Defenisi Worms
Cacing atau istilah asingnya adalah worms. Cacing-cacing di Internet (Worms) adalah autonomous intrusion agents yang mampu melakukan penggandaan-diri dan menyebar dengan memanfaatkan kelemahan-kelemahan sekuriti (security flaws) pada services yang umum digunakan. Worm bukanlah sebuah fenomena baru, ditemukan buat pertama kali pada tahun 1988. Worms telah menjadi sebuah ancaman yang hebat di Internet, walaupun sebahagian besar kes yang terjadi secara spesifik adalah pada sistem berasaskan Windows. Beberapa jenis worms terbaru memanfaatkan electronic mail (e-mail) sebagai medium penyebarannya.
Kaedah Pengaktifan & Mekanisme Penyebaran Worms
Perbezaan dasar antara worm dan virus terletak pada bagaimana mereka memerlukan intervensi user untuk melakukan penggandaan diri dan menyebar bagi mengjangkiti sistem komputer. Virus lebih lambat dalam melakukan penyebaran jika dibandingkan dengan worm. Namun virus mempunyai kemampuan lebih untuk menghindari pengesanan program anti-virus yang berusaha mengnyahjangkitan dan mengawal penyebaran virus pada sistem komputer.
Namun pada praktikalnya penyebaran sesebuah virus dapat menjadi sebuah worm. Untuk memudahkan pembahasan, kita membataskan terminologi antara worm dan virus dengan mempertimbangkan kaedah pengaktifan yang dilakukan oleh sesebuah worm, proses yang dilakukan sesebuah worm untuk mengakses pada sebuah sistem komputer dan mekanisme penyebaran yang memungkinkan sesebuah worm berhijrah dari satu host ke host yang lain.
Kaedah Pengaktifan :
Pengertian bagaimana worm dapat aktif pada sebuah host berhubungan erat dengan kemampuan worm untuk menyebarkan diri, sejumlah worms dapat diatur untuk aktif secara langsung (activated nearly immediately), sementara yang lain dapat menunggu beberapa hari, minggu atau bahkan bulan untuk dapat teraktif dan kemudian menyebarkan-dirinya.
Pengaktifan Dengan Intervensi User
Merupakan proses aktiviti paling lambat kerana memerlukan intervensi user untuk mengakses worm tersebut, baik disedari mahupun tidak oleh user tersebut. Namun kerana pengetahuan yang banyak mengenai bahaya worm dan virus, user dapat lebih cermat dengan tidak mengakses program asing atau membuka attachment e-mail dari orang yang tidak dikenalinya, hal ini tentu akan memperlambatkan proses pengaktifan worm. Tetapi pembuat worm tidak putus asa dengan keadaan tersebut sehingga mereka melakukan teknik social engineering seperti yang dilakukan oleh virus Melissa yang seolah-olah mengirimkan informasi penting dari orang yang telah dikenali oleh mangsa atau pesanan-pesanan peribadi lainnya yang dikirimkan oleh virus ILOVEYOU. Walaupun Melissa adalah sebuah virus macro pada program MicrosoftWord namun dengan intervensi user maka penyebaran Melissa di Internet sempat menjadi ancaman yang paling menakutkan.
Pengaktifan Terjadual
Kaedah pengaktifan worm yang lebih cepat adalah dengan menggunakan proses terjadual pada sistem (scheduled system proces). Ada banyak program yang berjalan pada lingkungan desktop mahupun server untuk melakukan proses sesuai dengan jadual yang diberikan. Kaedah ini tetap memerlukan intervensi manusia namun kali ini intervensi attacker yang diperlukan. Sebagai contoh, program auto-update dari sistem yang melakukan proses updating ke server vendor. Dengan melakukan update ke remote host sebagai master, seorang attacker yang cerdik dapat memanfaatkan proses tersebut untuk menyebarkan worm dengan terlebih dahulu menguasai remote host atau gateway pada network maupun di Internet dan mengganti atau mengjangkiti file yang diperlukan pada proses update dengan kod program worm.
Pengaktifan Sendiri
Kaedah pengaktifan sendiri adalah kaedah tercepat worm dalam menggandakan diri, menyebar, dan mengjangkiti host mangsa. Kaedah ini paling popular digunakan oleh para penulis worm. Umumnya worm yang menggunakan kaedah ini memanfaatkan kelemahan sekuriti (security flaw) pada service yang umum digunakan. Sebagai contoh, worm CodeRed yang mengeksploitasi webserver IIS. Worm akan menyertakan dirinya pada service daemon yang sudah dikuasainya atau mengakses arahan-arahan lain dengan privilege yang sama dengan yang digunakan oleh daemon tersebut. Proses akses tersebut akan berlangsung ketika worm menjumpai vulnerable service dan melakukan eksploitasi terhadap service tersebut.
Mekanisme Penyebaran :
Worm mengjangkiti host mangsa dan memasukkan kod program sebagai bahagian dari program worm ke dalamnya. Kod program tersebut dapat menyerupai machine code, atau routine untuk menjalankan program lain yang sudah ada pada host mangsa. Dalam proses penyebarannya, worm harus mencari mangsa baru dan mengjangkiti mangsa dengan salinan dirinya. Proses penyebaran tersebut dapat berlangsung sebagai proses sebaran satu ke satu (dari satu host ke host yang lain) atau sebagai proses penyebaran satu ke banyak (dari satu host ke banyak host).
Proses penyebaran satu ke banyak ini dipertimbangkan sebagai kaedah penyebaran tercepat dengan mengambil kira batasan yang digunakan oleh sesuatu masa. Terdapat beberapa mekanisme penyebaran yang digunakan worm untuk menjumpai mangsa iaitu dengan melakukan scanning, mencari mangsa berdasarkan target list yang sudah disiapkan terlebih dahulu oleh penulis worm atau berdasarkan list yang dijumpai pada sistem mangsa mahupun di metaserver, serta melakukan monitoring secara pasif.
Scanning
Kaedah scanning melibatkan proses probing terhadap sejumlah alamat di Internet dan kemudian mengecam host yang vulnerable. Dua format sederhana dari kaedah scanning ini adalah sequential (mencuba pengecaman sesebuah blok alamat dari mula sampai akhir) dan random (secara rawak). Penyebaran worm dengan kaedah scanning baik sequential mahupun random, secara perbandingan dapat dikatakan lambat, namun jika disatukan dengan pengaktifan secara automatik, worm dapat menyebar dengan lebih cepat lagi. Worm yang menggunakan kaedah scanning biasanya mengeksploitasi security holes yang sudah dijangkiti sebelumnya sehingga secara relatif hanya akan mengjangkiti sejumlah host sahaja.
Kaedah scanning yang lain yang dikira cukup efektif adalah dengan menggunakan bandwidth-limited routine (seperti yang digunakan oleh CodeRed, iaitu dengan membatasi target dengan latensi penyambungan dari sistem yang sudah dijangkiti dengan calon mangsa yang baru), mendefinisikan target yang hanya terdapat pada local address (seperti dalam sebuah LAN mahupun WAN), dan perubahan pada proses pencarian. Scanning yang dilakukan worm tidaklah spesifik terhadap aplikasi sehingga attacker dapat menambahkan sesebuah exploit baru pada sebuah worm yang sudah dikenal. Sebagai contoh, worm Slapper mendapatkan muatan exploit baru dan menjadikannya sebuah worm baru iaitu Scalper.
Target Lists
Sesebuah worm dapat memiliki target list yang sudah ditentukan sebelumnya oleh penulis worm tersebut. Dengan target list yang sudah ditentukan terlebih dahulu membuatkan sebuah worm lebih cepat dalam menyebar, namun tentu sahaja penyebaran tersebut akan sangat terbatas kerana target berdasarkan sejumlah alamat di Internet yang sudah ditentukan. Selain itu, worm dapat menemukan list yang diperlukan pada host korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm yang kaedah penyebarannya berdasarkan topologi network. Informasi yang diperolehi contohnya adalah IP address sistem tersebut dan worm mengembangkannya menjadi sebuah subnet pada LAN atau WAN.
Monitoring secara Pasif
Worm pasif tidak mencari mangsanya, namun worm tersebut akan menunggu potensi calon mangsa dan kemudian mengjangkitinya. Walaupun kaedah ini lebih lambat namun worm pasif tidak menghasilkan anomalous traffic patterns sehingga kewujudan mereka akan susah diketahui. Sebagai contoh, "antiworm" CRClean tidak memerlukan pengaktifan user, worm ini menunggu serangan worm CodeRed dan keturunannya, kemudian melakukan respon dengan melakukan counter-attack. Jika proses counter-attack berhasil, CRClean akan menghapuskan CodeRed dan mengjangkiti mangsa dengan menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar tanpa melakukan proses scanning.
Superworms :
Warhol Worm
Perbincangan mengenai warhol worm dimulakan ketika ianya mula menyerang internet pada tahun 2001. Jenis yang terkenal adalah virus Code Red yang sangat cepat penyerangannya. Jenis ini secara automatik melakukan scanning secara rawak pada mangsanya dan menggunakan hanya Internet Information Services (IIS). Suatu karakteristik yang membezakan Code Red adalah melakukan scanning secara rawak. Berdasarkan data bahawa Code Red melakukan scanning pada bahagian komputer yang mudah kena serangan sehingga 500 000 kali per jam.
Code Red II mengkhususkan penyerangan pada bahagian yang sama dari IIS yang diserang Code Red. Strategi scanning yang dilakukannya, dimana Code Red II memilih secara rawak alamat IP dari ruang alamat mangsa kelas B dengan kebarangkalian 3/8, secara rawak ruang alamat IP dari mangsa kelas A dengan kebarangkalian ½, dan kebarangkalian 1/8 dari ruang alamat IP secara keseluruhannya. Berdasarkan strategi dari penyerangannya ini, kita dapat menyimpulkan bahwa Code Red II hampir dipastikan juga melakukan tujuan yang bersifat percubaan.
Jenis lain yang akan dibincangkan adalah Nimda worm. Nimda menggunakan lima cara yang berbeza dalam penyebarannya, yakni bahagian IIS yang mudah kena serangan iaitu : email, bahagian jaringan yang terbuka (dishare), halaman web yang dijangkiti menyebar kepada pengunjung yang melakukan browsing, dan bahagian-bahagian yang telah diserang oleh Code Red II dan virus.
Contoh lain adalah Warhol worm dan Flash worm, pada tulisan ini tidak dijelaskan secara terperinci. Konsep kerja dari warhol worm dengn cara ”hit-list scanning”, iaitu mengumpulkan bahagian-bahagian (listing) yang sebagai target dalam penyerangannya. Permutasi scanning adalah salah satu target perkembang-biakan yang lain untuk mengurangi overlap scanning diantara seluruh worm. Worm baru berkembang-biak pada sebuah ruang alamat IP dengan cara permutasi dengan menggunakan sebuah block chiper 32-bit dan pre-selected key. Worm akan meng-encrypt sebuah IP untuk mengambil permutasian yang bersesuaian, kemudian melakukan decrypt untuk mengambil sebuah IP. Selama dijangkiti, worm akan meningkatkan permutasi bermula dari IP hash secara rawak.
0 ulasan:
Post a Comment
Please Do Not Spam Here Moron. Everyone Welcome Here.