Dokumen ini membahas tentang celah keamanan pada jaringan komputer yang disebut ARP spoofing, di mana penyerang dapat memalsukan alamat MAC router untuk menyebarkan virus melalui jaringan intranet. Virus ini dapat menginfeksi komputer tanpa antivirus atau yang antivirusnya tidak terupdate, menyebabkan akses internet yang lambat dan pesan kesalahan saat menggunakan aplikasi browser. Solusi yang diusulkan termasuk menggunakan switch yang mendukung DHCP snooping dan mengunci ip dan alamat MAC gateway di setiap komputer untuk mencegah serangan lebih lanjut.

1. Celah Keamanan Komputer
(ARP Spoofing)
Pendahuluan
ARP (Address Resolution Protocol) adalah sebuah protokol dalam
TCP/IP Protocol Suite yang bertanggungjawab dalam melakukan
resolusi alamat IP ke dalam alamat Media Access Control (MAC
Address). ARP didefinisikan di dalam RFC 826.
Ketika sebuah aplikasi yang mendukung teknologi protokol
jaringan TCP/IP mencoba untuk mengakses sebuah host TCP/IP
dengan menggunakan alamat IP, maka alamat IP yang dimiliki
oleh host yang dituju harus diterjemahkan terlebih dahulu ke dalam
MAC Address agar frame-frame data dapat diteruskan ke tujuan
dan diletakkan di atas media transmisi (kabel, radio, atau cahaya),
setelah diproses terlebih dahulu oleh Network Interface Card
(NIC). Hal ini dikarenakan NIC beroperasi dalam lapisan fisik dan
lapisan data-link pada tujuh lapis model referensi OSI dan
menggunakan alamat fisik daripada menggunakan alamat logis
(seperti halnya alamat IP atau nama NetBIOS) untuk melakukan
komunikasi data dalam jaringan.
ARP akan melakukan broadcast terhadap sebuah ARP Request
Packet yang berisi seolah-olah "Siapa yang memiliki alamat IP
www.xxx.yyy.zzz??". Broadcast ini akan melakukan request
terhadap MAC address dari komputer yang dituju. Host tujuan
kemudian merespons dengan menggunakan ARP Reply Packet
yang mengandung alamat MAC yang dimilikinya. Host yang
melakukan request selanjutnya menyimpan pemetaan alamat IP
ke dalam MAC Address di dalam Local ARP Cache secara
sementara, siapa tahu nantinya akan diakses lagi di lain waktu.
Jika memang alamat yang dituju berada di luar jaringan lokal,
maka ARP akan mencoba untuk mendapatkan MAC address dari
antarmuka router lokal yang menghubungkan jaringan lokal ke luar
jaringan (di mana komputer yang dituju berada).

2. Isi Materi
ARP Spoofing memiliki kemampuan memalsukan MAC Address
router / proxy sehingga seluruh komputer intranet yang terhubung
ke internet melalui proxy akan dikelabui untuk melewati komputer
yang terinfeksi virus dan celakanya komputer yang terinfeksi virus
ini akan meneruskan akses router ini (transparent proxy) sambil
"menitipkan" satu link download yang berisi virus. Praktis
pengakses internet dalam jaringan akan mendapatkan kiriman
virus setiap kali membuka browser. Karena yang “dikerjai” adalah
router, maka link berisi virus ini tidak akan pandang bulu dikirimkan
ke seluruh komputer dalam jaringan, tidak perduli apa merek
browser yang dipakai, baik IE, Firefox atau Safari sekalipun tetap
mendapatkan kiriman virus. Menurut pengetesan Vaksincom,
selain Windows XP yang menjadi sasaran tembak virus, ternyata
OS Windows Vista dan Linux sekalipun akan tetap mendapatkan
kiriman virus ini setiap kali melakukan browsing. Hanya saja virus
yang dikirim saat ini bisa berjalan di platform Windows XP. Tetapi
setidaknya hal ini menunjukkan proof of concept bahwa secara
teknis platform apapun dapat dicapai oleh virus.
Kembali ke analogi Demam Berdarah di atas, menurut
pengamatan Vaksincom korban virus ini cukup banyak, khususnya
menyerang jaringan intranet yang tidak terlindung oleh antivirus
dengan "sempurna"**. Dan kebanyakan korbannya tidak
menyadari. Biasanya korban mulai menyadari kalau masalahnya
sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan
setiap kali menyalakan komputer dimana komputer akan otomatis
mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi
apapun yang mengaktifkan Javascript browser maka akan
mendapatkan pesan error.
Yang dimaksudkan dengan perlindungan antivirus yang sempurna
adalah SEMUA komputer dalam jaringan (khususnya Windows
XP) sudah terlindung dengan antivirus yang terupdate. Disini
dikatakan semua karena virus ini hanya membutuhkan satu saja
komputer di dalam jaringan intranet terinfeksi virus ini dan dalam
waktu singkat ia akan mengambil alih Gateway internet dan
menyebarkan dirinya ke seluruh komputer dalam jaringan intranet
(dengan catatan jaringan / switch belum dilengkapi dengan
perlindungan anti ARP Spoofing atau lebih dikenal dengan nama
DHCP Snooping).

3. Gejala jaringan terinfeksi virus
Jika koneksi internet di kantor anda tahu-tahu mengalami
kelambatan yang signifikan padahal koneksi internet dari ISP tidak
ada masalah di tambah komputer dalam jaringan “berulang-ulang”
mendapatkan insiden virus atau ketika menjalankan Yahoo
Messenger anda mendapatkan pesan “An error has occured in the
script on this page”. Jika anda menggunakan Norman Virus
Control setiap kali menjalankan Yahoo Messenger / MSN
Messenger atau menjalankan browser terdeteksi virus dengan
nama W32/Agent.FUVR.
Aksi virus ini pada beberapa OS adalah sebagai berikut :
• Windows XP tanpa antivirus / antivirus tidak terupdate.
Tidak ada gejala apa-apa dan dapat langsung terinfeksi,
sekaligus PC yang terinfeksi akan menjadi host virus di
dalam jaringan yang kemudian akan memalsukan MAC
Address Gateway.
• Windows XP dengan antivirus terupdate dan mampu
mendeteksi virus ini.
“Setiap kali” menjalankan aplikasi yang mengakses fitur
browser seperti menjalankan Internet Explorer, Firefox,
login Yahoo Messenger, login MSN Messenger akan
mendapatkan pesan bahwa ada virus terdeteksi di sistem
Windows.
• Windows Vista
“Setiap kali” menjalankan aplikasi yang mengakses fitur
browser seperti menjalankan Internet Explorer, Firefox,
login Yahoo Messenger, login MSN Messenger akan
mendapatkan pesan download error script dari site :
http://root.51113.com/root.gif
http://hk.www404.cn:53/ads.js
http://err.www404.cn:443/014.html

4. Tampilan website terinfeksi virus sulit dibedakan Anda tidak akan
dapat membedakan tampilan website yang yang sudah di injeksi
oleh script yang mengirimkan virus ini karena pada banyak kasus
tampilannya sama saja dengan website asli
(lihat gambar 1)
Gambar 1,Tampilan website search di Google dari Gateway yang
sudah terinfeksi virus

5. Baru jika anda melakukan View Source dengan mengklik [View]
[Page Source] atau Ctrl U dari Firefox (dari IE anda dapat
melakukan View Source dengan cara klik [View] [Source]). Baru
akan terlihat bahwa di awal website ternyata ada javascript yang
mengarahkan download script dengan nama “ads.js” (lihat gambar
2) yang akan langsung terinstal secara otomatis setiap kali anda
mengaktifkan browser atau menjalankan Yahoo Messenger
(karena Yahoo Messenger mengaktifkan browser).
Gambar 2, Page Source Google Search yang sudah di injeksi
javascript Bandingkan dengan Page Source asli dari Google
Search yang belum terinjeksi virus yang memalsukan Gateway ini.
(lihat gambar 3)
Gambar 3, Page Source asli Google Search yang sebenarnya

6. Antivirus saja tidak cukup !!
Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus
ini. Ada yang mendeteksi sebagai W32/Agent.FUVR (Norman),
Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky),
HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos),
JS_PSYME.CPZ (Trend Micro). Jadi secara teori, virus ini tidak
dapat menginfeksi komputer yang terlindung antivirus yang
terupdate. Tetapi masalahnya adalah dalam kenyataannya di
lapangan sangat sulit "menjamin" seluruh komputer di jaringan
terlindung dengan antivirus yang terupdate, apalagi jika ada
komputer / notebook dari luar jaringan yang dihubungkan ke
jaringan intranet, cukup satu saja komputer yang terinfeksi maka
dalam waktu singkat ia akan memalsukan diri sebagai router /
geteway dan menyebarkan dirinya ke seluruh komputer lain dalam
intranet yang mengakses internet.
Selain itu, virus ini memiliki kemampuan mengupdate dirinya
sehingga deteksi antivirus akan menjadi percuma jika pembuatnya
meluncurkan varian baru dan dijamin langsung akan menaklukkan
semua antivirus sampai vendor antivirus mendapatkan samplenya
dan mendeteksi virus tersebut dengan update terbaru.
Masalah mendasar sebenarnya adalah patching. Selama celah
kemanan tidak ditutup, maka sekalipun ada antivirus yang
melindungi komputer, virus ini tetap akan mampu wara-wiri di
dalam jaringan sampai celah keamanan di tutup. Yang menjadi
pertanyaan adalah bagaimana menutup celah keamanan yang
disebabkan oleh hardware yang mengandung kelemahan ARP
Spoofing ini ? Salah satu caranya adalah mengganti switch
dengan yang mendukung DHCP Snoop. Sebenarnya ada cara lain
yang cukup hemat biaya yaitu dengan menggunakan perintah “arp
-s” dari DOS Prompt guna mengunci IP dan Mac Address gateway
di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi
rasanya solusi ini cukup membawa sengsara bagi administrator.
Belum lagi kalau terjadi perubahan IP / Mac Address gateway, jadi
perintah "arp -s" tersebut harus dilakukan di setiap PC lagi.

7. Bagaimana cara mengatasinya ?
Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali
dibersihkan kok virusnya kembali lagi. Percayalah, bukan anda
saja yang pusing dan para administrator lain juga pusing. Langkah
pertama yang harus anda lakukan setiap kali menghadapi masalah
yang memusingkan adalah ... NGELAMUN dulu. Mohon maaf,
kami tidak bermaksud membuat anda di pecat, tetapi jika anda
langsung sibuk membersihkan virus di setiap komputer dan belum
mendapatkan gambaran masalah sebenarnya dimana, maka yang
akan anda alami adalah virusnya kembali lagi dan memboroskan
waktu anda. Dengan melamun anda jadi dapat melakukan analisa
dengan tenang dan kepala dingin mengumpulkan data kira-kira
apa sih yang terjadi. Jika anda pelanggan korporat Vaksincom,
biarkan teknisi kami yang melamun dan memecahkan masalah
anda .... GRATIS.
Kami juga mengalami hal yang serupa dan setelah “melamun” dua
hari baru berhasil mengidentifikasi masalah dengan cukup jelas
dimana virus ini mengeksploitasi ARP vulnerability dengan
memalsukan Mac Address Gateway / Router. Jadi langkah
pertama adalah menemukan gateway palsu tersebut. Bagaimana
caranya ?
Anda dapat menggunakan tools gratisan Colasoft Mac Scanner
http://www.colasoft.com/mac_scanner/mac_scanner.php dan
jalankan di komputer yang terhubung ke jaringan intranet anda.
Lalu lihat IP yang memiliki Mac Address yang sama dengan
Gateway / proxy (lihat gambar 4)
Gambar 4, Colasoft Mac Scanner mendeteksi IP komputer dan
Mac Address

8. Dalam gambar 4 di atas, Gateway adalah IP 192.168.1.1 dengan
MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP
192.168.1.106 memiliki MAC Address yang sama dengan
Gateway. Jadi langkah pertama yang harus anda lakukan adalah
memutuskan hubungan 192.168.1.106 dari jaringan dan
membersihkan dari virus ini.
Langkah pamungkas
Sebagai langkah pamungkas, anda dapat mencegah komputer-
komputer di jaringan untuk dibodohi oleh ARP Spoofing ini.
Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address
Gateway / Proxy]” untuk menetapkan static IP dan MAC Address
Gateway / Proxy di setiap komputer.
Jika anda memiliki banyak komputer dalam jaringan, kami
sarankan untuk mempertimbangkan menggunakan switch yang
mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu
apakah switch yang anda miliki memiliki fitur ini. Kalau ada,
langsung aktifkan dan set paremeter dengan baik guna terhindar
dari ARP Spoofing.