Salah satu teknik paling sederhana sebelum serangandilakukan ke sebuah situs oleh seorang cracker adalah men-scan situs yang dimaksud untuk melihat kondisi situs tersebut. Pada kesempatan ini saya mencobamemgetengahkan hasil scan dari beberapa situs Internet Banking di Indonesiamenggunakan sistem operasi Linux Mandrake 7.2. Kebetulan sistem operasi LinuxMadrake 7.2 saya peroleh dalam suplemen majalah InfoLinux http://www.infolinux.web.id.Peralatan yang digunakan juga tidak ada yang istimewa, saya jalankan Linux di PCPentium II 133MHz memory 32Mbyte dan hubungan Internet melalui modem dial-up33.6Kbps. Dengan tingkat kesederhanaan alat yang digunmakan saya yakin cukupbanyak mahasiswa / siswa di Indonesia yang mampu melakukan ini menggunakanperalatan Linux-nya masing-masing.
Kebetulansekali distribusi Linux Madrake 7.0 di lengkapi beberapa perangkat lunak untuknetwork security diantaranya nmap, tcpdump, arpwatch, ipchains, openssl dll.Dari sekian banyak perangkat lunak yang ada, saya menggunakan nmap &openssl. Nmap mampu melakukan scanberbagai port server di host yang tersambung ke Internet & IntraNet.Sebetulnya cukup banyak perangkat lunak setara nmap yang bisa digunakan,beberapa bahkan cukup berbahaya untuk melakukan serangan ke situs di Internet.Untuk mencheck kemampuan melakukan transaksi dengan aman saya menggunakanfasilitas s_client di openssl untuk melihat sertifikat digital situs.
Nmapdibuat oleh Fyodor di insecure.org merupakan sebuah perangkat lunak untukmelakukan eksplorasi jaringan & scanner keamanan jaringan. Nmap sendiridirancang untuk memungkinkan seorang sistem administrator maupun individu yangiseng untuk men-scan jaringan yang besar untuk mengetahui mesin apa saja yangsedang beroperasi & servis apa saja yang mereka berikan. Cukup banyakteknik scan yang di dukung oleh nmap seperti UDP, TCP connect(), TCP SYN (halfopen), ftp proxy (bounce attack), Reverse-ident, ICMP (ping sweep), FIN, ACKsweep, Xmas Tree, SYN sweep, and Null scan. Di samping itu, adabeberapa fitur menarik seperti mengetahui sistem operasi mesin yang di scanmelalui TCP/IP fingerprinting, stealth scanning, dynamic delay dan retransmission calculations, parallel scanning, detection ofdown hosts via parallel pings, decoy scanning, port filteringdetection, direct (non-portmapper) RPC scanning fragmentation scanning, disamping flexible target & spesifikasi port.
Tergantungpada option yang di pilih, nmap juga dapat menunjukan beberapa karakteristikdari mesin remote, seperti sistem operasi yang digunakan, TCP sequencability,username yang menjalankan program yang ditempelkan pada setiap port, nama DNSdll.
Berbedadengan nmap yang sifatnya untuk men-scan mesin di jaringan, openssl adalahsebuah toolkit kriptografi yang mengimplementasikan protokol jaringan SecureSockets Layer (SSL v2/v3) dan Transport Layer Security (TLS v1) termasukberbagai standar kriptografi lainnya yang di butuhkan. Openssl sendiri adalahprogram di Linux yang sifatnya command line tidak menggunakan grafik userinterface (GUI), openssl mampu untuk digunakan untuk:
- Membuat parameter kunci (key) RSA, DH & DSA.
- Membuat sertifikat X.509, Certificate Signing Request (CSR) dan Certificate Revocation List (CRL).
- Perhitungan Message Digest (atau sidik dokumen).
- Enkripsi & dekripsi menggunakan cipher.
- Uji SSL/TLS klien & server.
- Menangani e-mail yang di tanda tangani & di enkrip mengunakan S/MIME.
Padakesempatan ini saya hanya menggunakan fasilitas s_client pada openssl yangdirancang untuk membuka hubungan transparan ke server remote yang berbicaramenggunakan SSL/TLS. Dari sekian banyak server yang di uji, kebetulan hanya https://ibank.klikbca.com yang berbicara menggunakanSSL/TLS pada port 443. Jadi scan menggunakan openssl hanya dilakukan ke situsibank.klikbca.com milik KlikBCA. Situs lain kebetulan belum saya temukan lokasiport / server yang menjalankan SSL.
Cukupbanyak option yang dapat di gunakan dalam mengoperasikan nmap secara penuh,pada kesempatan ini saya hanya membatasi pada perintah
# nmap –v –sS –O nama-situs
Tentunyamasih banyak sekali pilihan (option) yang dapat kita lakukan untuk menscansebuah situs misalnya –sT, -sX, -sF, -sN dll. Untuk jelasnya berbagai kemampuanpilihan tipe scan ini dapat dilihat dengan menuliskan
# man nmap
Khususuntuk pilihan paling sederhana yang saya lakukan –v –sS –O adalah untuk:
-v,mode verbose untuk memperoleh informasi apa yang sedang terjadi. Jika andacukup gila dengan proses ini dapat juga men-dump semua hasil scan denganmengaktifkan beberapa kali –d.
-sS,menggunakan TCP SYN scan. Menggunakan teknik ini hubungan komunikasi TCP/IPtidak dibuka penuh dalam mengevaluasi port, tapi hanya setengah terbuka (“halfopen”). Secara teknis, mesin kita akan mengirimkan SYN paket ke mesin tujuan.Jika SYN|ACK paket di kirim balik, berarti port tersebut mendengarkan. Jika RSTpaket yang dikirim balik, berarti port tersebut tertutup. Setelah memperolehpaket balasan, mesin kita akan menjawab dengan paket RST untuk me-resethubungan yang hampir terjadi tadi.. Teknik ini hampir tidak terdeteksi olehmesin lawan yang tidak secara maksimal mencatat aktifitas port-nya. Istilahkeren-nya –sS adalah Stealth Scan (scan yang tidak terdeteksi).
-O,akan meminta nmap untuk berusaha mendeteksi sistem operasi yang dijalankan dimesin tujuan. Karena kadang-kadang membutuhkan waktu yang lama untuk mendeteksisistem operasi di mesin lawan, option ini kadang tidak digunakan untukmempercepat proses scan.
Beberapasitus Bank Indonesia di Internet yang secara iseng saya scan menggunakan LinuxMadrake 8.0 di PC Pentium II 133MHz tersebut adalah:
http://www.bi.go.id(Bank Indonesia)
http://www.bni.co.id(BNI & lambat dari indonet)
http://www.lippobank.com(Bank Lippo & lambat dari indonet)
http://www.bankmandiri.co.id(Bank Mandiri)
http://www.btn.co.id(BTN)
http://www.bii.co.id(BII)
http://www.bankdanamon.com(Bank Danamon)
Darisekian banyak situs Bank, Bank Indonesia www.bi.go.di barangkaliyang merupakan Bank yang paling asal-asalan masuk ke Internet & sangatbesar lubang-nya. Port TCP yang terbuka di www.bi.go.id adalah 20,21, 22, 23, 80, 5631; beberapa port TCP lain seperti 137, 138, 139, 1524, 2041,12345, 12346, 27665 terbuka walaupun di filter melalui firewall. Belum lagikalau kita evaluasi port UDP yang terbuka pasti akan membuat layar anda penuhdengan berbagai informasi menarik untuk memulai sebuah serangan ke sebuah situsJ…..
Sebetulnyadiluar situs Bank, ada banyak juga situs yang terbuka security-nya di Internet.Salah satu situs yang terbuka lebar-lebar keamanan jaringan adalah situs www.plasa.commilik TelkomNet terbuka cukup lebar security, bahkan lebih lebar daripada BankIndonesia. Rekan-rekan di Telkom ada baiknya memperbaiki security situs mereka,karena bukan mustahil berbagai milik Telkom akan menjadi sasaran marah para crackerindonesia pada saat tarif telepon naik.
Situsbank BNI, Bank Lippo & Bank Mandiri, terbuka pada port 20, 21 & 80berarti ftp server & web server dibuka ke Internet. Relatif agak tertutupdibandingkan dengan Bank Indonesia.
SitusBII, BTN & Bank Danamon ternyata lebih tertutup lagi yaitu hanya port 80(web server) saja yang terbuka di Internet. Cukup OK untuk sebuah situs Bankyang memberikan servis Informasi ke masyarakat. Contoh layar komputer pada saatscan di lakukan pada salah satu situs ini, di lampirkan di bawah ini:
[root@yc1davonno]# nmap -v -sS www.bii.co.id
Startingnmap V. 2.53 by fyodor@insecure.org (www.insecure.org/nmap/ )
Hostwww.bii.co.id (202.152.2.29) appears to be up ... good.
InitiatingSYN half-open stealth scan against www.bii.co.id (202.152.2.29)
AddingTCP port 80 (state open).
TheSYN scan took 332 seconds to scan 1523 ports.
Interestingports on www.bii.co.id (202.152.2.29):
(The1522 ports scanned but not shown below are in state: filtered)
Port State Service
80/tcp open http
TCPSequence Prediction: Class=random positive increments
Difficulty=411558(Good luck!)
Sequencenumbers: C24AB963 C253AB47 C265AEC6 C2796858 C28974CE C2A5E185
Nmaprun completed -- 1 IP address (1 host up) scanned in 394 seconds
Yangharus di akui paling sulit untuk di tembus & di scan di Internet adalahsitus yang di operasikan oleh BCA. Hal ini memperlihatkan ke seriusan BCA dalammengamankan situs mereka dari scan & serangan para hacker / craker. Denganmenggunakan nmap saya tidak berhasil men-scan situs www.klikbca.com & ibank.klikbca.com. Tampak di bawahadalah tampilan layar yang akan di peroleh pada saat men-scan situsklikbca.com.
[root@yc1davonno]# nmap -vv -sS -O ibank.klikbca.com
Startingnmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Host (202.158.15.52) appears to be down, skippingit.
Note:Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmaprun completed -- 1 IP address (0 hosts up) scanned in 43 seconds
Harusdiakui bahwa rekan-rekan di BCA ternyata sangat serius menangani keamanan situsklikbca.com mereka sampai sampai tidak tembus di scan menggunakan nmap; padahalsudah menggunakan stealth scan dalam melakukan scanning.
Kebetulanpenulis hanya mengetahui bahwa ibank.klikbca.com merupakan situs InternetBanking. Keamanannya harus demikian ketat untuk menjamin bahwa transaksiperbankan yang dilakukan melalui Internet tidak tembus. Cara mencek sertifikatdigital situs ibank.klikbca.com dapat dilakukan dengan mudah melalui perintah:
# openssl s_client –hostibank.klikbca.com –port 443
Port 443 adalah port yang digunakan untuk Secure HTTP(https://). Hasil membuka port 443 pada situs ibank.klikbca.com akan terlihatsertifikat digital klikbca yang di berikan oleh verisign.com (certificateauthority) sebagai berikut:
subject=/C=ID/ST=Jakarta/L=Jakarta
/O=PT.Bank Central Asia
/OU=DivisiSistem Informasi
/OU=Termsof use at www.verisign.com/rpa ©00
/CN=ibank.klikbca.com
issuer=/O=VeriSignTrust Network/OU=VeriSign, Inc.
/OU=VeriSignInternational Server CA - Class 3
/OU=www.verisign.com
/CPSIncorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Prosestransaksi melalui Internet menggunakan protokol https-pun di enkrip menggunakanalgoritma RC4 yang sulit sekali untuk di tembus. Tampak pada tampilanselanjutnya adalah berbagai informasi tentang Master-Key yang digunakan untukmeng-enkrip transaksi menggunakan https.
New,TLSv1/SSLv3, Cipher is RC4-MD5
Serverpublic key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID:850000001702595756FADE4AFEE7F652BC790CC606376
Session-ID-ctx:
Master-Key:3CD841954D698035E5C82941F608D200929A3636CA07D
Key-Arg : None
Start Time: 991984495
Timeout : 300 (sec)
Verify return code: 0 (ok)
Disini kita bisa melihat bagaimana tingkat keseriusan beberapa situs InternetBanking Indonesia dalam memberikan servis kepada nasabahnya melalui Internet.Sekedar saran, tingkat keseriusan akan sama dengan tingkat keamanan situs –sebaiknya ambil situs yang aman; yang cukup mengenaskan & memalukan adalahsitus Bank Indonesia.
Tidak ada komentar:
Posting Komentar