Mitigation 9# Application Based Workstation Firewall

Contributor : Ardy Pratama (23213056)
                       Harry Chandra (23213066)

1. Pendahuluan
Prinsip dasar dari semua keamanan adalah untuk menghentikan orang tidak berkepentingan atau proses yang tidak diizinkan dan memberikan akses kepada orang atau proses yang diizinkan. Jadi keamanan adalah tentang kontrol akses, dan kontrol akses pada umumnya dimulai dengan identitas. Namun identitas sendiri tidak cukup – kita juga perlu memahami tujuan. Kita perlu mengidentifikasi orang atau proses, dan memutuskan apakah tujuannya baik atau buruk.

Sebagai contohnya adalah paspor. Paspor membuktikan identitas, tetapi tidak memberi tahu kita identitias dari orang tersebut baik atau buruk. Untuk itu kita perlu membuat whitelist untuk orang yang dikenal baik seperti orang yang sering berpergian keluar negeri dan blacklist untuk orang jahat dan teroris yang biasanya memiliki tujuan tidak baik. Keamanan Cyber pun memiliki prinsip yang sama seperti kontrol akses pada paspor.

Prinsipnya adalah whitelist diberikan kepada prilaku orang atau proses yang dikenal baik atau minimal dapat diterima oleh system dan blacklist diberikan kepada prilaku orang atau proses yang tidak dapat diterima. Keamanan sebagian besar didasarkan pada bagaimana kita menggunakan daftar blacklist dan whitelist ini. Kita akan mengizinkan whitelist untuk melakukan prosesnya dan kita mencegah apa yang ada di blacklist.

Pada awalnya industri anti-malware hanya mencatat blacklist tetapi sekarang yang juga dilakukan adalah mengelompokan hal-hal yang dikenal baik ke dalam whitelist. Kita perlu tahu mana yang terbaik untuk keamanan yang optimal.

2. Whitelisting vs Blacklisting
2.1 Pendukung Blacklisting
Dasar keamanan anti-virus adalah blacklist dari semua malware yang dikenal. Teknologi ini didasarkan pada blacklist karena pada awalnya hanya ada sangat sedikit virus. Keuntungan utama secara konseptual sederhana dari blacklist adalah mengenali beberapa hal yang dianggap malware, menghentikan mereka, dan memperbolehkan proses yang lain selain yang ada di blacklist.

Argumen kedua yang mendukung blacklist adalah ‘kemudahan administrasi’. Pemeliharaan blacklist adalah sesuatu yang kita dapat mendelegasikan kepada pihak ketiga yang terpercaya-dalam hal ini perusahaan anti-virus. Perusahaan antivirus yang ada secara bergiliran, melalui internet, secara otomatis dapat memperbarui blacklist untuk kita tanpa kita perlu melakukan apa pun.

Dan PowerDan Power, UK manajer regional, Spamina

Whitelisting lebih sulit untuk didelegasikan kepada pihak ketiga keputusan yang aplikasi yang kita butuhkan. “Whitelisting akan menjadi solusi sempurna jika orang hanya memiliki satu komputer yang tidak pernah dipatch dan tidak pernah berubah”, menurut penjelasan Dan Power, UK manajer regional untuk anti-spam Spamina perusahaan”. Secara logika memang akan sangat baik jika mengizinkan eksekusi file yang berada dalam whitelist tapi mempertahankan whitelist ini sulit. Masalahnya muncul ketika Anda harus mendaftar atau mendaftar ulang setiap DLL setiap kali Anda menginstal baru , atau patch yang ada, aplikasi. Masalah yang lainnya adalah siapa saja yang diperbolehkan untuk menginstall software sendiri dan siapa yang tidak diperbolehkan dan bit mana saja dari software yang boleh diubah dan bit yang mana yang tidak boleh diubah? Ini menjadi lebih dari masalah administratif daripada masalah intelektual.

David Harley, peneliti senior di ESET LLC, setuju dengan pernyataan “Whitelisting tidak jauh berbeda dengan memeriksa integritas proses/data dan akan memperbanyak pekerjaan yang dilakukan oleh tim pendukung di bagian internal dan akan mengganggu pengguna akhir karena pengguna tidak dapat untuk menginstall sesuai dengan keinginan mereka”.

David HarleyDavid Harley, peneliti senior ESET

Tahun lalu Scott Charney dari Microsoft mengusulkan bentuk whitelist untuk akses ke internet yaitu hanya pengguna yang memiliki sertifikat sehat berinternet untuk komputer mereka yang diizinkan mengakses internet. Hanya sedikit di industri keamanan yang mendukung usul Scoot Charney. Jika komputer seperti televisi, hanya dengan satu sistem operasi dasar yang tidak pernah berubah, maka itu bisa dilakukan. Tapi di dunia nyata ada begitu banyak variabel yang terkait dengan Windows dan semua bit perangkat lunak yang pernah ditulis untuk Windows, sehingga hampir mustahil untuk dapat mengatakan apa yang dapat dan apa yang tidak dapat dan apakah komputer tidak bersih dari malware atau sehat. ”

 Jennifer GilburgJennifer Gilburg, Direktur marketing Intel

Jennifer Gilburg, direktur pemasaran di Intel, melihat masalah yang berbeda dengan jenis blacklist. “Pikirkan e-commerce”, katanya. “Penjual online akan lebih memilih melakukan penipuan dalam transaksi sesekali daripada risiko dari transaksi yang benar. Jadi, pemikiran pemblokiran pengguna datang ke internet sampai mereka dapat dipercaya akan menakut-nakuti banyak penyedia e-commerce yang mata pencaharian mereka atas dasar lebih banyak pengguna lebih baik. Saya menduga bahwa sebagian besar dunia e-commerce akan mengaku sangat sulit untuk melakukan versi whitelist”. Jadi salah satu argumen terkuat yang mendukung blacklist adalah masalah yang bersangkutan dengan whitelist.

2.2 Pendukung Whitelisting

Henry harrison
Henry Harrison, Direktur teknis, Detica

Namun, Henry Harrison, direktur teknis di Detica, menunjuk ke suatu masalah tertentu dengan blacklist”. Blacklist anti-virus”, katanya , “didasarkan pada gagasan untuk mendeteksi hal-hal yang dikenal buruk dan menghentikan mereka. Akan tetapi tidak bisa mendeteksi hal-hal yang buruk yang tidak diketahui”. Ancaman zero-day tidak dikenal tidak akan dimasukan ke dalam blacklist jika mereka tidak melakukan proses yang mencurigakan(baik-baik saja)”. “Apa yang kita lihat hari ini”, lanjut Harrison, “Banyak target, serangan rahasia-infiltrasi eksternal ke jaringan perusahaan dengan maksud untuk pencurian informasi berharga menggunakan teknik yang secara khusus dirancang untuk menghindari blacklist dan satu respon yang mungkin untuk ancaman zero-day adalah whitelist”.

Senior vice president lumension, Alan Bentley, menjelaskan bahwa dasar blacklisting adalah dari sisi ancaman sedangkan dasar dari whitelist adalah sisi kepercayaan. Malware yang diblaclist harus cukup tetapi dengan kondisi ancaman dalam dunia cyber yang sangat banyak ini kita harus mempertanyakan apakah blacklist saja masih cukup baik.

Alan Bentley Alan Bentley, senior vice president, Lumension

Inilah yang dilakukan Lumension yaitu melindungi end-points dengan membuatnya mudah secara administratif untuk menciptakan dan memelihara whitelist dari aplikasi dengan cara memblacklist malware. “Kami percaya bahwa jika Anda melihat dua hal tersebut bersama-sama, whitelist merupakan pertahanan awal dari keamanan yang ada pada organisasi karena whitelist akan menghentikan segala sesuatu yang tidak disetujui untuk dilakukan. Akan tetapi apa yang tidak dapat dilakukan adalah menghapus malware yang telah berada di dalam mesin”.

Bit9, seperti Lumension, adalah perusahaan yang berkonsentrasi pada whitelist. “Prinsip dari whitelist aplikasi sangat sederhana,” jelas Harry Sverdlove, kepala kantor teknologi. “Apa yang Anda inginkan berjalan pada sistem Anda lebih kecil daripada apa yang tidak Anda inginkan. Kami menerapkan model ini untuk aspek keamanan lainnya dalam hidup kita. Misalnya, siapa yang Anda biarkan ke rumah Anda? Anda tidak menyimpan daftar orang yang buruk di dunia. Sebaliknya, Anda hanya memungkinkan orang yang anda percaya masuk ke rumah Anda”.

Harry Sverdlove
Harry Sverdlove, CTO, Bit9

Ledakan malware yang berjumlah lebih dari 2 juta buah malware baru setiap bulan adalah hal yang membuat kita mempertanyakan apakah blacklist tetap realistis”. “Secara umum, whitelist selalu lebih aman daripada blacklist”, lanjut Sverdlove. “Akan tetapi itu membutuhkan pemikiran lebih tentang apakah software yang ada pada sistem dapat dipercaya atau tidak. Itulah alasan mengapa perlu dimasukkan reputasi software ke dalam database menjadi hal sangat penting dalam whitelist. Whitelist menyediakan tingkat kepercayaan pada perangkat lunak, seperti penasihat terpercaya yang dapat membuat proses lebih mudah dikelola. Jika semua yang dijalankan berasal dari pihak ketiga yang terkenal, kita hanya perlu melihat reputasi software yang ada pada cloud untuk menyetujui penggunaan software”.

2.3 Kesimpulan whitelisting vs blacklisting
Kesimpulan yang kita dapatkan dari pendapat para ahli adalah whitelisting merupakan solusi keamanan yang secara dasarnya lebih baik daripada blacklisting. Jika sesuatu tersebut tidak ada dalam list maka proses tersebut akan dihentikan maka posisi dari whitelisting lebih aman. Akan tetapi dengan blacklisting, jika sesuatu tidak terdapat dalam daftar maka proses tersebut diizinkan maka dalam hal ini blacklisting lebih kurang aman. Walaupun whitelisting lebih baik dalam hal keamanan tetapi usaha untuk melakukan blacklisting lebih kecil dibandingkan dengan whitelisting. Namun, efisiensi blacklist menurun dengan meningkatnya daftar ukuran blacklistnya. Hampir dapat dikatakan bahwa whitelist akan menjadi yang terbaik jika ukuran whitelistnya kecil dan blacklisting akan menjadi yang terbaik jika daftar blacklistnya kecil juga. Namun, karena tak satu pun dari situasi ini mungkin terjadi di dunia nyata, kesimpulan yang didapatkan adalah sederhana yaitu kita membutuhkan keduanya.

3. Application-based workstation firewall
Dengan memahami bahwa konsep keamanan whitelist selalu lebih baik dari blacklist dan dalam dunia nyata kira membutuhkan keduanya untuk melakukan proteksi pada sistem kita maka untuk memitigasi risiko pada kejahatan cyber maka:

  • Firewall sebaiknya menggunakan blacklist dari koneksi internet yang masuk ke dalam komputer user. Tujuannya agar koneksi yang masuk ke dalam komputer tetap dapat berjalan kecuali yang masuk ke dalam daftar blacklist.

Blacklist packet
Filtering Blacklist pada Firewall

  • Firewall sebaiknya menggunakan whitelist untuk koneksi yang akan keluar dari komputer user ke internet. Tujuannya agar koneksi keluar komputer tidak dapat dilakukan tanpa izin dari user sehingga komputer user tidak dapat dikontrol oleh hacker jika user telah terkena malware dibuat oleh hacker. Contoh serangan yang dapat diatas dengan menggunakan whitelist firewall ini adalah :
    1. Virus Trojan Horse
    Cara kerja virus ini adalah dengan melakukan penyusupan tanpa diketahui korban kemudian komputer korban akan dapat dikontrol oleh attacker dari jarak jauh. Biasanya attacker akan menggunakan komputer korban untuk mencuri password, sebagai zombie untuk melakukan DOS attack.
    2. Stuxnet
    Malware yang menggunakan Zero-day untuk melakukan penyerangan alat sentrifugal nuklir yang berada di Iran. Zero-day Merupakan vulnerabilities dari software yang telah ditemukan oleh attacker tetapi dari pihak developer masih belum menemukan vulnerabilites sehingga patch terhadap vulnerabilites tersebut belum keluar. Vulnerabilites tersebut yang digunakan oleh hacker untuk melakukan exploit ke dalam komputer korban.
    3. Duqu
    Sama seperti stuxnet tetapi tujuannya berbeda. Tujuan dari Duqu yaitu untuk mencuri data di Iran. Duqu menyerang zero-day vulnerabilites dari kernel komputer Windows.
    4. Flame
    Merupakan malware yang ditemukan oleh Kaspersky lab. Malware ini dirancang untuk fungsi intelijen yaitu untuk melakukan sniffing dari jaringan untuk mendapatkan pembicaraan audio melalui aplikasi seperti skype, chatting, dan keystrokes.
    5. Malware – malware lain yang belum ditemukan dan bersifat untuk mengontrol sistem korban dari jarak jauh.

Whitelist Packet
Filtering Whitelist pada Firewall

Aplikasi antivirus sekarang ini pun hampir semuanya telah dilengkapi dengan firewall untuk melakukan filtering terhadap incoming dan outgoing packet. Contoh antivirus yang dilengkapi dengan firewall  adalah Avast Antivirus, Kaspersky, Comodo firewall, ESET NOD32, dll.

Berikut ini adalah contoh penggunaan aplikasi avast antivirus untuk melakukan whitelist terhadap outgoing packet yang berasal dari aplikasi:

Avast FilteringWhitelist Antivirus

Dari gambar diatas dapat dilihat bahwa URL yang tidak difilter oleh antivirus adalah url http://api*.webrep.avast.com/*.

Referensi

[1] http://kevtownsend.wordpress.com/2011/08/24/whitelisting-vs-blacklisting/

[2] http://www.techterms.com/definition/whitelist

[3] http://science.opposingviews.com/firewall-whitelist-2390.html

[4] http://security.stackexchange.com/questions/25736/how-should-an-outgoing-connection-white-list-be-created

Leave a Reply

Your email address will not be published. Required fields are marked *