ARP Spoofing
Otak intelektual dibalik keganasan virus Microsoft.pif.
Pada era sebelum Windows XP SP2, cara favorit dan efektif bagi virus untuk menyebarkan dirinya adalah dengan mengeksploitasi celah keamanan OS yang populer pada waktu itu, Windows 98, Windows 2000 / NT workstation, Windows Server NT/2000 dan Windows XP. Hal ini terbukti dari virus CodeRed yang sukses mengeksploitasi celah keamanan IIS Server yang notabene digunakan oleh seluruh webserver berbasis Microsoft pada waktu itu. Platform lain yang populer seperti Apache pada Linux juga tidak luput dari serangan virus, katakanlah Slapper yang sukses mengeksploitasi celah keamanan Apache.
Tetapi para pembuat OS tidak tinggal diam dan berusaha menganalisa penyebab celah keamanan ini dapat di eksploitasi oleh virus dan mengapa dapat dimanfaatkan oleh virus. Sebagai informasi, celah keamanan adalah kelemahan dalam sistem sehingga dapat dimanfaatkan oleh pihak yang tidak berhak untuk menjalankan aksinya. Celah keamanan akan selalu ada dan akan selalu ditemukan setiap hari. Celakanya, virus yang mengeksploitasi celah keamanan akan TETAP berhasil menguasai komputer yang di serangnya “sekalipun” komputer tersebut sudah dilindungi dengan antivirus yang sudah dapat mendeteksi virus tersebut. Jadi “satu-satunya” cara untuk menghadapi virus yang mengeksploitasi celah keamanan adalah melakukan patching atau menambal celah keamanan tersebut.
Jika anda menanyakan mengapa celah keamanan itu ada, apakah sengaja diciptakan oleh pembuat software supaya mereka memiliki bisnis (pendekatan telenovela yang selalu mencurigai adanya skenario tersembunyi dalam banyak hal). Penjelasannya kira-kira begini, software adalah ciptaan manusia. Manusia itu tidak ada yang sempurna, jadi ciptaannya tentu tidak sempurna juga. Perkembangan software dan hardware makin hari membuat ukuran aplikasi makin besar (saat ini OS Windows Vista sudah mencapai ukuran GB) dan adalah suatu hal yang sangat sulit (untuk tidak mengatakan mustahil) untuk menciptakan software yang 100 % sempuirna dan tidak memiliki celah keamanan. OS Linux Debian 4.0 juga datang dalam beberapa DVD dan adalah merupakan hal yang mustahil untuk menjamin OS tersebut sempurna dan tidak mungkin ditembus. Jadi pertanyaan yang sebaiknya anda tanyakan dalam sekuriti bukanlah; Apakah suatu OS dapat di eksploitasi atau tidak ? Tetapi yang lebih tepat adalah; Apakah hacker ingin mengeksploitasi OS tersebut atau tidak ? Atau lebih tepatnya; Apakah OS tersebut cukup menarik / menantang untuk di serang ? Banyak fakta yang mendukung kenyataan di atas dan terakhir adalah OS Macintosh yang berhasil di eksploitasi dalam suatu kompetisi hacking dan sewaktu ditanyakan mengapa menyerang OS Macintosh tersebut ?(yang sempat mengangkat issue tidak diserang virus sebagai salah satu keunggulan produkknya ) tersebut ? Jawabannya si pemenang adalah dari 3 OS yang tersedia, Windows Vista Full Pacth, Debian Full Patch dan Macintosh Full Patch, si penyerang menganggap bahwa Macintosh lebih mudah ditaklukkan daripada OS lainnya.
Lalu apakah berdasarkan fakta di atas apakah berarti kita sudah harus menyerah dan mengibarkan bendera putih kepada penyerang. Kembali ke zaman dulu dan menggunakan sempoa lagi ? TIDAK. Security is a process, jadi anda harus selalu mengikuti perkembangan terkini agar tidak menjadi korban eksploitasi celah keamanan yang selalu ditemukan setiap hari. Kami tidak menyarankan anda memelototi website Security Focus www.securityfocus.com setiap hari untuk mencari dan menutupi celah keamanan aplikasi yang anda gunakan, karena vendor aplikasi sudah mengerjakan PR tersebut untuk anda. Tugas anda adalah melakukan setting yang benar. Solusi apa yang diberikan oleh vendor aplikasi yang dapat menekan eksploitasi celah keamanan ?
Jawabannya : Automatic Patching dan Internet.
Kembali ke zaman Codered dan Slapper, penyebab utama suatu server / komputer berhasil “ditaklukkan” virus adalah karena patching belum dilakukan. Kalaupun dilakukan, tenggang waktu antara ditemukannya celah keamanan dan keluarnya patch (tambalan) sangat panjang, mencapai waktu lebih dari 30 hari. Sehingga virus yang mengeksploitasi celah keamanan dan biasanya muncul beberapa hari sesudah diumumkannya satu celah keamanan akan memiliki tenggang waktu sekitar 30 hari untuk wara-wiri tanpa ada yang mampu mencegahnya. Dan berdasarkan pengalaman, waktu yang dibutuhkan oleh virus untuk mencapai penyebaran maksimalnya ke seluruh dunia adalah kurang dari 1 minggu.
Rupanya vendor aplikasi belajar dari hal tersebut dan makin hari tenggang waktu tersebut makin sempit dan puncaknya adalah pada saat SP 2 (Service Pack 2) Windows XP di luncurkan. Sejak saat itu, virus-virus yang berusaha mengeksploitasi celah keamanan menurun drastis dan penyebaran virus sempat menurun drastis. 1 : 1 untuk Vendor lawan Virus.
Hal ini makin baik sewaktu Windows vista di luncurkan. Berbeda dengan Windows sebelumnya, setting default (awal) adalah “Automatic Update”. Jadi setiap kali Windows Vista di instalasikan pada komputer secara otomatis komputer sudah melakukan automatic update untuk patching dirinya sehingga secara teknis hal ini memungkinkan terjadinya Zero Day Vulnerability pada Windows Vista yang di instal. Zero Day Vulnerability dapat tercapai jika patch / tambalan langsung tersedia pada saat ditemukannya celah keamanan DAN di instal pada aplikasi yang mengandung kelemahan tersebut sebelum aplikasi jahat (virus) muncul memanfaatkan celah keamanan tetrsebut. Dengan kata lain tenggang waktu virus untuk mengeksploitasi celah keamanan yang baru ditemukan menjadi sangat kecil (dengan asumsi ada koneksi internet yang memadai sehingga OS Windows Vista tersebut dapat terupdate setiap hari).
Tetapi apakah berarti Saruman sudah dikalahkan dan perang sudah selesai ? Ternyata perkembangan selanjutnya menunjukkan bahwa hal ini masih jauh dari selesai dan pembuat malware berusaha mencari teknik-teknik baru untuk mencapai tujuannya. Tujuan akhir TETAP menguasai di komputer, tetapi kalau dulu caranya adalah dengan mengeksploitasi celah keamanan di Operating System komputer, sekarang karena patching sudah berjalan dengan baik maka peluang tersebut semakin kecil. Sekarang yang menjadi target utama eksploitasi adalah aplikasi-aplikasi non Operating System yang populer seperti Adobe, Firefox, Internet Explorer dan Winamp. Prinsipnya adalah aplikasi-aplikasi yang populer, karena pembuat malware ingin mendapatkan dampak maksimal dari usahanya. Celakanya, rupanya yang memiliki celah keamanan bukan hanya software saja, tetapi hardware dan sistem IP. Karena pada prinsipnya tidak ada hardware yang berjalan tanpa software pendukung, jadi dengan menguasai software yang menjalankan hardware tertentu dapat menguasai hardware tersebut untuk kemudian digunakan menguasai komputer. Tujuan akhirnya tetap ingin menguasai sistem komputer, hanya caranya saja yang berbeda.
Hal ini bukan isapan jempol, kalau tidak percaya silahkan lihat virus terbaru yang memanfaatkan celah keamanan ARP (Address Resolution Protocol) atau dikenal dengan nama APR (ARP Poison Routing) yang saat ini sukses menyebar di seluruh dunia dan celakanya, tidak ada obat efektif yang dapat menjamin jaringan komputer tidak di eksploitasi oleh virus ini kecuali mengganti hardware jaringan anda dengan switch yang memiliki fitur “DHCP Snooping” atau secara manual mengeset IP Address dan Mac Address Gateway internet jaringan di setiap PC dengan perintah “arp -s” dari Dos Prompt.
Gejala jaringan terinfeksi virus
Jika koneksi internet di kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi internet dari ISP tidak ada masalah di tambah komputer dalam jaringan “berulang-ulang” mendapatkan insiden virus atau ketika menjalankan Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”. Para pengguna Norman Virus Control setiap kali menjalankan Yahoo Messenger / MSN Messenger atau menjalankan browser, maka Norman akan mendeteksi (berulang-ulang) virus dengan nama W32/Agent.FUVR. Atau di sistem Windows anda ada file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif maka kemungkinan besar komputer / jaringan anda ada yang terinfeksi virus W32/Agent.FUVR.
Aksi virus ini pada beberapa OS adalah sebagai berikut :
l Windows XP tanpa antivirus / antivirus tidak terupdate.
Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus akan menjadi host virus di dalam jaringan.
l Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, Safari, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan bahwa ada virus terdeteksi di sistem Windows.
l Windows Vista.
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan download error script dari site :
l hxxp://root.51113.com/root.gif
l hxxp://hk.www404.cn:53/ads.js
l hxxp://err.www404.cn:443/014.html
Catatan : Website di atas hanya beberapa yang teridentifikasi oleh Vaksincom dan terus bertambah.
Antivirus saja tidak cukup !!
Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus ini. Ada yang mendeteksi sebagai W32/Agent.FUVR (Norman), Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky), HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos), JS_PSYME.CPZ (Trend Micro). Berarti virus ini tidak dapat menginfeksi komputer yang terlindung antivirus yang terupdate. Tetapi masalahnya adalah dalam kenyataannya di lapangan “sangat sulit” melindungi seluruh komputer di jaringan terlindung dengan antivirus yang terupdate, apalagi jika ada komputer dari luat / notebook dari luar jaringan yang dihubungkan ke jaringan intranet, cukup satu saja komputer yang terinfeksi maka dalam waktu singkat ia akan memalsukan diri sebagai router / geteway dan menyebarkan dirinya ke seluruh komputer lain dalam intranet yang mengakses internet.
Selain itu, virus ini memiliki kemampuan mengupdate dirinya secara otomatis (seperti antivirus) sehingga deteksi antivirus akan menjadi percuma jika pembuatnya meluncurkan varian baru dan dijamin langsung akan menaklukkan semua antivirus sampai vendor antivirus mendapatkan samplenya dan mendeteksi virus tersebut dengan update terbaru.
Masalah kedua dalam patching adalah selama celah kemanan tidak ditutup, maka sekalipun ada antivirus yang melindungi komputer, virus ini tetap akan mampu wara-wiri di dalam jaringan sampai celah keamanan di tutup. Yang menjadi pertanyaan adalah bagaimana menutup celah keamanan yang disebabkan oleh sistem IP yang mengandung kelemahan ARP Spoofing ini ? Salah satu caranya adalah mengganti switch dengan yang mendukung DHCP Snooping. Sebenarnya ada cara lain yang cukup hemat biaya yaitu dengan menggunakan perintah “arp -s” dari DOS Prompt guna mengunci IP dan Mac Address gateway di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi rasanya solusi ini dapat dikatakan patching membawa sengsara bagi administrator. Belum lagi kalau terjadi perubahan hardware pada gateway.
Masalahnya bukannya apakah antivirus sudah dapat mendeteksi virus ini atau belum, tetapi selama celah keamanan yang di eksploitasi oleh virus ini tidak di tutup dan setiap kali virus ini mengeluarkan varian baru yang “sudah hampir pasti” sulit terdeteksi oleh antivirus yang terupdate sekalipun akan kembali menginfeksi dan melumpuhkan jaringan komputer, sekalipun yang sudah terproteksi oleh antivirus yang terupdate sekalipun. Satu-satunya cara yang tuntas adalah menghilangkan peluang eksploitasi celah kemanan ini. Baik dengan menggunakan hardware yang mendukung DHCP Snooping atau secara manual mengeset IP dan Mac Address Router di setiap PC yang terkoneksi ke internet melalui gateway.
Bagaimana mengatasinya sistem terinfeksi ?
Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Tenang saja, bukan anda saja yang pusing. Para administrator lain juga pusing, jadi setidaknya anda tidak sendirian .
Langkah pertama adalah menemukan komputer yang terinfeksi virus dan memalsukan diri sebagai gateway. Bagaimana caranya ?
Anda dapat menggunakan tools gratisan Colasoft Mac Scanner http://www.colasoft.com/mac_scanner/mac_scanner.php dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxy (lihat gambar 1)
Gambar 1, Colasoft Mac Scanner mendeteksi IP komputer dan Mac Address
Dalam gambar di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan membersihkan dari virus ini.
Langkah pamungkas
Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address di setiap komputer.
Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing.
sumber :
http://qomarusy.syamsy.com/arp-spoofing.html
http://avidcho.blog.uns.ac.id/2010/06/08/mendeteksi-serangan-arp-poisoning-spoofing/
http://sabukhitam.com/blog/topic/security/arp-poisoning-dan-teknik-mengatasinya.html
