersebut. Pada beberapa jenis perangkat router tertentu, hal ini di fasilitasi secara otomatis via scheduler. 2. Lakukan update atau patching terhadap OS dan software yang di pergunakan pada seluruh perangkat (laptop dan mobile). Hapuslah aplikasi yang sudah tidak lagi di pergunakan. Di samping membantu meringankan kerja perangkat dan menghemat battery, ini dapat memperkecil area penyerangan atau attack surface pada perangkat kita. 3. Dalam penggunaan password, pastikan untuk menerapkan MFA sebagai tambahan layer perlindungan atas akun yang memiliki fungsi kritis, seperti: akun email, internet banking, sosial media, dan akses ke system perusahaan. Tingkatkan kompleksitas password. Serta gantilah password secara rutin dan tidak mempergunakan satu password yang sama kepada lebih dari satu akun. Jika dirasakan membantu, gunakan Password Manager untuk mempermudah. Gantilah password email lebih sering di bandingkan password akun aplikasi lainnya. Sebab, jika password akun lain di retas, pastinya proses recovery akan memerlukan akses ke email, jadi pastikan tingkat pengamanan email lebih tinggi dari pada yang lainnya. 4. Penerapan VPN hanya berguna untuk menghindari serangan man-in-the-middle, namun tidak memiliki fungsi untuk mencegah serangan malware dari perangkat ke data center perusahaan. Pastikan antivirus dan jika tersedia firewall pada laptop selalu dalam kondisi yang up-to-date. Jangan meng-klik sembarang link yang bersumber dari email, meskipun kita mengenai sendernya. Bisa jadi email tersebut di kirim oleh malware setelah menginfeksikan perangkat sender. 5. Jika ke empat point di atas telah di kerjakan, tidak ada salahnya me-review tingkat keamanan perangkat lain milik anggota keluarga di rumah. Berikan saran peningkatan keamanan, agar perangkat anggota keluarga juga turut menjadi lebih aman. Ingat bahwa serangan itu belum tentu semuanya datang dari depan, ada yang dari kiri/kanan dan ada juga yang dari belakang. Jadi, pastikan semuanya juga turut aman. The post Cyber Attack Senyap di saat Pandemic – E28 [https://bincangcyber.id/cyber-attack-senyap-di-saat-pandemic-e28/] written by Faisal Yahya [https://bincangcyber.id/author/faisalyahya/] appeared first on Bincang Cyber [https://bincangcyber.id].