Hardening CentOS Security

William Stallings dan Lawrie Brown dalam bukunya yang berjudul Computer Security: Principles and Practice menulis tentang langkah-langkah pengamanan sistem yang menggunakan sistem operasi Linux / UNIX. Secara garis besar, langkah-langkah tersebut adalah:

  • Patch Management
  • Application and Service Configuration
  • Users, Groups, and Permissions
  • Remote Access Controls
  • Logging
  • Application Security Using a chroot jail
  • Security Testing

Berikut adalah langkah-langkah implementasi di atas secara spesifik pada sistem operasi CentOS. Setelah selesai proses basic instalasi pastikan terhubung dengan internet, sebelum dilakukan patching atau pembaharuan dan instalasi paket periksa alamat repositori yang dituju apakah sudah benar dan terpecaya.

Patch Management

Update CentOS untuk memastikan sistem dan aplikasi yang terpasang menggunakan security patch terbaru. Perintah yang digunakan untuk melakukan update CentOS adalah menggunakan perintah “yum install update”.

Application and Service Configuration

Instalasi aplikasi-aplikasi, seperti apache dan mysql, dilakukan dengan menggunakan yum. Khusus untuk OpenSSH-server instalasi dilakukan secara manual karena versi OpenSSH yang ada pada repository CentOS bukan merupakan versi OpenSSH terbaru. OpenSSH versi terbaru digunakan karena pada versi terbaru celah-celah keamanan yang ada pada versi-versi sebelumnya telah diperbaiki. Langkah-langkah instalasi OpenSSH-server secara manual dilakukan dengan menggunakan referensi berikut:  Quick and dirty manual compile of OpenSSH on CentOS 5. Walaupun referensi tersebut menginstalasi OpenSSH versi 5.0p1 pada CentOS 5, namun tetap relevan untuk melakukan instalasi OpenSSH versi 6.4p1 pada CentOS 6.

Setelah selesai melakukan instalasi OpenSSH terbaru, dilakukan konfigurasi aplikasi dan servis. Konfigurasi aplikasi dan servis yang dilakukan kali ini adalah konfigurasi apache, mysql, firewall, rkhunter (aplikasi untuk memindai rootkit) dan terakhir dilakukan konfigurasi sistem untuk membuang aplikasi / servis yang tidak diperlukan.

Konfigurasi apache dilakukan apabila diperlukan saja. Dalam kasus ini, webserver tidak melayani permintaan HTTPS sehingga konfigurasi apache akan memastikan apache tidak mendengar (Listen) port yang biasa digunakan HTTPS yaitu port 443. Untuk memastikan hal tersebut, pastikan tidak ada baris “Listen 443” pada file konfigurasi apache (/etc/httpd/conf/httpd.conf).

Konfigurasi mysql dilakukan untuk menambahkan password pada account root mysql dan mematikan fitur jaringan pada mysql karena pada kasus ini webserver dan database berada pada mesin yang sama. Dengan mematikan fitur jaringan mysql, kemungkinan terjadinya eksploitasi pada mysql dari pihak luar dapat diminimalisir.

Apabila pertama kali dijalankan, account root pada mysql belum memiliki password. Untuk menambahkan password pada account root ketika mysql pertama kali dijalankan adalah dengan menggunakan perintah “mysqladmin -u root password NEWPASSWORD”. Pastikan root tidak bisa diakses tanpa menggunakan password.

Langkah konfigurasi berikutnya untuk mysql adalah mematikan fitur jaringan (menghentikan Listen ke port 3306). Langkah ini dapat dilakukan dengan cara menambahkan baris “skip-networking” pada file config mysql di /etc/my.cnf.

Configure Firewall dilakukan untuk menutup port-port yang tidak digunakan. Apabila port-port Listen yang tidak digunakan dibiarkan begitu saja, maka port-port tersebut bisa menjadi celah keamanan yang bisa dimanfaatkan oleh pihak luar. Dalam kasus ini, konfigurasi dilakukan untuk menutup port SSH dan HTTPS yang tidak digunakan. Sebagaimana sudah dijelaskan di atas, port HTTPS tidak digunakan karena webserver tidak melayani permintaan HTTPS. Sedangkan untuk port SSH ditutup karena untuk melakukan SSH ke mesin ini digunakan port lain, bukan port default. Untuk memudahkan konfigurasi firewall digunakan tools “system-config-firewall-tui” yang menyediakan konfigurasi berbasis Text-based User Interface (TUI).

Setelah selesai melakukan konfigurasi firewall, dilanjutkan dengan instalasi dan konfigurasi aplikasi bernama rkhunter. Rkhunter (Rootkit Hunter) adalah tools untuk melakukan pemindaian pada sistem berbasis Unix / Linux. Rkhunter akan memindai backdoor, rootkit, dan local exploit yang ada pada sistem. Hal lain yang akan dipindai oleh rkhunter adalah: hidden files, wrong permissions set on binaries, suspicious strings in kernel etc. Detail lain mengenai rkhunter dapat diliat langsung pada situs resminya yaitu http://www.rootkit.nl/. Langkah-langkah instalasi dan konfigurasi rkhunter dilakukan dengan menggunakan referensi berikut: Install Linux Rkhunter (Rootkit Hunter) in RHEL, CentOS and Fedora.

Langkah terakhir pada konfigurasi aplikasi dan servis adalah memeriksa aplikasi yang terinstalasi pada sistem. Apabila ada aplikasi atau servis yang tidak perlu sebaiknya aplikasi atau servis tersebut dihapus saja. Pemeriksaan aplikasi yang terinstalasi dapat dilakukan dengan menggunakan perintah “rpm -qa”. Sedangkan untuk menghapus dapat menggunakan yum dengan perintah “yum remove package-name”

User, Group, and Permission

Pemeriksaan user dilakukan dengan melihat isi file /etc/passwd. User dengan user ID dan grup ID lebih kecil dari 500 merupakan user dan grup standar dari sistem operasi (baik user dan grup untuk aplikasi ataupun servis). Pada kasus ini hanya satu  user yang memiliki user ID 500  dan user tersebut merupakan user yang biasa dipakai pada server sehingga tidak perlu tindakan lebih lanjut.

Pemeriksaan group dilakukan dengan melihat isi file /etc/group. File ini mempunyai format nama-grup:x:grupID:user1,user2,dst. Grup dengan grup ID lebih kecil dari 500 merupakan grup standar dari sistem operasi (baik grup untuk aplikasi ataupun servis). Pada kasus ini hanya satu  grup yang memiliki grup ID 500 sehingga tidak perlu tindakan lebih lanjut.

Remote Access Control

Pembatasan remote akses dilakukan dengan mengkonfigurasi ssh. Konfigurasi yang dilakukan adalah menolak root login pada ssh dan mengganti port default dari ssh. Langkah untuk menolak root login dan pengubahan port ssh dilakukan dengan merubah isi file sshd_config. Karena OpenSSH diinstalasi secara manual maka letak file ada di /usr/local/etc/sshd_config. Apabila instalasi ssh dilakukan oleh yum maka letak file ada di /etc/ssh/sshd_config. Tambahkan baris “PermitRootLogin no” untuk menolak root login dan ubah nilai Port untuk mengganti default port.

Logging

Untuk mempermudah logging, digunakan aplikasi Logwatch. Logwatch berfungsi untuk mengirimkan log pada sistem operasi dalam bentuk email. Log dikirimkan ke administrator yang terdaftar pada konfigurasi Logwatch agar mesin tidak perlu mengurusi penyimpanan file log. Untuk melakukan instalasi dan konfigurasi Logwatch dapat mengikuti referensi berikut: Logwatch How to Install on CentOS. Pada dasarnya langkah yang dilakukan adalah:

  • instalasi logwatch melalui yum dengan perintah “yum install logwatch”
  • edit “MailTo=” pada config logwatch di /usr/share/logwatch/defaults.conf/logwatch.conf

Logwatch pada CentOS secara default menggunakan sendmail MTA (message transfer agent) untuk mengirimkan email ke mailhub yang lalu mengirimkan email ke administrator. Pada kasus ini digunakan email dari gmail sehingga MTA harus dikonfigurasi untuk terhubung dengan gmail. Setelah beberapa saat mencoba konfigurasi sendmail dirasa sangat sulit dan rumit, ditemukan aplikasi yang lebih sederhana yang hanya berfungsi mengirim email dari komputer ke mailhub (tidak bisa terima) yaitu ssmtp. Langkah instalasi dan konfigurasi ssmtp serta membuatnya ssmtp menjadi default MTA dapat menggunakan referensi berikut: Use Gmail SMTP with sendmail on CentOS 6.3 using SSMTP. Pada referensi tersebut langkah-langkah yang dilakukan adalah:

  • mematikan servis sendmail

  • menambahkan alamat repository pada yum untuk mendapatkan ssmtp package

  • install ssmtp

  • konfigurasi ssmtp (seperti pada referensi)

FromLineOverride=YES
root=username@gmail.com
mailhub=smtp.gmail.com:587
UseTLS=YES
UseSTARTTLS=YES
AuthUser=username
AuthPass=password

  • menggunakan ssmtp sebagai default MTA

Setelah selesai melakukan koonfigurasi jalankan perintah “logwatch” (dengan root permission) untuk menjalankan Logwatch. Apabila ingin diatur laporan perhari dapat menggunakan cron job. Berikut penggalan contoh hasil laporan Logwatch pada mesin yang dicobakan:

Application Security Using a chroot jail

Server memiliki beberapa service yang diberikan akses ke publik dan privat yang diakses melalui sebuah jaringan yang besar. service tersebut tidak sepenuhnya memerlukan fitur yang lengkap dari sistem operasi tersebut melainkan hanya beberapa fungsi saja, seperti file data dan direktori untuk layanan tersebut beroperasi. Hal ini dikenal dengan istilah Chroot Jail.

Contoh yang umum digunakan pada Chroot Jail adalah service dari FTP, HTTP, dan lain sebagainya. Kesemua fitur ini biasanya sering diakses baik pengunduhan maupun pengunggahan, sehingga sangat retan diserang apabila diberikan akses ke seluruh sistem. Apabila terserang maka penyerang tersebut dapat mengakses data yang lain dari sistem tersebut. Sistem pada Unix atau Linux menyediakan mekanisme untuk menjalankan layanan tersebut di Chroot Jail, yang membatasi pandangan server dari sistem file untuk hanya sebagian ditentukan.

Security Testing

Setelah selesai mengkonfigurasi aplikasi dan servis, perlu dilakukan beberapa pengujian untuk memastikan hasil konfigurasi. Berikut adalah pengujian-pengujian yang dilakukan.

Verifikasi integritas package yang terinstalasi dengan rpm.

Memastikan server hanya LISTEN ke port yang dikenali saja.

Port 2345 merupakan port yang digunakan untuk SSH, sedangkan port 80 merupakan port yang digunakan apache untuk memberi layanan web. Port HTTPS (443) pada apache sengaja ditutup.

Ditulis oleh:  Adrian Dwiananto A (23212035) & Mulkan Fadhli (23212034)

Hardening WordPress Configuration

William Stallings dan Lawrie Brown dalam bukunya yang berjudul Computer Security: Principles and Practice pada bagian Application Security (Chapter 12) merupakan bagian terpenting setelah melakukan proses pengamanan Sistem Operasi. Pada kasus ini apikasi utama pada server berjalan adalah WordPress. Oleh karenanya, proses pengamanan WordPress dimasukkan dalam bahagian tersendiri.

Agar WordPress dapat berjalan maka ada beberapa prasyarat yang harus terpenuhi, yaitu :

  • Apache Deamon sudah aktif
  • MySQL Deamon sudah aktif
  • PHP

Ketiga proses tersebut telah dijelaskan pada bahagian Application and Service Configuration, gunakan versi terbaru. satu lagi paket yang harus dimiliki yaitu WordPress source biasanya dalam bentuk .zip atau .tar.gz apabila diunduh dari situs resmi https://wordpress.org/. Berikut langkah-langkah instalasi dan konfigurasi wordpress.

  • Memastikan Prasyarat dari WordPress.

Untuk PHP ketikkan :

Untuk MySql ketikkan :

Untuk Apache ketikkan :

  • Download WP terbaru

Setelah semua aplikasi di atas terinstal dan terkonfigurasi, periksa apakah sudah jalan dengan benar. Selanjutnya unduh wordpress versi terbaru dari situsnya dengan memberikan perintah wget –secure-protocol=auto https://wordpress.org/latest.tar.gz

Dikarenakan fitur wget yang tersedia (versi terbaru) belum mendukung protokol sekuriti yang terdapat pada situs https://wordpress.org maka WP versi terbaru yaitu wordpress v3.7.1 diunduh dengan menggunakan browser terlebih dahulu.

setelah proses pengunduhan selesai, untuk alasan keamanan maka disarankan untuk

  • Extract file nya dan mounting di direktori apache nya

[root@localhost /]# tar -xvzf latest.tar.gz
[root@localhost /]# cp -R wordpress-3.3.1 /var/www/html/blog

  • Buka browser anda dan arahkan urlnya ke localhost/blog maka proses instalasi akan muncul apabila tidak maka arahkan ke //localhost/blog/wp-admin/install.php

Securing WordPress

Setelah selesai melakukan instalasi WordPress, langkah selanjutnya adalah mengamankannya dari berbagai macam kemungkinan celah keamanan. Adapun langkah-langkah mengamankannya, yaitu :

  • Gunakan password yang tangguh

Gunakan password dengan kombinasi yang tangguh sehingga sulit untuk dicoba-coba secara acak. Minimalkan penggunaan akun admin dalam mengisi konten. Dan untuk menjaga keamaan akun anda agar tidak mudah diretas melalui password berikut diberikan tips sehingga akan akun akan sulit diretas :

Password yang kuat adalah:

Minimal 8 karakter (lebih banyak lebih baik)
Mengandung lebih dari 1 huruf kecil, 1 huruf besar, 1 angka dan 1 simbol
Setiap karakter selang-seling antara huruf kecil, huruf besar, angka & simbol
Tanpa ada karakter yang sama atau berulang

Password yang ideal adalah:

Mudah diingat
Beda akun/ web/ aplikasi, beda password
Diganti setidaknya sebulan sekali

Password yang harus dihindari adalah:

Berupa kata yang ada di kamus dalam bahasa apapun
Singkatan-singkatan yang umum
Karakter berurutan baik angka maupun huruf pada keyboard
Informasi pribadi seperti nama atau tanggal lahir

  • Lindungi akses admin wordpress

Rubahlah username default dari administrator. Pada bagian Users di halaman admin, terdapat bagian pengaturan profil.

  • Update wordpress

Ini sangat penting untuk memperbarui WordPress anda dari bugs dan masalah keamanan. Anda dapat menggunakan Automatic Upgrade (Tools > Upgrade), atau 3 langkah upgrade manual.

  • Hapus file WordPress/../readme.html

Selalu periksa file readme.html apabila masih ada segera hapus, karena dengan mengetahui versi yang sedang digunakan mempermudah salah satu langka peretas dalam menyusup.

  • Konfigurasi file .htaccess untuk tutorial lengkap dapat dilihat ada creativebloq.com

Lindungi direktori WP-Admin dengan password dari sisi server. Letakkan file .htaccess pada direktori yang ingin anda amankan. Berikut adalah kode dari file .htaccess

AuthName “WP-Admin”
AuthType Basic
AuthUserFile /path/ke/passwd  #(direktori tujuan file .htpasswd)
Require valid-user

Gunakan htpasswd untuk membuat file passwd (.htpasswd) dan letakkan file ini pada direktori yang tidak bisa diakses dari web (htpasswd -c /tujuan/direktori/passwd username).

  • Monitor Malware

Instal plugin yang terpercaya guna melakukan monitoring terhadap malware serta memberikan laporan kepada admin web apabila ada malware detection sehingga apabila terindikasi dapat dihapus.

  • Lindungi dari serangan “brute force” untuk tutorial dapat dilihat pada copyblogger.com

Kadangkalanya sebuah web diserang secara ‘brute force’/acak, sehingga akan terdapat laporan percobaan penyusupan hingga berkali-kali. Blok IP yang kelihatan mencoba secara terus menerus dan berkala.

  • Block Akses Search Engine ke Direktori WP-

Direktori WP- tidak perlu di-index oleh search engine, jadi blok saja akses ke direktori ini. Anda bisa menggunakan konfigurasi berikut di file robots.txt.

              Dissalow: /wp-*

  • PLugin

Kelola plugin yang digunakan secara bijak. pastikan plugin yang digunakan berasal dari sumber yang sangat aman. Periksa daftar plugin yang sudah aktif di web, selanjutnya optimalkan dengan cara menghapus plugin yang tidak digunakan

  • Backup

Ini adalah aturan dasar yang sederhana yang dapat menyelamatkan web dalam banyak kasus. Jangan lupa untuk selalu mem-backup website (root folder dan semua file-file yg ada) dan database secara berkala, agar website dapat dikembalikan apabila terjadi serangan.

Dapat dilakuan dengan menggunakan PhpMyAdmin untuk backup database. Bukalah database anda, klik tab Export, pilih semua tabel pada pilihan SQL (jangan lupa centang “Add DROP TABLE“). Selain itu, gunakan fungsi GZIP Compression.

Kompresi adalah cara cepat dan efektif untuk menghemat bandwidth dan mempercepat website.Apache memungkinkan kompresi melalui mod_deflate dan tambahkan kode berikut di dalam file .htaccess sehngga akan mengaktifkan kompresi GZIP pada halaman web Anda.

# BEGIN GZIP
<ifmodule mod_deflate.c>
AddOutputFilterByType DEFLATE text/xml text/css application/x-javascript application/javascript
</ifmodule>
# END GZIP

Ditulis oleh:  Adrian Dwiananto A (23212035) & Mulkan Fadhli (23212034)

CentOS Secure Installation

Langkah paling utama dan pertama yang harus dilalui adalah mengamankan pondasi yaitu Sistem Operasi. Diawali dengan memastikan sumber paket instalasi tersebut berasal dari sumber yang benar. Banyak cara memastikanya, pertama gunakan paket instalasi resmi (berbeli atau unduh dari situs yang meyakinkan misalnya secure web). kedua periksa md5sum serta sha*-nya apakah sesuai dengan informasi yang tertera pada situs resmi CentOS. Langkah kedua ini berlaku untuk semua aplikasi yang bersumber dari pengunduhan.

Sistem Operasi Centos merupakan turunan dari RedHat, versi terbaru dari Centos sekarang adalah 6.4. Sistem Operasi Centos dapat diunduh dari salah satu mirror yang terdaftar pada situs resminya http://www.centos.org. Untuk pengunduhan sistem operasi centos tersedia dalam beberapa versi, Live CD (tidak dapat digunakan untuk instalasi), Minimal, Full Service. Pada versi fulservice sudah tersedia banyak aplikasi yang dibutuhkan. Pada laporan ini digunakan OS Centos yang full service akan tetapi proses instalasi menggunakan sistem Minimal, dengan tujuan mengurangi beban server. Setelah mengunduh pastikan md5sum, sha1sum, dan sha256sum sesuai dengan yang diberikan oleh situs mirror dan situs http://www.centos.org.

Jalankan CD Instalasi CentOS, setelah proses booting akan tampil tampilan depan dari CentOS. Tersedia beberapa pilihan untuk dilakukan instalasi, untuk alasan keamanan maka pilih instalasi minimal atau instalasi basic sehingga aplikasi yang terinstal hanyalah aplikasi yang dibutuhkan saja.

Setelh memilih basic instalasi selanjutnya akan muncul tampilan media testing

Akan membutuhkan waktu yang sangat lama untuk menyelesaikan pengecekan, apabila anda yakin dengan CD instalasi yang anda miliki maka disaran untuk memilih skip saja. selanjutnya pilih Bahasa yang akan digunakan pada sistem operasi.

Selesaikan semua konfigurasi yang dibutuhkan hingga proses instalasi berjalan. Untuk proses instalasi dapat dilihat pada situs  howtoforge.com.

 

Strategi Pengamanan WordPress pada Sistem Operasi Centos

Penggunaan sistem komputer di banyak perusahaan sudah menjadi kebutuhan yang sangat mendukung jalannya proses bisnis perusahaan tersebut. Sistem komputer klien dan server merupakan komponen utama dari infrastuktur IT, sistem klien menyediakan akses ke data dan aplikasi yang digunakan perusahaan. Proses tersebut didukung oleh komputer server yang menyimpan dan menjalankan aplikasi serta datanya. Sistem yang berjalan secara umum sangat mudah untuk diserang baik dari luar maupun dalam, sehingga diperlukan beberapa langkah sehingga terbentuknya sistem yang tangguh. Strategi untuk penguatan sistem yang diusulkan yaitu Perencanaan, Intalasi, Konfigurasi, Pembaharuan, dan Pemeliharaan untuk sistem operasi dan aplikasi yang berjalan.

Langkah – langkahnya dibagi kedalam 3 kelompok besar yaitu :

  1. Secure Instalation CentOS
  2. Hardening CentOS Security
  3. Hardening WordPress Configuration

Ditulis oleh:  Adrian Dwiananto A (23212035) & Mulkan Fadhli (23212034)

Antivirus Software

Anti Virus Software

Anti virus software atau sering dikenal dengan AntiVirus (disingkat dengan AV) merupakan perangkat lunak yang digunakan/didisain untuk mencegah, mendeteksi, dan mengambil tindakan untuk menglucuti atau menghilangkan program jahat/malware (computer virus, keyloggers, backdoors, trojan horses, adware, spyware, dan lain sebagainya).  Supaya dapat melindungi dengan efektif AntiVIrus harus bekerja secara tersembunyi setiap saat dan harus selalu terperbaharui sehingga dapat mendeteksi versi terbaru dari malware.

Program jahat seperti computer virus merupakan program yang didisain secara bebas untuk mengganggu. Gangguan yang diperbuat seperti: merekam, mengubah, menghapus data. Program ini berkembang biak dengan cara menyebarkan dirinya ke komputer lain dan melalui Internet.

Antivirus Program
Antivirus Program

Program antivirus merupakan bagian  paling dasar dari multi-layer strategi keamanan- bahkan untuk pengguna komputer yang sangat mahir.  serangan yang terus menerus terjadi pada browser, plug-in, bahkan sistem operasi hal ini menjadikan proteksi dari antivirus sangat penting.

Beberapa Aplikasi AntiVirus

  1. BitDefender Antivirus 2012
  2. McAfee Antivirus 2012
  3. Kaspersky Antivirus 2012
  4. ESET NOD32 Antivirus 2012
  5. Norton Antivirus 2012
  6. AVG Internet Security Antivirus 2012
  7. GFI Vipre Antivirus 4
  8. F-Secure Antivirus 2012
  9. Trend Micro Antivirus 2012
  10. ZoneAlarm Antivirus 2012
  11. Panda AntiVirus 2012
Phising
Phising

Terdapat banyak aplikasi antivirus yang lainnya, daftar diatas diambil dari hasil review pada web siliconindia.com berdasarkan kecepatan, pendeteksian, pemantauan tautan, menghilangkan virus, pembaharuan, blocking website jahat, dan lain sebagainya. Kebannyakan software diatas digunakan pada sistem operasi Microsoft Windows, hanya beberapa yang sudah menyediakan untuk sistem operasi yang lain.

How Anti Virus Work

On-Access Scanning

Perangkat lunak antivirus berjalan di latar belakang pada komputer, memeriksa setiap file yang dibuka. Hal ini dikenal sebagai on-access scanning, latar belakang pemindaian , pemindaian administratif, perlindungan real-time, atau sebagainya, tergantung pada program antivirus yang digunakan. Ketika file .EXE yang dibuka , mungkin tampak seperti meluncurkan program segera – tapi tidak. Perangkat lunak antivirus memeriksa program pertama, membandingkannya dengan virus yang dikena, worm, dan jenis-jenis malware.

Perangkat lunak antivirus juga melakukan pemeriksaan ” heuristik “, memeriksa program untuk jenis perilaku buruk yang mungkin menunjukkan sebagai virus baru. Program antivirus juga memindai jenis file lainnya yang dapat berisi virus . Sebagai contoh, sebuah file zip. Arsip mungkin berisi virus dikompresi atau dokumen Word dapat berisi makro berbahaya. File di-scan setiap kali mereka digunakan – misalnya , jika Anda men-download file EXE , maka akan dipindai segera, bahkan sebelum Anda membukanya .

Dimungkin untuk menggunakan antivirus tanpa on-access scanning, tapi ini bukan ide yang baik – virus yang memanfaatkan celah keamanan dalam program tidak akan tertangkap oleh pemindai. Setelah virus menginfeksi sistem, itu jauh lebih sulit untuk dihapus. (Ini juga sulit untuk memastikan bahwa malware pernah benar-benar dihapus.)

Full System Scans

Karena on-access scanning, biasanya tidak diperlukan lagi untuk menjalankan full-system scans. Jika Anda men-download virus ke komputer Anda , program antivirus Anda akan melihat segera – Anda tidak harus secara manual melakukan scan terlebih dahulu .

Full-system scans sangat membantu bila aplikasi antivirus baru saja diinstal. Hal ini berguna untuk memastikan tidak ada virus di komputer. Kebanyakan program antivirus mengatur jadwal full-system scans , sering sekali seminggu. Hal ini memastikan bahwa file definisi virus terbaru yang digunakan untuk memindai sistem Anda untuk virus aktif .

Full-system scans juga dapat membantu ketika memperbaiki komputer. Jika Anda ingin memperbaiki komputer yang sudah terinfeksi , memasukkan hard drive di komputer lain dan lakukan full-system scans.

Virus Definitions

Perangkat lunak antivirus bergantung pada definisi virus (pembaharuan) untuk mendeteksi malware. Itu sebabnya secara otomatis akan didownload pembaharuan terbaru, sekali sehari atau bahkan lebih sering. File definisi mengandung daftar untuk virus dan malware lainnya yang telah ditemukan di internet. Ketika program antivirus memindai file dan pemberitahuan bahwa file sesuai dengan definisi yang tersedia maka file tersebut bagian dari malware,  file tersebut dimasukkan ke dalam  karantina atau program antivirus dapat secara otomatis menghapus file atau dibiarkan tetap berada pada lokasinya , jika pengguna yakin bahwa itu adalah positif palsu .

Perusahaan antivirus harus terus-menerus pembaharuan definisi terbaru dari malware, sehingga dapat memastikan malware ditangkap oleh programnya. Laboratorium antivirus menggunakan berbagai alat untuk membongkar virus, merilis update tepat waktu yang memastikan pengguna terlindungi dari bagian baru dari malware .

Malicious Attachments
Malicious Attachments

Heuristics

Program antivirus juga menggunakan teknik heuristik. Heuristik memungkinkan program antivirus untuk mengidentifikasi jenis malware baru atau modifikasi dari malware, bahkan tanpa file definisi virus. Sebagai contoh, jika program antivirus memberitahu bahwa program yang berjalan pada sistem Anda sedang mencoba untuk membuka setiap file EXE di sistem, menginfeksi dengan menulis salinan program asli ke dalamnya, program antivirus dapat mendeteksi program ini sebagai malware baru, dengan Jenis virus yang tidak diketahui.

Tidak ada program antivirus yang sempurna. Heuristik tidak bisa terlalu agresif atau setiap perangkat lunak yang sah dianggap sebagai virus.

False Positives

Karena jumlah perangkat lunak yang beredar sangat banyak , itu memungkinkan program antivirus terkadang mengatakan file tersebut sebagai virus ketika itu sebenarnya sebuah file yang benar-benar aman . Hal ini dikenal sebagai “false positives”. Bahkan, perusahaan antivirus membuat kesalahan seperti mengidentifikasi file sistem Windows, program pihak ketiga, atau file program antivirus sendiri sebagai virus. False positives dapat merusak sistem pengguna kesalahan tersebut umumnya berakhir di pemberitaan, seperti Microsoft Security Essentials mengidentifikasi Google Chrome sebagai virus , AVG versi 64-bit merusak Windows 7 , atau Sophos mengidentifikasi dirinya sebagai malware.

Heuristik juga dapat meningkatkan false positives. Sebuah antivirus mungkin memperhatikan bahwa program berperilaku mirip dengan program berbahaya dan mengidentifikasinya sebagai virus.

Meskipun demikian , false positives jarang terjadi dalam penggunaan normal. Jika antivirus mengatakan sebuah file berbahaya, umumnya pengguna akan percaya. Jika tidak yakin apakah file sebenarnya virus, Anda dapat mencoba meng-uploadnya ke VirusTotal (yang kini dimiliki oleh Google) atau kesitus antivirus tersebut (laboratoriumnya) . VirusTotal akan memidai file tersebut dengan berbagai produk antivirus yang berbeda dan memberitahu Anda apa yang dikatakan tentang file tersebut oleh antivirus lainnya.

Detection Rates

Program antivirus yang berbeda memiliki tingkat deteksi yang berbeda, yang kedua definisi virus dan heuristik terlibat didalamnya. Beberapa perusahaan antivirus mungkin memiliki teknik heuristik yang lebih efektif dan memberikan definisi virus lebih baik dari pesaing mereka untuk menghasilkan tingkat deteksi yang lebih tinggi.

Beberapa organisasi melakukan tes rutin dari program antivirus untuk dibandingkan satu sama lain, membandingkan tingkat deteksi mereka dalam dunia nyata. AV-Comparitives teratur merilis studi yang membandingkan kondisi tingkat deteksi setiap antivirus. Tingkat deteksi cenderung berfluktuasi dari waktu ke waktu – tidak ada satu produk terbaik yang konsisten di atas. Jika ingin mengetahui seberapa efektif program antivirus dan yang terbaik diantaranya, maka studi tingkat deteksi adalah tempat untuk melihat.

Protection Rate
Protection Rate

Virus yang Berkembang dan Penanganan

1. WIN32/Ramnit.A

Virus ini terkenal bandel, dan cukup lama membuat pengguna internet terganggu. Ada cukup banyak laporan komputer yang terjangkit Ramnit masuk ke technical support Eset Indonesia. Virus berjenis trojan ini relatif sulit disingkirkan. Tip dari Technical Support Eset Indonesia adalah lakukan update scan via safe mode atau gunakan sysrescue.

2. LNK/Autostart.A

Nama lain Win32/CplLnk.A, yaitu threat yang dibuat secara khusus. Ketika seseorang membuka sebuah folder yang berisi malware shortcut dengan menggunakan aplikasi yang menampilkan shortcut icon, maka malware tersebut akan aktif secara otomatis.

3. Win32/Ramnit.F

Malware berjenis trojan ini mampu meng-copy dirinya yang akan memenuhi hard drive komputer yang terinfeksi. Virus ini biasanya bersembunyi di dalam aplikasi office, bahkan game. Dengan kemampuannya membuka firewall dan menyamar menjadi program palsu untuk mengumpulkan data penting seperti data transaksi, data keuangan sehingga sangat dianjurkan untuk segera menghapusnya, karena berpotensi menghambat kerja komputer dan merusak data yang tersimpan di dalamnya.

4. HTML/frame.B.Gen

Sejenis trojan yang berbahaya, dan mampu membajak komputer berbasis Windows lalu menginstall backdoor di komputer tersebut. Malware ini mampu mematikan software antivirus, sekaligus memonitor aktivitas browsing user, bahkan menghapus registry entries. Serta bisa mengakibatkan sistem operasi pada komputer tidak mampu bekerja sama sekali sehingga sangat membahayakan keamanan semua data yang tersimpan didalam komputer.

5. Win32/Sality.NBA

Salah satu program jahat ilegal yang ada pada Windows. Program tersebut mampu mangambil alih resources system dan memperlambat kinerja komputer. Beberapa program sejenis seringkali muncul dalam bentuk pesan-pesan maupun banner iklan sehingga mengganggu proses kerja. Sementara itu, malware ini juga merusak data yang tersimpan di dalam komputer.

6. Adware.BL

Geographical Distribution of Threat "AdWare.bl"
Geographical Distribution of Threat “AdWare.bl”

Sebuah ancaman keamanan baru yang dikenal sebagai Adware.BL telah ditemukan oleh Security Expert pada agustus 2013 (symantec.com). Jenis ancaman keamanan ini dapat menyebabkan kerugian bagi komputer Anda jika Anda tidak memiliki antivirus yang baik terinstal pada komputer Anda. Sebuah Software Antivirus yang baik akan mencegah Adware.BL dari yang diinstal dan dijalankJan pada komputer Anda. Berikut akibat yang dihasilkan apabila terkena virus tersebut :

  • Komputer Menjalankan Lambat
  • Program Gagal Buka expecially semua file exe
  • Tidak dapat terhubung ke Internet
  • Virus Scanner palsu yang tidak akan menutup

Ada banyak lagi, tetapi ini biasanya merupakan gejala dari komputer Anda terinfeksi Adware.BL atau beberapa jenis Virus dan Spyware atau . Untuk melindungi komputer terbaik anda dari terinfeksi . Pastikan untuk menjalankan Scan Virus dan Scanner Spyware di Komputer. Antivrus yamg sudah dapat dibersihkan dengan symantec dan kaspersky yang sudah diperbaharui.

Referensi:

Ditulis oleh:  Adrian Dwiananto A (23212035) & Mulkan Fadhli (23212034)

Application-Based Workstation Firewall – Incoming Traffic

Firewall

Firewall pada dasarnya merupakan sebuah filter. Firewall, bisa merupakan sebuah perangkat lunak ataupun perangkat keras, berfungsi untuk menghadang informasi terlarang keluar / masuk sistem dan mengijinkan informasi yang telah disetujui keluar / masuk sistem.

Firewall beroperasi dengan memantau dan memblokir semua informasi, baik keluar ataupun masuk ke sistem, yang tidak memenuhi kebijakan-kebijakan (rules) yang telah dikonfigurasi. Penerapan firewall dibagi menjadi dua kategori yaitu firewall jaringan dan firewall host. Firewall jaringan adalah firewall yang memantau informasi yang keluar / masuk sebuah jaringan, sedangkan firewall host adalah firewall yang memantau informasi yang keluar / masuk  sebuah komputer tanpa memperdulikan jaringan tempat komputer tersebut diletakkan.

Firewall Incoming
Firewall Incoming

Beberapa lembaga keamanan di dunia memasukkan konfigurasi firewall kedalam salah satu bagian terpenting yang perlu diawasi. Australia dalam laporan Strategies to Mitigate Targeted Cyber Intrusions membagi firewall ke dalam dua model yang berbeda yaitu firewall untuk memfilter informasi yang masuk (incoming) dan informasi yang keluar (outgoing). Pada artikel ini akan dijelaskan lebih detail mengenai firewall untuk memfilter informasi yang masuk (incoming) pada sistem berbasis Microsoft Windows (firewall host).

 Penerapan Firewall Host untuk Memfilter Informasi yang Masuk

Firewall host merupakan perangkat lunak yang terinstalasi pada komputer host dan mempunyai fungsi untuk melakukan filter atas informasi yang keluar ataupun masuk ke komputer tersebut. Karena komputer tersebut dapat digunakan untuk berbagai fungsi, firewall hanya merupakan sebuah bagian kecil dari komputer tersebut berbeda dengan komputer yang khusus berfungsi sebagai firewall jaringan. Fitur-fitur pada perangkat lunak firewall host biasanya tidak selengkap firewall jaringan seperti adanya fitur Intrusion Detection System (IDS).

IDS merupakan fitur yang memakan sumber daya pemrosesan secara intensif (processing-intensive) dan membutuhkan biaya pengoperasian yang tinggi. Selain itu, IDS seringkali melakukan kesalahan yang menganggap sebuah informasi tidak berbahaya adalah informasi yang mengancam sistem sehingga menghasilkan pemberitahuan yang salah (false alarm). Setiap pemberitahuan yang dihasilkan oleh IDS perlu dipantau sehingga staff operasional dapat melakukan tindak lanjut apabila mendapat pemberitahuan berbahaya dan mengabaikan apabila pemberitahuan tersebut salah. Karena alasan-alasan tersebut, fitur-fitur lanjut seperti IDS hanya digunakan oleh firewall jaringan. Firewall host umumnya mempunyai cara kerja dengan metode pemfilteran paket (packet filtering).

Pemfilteran Paket (Packet Filtering) untuk Memfilter Informasi yang Masuk

Kegunaan utama dari firewall adalah pemfilteran lalu lintas informasi. Khusus untuk filter informasi yang masuk, firewall menginspeksi paket data saat masuk ke sistem dan mengecek apakah paket data tersebut memenuhi kriteria firewall yang telah didefinisi oleh administrator agar firewall dapat memberi ijin ataupun menolak paket data tersebut. Firewall akan menolak semua paket data yang tidak memenuhi kriteria firewall. Ada 2 macam penerapan kebijakan kriteria firewall yaitu menggunakan daftar ijin (whitelist) dan daftar tolak (blacklist). Dengan menerapkan whitelist, firewall akan menolak semua paket data yang tidak memenuhi kriteria dalam daftar tersebut dan hanya mengijinkan paket data yang memenuhi kriteria dalam daftar. Sedangkan dengan menerapkan blacklist, firewall akan menerima semua paket data yang tidak memenuhi kriteria dalam daftar tersebut dan menolak semua paket yang memenuhi kriteria dalam daftar.

Berikut adalah atribut-atribut utama pada TCP/IP yang digunakan untuk membuat kriteria pemfilteran paket:

  • Alamat IP sumber
  • Alamat IP tujuan
  • Protokol IP
  • Port TCP dan UDP sumber
  • Port TCP dan UDP tujuan
  • Antarmuka tempat datangnya paket (The interface where the packet arrives)
  • Antarmuka tempat tujuan paket (The interface where the packet is destined)

Pembuat aplikasi umumnya sudah merancang aplikasi buatannya agar dapat berjalan melalui firewall jaringan dan firewall host. Khusus untuk firewall host, biasanya apabila sebuah aplikasi akan terhubung dengan internet untuk pertama kalinya maka akan ada pemberitahuan kepada pengguna (dengan akses administrator) dan pengguna dapat menentukan apakah aplikasi tersebut diijinkan atau ditolak untuk terhubung dengan internet. 

Kriteria Windows Firewall untuk Remote Desktop
Kriteria Windows Firewall untuk Remote Desktop
Kriteria ZoneAlarm untuk Remote Desktop
Kriteria ZoneAlarm untuk Remote Desktop

Kedua contoh gambar di atas adalah contoh dari penerapan kriteria pada dua perangkat lunak firewall host (Windows Firewall dan ZoneAlarm) untuk mengijinkan paket data Remote Desktop dapat melewati firewall. Pada contoh kriteria firewall di atas digunakan filter atribut port TCP yang digunakan oleh aplikasi Remote Desktop yaitu port 3389. Selain menggunakan port, biasanya perangkat lunak firewall host yang ada saat ini dapat menggunakan atribut aplikasi tanpa perlu mengetahui portnya seperti pada contoh gambar di bawah ini.

Kriteria Windows Firewall untuk aplikasi µTorrent
Kriteria Windows Firewall untuk aplikasi µTorrent

Contoh Perangkat Lunak Firewall yang Dapat Digunakan

Banyak tersedia perangkat lunak firewall  pihak ketiga yang dapat dijadikan alternatif apabila perangkat lunak yang sudah ada (Windows Firewall) dirasa tidak sesuai. Berbagai jenis proteksi yang disediakan cukup beragam sehingga dapat dibagi menjadi dua kategori yaitu basic firewall dan firewall dengan HIPS (Host Intrusion Prevention System).

Basic firewall merupakan firewall yang membatasi akses terhadap sistem baik pembatasan dari luar ke dalam maupun pembatasan dari dalam ke luar sistem. Sedangkan firewall dengan HIPS merupakan firewall yang secara aktif melakukan pengawasan terhadap aktivitas-aktivitas mencurigakan pada sistem sebelum malware mendapat kesempatan untuk mengambil alih komputer. HIPS sendiri merupakan sebuah program yang bertujuan untuk mempertahankan integritas sistem yang dilindungi dengan cara mencegah perubahan krusial pada sistem dari sumber-sumber yang tidak diketahui. Umumnya HIPS memberi tahu pengguna apabila akan ada perubahan pada sistem dan membutuhkan otorisasi dari pengguna untuk melakukan perubahan tersebut.

Beberapa contoh perangkat lunak basic firewall pihak ketiga untuk Microsoft Windows adalah:

Beberapa contoh perangkat lunak firewall dengan HIPS pihak ketiga untuk Microsoft Windows adalah:

 

Proteksi Terhadap SSH Dictionary Attacks dengan Menggunakan Firewall untuk Memfilter Informasi yang Masuk

Salah satu contoh kegunaan dari filter informasi yang masuk oleh firewall adalah mencegah SSH dictionary attacks yang merupakan salah satu bentuk umum serangan pada jaringan internet. Komputer-komputer host yang telah dikuasai oleh penyerang akan secara terus-menerus mencari komputer host lain di internet yang membuka port 22 (SSH scanning) yang merupakan port default SSH, dan ketika berhasil menemukan komputer yang membuka port 22 maka komputer yang telah dikuasai penyerang akan mencoba masuk (login) menggunakan daftar berbagai kombinasi username dan password (dictionary of usernames and passwords) yang sudah mereka miliki. Apabila penyerang dapat masuk ke komputer yang membuka port 22 tersebut maka penyerang dapat menggunakan komputer tersebut untuk melakukan serangan lebih lanjut seperti melakukan SSH scanning, denial of service attacks, dan menyimpan konten ilegal.

Ilustrasi SSH dictionary attacks
Ilustrasi SSH dictionary attacks

Berbagai cara dapat dilakukan untuk mencegah SSH dictionary attacks namun salah satu cara yang dapat digunakan adalah dengan cara menggunakan firewall untuk memfilter informasi yang masuk. Kriteria firewall dapat diatur menggunakan port sumber informasi dan alamat sumber informasi sehingga hanya alamat-alamat yang terpercaya saja yang bisa mengakses port SSH yaitu port 22.

 Sumber

Ditulis oleh:  Adrian Dwiananto A (23212035) & Mulkan Fadhli (23212034)