22 Situs berbahaya di Indonesia Januari 2013

30 Januari 2013
22 Situs Berbahaya di Indonesia Januari 2013
Sun Go Kong kalah sama Pegasus
Piranti lunak atau software ibaratnya seperti pistol. Di tangan orang jahat, jangankan pistol beneran, pistol mainan atau pistol rakitan sekalipun banyak digunakan untuk melakukan kejahatan dan jadilah pistol tersebut terlibat dalam kejahatan. Sebaliknya, di tangan Satria Baja Hitam, pistol digunakan untuk melindungi orang baik. Demikian pula dengan malware, sebenarnya pada dasarnya software sifatnya netral dan akan menjalankan apapun yang dirancang dan diperintahkan oleh pembuatnya. Ia akan menjalankan apapun perintah pembuatnya tanpa peduli apapun sasarannya. Dalam evaluasi Malware Online di Indonesia Januari 2013 ini Vaksincom memberikan informasi 20-an halaman situs Indonesia yang terdeteksi mengandung malware yang perlu diwaspadai pengunjung situs yang tidak dilengkapi perlindungan atas ancaman malware dari browser. Kebanyakan malware ini ditanamkan oleh kriminal dengan mengeksploitasi celah keamanan situs (secara tidak langsung merupakan keteledoran administrator situs dalam melindungi situsnya) dan beberapa situs lain merupakan aksi dari malware komputer seperti Ramnit yang sampai saat ini masih aktif wara-wiri di Indonesia. Korban malware online bervariasi, terbanyak berasal dari kalangan akademisi, baik SMP, Politeknik atau Universitas terkenal sekalipun dapat menjadi korbannya. Diikuti oleh lembaga pemerintahan baik departemen atau perusahaan dan anak perusahaan BUMN banyak yang menjadi korban malware online dan aktif menjalankan aksinya kepada pengunjung situs yang terinfeksi tersebut. Lalu golongan terakhir adalah golongan swasta, baik bisnis maupun nirlaba, perusahaan besar dari yang go publik, dimiliki oleh jaringan perusahaan internasional tidak menjamin aman dari serangan malware online. Demikian pula organisasi filantropi yang kerjanya menolong orang juga tidak luput dari infeksi malware ini. Apalagi perusahaan dengan orientasi laba seperti satu perusahaan obat gosok dengan nama sangar kerasakti, namun kali ini kerasakti kurang sakti karena terinfeksi malware Javascript JS:Trojan.Script.AAL yang akan melakukan banyak hal yang merugikan pengunjung situs, dari sekedar menampilkan pesan tertentu, mengalihkan trafik internet sampai mengirimkan malware ke komputer pengunjung situs dapat dilakukan jika diperintahkan oleh pembuat malware.

Java Script dan Redirector
Jenis malware jawara yang paling banyak ditemukan menginfeksi situs-situs internet di Indonesia adalah jenis Java Script dan Trojan redirector seperti JS:Trojan.Script.AAL atau dikenal juga dengan nama JS:ScriptIP-inf dan Trojan Redirector. Adapun beberapa contoh aksi malware ini adalah sebagai berikut :

Trojan Redirector jika berhasil menginfeksi akan langsung mengalihkan akses seperti pada gambar 1 dan 2.
20130130I_situsberbahaya01
Gambar 1, Proses awal pengalihan situs yang terinfeksi Trojan Redirector
Tergantung kepada keinginan pembuat malware, kalau Redirector akan mengalihkan pengunjung situs ke situs lain dan dalam percobaan yang dilakukan Vaksincom pengunjung dialihkan ke situs yang menawarkan pelangsing tubuh. Masih untung (untung terus :p) tidak dialihkan ke situs porno atau situs yang mengandung malware.
20130130I_situsberbahaya05
Gambar 2, Pengakses ke situs pemerintah ini kemudian akan dialihkan ke situs penjual produk pelangsing tubuh.
Adapun aksi malware Javascript yang ditemui seperti JS:ScriptIP-Inf beresiko lebih tinggi lagi karena ia dapat mengarahkan pengunjung situs mengunduh malware lain dengan teknik “drive by download” dan JS:ScriptIP-Inf ini juga sering memalsukan dirinya sebagai software baik-baik guna mengelabui korbannya untuk mengaktifkan dirinya.

Bagaimana sampai JS:ScriptIP-Inf bisa menginfeksi server internet, kemungkinan besar karena ia mengeksploitasi celah keamanan web server untuk menanamkan dirinya dan secara otomatis ia akan menampilkan dirinya pada situs yang dikunjungi dengan menginjeksikan dirinya pada bagian tertentu situs. (lihat gambar 3)
20130130I_situsberbahaya07
Gambar 3, Javascript yang di injeksikan dan akan mengarahkan akses ke situs iklan untuk kepentingan pembuat malware.
Adapun malware Javascript ini tidak pandang bulu memilih korbannya. Menurut pantauan Vaksincom, situs perusahaan besar yang sudah go public dan dimiliki oleh group perusahaan besar dari Eropa menjadi korban dari infeksinya (lihat gambar 4)
20130130I_situsberbahaya06
Gambar 4, Situs perusahaan go public yang menjadi korban JS:ScriptIP-Inf terdeteksi oleh G Data Total Protection 2013 sebagai JS:Trojan.Script.AAL
Bagaimana cara mencegahnya
Jika anda adalah webmaster, salah satu cara yang efektif untuk mencegah menjadi korban injeksi Javascript adalah dengan disiplin melakukan patching / menutupi celah keamanan webserver anda. Sekuriti adalah proses dan tidak bisa ditegakkan dengan menghukum orang lain tetapi kita tidak melakukan introspeksi untuk menganalisa apa celah keamanan / kelemahan kita dan menutupinya sehingga makin sulit untuk diretas / di infeksi malware.

Sekuriti adalah proses dan kita tidak bisa membeli keamanan / sekuriti. Ibaratnya gembok, anda bisa membeli gembok tercanggih, tetapi gembok tercanggih itu harus anda pasangkan pada pagar yang kuat dengan metode yang benar seperti kuncinya jangan ditaruh sembarangan sehingga bisa diambil / digandakan orang lain. Selain itu, meskipun gemboknya tidak bisa dirusak, kalau pagarnya lemah yah akibatnya pencuri bisa masuk dari bagian pagar lain / tembok yang lemah.

Dalam kasus ini, Vaksincom menyarankan webmaster untuk mencari hosting company yang reliable dan melakukan maintain secara teratur atas webservernya. Jika ingin melakukan sendiri, pastikan semua aspek keamanan sudah dicakup, baik perlindungan webservernya, DNS dan lainnya juga harus menjadi perhatian.

Jika anda pengunjung situs / pengguna komputer awam, Vaksincom menyarankan anda untuk menggunakan program antivirus yang memiliki kemampuan “Web Protection” (lihat gambar 5) karena terbukti mampu melindungi anda dari ancaman malware yang mengintai dari browser (lihat gambar 6)
20130130I_situsberbahaya04
Gambar 5, G Data Total Protection 2013 memiliki fitur Web protection guna melindungi anda dari malware yang mengintai dari browser
20130130I_situsberbahaya02
Gambar 6, G Data Web Protection langsung beraksi memblik situs yang mengandung malware dan kompatibel dengan firefox, Chrome maupun Internet Explorer.
Adapun daftar 22 situs Indonesia yang sepanjang bulan Januari 2013 terdeteksi mengandung malware dapat di lihat pada gambar 7 di bawah ini. Per tanggal 30 Januari 2013, mayoritas situs masih mengandung malware dan belum dibersihkan. Beberapa administrator situs yang dihubungi Vaksincom bereaksi baik dan cepat sekali mengantisipasi infeksi malware pada situs yang dikelolanya. Hal ini memang penting karena secara tidak langsung situs yang mengandung malware memberikan ancaman bagi pengunjungnya yang bisa saja pelanggan anda (jika anda perusahaan), rakyat anda (jika anda pemerintahan) atau principal dan supplier anda dan hal ini sudah pasti akan memberikan image buruk bagi citra perusahaan / organisasi.
20130130I_situsberbahaya03
Gambar 7, Daftar beberapa halaman situs di Indonesia yang terinfeksi malware Januari 2013
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: