Cacing atau istilah asingnya worms. Cacing-cacing di Internet (Worms) adalah autonomous intrusion agents yang mampu melakukan penggandaan-diri dan menyebar dengan memanfaatkan kelemahan-kelemahan sekuriti (security flaws) pada services yang umum digunakan. Worm bukanlah sebuah fenomena baru, ditemukan pertama kali penyebarannya pada tahun 1988. Worms telah menjadi sebuah ancaman yang mematikan di Internet, walaupun sebagian besar kasus yang terjadi secara spesifik adalah pada sistim berbasis Windows. Beberapa jenis worms terbaru memanfaatkan electronic mail (e-mail) sebagai medium penyebarannya.
Metode aktivasi dan mekanisme penyebaran worms :
Perbedaan mendasar antara worm dan virus terletak pada bagaimana mereka membutuhkan intervensi user untuk melakukan penggandaandiri dan menyebar menginfeksi sistim komputer. Virus lebih lambat dalam melakukan penyebaran jika dibandingkan dengan worm....
Namun virus mempunyai kemampuan lebih untuk menghindari deteksi program anti-virus yang berusaha mengidentifikasi dan mengontrol penyebaran virus pada sistim komputer. Namun pada praktek penyebarannya sebuah virus dapat menjadi sebuah worm. Untuk memudahkan pembahasan, kita membatasi terminologi antara worm dan virus dengan mempertimbangkan metode aktivasi yang dilakukan oleh sebuah worm proses yang dilakukan sebuah worm untuk mengeksekusi pada sebuah sistim komputer dan mekanisme penyebaran proses yang memungkinkansebuah worm berkelana dari satu host ke host yang lain.
• Metode aktivasi
Pengertian bagaimana worm dapat aktif pada sebuah host berhubungan erat dengan kemampuan worm untuk menyebarkan diri, sejumlah worms dapat diatur untuk aktif secara langsung (activated nearly immediately), sementara yang lain dapat menunggu beberapa hari, minggu atau bahkan bulan untuk dapat teraktivasi dan kemudian menyebarkan-dirinya.
a. Aktivasi dengan intervensi user
Merupakan proses aktivasi paling lambat karena membutuhkan intervensi user untuk mengeksekusi worm tersebut, baik disadari maupun tidak oleh user tersebut. Namun karena sosialisasi yang gencar dilakukan mengenai bahaya worm dan virus, user dapat lebih cermat dengan tidak mengeksekusi program asing atau membuka attachment e-mail dari orang yang tidak dikenalnya, hal ini tentu akan memperlambat proses aktivasi worm. Tetapi pembuat worm tidak putus asa dengan kondisi tersebut sehingga mereka melakukan teknik social engineering seperti yang dilakukan oleh virus Melissa yang seolah-olah mengirimkan informasi penting dari orang yang telah dikenal oleh korban atau pesan-pesan personal lainnya yang dikirimkan oleh virus ILOVEYOU. Walaupun Melissa adalah sebuah virus macro pada program MicrosoftWord namun dengan intervensi user maka penyebaran Melissa di Internet sempat menjadi ancaman yang paling menakutkan.
b. Aktivasi terjadwal
Metode aktivasi worm yang lebih cepat adalah dengan menggunakan proses terjadwal pada sistim (scheduled system proces). Ada banyak program yang berjalan pada lingkungan desktop maupun server untuk melakukan proses sesuai dengan jadwal yang diberikan. Metode ini tetap membutuhkan intervesi manusia namun kali ini intervensi attacker yang dibutuhkan. Sebagai contoh, program auto-update dari sistim yang melakukan proses updating ke server vendor. Dengan melakukan update ke remote host sebagai master, seorang attacker yang cerdik dapat memanfaatkan proses tersebut untuk menyebarkan worm dengan terlebih dahulu menguasai remote host atau gateway pada network maupun di Internet dan mengganti atau menginfeksi file yang dibutuhkan pada proses update dengan kode program worm.
c. Aktivasi mandiri
Metode aktivasi mandiri adalah metode tercepat worm dalam menggandakandiri, menyebar, dan menginfeksi host korban. Metode ini paling populer digunakan oleh para penulis worm. Umumnya worm yang menggunakan metode ini memanfaatkan kelemahan sekuriti (security flaw) pada service yang umum digunakan. Sebagai contoh, worm CodeRed yang mengeksploitasi webserver IIS. Worm akan menyertakan dirinya pada service daemon yang sudah dikuasainya atau mengeksekusi perintah-perintah lain dengan privilege yang sama dengan yang digunakan oleh daemon tersebut. Proses eksekusi tersebut akan berlangsung ketika worm menemukan vulnerable service dan melakukan eksploitasi terhadap service tersebut.
• Mekanisme Penyebaran
Worm menginfeksi host korban dan memasukkan kode program sebagai bagian dari program worm ke dalamnya. Kode program tersebut dapat berupa machine code, atau routine untuk menjalankan program lain yang sudah ada pada host korban. Dalam proses penyebarannya, worm harus mencari korban baru dan menginfeksi korban dengan salinan dirinya. Proses pendistribusian tersebut dapat berlangsung sebagai proses distribusi satuan (dari satu host ke host yang lain) atau sebagai proses distribusi masal (dari satu host ke banyak host).
Proses distribusi masal dipertimbangkan sebagai metode penyebaran tercepat dengan asumsi batasan yang digunakan adalah satuan waktu. Terdapat beberapa mekanisme penyebaran yang digunakan worm untuk menemukan calon korban yaitu dengan melakukan scanning, mencari korban berdasarkan target list yang sudah dipersiapkan terlebih dahulu oleh penulis worm atau berdasarkan list yang ditemukan pada sistim korban maupun di metaserver, serta melakukan monitoring secara pasif.
a. Scanning
Metode scanning melibatkan proses probing terhadap sejumlah alamat di Internet dan kemudian mengidentifikasi host yang vulnerable. Dua format sederhana dari metode scanning adalah sequential (mencoba mengidentifikasi sebuah blok alamat dari awal sampai akhir) dan random (secara acak). Penyebaran worm dengan metode scanning baik sequential maupun random, secara komparatif dapat dikatakan lambat, namun jika dikombinasikan dengan aktivasi secara otomatis, worm dapat menyebar lebih cepat lagi. Worm yang menggunakan metode scanning biasanya mengeksploitasi security holes yang sudah teridentifikasi sebelumnya sehingga secara relatif hanya akan menginfeksi sejumlah host saja. Metode scanning lainnya yang dinilai cukup efektif adalah dengan menggunakan bandwidth-limited routine (seperti yang digunakan oleh CodeRed, yaitu dengan membatasi target dengan latensi koneksi dari sistim yang sudah terinfeksi dengan calon korban yang baru), mendefinisikan target yang hanya terdapat pada local address (seperti dalam sebuah LAN maupunWAN), dan permutasi pada proses pencarian. Scanning yang dilakukan worm tidaklah spesifik terhadap aplikasi sehingga attacker dapat menambahkan sebuah exploit baru pada sebuah worm yang sudah dikenal. Sebagai contoh, worm Slapper mendapatkan muatan exploit baru dan menjadikannya sebuah worm baru yaitu Scalper.
b. Target lists
Sebuah worm dapat memiliki target list yang sudah ditentukan sebelumnya oleh penulis worm tersebut. Dengan target list yang sudah ditentukan terlebih dahulu membuat sebuah worm lebih cepat dalam menyebar, namun tentu saja penyebaran tersebut akan sangat terbatas karena target berdasarkan sejumlah alamat di Internet yang sudah ditentukan. Selain itu, worm dapat menemukan list yang dibutuhkan pada host korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm yang metode penyebarannya berdasarkan topologi network. Informasi yang didapat contohnya adalah IP address sistim tersebut dan worm mengembangkannya menjadi sebuah subnet pada LAN atauWAN.
c. Monitoring secara pasif
Worm pasif tidak mencari korbannya, namun worm tersebut akan menunggu calon korban potensial dan kemudian menginfeksinya. Walaupun metode ini lebih lambat namun worm pasif tidak menghasilkan anomalous traffic patterns sehingga keberadaan mereka akan sulit diketahui. Sebagai contoh, "antiworm" CRClean tidak membutuhkan aktivasi user, worm ini menunggu serangan worm CodeRed dan turunannya, kemudian melakukan respon dengan melakukan counter-attack. Jika proses counter-attack berhasil, CRClean akan menghapus CodeRed dan menginfeksi korban dengan menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar tanpa melakukan proses scanning.
Superworms
1. Warhol Worm
Diskusi mengenai warhol worm dimulai ketika jenis ini mulai menyerang internet pada tahun 2001. Jenis yang terkenal adalah virus Code Red yang sangat cepat penyerangannya. Jenis ini otomatis melakukan scanning secara acak pada korbannya dan menggunakan hanya pada sifat yang mudah kena serang dalam Internet Information Services (IIS). Berdasarkan analisis bahwa bagian web server yang terkena serangan menyebar secara berlipat ganda dalam setiap waktu. Pada awalnya, setiap server yang terkena serangan dapat kita temukan 1,8 bagian lain yang terkena serangan dalam setiap jam, rata-rata 0.7 Code Red menggandakan dirinya pada tanggal 19 July 2001. Suatu karakteristik yang membedakan Code Red adalah melakukan scanning secara acak. Berdasarkan data bahwa Code Red melakukan scanning pada bagian komputer yang mudah kena serangan sampai 500.000 waktu per jam.
Code Red II menargetkan menyerang pada bagian yang sama dari IIS yang diserang Code Red. Sebuah strategi scanning yang dilakukannya, dimana Code Red II memilih secara acak alamat IP dari ruang alamat korban kelas B dengan kemungkinan 3/8, secara acak ruang alamat IP dari korban kelas A dengan kemungkinan ½, dan kemungkinan 1/8 dari ruang alamat IP secara keseluruhan. Berdasarkan strategi dari penyerangannya, kita dapat menyimpulkan bahwa Code Red II hampir dipastikan juga melakukan tujuan yang bersifat percobaan.
Jenis lain yang akan dijabarkan adalah Nimda worm. Nimda menggunakan lima cara yang berbeda dalam penyebarannya, yakni bagian IIS yang mudah kena serangan yaitu : email, bagian jaringan yang terbuka (dishare), halaman web yang terinfeksi menyebar kepada pengunjung yang melakukan browsing, dan bagian-bagian yang telah diserang oleh Code Red II dan virus.
Contoh lain adalah Warhol worm dan Flash worm, pada tulisan ini tidak dijelaskan secara mendetail. Konsep kerja dari warhol worm dengn cara ”hit-list scanning”, yaitu mengumpulkan bagian-bagian (listing) yang sebagai target dalam penyerangannya. Permutasi scanning adalah salah satu target perkembangbiakan yang lain untuk mengurangi overlap scanning diantara seluruh worm. Worm baru berkembang biak pada sebuah ruang alamat IP dengan cara permutasi dengan menggunakan sebuah block chiper 32-bit dan pre-selected key. Worm akan meng-encrypt sebuah IP untuk mengambil permutasi yang bersesuaian, kemudian melakukan decrypt untuk mengambil sebuah IP. Selama terinfeksi, worm akan meningkatkan permutasi mulai dari IP hash secara acak.
2. Curious Yellow
Bagian utama dari komunikasi dan koordinasi alamat adalah merancang sebuah Curious Yellow worm. Bagian ini akan menguraikan keuntungan-keuntungan dari koordinasi worm, kemudahan dalam mengontrol dan mekanisme yang up to date, serta mengungkapkan lebih sedikit dari lalu lintas worm. Berbagai kesulitan dalam koordinasi diantaranya adalah masalah skala koordinasi, penekanan harga koordinasi, kebutuhan untuk megambil kedalam laporan, dll.
Sebuah konsep hipotesis dari Curious Blue, worm menyapu bersih setelah infeksi sebuah Curous Yellow dengan menggunakan strategi penyebaran yang sama, atau dengan memanfaatkan bagian yang mudah kena serangan di dalam Curious Yellow sendiri dengan cara yang cepat. Untuk itu tingkat keamanan yang lebih baik dapat menghindari dari serangan-serangan worm tersebut.
0 komentar:
Posting Komentar