1. Apa Kabar ID-CERT ?
JAKARTA, 12 APRIL 2012
Edisi Khusus: TRACEROUTE PARTY
___________________________
ID-CERT
cert@cert.or.id
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
2. Sejarah ID-CERT
●
Dimulai tahun 1997 sebagai respon terhadap
kebutuhan pelaporan masalah security yang
terkait dengan internet Indonesia;
●
Bersifat voluntir (come and go)
●
Memiliki domain dan situs web
●
Terdaftar sebagai anggota APCERT
●
Berkoordinasi dengan organisasi regional
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
3. Sejarah ID-CERT
“Morris Worm”
●
Pendiri forum regional (CMU - 1988)
APCERT (Asia Pacific “CERT”
Computer Emergency (CMU - 1988)
Response Team) pada
“RFC 2350”
2001-2003, dengan (IETF - 1998)
status Full Member;
“ID-CERT”
●
Kontak Utama untuk (Budi Rahardjo - 1998)
Indonesia (PoC) di
“APCERT”
APCERT; (ID-CERT
pendiri forum
2001-2003)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
4. Misi
● Tujuan ID-CERT adalah untuk melakukan koordinasi
penanganan insiden yang melibatkan pihak Indonesia dan luar
negeri.
● ID-CERT tidak memiliki otoritas secara operasional terhadap
konstituensinya baik di Indonesia maupun luar negeri,
melainkan hanya menginformasikan berbagai keluhan atas
insiden jaringan, serta bergantung sepenuhnya pada
kerjasama dengan para-pihak yang terlibat dalam insiden
jaringan terkait.
● ID-CERT dibangun oleh komunitas dan hasilnya akan kembali
kepada komunitas.
● Memasyarakatkan pentingnya keamanan internet di Indonesia.
● Melakukan berbagai penelitian dibidang keamanan internet
yang dibutuhkan oleh komunitas internet Indonesia.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
5. Tim Kami
● Ketua: Budi Rahardjo, PhD
● Wakil Ketua: Andika Triwidada
● Manager & Researcher: Ahmad Alkazimy
● Incident Response Officer – Helpdesk: Rahmadian
● Didukung oleh sejumlah voluntir lainnya.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
6. Layanan
● Jumlah laporan yang diterima di tahun 2011: 783.457
laporan
● Laporan terbesar adalah Network Incident: 780.318
laporan yang terdiri dari:
● Brute Force (80%)
● Open Proxy (15%)
● DDoS, dll (5%)
● Respon terhadap pengaduan ditahun 2011: 685
Laporan
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
7. Aduan yang masuk: Darimana Informasi didapat?
● Informasi dari aduan pengguna internet di dalam negri
yang mengetahui kelemahan tersebut;
● Informasi dari aduan pengguna internet diluar maupun
komunitas tertentu yang mengetahui kelemahan yang
ada;
● Informasi dari media online dan mailing list;
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
8. Kendala yang dihadapi atas aduan yang diterima
Email tidak valid;
Nomer Telpon tidak valid;
Alamat tidak valid/berubah;
Kontak yang ada merupakan kontak pihak ketiga yang
sudah tidak valid;
Terkait masalah Hukum;
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
9. Aktifitas
● Respon “reaktif” berdasarkan laporan yang diterima
dari komunitas internet;
● Mencapai 783 ribu laporan dalam setahun.
● Membantu koordinasi dengan pihak terkait
● Riset Internet Abuse Indonesia, yang dimulai sejak
2010 dan 2011
● Sejak Maret 2012, aktifitas ini berubah nama menjadi
Incident Monitoring Report dan bersifat permanen;
● Koordinasi dengan tim CERT regional, (seperti:
Malaysia CERT, Australian CERT, Japan CERT, dsb);
● Membangun kesadaran publik tentang pentingnya IT
Security melalui Gathering dan Seminar publik.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
10. Kegiatan
● Partisipasi dalam APCERT Drill Februari 2012
● Menghadiri APCERT Annual General Meeting, 25 – 27
Maret 2012, BALI.
● Membantu pembentukan Roadmap CERT/CC,
Regulasi CERT dan GovCERT yang diadakan oleh
DITKAMINFO.
● Menghadiri forum IISF (Indonesia Information Security
Forum) 14 Desember 2011 yang diadakan oleh
DITKAMINFO.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
11. APCERT Drill
● Latihan bersama penanganan Keamanan Cyber
secara virtual.
● Diadakan secara periodik oleh APCERT.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
12. Layanan TERBARU
● 21 Desember 2011: ID-CERT mulai mengirimkan
feed/berita harian tentang situs pemerintah yang
terkena aksi Deface/Phishing.
● 01 Juni 2012: ID-CERT meluncurkan Nomor kontak
Desk 0889-1400-700.
● Nopember 2013: Penerbitan Security Advisory dalam
format “resmi”.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
13. Layanan Lainnya (SEGERA HADIR)
● Survey Malware
● Antispam RBL
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
14. Survey Malware
● Melakukan survey lapangan menggunakan USB
Flashdisk yang telah diisi portable apps;
● Setelah didapat, maka tim kami akan melakukan
pencatatan waktu, nama varian virus serta lokasi
penemuannya. Selanjutnya nama-nama virus tersebut
akan dimasukkan kedalam database dan dibuatkan
statistiknya.
● Cara yang lain adalah dengan menggunakan sebuah
server honeypots untuk mengkoleksi berbagai
malware yang beredar di Indonesia.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
15. Antispam RBL
● RBL (Realtime Blackhole List) adalah sebuah Sistem
Database yang mengkoleksi berbagai jenis spam yang
terhubung dengan DNS dan membuat daftar “hitam”
IP Address yang digunakan.
● RBL dapat saling terhubung antara yang satu dengan
yang lainnya dan dapat digunakan sebagai acuan
global.
● Fungsi: menekan jumlah spam yang diterima.
● Antispam RBL Indonesia: dibuat dengan kerjasama
APJII dan ID-CERT, untuk “mengkoleksi” spam “khas”
Indonesia.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
16. Perlunya Kerjasama lintas CERT
Tidak ada satupun CERT yang mampu bekerja
sendiri, perlu kerjasama lintas CERT;
CERT Sektoral berperan untuk lebih fokus terhadap
sektornya;
Kepercayaan(trust) yang dibangun diinternal sektor;
Dapat “berbicara” dengan konstituennya dengan “bahasa”
masing-masing sektor yang mudah dipahami;
Proses eskalasi masalah diharapkan dapat dilakukan
lebih cepat;
FYI: SOP ID-CERT, setiap aduan yang diterima akan
direspon paling lambat 1x24 jam sejak laporan diterima.
Misal: membuat milis admin IT Perbankan untuk saling
bertukar info.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
17. Mengapa perlu respon cepat?
Kelemahan (vulnerability) yang terjadi dapat
menimbulkan berbagai peluang:
Kebocoran data penting;
Manipulasi data penting;
Pemanfaatan oleh pihak lain untuk menyerang target lainnya;
Penyebaran malware;
Phishing/Spoofing serta “penempelan” situs palsu.
Penyebaran email spam;
Masalah Hukum (UU ITE, ataupun penuntutan dari pihak lain);
Lain-lain;
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
18. CERT/CSIRT di Indonesia
● ID-CERT (1997), sektor umum dan berbasis aduan;
www.cert.or.id
ID-SIRTII (2007), berbasis monitoring log dan
●
memberikan bukti Digital bila diminta penegak hukum;
www.idsirtii.or.id
● Acad-CSIRT (2010), sektor Akademik, berbasis aduan;
http://www.acad-csirt.or.id/
● GovCSIRT / KAMINFO (2012), sektor Pemerintahan,
berbasis aduan dan Monitoring log.
http://www.acad-csirt.or.id/
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
21. RESPONDEN
● ID-CERT ● KEMKOMINFO
● APJII ● DETIK.NET
● PANDI ● ZONE-h
● KEMDAG ● AFCC
● 3 OPERATOR
TELEKOMUNIKASI
● TOTAL: ● 6 NAP
38 RESPONDEN ● 21 ISP
4 DIANTARANYA BELUM
MENYERAHKAN REKAP
DATA.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
22. Kendala Penambahan Responden
● Restrukturisasi di internal perusahaan, tidak ada PIC
yang menangani;
● Tidak ada respon lebih lanjut ketika proposal
dikirimkan;
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
23. TREN UMUM
INSIDEN
2012
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
25. Network Incident
● Brute Force
● DDoS
● Open Proxy
● Deface
● System Vulnerability
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
26. Network Incident
● Brute Force
● DDoS
● Open Proxy
● Deface
● System Vulnerability
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
27. PERINGATAN KEAMANAN III: Pengamanan Sistem
● Dikeluarkan pada 06 Des 2012
● 1393 IP Address yang terhubung ke sistem yang
memiliki kerentanan dan tanpa lapis pengamanan
yang memadai. Dari 54 ISP, 6 Universitas dan 1
Jaringan IX Pendidikan.
● Beberapa contoh diantaranya adalah:
● remote akses ke Switch tanpa lapis pengaman
● password default,
● remote akses ke SCADA, UPS dsb.
●
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
28. PERINGATAN KEAMANAN V: Kerentanan
Sistem
● Dikeluarkan pada 29 Des 2012 dan diperbaharui pada
31 Des 2012.
● Ditemukan adanya sejumlah IP Address Indonesia
yang memiliki kerentanan sistem, seperti sistem yang
tidak pernah diupdate atau tidak memiliki lapis
pengamanan;
● Sistem digunakan untuk menyusupkan Malware,
melakukan Bruteforce/DDoS.
● Dampak Langsung: 6 instansi pemerintah, 27 ISP,
beberapa diantaranya adalah Hosting Provider, 4
institusi pendidikan
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
30. PERINGATAN KEAMANAN I: Malware ZEUS
● Juli 2007: Virus ini pertama kali teridentifikasi saat digunakan mencuri informasi dari
Departemen Transportasi Amerika Serikat.
● Mar 2009: virus ini makin tersebar.
● Juni 2009, perusahaan keamanan Prevx menemukan bahwa Zeus telah menembus
lebih dari 74,000 akun FTP
● 1 Oktober 2009, FBI mengumumkan bahwa telah ditemukan satu jaringan/network
besar cyber crime internasional yang telah menggunakan Zeus to untuk meng-hack
komputer2 di Amerika Serikat.
● Oktober 2011 versi terbaru source code Zeus bocor. blog abuse.ch melaporkan
mengenai satu trojan baru yang telah dikostumasi yang mengandalkan pada
kemampuan peer-to-peer yang lebih canggih.
● April 2012 versi terbaru Malware Zeus teridentifikasi menyerang Indonesia.
● Contoh-contohnya termasuk autorisasi login untuk online social network, e-mail
account, online banking atau layanan keuangan online lainnya.
● Situs-situs yang tercuri autorisasi loginnya, menurut laporan Netwitness adalah
Facebook, Yahoo, Hi5, Metroflog, Sonico dan Netlog.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
31. DNS Changer (Kiamat Internet)
● Dioperasikan oleh sebuah Perusahaan di Estonia sejak
2007;
● Terungkap pada 2011 oleh FBI;
● Lebih dari 4 juta PC terinveksi BOTNET dengan 2000
varian lebih;
● Tahap Pertama 08 Maret 2012: mematikan DNS palsu dan
menggantinya dengan DNS sementara.
●
Tahap Kedua: 09 Juli 2012: mematikan DNS Sementara;
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
32. PERINGATAN KEAMANAN II: Malware GRUMBOT
● Mulai terdeteksi di Indonesia pada 25 Sep 2012.
● Grum botnet, juga dikenal dengan aliasnya Tedroo
dan Reddyb, dulunya adalah botnet yang paling
terlibat dalam pengiriman spam-spam e-mail;
● Grum memakai 2 tipe server kontrol untuk operasinya.
1 tipe digunakan mem-push update konfigurasi ke
komputer yang terinfeksi, dan 1 tipe lainnya digunakan
untuk memberi perintah ke botnet jenis spam email
apa yang harus dikirimkan;
● LANGKAH ANTISIPASI:
1. Segera update Patch OS anda
2. Segera update Antivirus dan lakukan pengecekan
secara rutin.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
33. PERINGATAN KEAMANAN IV: Kerentanan pada Joomla
Dikeluarkan pada 14 Des 2012 dan diperbaharui pada 22 Des 2012.
Sejak Agustus 2012, sejumlah administrator website yang menggunakan Content
Management System (CMS) Joomla telah melaporkan situs mereka terkontaminasi
dan digunakan untuk menyimpan dan melakukan Distributed Denial of Service
(DDoS).
mempengaruhi beberapa versi dari 1.6 sampai 2.5.4
Nama-nama dari file PHP yang terdiri dari alat serangan juga dapat membantu dalam
mengidentifikasi server dikompromikan. Nama-nama file yang meliputi:
Indx.php
Kickstart.php
Stcp.php
Stph.php
Inedx.php (harap dicatat tentang adanya salah ketik/ejaan)
saerch.php (harap dicatat tentang adanya salah ketik/ejaan)
confgic.php (BARU)
stmdu.php (BARU)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
34. Kolaborasi: Spam, Phishing dan Malware
● Penyebaran Malware via email yang mengandung link
URL Phishing;
● Penyebaran Malware via email dengan attachment
malware;
● Umumnya dihosting pada server yang memiliki
vurnerability dan tidak pernah dipatch/update maupun
dipasangi AV;
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
44. Beberapa Spam Komplain
● Spam Lowongan kerja palsu di beberapa perusahaan
di Indonesia via SMS untuk mengirimkan email
lamaran ke alamat tertentu;
● Spam undian berhadiah via SMS dan email
mengatasnamakan Operator Telekomunikasi di
Indonesia;
● Untuk klaim hadiah, diminta untuk mengisi data-data
diwebsite palsu tersebut;
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
49. KESIMPULAN
● ID-CERT dalam beberapa bulan terakhir telah
mengeluarkan setidaknya 5 Peringatan Keamanan /
Security Advisory sebagai langkah panduan bagi
komunitas internet dalam menghadapi kerentanan
sistem.
● 2 (dua) terkait dengan peringatan kelemahan sistem
● 3 (tiga) terkait dengan Malware
● Saran-saran keamanan juga telah dikeluarkan
bersamaan dengan Peringatan Keamanan.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
50. Saran Keamanan
1. Lakukan pemeriksaan kesehatan sistem, misal dengan
menggunakan Antivirus untuk memastikan bahwa sistem anda tidak
disusupi Malware.
2. Tempatkan seluruh aset sistem kontrol dibelakang firewalls,
terpisah dari jaringan yang digunakan untuk bisnis.
3. Membangun metode remote akses yang aman, seperti
penggunaan Virtual Private Networks (VPN) untuk remote akses.
4. Singkirkan, disable atau rename seluruh akun system default (bila
memungkinkan)
5. Implementasikan aturan penguncian akun untuk menghindari
upaya coba-coba misal melalui brute force.
6. Implementasikan aturan penggunaan password yang kuat.
7. Lakukan pemantauan pembuatan akun administrator oleh pihak
ketiga/vendor.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
51. Reading Room
Peringatan Keamanan 5-2012 tentang Kerentanan Sistem:
http://www.cert.or.id/indeks_berita/berita/15/
Peringatan Keamanan 4-2012 tentang Celah Keamanan Joomla
http://www.cert.or.id/indeks_berita/berita/13/
Peringatan Keamanan 3-2012 tentang Saran Pengamanan Sistem
http://www.cert.or.id/indeks_berita/berita/11/
Peringatan Keamanan 2-2012 tentang Malware Grumbot
http://www.cert.or.id/indeks_berita/berita/8/
Peringatan Keamanan 1-2012 tentang Malware Zeus dan target yang dicari:
http://www.cert.or.id/indeks_berita/berita/5/
DNS Changer https://www.hkcert.org/my_url/en/blog/12022901
Malware Zeus http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29
Penelitian dan Incident Handling Report ID-CERT:
http://www.cert.or.id/incident_handling/
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
52. READING ROOM: cara melapor ke ID-CERT
● Konsultasikan dengan ID-CERT melalui email:
cert@cert.or.id (sangat direkomendasikan via email)
atau telpon di 0889-1400-700;
● Sertakan informasi penting terkait hal yang diadukan,
seperti:
● Log file
● URL / Link bermasalah?
● Surat Keterangan dari instansi (untuk situs palsu)
● Bila merupakan masalah hukum atau lainnya,
ID-CERT akan mengarahkan/mengkonsultasikannya
kepada pihak yang tepat.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
53. Tim Kami
● Ketua: Budi Rahardjo, PhD
● Wakil Ketua: Andika Triwidada
● Manager & Researcher: Ahmad Alkazimy
● Incident Response Officer – Helpdesk: Rahmadian
● Technical Editor: Ikhlasul Amal
● Didukung oleh sejumlah voluntir lainnya.
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
54. PERTANYAAN, SARAN & MASUKAN?
Kontak Desk ID-CERT:
www.cert.or.id
Telpon: (+62)889-1400-700
______________________________
Ahmad Alkazimy(Manajer ID-CERT)
cert@cert.or.id
_________________________
Rahmadian L. Arbianita (Helpdesk ID-CERT)
rahmadian@cert.or.id
__________________
Mailing List:
diskusi@cert.or.id
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Editor's Notes
Juli 2007: Virus ini pertama kali teridentifikasi saat virus ini digunakan mencuri informasi dari Departemen Transportasi Amerika Serikat. virus ini makin tersebar pada bulan Maret 2009. Juni 2009, perusahaan keamanan Prevx menemukan bahwa Zeus telah menembus lebih dari 74,000 akun FTP di situs-situs web perusahaan seperti the Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, dan /BusinessWeek. 1 Oktober 2009, FBI mengumumkan bahwa telah ditemukan satu jaringan/network besar cyber crime internasional yang telah menggunakan Zeus to untuk meng-hack komputer2 di Amerika Serikat, mencuri sekitar $70 juta. Lebih dari 90 anggota komplotan yang dicurigai ditangkap di Amerika Serikat dan penangkapan juga dilakukan di Inggris dan Ukraina. Oktober 2011 versi terbaru source code Zeus bocor di bulan Oktober 2011 blog abuse.ch melaporkan mengenai satu trojan baru yang telah di-custom yang mengandalkan pada kemampuan peer-to-peer yang lebih canggih. Contoh-contohnya termasuk autorisasi login untuk online social network, e-mail account, online banking atau layanan keuangan online lainnya. Situs-situs yang tercuri autorisasi loginnya, menurut laporan Netwitness adalah Facebook, Yahoo, Hi5, Metroflog, Sonico dan Netlog.
Perangkat yang terinveksi BOTNET ini diarahkan ke DNS Palsu; Perintah Pengadilan Amerika Serikat kepada FBI untuk menangani persoalan ini dalam tempo 120 hari;