Apakah Perangkat kita benar-benar terbebas dari malware???

Malware (malicious software) adalah singkatan dari perangkat lunak berbahaya dan digunakan sebagai istilah tunggal untuk menyebut virus, spyware, worm dll. Malware dirancang untuk menyebabkan kerusakan pada suatu komputer atau banyak pc yang ada di suatu jaringan. Jadi di mana pun istilah malware yang digunakan itu berarti sebuah program yang dirancang untuk merusak komputer Anda. Program itu bisa berbentuk Virus, Worm,  Trojan, ataupun program berbahaya lainnya.

 

Worm adalah program berbahaya yang mengcopy dirinya sendiri terus menerus dalam suatu local drive, network shares, dll. Tujuan utama dari worm adalah untuk menghabiskan resources yang kosong. Worm tidak merusak data/file pada suatu komputer seperti virus.  Worm menyebar dengan memanfaatkan kerentanan dalam sistem operasi.

Contoh worm adalah:

  • SillyFDC.BBY
  • Generic.236
  • Troresba

Karena sifatnya mereplika dirinya sendiri pada suatu local drive, hal tersebut tentu menghabiskan banyak ruang kosong pada hard drive dan meningkatkan penggunaan CPU yang dapat membuat PC menjadi lambat, dan juga dapat menghabiskan bandwidth jaringan.

 

Virus program berbahaya yang ditulikan untuk memasuki suatu komputer dan merusak file/data yang ada pada komputer tersebut. Virus dapat merusak atau bahkan menghapus data pada suatu komputer, karena itu virus jauh lebih berbahaya dari worm yang hanya akan mereplika dirinya sendiri namun tidak bisa merusak atau merubah file/data yang ada pada komputer. Virus juga dapat mereplikasi dirinya sendiri.

Contoh Virus adalah:

  • Sfc!mod
  • Rivpas.A
  • 3773

Virus dapat masuk ke suatu komputer melalui attachment pada email yang bebentuk images, software, atau file video/audio. Virus juga dapat masuk melalui file/software gratis/trial yang dapat didownload di internet. Jadi sebelum mengunduh file/software apapun di internet, pastikan file/software tersebut aman. Hampir semua virus yang ada melekat pada sebuah file/program executable, yang berarti virus tersebut mungkin ada di komputer Anda, tetapi itu benar-benar tidak dapat menginfeksi komputer Anda kecuali Anda menjalankan atau membuka file/program tersebut. Hal penting yang perlu diingat dari virus adalah virus tidak akan bisa menyebar kecuali ada action yang dilakukan oleh pengguna, seperti menjalankan program atau membuka file yang telah terinfeksi.

 

 

 

Trojan Horse adalah program perusak yang terlihat sebagai program asli. Tidak seperti virus, trojan horses tidak mereplikasi dirinya sendiri, tetapi trojan horses bekerja sebagai perusak. Trojan juga dapat membuat backdoor pada suatu komputer yang dapat memberikan akses masuk ke sistem untuk user/program yang berbahaya dan dapat mencuri informasi-informasi yang ada pada sistem.

Contoh Trojan adalah JS.Debeski.

Trojan horse dibagi dalam klasifikasi berdasarkan bagaimana mereka mempengaruhi sistem dan kerusakan yang dapat diciptakan. Berikut adalah 7 klasifikasi trojan:

  • Remote Access Trojans,
  • Data Sending Trojans,
  • Destructive Trojans,
  • Proxy Trojans,
  • FTP Trojans,
  • Security Software Disabler Trojans, dan
  • Denial-of-Service Attack Trojans.

Jadi setelah mengetahui apa yang dimaksud dengan malware dan jenis-jenisnya, hal yang akan menjadi pertanyaan selanjutnya adalah, “siapa yang menciptakan itu, dan mengapa mereka menciptakan itu?”

Hari-hari ketika sebagian besar malware diciptakan oleh seorang remaja yang jahil sudah lama berlalu. Malware saat ini sebagian besar dirancang oleh dan untuk penjahat profesional. Penjahat tersebut dapat menggunakan berbagai taktik canggih. Dalam beberapa kasus, seperti yang dijelaskan pada http://www.govtech.com/, penjahat cyber telah dapat membuat suatu data komputer menjad  “terkunci” – membuat informasi tidak dapat diakses oleh user – kemudian menuntut uang tebusan dari para pengguna agar data dapat diakses kembali, malware tersebut disebut Ransomware.

Tetapi risiko utama yang dapat ditimbulkan oleh penjahat cyber adalah pencurian data informasi perbankan online, seperti data rekening perbankan, kartu kredit, dan password. Selanjutnya para penjahat cyber ini akan menggunakan data informasi tersebut untuk menguras rekening nasabah atau menggunakan kartu kredit sampai batas limit penggunaan nasabah. Atau bahkan penjahat cyber tersebut menjual informasi akun nasabah tersebut ke black market, dimana informasi ini dapat dijual dengan harga yang tinggi.

 

So, setelah mengetahui pengertian dan siapa pembuat malware tersebut, pertanyaan terbesarnya adalah: “Bagaimana kita dapat memastikan bahwa komputer atau jaringan kita terbebas dari malware?”

Untuk perangkat/device (seperti server atau PC) yang baru dibeli dari distributor resmi, dapat dipastikan bahwa perangkat tersebut terbebas dari malware, karena malware bekerja di level aplikasi yang mana membutuhkan OS untuk bekerja. Walaupun ada penelitian yang menyebutkan bahwa saat ini sudah ada malware yang dapat menyerang BIOS (yang artinya dapat bekerja tanpa ada OS)  yang disebut BadBIOS seperti yang dijelaskan pada http://www.pcworld.com/article/2060360/security-researcher-says-new-malware-can-affect-your-bios-be-transmitted-via-the-air.html, namun hal tersebut masih belum dapat dibuktikan kebenarannya karena belum ditemukan kasus yang benar-benar terjadi.

Lain halnya dengan BIOS yang sudah di costumize. Untuk dapat memastikan apakah BIOS tersebut sudah di customize atau belum, dapat dilihat saat perangkat baru dijalankan dan masuk ke BIOS. Disitu dapat dilihat versi BIOSnya. Setelah mengetahui versi BIOS tersebut, kita dapat mengecek di situs resmi produsen BIOS tersebut, apakah versi tersebut adalah versi resmi (official) atau bukan (yang berarti sudah di custom). Untuk perangkat yang sudah di customize, kita dapat mengembalikannya ke versi resminya dengan cara melakukan flashing.

Sedangkan untuk perangkat/device baru yang bersifat plug and play (jadi tidak membutuhkan OS), untuk memastikannya terbebas dari malware dapat menggunakan malware scanner.

Lalu bagaimana perangkat/device yang sedang dipakai? Apakah perangkat/device tersebut masih aman dari malware?

Jawabannya memiliki dua bagian: kewaspadaan pribadi, dan protective tools. Salah satu cara yang paling populer untuk menyebarkan malware adalah dengan email, yang dapat disamarkan terlihat seolah-olah email tersebut adalah email resmi dari perusahaan seperti bank, atau email pribadi dari seorang teman.

Berhati-hatilah terhadap email yang meminta untuk memasukkan password. Atau email yang tampaknya dari teman-teman, tapi hanya memiliki pesan seperti “check out this cool website!” diikuti oleh link.

Kewaspadaan pribadi adalah lapisan pertama perlindungan terhadap malware, tetapi hanya berhati-hati tidaklah cukup. Karena keamanan bisnis tidak ada yang benar-benar sempurna, bahkan mengunduh file dari situs yang resmi kadang-kadang juga telah terpasang malware. Yang berarti bahwa bahkan pengguna yang sah tetap berisiko, kecuali jika Anda mengambil langkah-langkah tambahan, seperti menggunakan protective tools (seperti Malware Security Protection).

Malware Security Protection lapisan kedua dalam memberikan perlindungan terhadap komputer dan jaringan. Sebuah software antivirus ataupun antimalware yang kuat adalah komponen utama dalam pertahanan teknologi yang harus dimiliki oleh setiap sistem komputer pribadi dan bisnis.

Program anti-malware dapat memerangi malware dalam dua cara:

  1. Anti-Malware dapat memberikan perlindungan real-time terhadap instalasi software pada komputer. Jenis perlindungan malware ini bekerja dengan cara yang sama seperti yang antivirus lakukan, dimana Software anti-malware akan melakukan scan pada semua data jaringan yang masuk untuk untuk pengecekan apakah ada malware dan blok setiap ancaman yang datang.
  2. Software Anti-malware dapat digunakan semata-mata untuk deteksi dan penghapusan malware yang telah diinstal ke komputer. Jenis software anti-malware melakukan scan terhadap isi dari registry Windows, file sistem operasi, dan program yang diinstal pada komputer dan akan memberikan daftar dari setiap ancaman yang ditemukan, yang memungkinkan pengguna untuk memilih file untuk menghapus atau tetap, atau untuk membandingkan daftar ini untuk daftar komponen malware yang dikenal, menghapus file yang cocok.

Kesimpulan yang dapat kita ambil :

  1. Banyak sekali jenis malware yang ada saat ini. Seperti Worm, Virus, Trojan, Spam, Rootkits, Spyware, Spam, dll.
  2. Saat ini umumnya malware digunakan untuk melakukan kejahatan professional, seperti pencurian informasi data perbankan.
  3. Untuk perangkat/device (seperti server atau PC) yang baru dibeli dari distributor resmi, dapat dipastikan bahwa perangkat/device tersebut aman dari malware.
  4. Ada kemungkinan bahwa perangkat/device(seperti server atau PC) memiliki BIOS yang telah di customize (yang mana bisa jadi telah dimasukkan malware). Untuk hal ini, dapat dilakukan pengecekan dengan masuk ke BIOS, lalu di cek versi BIOS tersebut. Setelah versi BIOS tersebut diketahui, dapat dilakukan pengecekan di situs produsen BIOS tersebut, apakah versi BIOS tersebut resmi atau telah di customize. Untuk BIOS yang telah di customize, user dapat melakukan flashing untuk mengembalikan versi BIOS yang telah di customize tersebut ke versi resmi (official).
  5. Untuk perangkat/device yang bersifat plug and play, pengecekan dapat dilakukan menggunakan malware scanner.
  6. Untuk perangkat/device yang telah digunakan, ada 2 hal penting yang dapat melindungi perangkat, yaitu Kewaspadaan pribadi (Personal vigilance) dan protective tools (contohnya anti-malware).
  7. Hal yang paling dasar yang harus diingat oleh user adalah tidak ada perlindungan yang pasti (absolute). Namun kombinasi dari kesadaran pribadi dan alat pelindung yang dirancang dengan baik akan membuat komputer Anda aman.

 

Sumber:

  1. http://www.symantec.com
  2. http://usa.kaspersky.com
  3. https://en.wikipedia.org/wiki/Malware
  4. http://www.pcworld.com

 

 

Celah Keamanan Android – Stagefright

stagefright

Zimperium Mobile Security baru saja mengumumkan hadirnya ancaman baru bagi pengguna Android. Ancaman ini disebut sebagai “Stagefright” ini merupakan satu bug (kesalahan implementasi kode) yang terdapat pada media engine internal Android, yang diberi bernama sama: Stagefright. Kerentanan ini memungkinkan orang melakukan eksploit RCE (Remote Code Execution) alias membajak perangkatmu–cukup dengan mengetahui nomor hapemu. Caranya, dengan mengirimkan SMS Multimedia (MMS), sebuah video, yang sudah ditanami malware atau program pembajak. Dengan pengaturan normal (default), hapemu akan langsung mengunduh video itu dan mulai mempersiapkannya untuk dimainkan. Begitu video itu diakses, malware akan aktif dan bug pada Stagefright akan memungkinkan si pembajak mengakses dan mengendalikan perangkatmu dari jauh.

 

Kerentanan ini ditemukan tanggal 27 Juli 2015 lalu oleh Joshua Drake, seorang peneliti pada Zimperium zLabs, sebuah perusahaan keamanan perangkat bergerak. Menurutnya, karena media engine Stagefright ditanam pada semua perangkat Android sejak versi 2.2 (Froyo), 950 juta perangkat Android rentan dieksploitasi lewat bug ini. Dari keterangan ini, dan kenyataan bahwa Android baru masuk ke Indonesia sejak versi Froyo, bisa dibilang semua perangkat Android di Indonesia rentan dieksploitasi lewat Stagefright.
Kita harus bersyukur bahwa Drake memilih untuk mengungkap temuan ini pada Google, dengan hanya mendapat USD 1.137 untuk temuan ini–bukannya menjualnya pada pasar gelap, di mana tawaran terendah yang sudah masuk bernilai USD 100.000! Kita harus bersyukur bahwa dunia IT tidak hanya berisi pembuat hoax, tapi masih ada orang baik di dalamnya.
Melalui Android Open Source Project (AOSP) tiga patch telah dikeluarkan untuk mengatasi kerentanan ini. Namun patch ini tetap tidak akan terlalu efektif untuk perangkat Android sebelum versi 4.1. Ini karena, untuk sementara ini, patch mengandalkan Address Space Layout Randomization (ASLR) untuk mitigasi isu ini–dan ASLR baru diaktifkan sepenuhnya pada Android 4.1.
Lebih jauh lagi, Google tidak langsung melakukan patch secara online, melainkan menyerahkannya pada masing-masing vendor. Sampai 28 Juli lalu, hanya vendor Blackphone dan Firefox yang sudah aman dari eksploit ini.
Kalau Android-mu punya versi lebih lawas dari 4.1, atau kalau kamu tidak yakin vendor hapemu sudah melakukan patch, ada cara untuk melindungi perangkatmu dari eksploit Stagefright ini: matikan pengunduhan MMS dan video secara otomatis dari semua aplikasi pesan instan. Dengan demikian, kita dapat meninjau terlebih dahulu: dari siapa pesan ini dikirimkan, atau video macam apa yang dikirim. Jika pengirim tak dikenal, hapus saja. Jika video yang dikirim berupa “video heboh”, hapus saja. Kita tidak bisa mengambil resiko perangkat orang yang kita telah di-hack, dan dipakai mengirim video yang sudah ditanami perangkat pembajak.

Untuk versi CVE nya sendiri adalah :

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

Untuk versi kembangan nya dari zimperium sendiri ada beberapa seri seperti :

  • CVE-2015-1538, P0006, Google Stagefright ‘stsc’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1538, P0004, Google Stagefright ‘ctts’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1538, P0004, Google Stagefright ‘stts’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1538, P0004, Google Stagefright ‘stss’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1539, P0007, Google Stagefright ‘esds’ MP4 Atom Integer Underflow Remote Code Execution
  • CVE-2015-3827, P0008, Google Stagefright ‘covr’ MP4 Atom Integer Underflow Remote Code Execution
  • CVE-2015-3826, P0009, Google Stagefright 3GPP Metadata Buffer Overread
  • CVE-2015-3828, P0010, Google Stagefright 3GPP Integer Underflow Remote Code Execution
  • CVE-2015-3824, P0011, Google Stagefright ‘tx3g’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-3829, P0012, Google Stagefright ‘covr’ MP4 Atom Integer Overflow Remote Code Execution

Untuk POC nya sudah di sediakan dan dapat di download di alamat :

https://s3.amazonaws.com/zhafiles/Zimperium-Handset-Alliance/ZHA-Crash-PoC.zip

Bagi yang ingin mencoba bisa melakukannya dengan file testing yang disediakan dari zimperium. File ini di tulis dalam bahasa phyton dapat di download di link :

https://raw.githubusercontent.com/jduck/cve-2015-1538-1/master/Stagefright_CVE-2015-1538-1_Exploit.py

Untuk mengetahui apakah smartphone kita terkena dampak dari stagefright ini dapat diketahui salah satu cara yang paling mudah adalah dengan menginstall aplikasi Stagefright detector yang bisa di download di sini :

https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

Sedangkan cara untuk mengantisipasinya, salah satunya dengan cara di bawah ini :

  1. Untuk SMS: Setting –> Multimedia Message (MMS) –> Auto-retrieve –>  hilangkan centang pada semua kartu yang tersedia (apabila memakai dual- SIM);
  2. Untuk Whatsapp: Setting –> Chat setting –> Media auto-download –>  When connected on Wi-Fi –> hilangkan semua centang kecuali image.
  3. Untuk Hangouts: Settings –> SMS –> hilangkan centang pada Auto- retrieve MMS
  4. Untuk Facebook Messenger: Settings –> Advanced –> hilangkan centang  pada Auto-retrieve MMS

 

Daftar Pustaka

[1] https://jalantikus.com/gadgets/awas-virus-stagefright-mengincar-14-milyar-pengguna-android (Di akses 16 Februari 2016)

[2] http://www.indosains.net/article/darurat-lindungi-android-mu-dari-stagefright (Di akses 16 Februari 2016)

[3] https://blog.zimperium.com/the-latest-on-stagefright-cve-2015-1538-exploit-is-now-available-for-testing-purposes/ (Diakses 16 Februari 2016)

[4] https://blog.zimperium.com/stagefright-vulnerability-details-stagefright-detector-tool-released/ (Diakses 16 Februari 2016)