Kaleidoskop Sekuriti Indonesia 2014

03 Desember 2014
Kaleidoskop Sekuriti Indonesia 2014
Tahun baru 2014, para kriminal pembuat situs abal-abal makin menjadi-jadi menjalankan aksinya. Ibarat aksi penyebar ranjau paku yang tidak peduli kalau cara yang mereka lakukan untuk mencari sesuap nasi adalah di atas penderitaan orang banyak yang bannya kempes karena ranjau paku yang mereka sebarkan, para kriminal onlineshop abal-abal tidak berhenti mencari cara untuk mendapatkan korban baru. Dari cara konvensional membajak akun Facebook orang lain dan membuat ratusan situs online palsu abal-abal dengan iming-iming harga handphone dan elektronik yang sangat murah. Sama seperti dunia nyata dimana ada komunitas Saber dan Semut Oranye, banyak netter yang aktif memerangi aksi ini dengan memberikan informasi situs-situs belanja online palsu seperti bankhitam.com, batamwatch.com datapenipu.com dan polisionline.com yang aktif memberikan informasi tentang aksi penipuan supaya tidak berjatuhan korban baru. Mungkin karena desakan yang cukup tinggi ini terlihat beberapa penipu online mulai mencari cara alternatif yang lebih fokus seperti mengirimkan SMS broadcast ke calon korbannya dengan iming-iming harga murah yang menuntun ke situs yang telah dipersiapkan. Selain SMS broadcast, banyak juga penipu yang mulai memanfaatkan pin BBM (Blackberry Messenger) sebagai sarana untuk mencari korban baru. Sebenarnya, untuk menjadi penipu cukup sulit dimana selain harus memiliki kemampuan teknis dan pengetahuan pasar produk yang diminati. Para penipu juga harus memiliki banyak akun bank aspal untuk menampung hasil penipuan mereka untuk dikuras melalui ATM. Kalau di negara dengan pengelolaan administrasi kependudukan yang baik, akan sulit membuat lebih dari satu tanda pengenal (KTP) dan rupanya tidak demikian dengna Indonesia. Muara dari penipuan online ini adalah mudahnya membuka rekening bank yang nantinya digunakan untuk menerima uang hasil penipuan yang secara tidak langsung merupakan dampak dari lemahnya manajemen kependudukan di Indonesia. Sudah menjadi rahasia umum kalau sampai hari ini tidak sulit untuk mendapatkan KTP ganda. Mudahnya mendapatkan KTP palsu mengakibatkan maraknya kegiatan pendukung onlineshop palsu ini, Jual Beli Rekening Bank Aspal.


Di ranah malware tercatat malware Nabilah yang jika berhasil menginfeksi komputer korbannya akan menghukum komputer tersebut dengan heavy rotation alias mouse komputer bergoyang-goyang tidak teratur dan tidak bisa digunakan selama 1 menit jika kedapatan mengakses situs porno. Selain ancaman Nabilah, Vaksincom mencatat adanya iklan di internet yang menakut-nakuti korbannya atas ancaman yang sebenarnya tidak ada dengan tujuan supaya korbannya meninstalkan program tidak diinginkan (PUP Potentially Unwanted Program) yang telah dipersiapkan sebelumnya yang akan memberikan keuntungan finansial bagi pembuatnya. Iklan ini akan muncul tidak peduli apapun sistem operasi komputer korbannya. Padahal perangkat yang dipakai sama sekali tidak terinfeksi malware dan peringatan tersebut hanyalah iklan banner animasi seakan-akan perangkat terinfeksi malware. Salah satu PUP yang banyak ditemui pada awal tahun 2014 adalah Mobogenie.
20141203I_kaleidoskopsecuriti01
Memasuki kuartal kedua, ancaman serius mulai menampakkan dirinya. Adalah Cryptolocker yang memiliki aksi ibarat komplotan gangster yang menyandera korbannya untuk mendapatkan uang tebusan (Ransom). Namun kali ini yang disandera bukan manusia melainkan data komputer yang di infeksinya dengan cara melakukan enkripsi data tanpa izin dengan standar industri (enkripsi RSA 2048) yang secara teknis hampir tidak mungkin dipecahkan. Tidak ada orang di dunia ini yang bisa membantu anda mengembalikan data tersebut kecuali pembuat malware. Menurut pantauan Vaksincom, korban malware Cryptolocker ini mencapai ribuan orang termasuk di Indonesia dan cukup banyak yang memilih membayar ransom dan mendapatkan kembali datanya. Mengapa anda bisa terinfeksi malware ini ? Salah satu jalannya adalah melalui email dimana didalamnya terdapat sebuah lampiran yang berisikan malware Cryptolocker. Selain memalui email, Cryptolocker menyebarkan dirinya melalui jaringan P2P Peer to Peer dengan bantuan Game Over Zeus dan kabar buruknya, Indonesia termasuk ke dalam negara 10 besar paling banyak terinfeksi GOZ Game Over Zeus. GOZ berevolusi dari awalnya memiliki C&C (Command and Control) center tersentralisasi menjadi desentralisasi menjadi dengan memanfaatkan teknologi P2P (Peer to Peer) sangat efektif melindungi pembuatnya dari deteksi dan jeratan penegak hukum. Tetapi pembuatnya tetap memiliki kontrol atas semua komputer yang diinfeksinya melalui P2P. Asal tahu saja, jumlah infeksi GOZ di Indonesia pada saat artikel ini dibuat, Juni 2014 tercatat 7.678 kasus atau 4,83 % dari total infeksi Top 20 negara yang paling banyak terinfeksi GOZ per Juni 2014. Secara peringkat Indonesia menempati peringkat 9 sebagai negara yang paling banyak terinfeksi GOZ dan secara tidak langsung akan melakukan infeksi Cryptolocker pada jaringan komputer di Indonesia.
20141203I_kaleidoskopsecuriti01
Kalau pada semester pertama pengguna internet Indonesia disuguhi kabar buruk infeksi Cryptolocker dan praktis kehilangan kontrol atas data pentingnya, maka pada bulan Agustus 2014, para korban Cryptolocker bersorak gembira karena FBI dengan bantuan organisasi perangkat hukum internasional berhasil menangkap pembuat Cryptolocker ini dan secara efektif menghentikan aksi Cryptolocker. Jika anda pernah menjadi korban Cryptolocker dan masih menyimpan data yang di enkripsi, private key untuk dekripsi data anda diberikan secara gratis dan anda akan mendapatkan kembali semua data anda yang dienkripsi Cryptolocker. Namun ibarat bandar narkoba di Mexico, satu bandar tertangkap segera diikuti oleh penggantinya dan posisi yang ditinggalkan oleh Cryptolocker ini langsung digantikan oleh malware enkripsi baru dengan nama Cryptowall yang bahkan lebih kemaruk lagi meminta uang tebusan. Karena itu, anda harus selalu waspada melindungi komputer dengan program sekuriti handal dan melakukan backup atas data penting anda secara teratur dan benar.


Selain Cryptolocker yang membuat heboh, ada satu malware keren di tahun 2014 yang juga membuat bingung administrator jaringan (apalagi korbannya). Bukan hanya OS Windows yang menjadi korban aksinya, tetapi komputer dengan OS Android, Mac OS dan Linux sekalipun tidak akan luput dari aksinya. Jika sistem sudah terinfeksi akan sangat sulit untuk dikembalikan dan kebanyakan user angkat tangan karena ia tidak mempan dibersihkan menggunakan antivirus apapun. Mau di format dan instal ulang komputer tidak akan memecahkan masalah ini. Hal ini terjadi karena yang diinjeksi bukan komputer melainkan router internet. Jika anda pengguna router sejuta umat TP-Link yang menurut data IDC 2013 merupakan merek router dengan penjualan terbesar di dunia, anda perlu ektra hati-hati karena banyak produk TP-Link yang rentan terhadap eksploitasi yang jika berhasil mengubah DNS router akan mengalihkan akses dari situs Google, Facebook dan Youtube ke IP lain yang telah dipersiapkan, meskipun tampilan alamat situs tidak berubah dan tetap www.google.com 1 www.facebook.com dan www.youtube.com. Yang mengkhawatirkan, jika yang dialihkan adalah akses e-commerce dan internet banking tentunya akan menimbulkan kekacauan dan potensi kerugian finansial yang lebih besar. Jika anda bukan pengguna TP-Link, anda jangan bergembira dulu, karena eksploitasi ini juga bisa berjalan pada router Airlive, D-Link, Micronet, Tenda dan Zyxel. Malware yang ditengarai berasal dari Vietnam ini berhasil menginjeksi lebih dari 300.000 router di seluruh dunia termasuk Indonesia. Jika rata-rata router memberikan koneksi kepada 5 komputer, maka diperkirakan lebih dari 1,5 juta komputer di dunia yang mengalami pengalihan DNS oleh saudara jauh Flappybird ini.



Kalau ditanyakan, apa celah keamanan yang paling membuat heboh di tahun 2014, jawabannya adalah Hati Yang Luka atau Heartbleed. Heartbleed adalah bug (cacat program) yang terkandung di dalam Heartbeat. Heartbeat adalah ekstensi (program pendukung) bagi OpenSSL. OpenSSL adalah protokol pengamanan otentikasi open source yang paling banyak digunakan oleh penyedia layanan di internet yang membutuhkan pengamanan kriptografi otentikasi seperti Google, You Tube, Mine Craft, Dropbox, Wikipedia, Yahoo, Go Daddy, Facebook dan Amazon Web Service. Selain itu Open SSL juga banyak digunakan oleh aplikasi pihak ketiga seperti Password Manager, termasuk banyak produk hardware seperti Cisco dan Juniper. Heartbeat berfungsi memonitor kesiapan sistem dengan cara mengirimkan heartbeat request yang biasanya berisi teks yang harus dijawab oleh komputer penerima ke komputer pengirim. Karena fungsi komputer OpenSSL adalah menjaga keamanan pengakses, maka sifat yang harus dimiliki oleh OpenSSL adalah bisa menjaga rahasia dan menjawab secukupnya kalau ditanya. Ibaratnya anda bekerja di perusahaan yang memiliki informasi sensitif / badan intelijen dan anda mengetahui banyak hal rahasia, maka makin sedikit anda bicara akan makin baik dan makin banyak anda bicara kemungkinan anda membocorkan informasi makin besar. Kesalahan yang dikandung oleh Heartbleed adalah kelemahan penanganan atas pertanyaan / request ke server yang jika dirancang dengan sedemikian rupa akan menyebabkan server langsung curhat. Celakanya, yang dicurhatkan adalah informasi kredensial pengakses lain yang seharusnya dirahasiakan olehnya. Jika anda penyedia jasa layanan yang terpapar Heartbleed anda perlu menambal celah keamanan dan mengganti kunci keamanan / private key yang terkait dengan celah keamanan ini guna memastikan para pengguna jasanya selalu terlindung dari ancaman pencurian data dan penyalahgunaan akun. Jika anda pengguna layanan, disarankan mengganti username dan password pada layanan yang terpapar celah keamanan ini. Selain itu disarankan untuk mengganti kunci pengaman dan cookies terdahulu dari browser sebaiknya di clear.


Membicarakan pengamanan internet, tentunya tidak lengkap jika tidak membicarakan media sosial seperti Facebook. Meskipun administratornya dikenal sangat tanggap dan galak terhadap aksi malware namun tetap saja ada yang lolos. Salah satunya adalah Happy Images. Malware ini akan datang dalam bentuk tautan melalui FB Chat yang jika di klik akan menyebabkan pengunduhan dan instalasi file jahat, lalu menggunakan akun Facebook anda untuk mengirimkan link berisi malware ke kontak-kontak Facebook anda melalui FBChat. Kabar baiknya, malware ini hanya berjalan di komputer yang menjalankan OS Windows dan tidak bisa berjalan di perangkat Android. Kabar buruknya, malware ini memiliki kemampuan untuk membuat varian baru dengan sangat cepat dan cukup sulit terdeteksi dengan sempurna oleh program antivirus. Pada saat pengetesan Vaksincom, sangat sedikit program antivirus yang mampu mendeteksi malware ini. Menurut data VirusTotal, per 7 Mei 2014 hanya 10 dari 52 merek antivirus yang mampu mendeteksi malware ini atau 19 % merek antivirus yang mampu mendeteksi malware ini, sedangkan sisanya 42 merek antivirus atau 81 % tidak mampu mendeteksi malware ini.


Keberadaan malware yang disponsori negara bukan isapan jempol. Pada 10 Mei 2014 lalu, Uroburos terbukti menjalankan aksinya, dan kali ini korbannya adalah Departemen Luar Negeri Belgia. Uroburos menjalankan aksinya mencuri dokumen dan informasi mengenai krisis di Ukraina. Uroburos (ular naga) adalah malware yang disponsori oleh negara (state sponsored malware) yang ditemukan dan diumumkan pada Februari 2014 oleh analis Gdata. Sasaran malware ini jelas bukan pengguna biasa dan terbukti berhasil menginfeksi dan menjalankan aksinya mencuri data dari pemerintah Belgia. Pada saat ditemukan oleh G Data pada bulan Februari 2014, Uroburos belum menjalankan aksinya dan seperti malware yang disponsori negara lainnya, Uroburos menunggu saat yang tepat untuk menjalankan aksinya dan ternyata pada krisis Ukraina malware ini digunakan dan ditengarai pihak Rusia berada dibalik aksi Uroburos. Uroburos diciptakan untuk berjalan dan memata-matai jaringan komputer besar yang dimiliki oleh perusahaan korporat besar, kantor berita, departemen pemerintah, otorita, organisasi keamanan dan institusi besar lainnya.


Masyarakat Indonesia terutama para usahawan yang bergerak di bidang jual beli telepon seluler pada kuartal ke tiga 2014 digemparkan oleh penipuan yang juga memanfaatkan media online dan disinyalir menimbulkan kerugian sampai ratusan milyar rupiah. Penipuan yang ini lebih canggih dari pada penipuan toko online abal-abal mengingat nominal penipuan yang fantastis dari antara 5 juta rupiah sampai dengan milyaran rupiah per korban. Taktik yang digunakan adalah korbannya pada awalnya dipancing terlebih dahulu dan diberikan barang yang dijanjikan yang akan memberikan untung fantastis, lalu setelah korbannya percaya dan merasa keuntungan besar sudah di depan mata akan mengalami gelap mata, tentu logika sudah tidak bekerja dan segala harta bendapun dipertaruhkan untuk mendapatkan keuntungan besar. Bukannya keuntungan besar yang didapatkan tetapi semua modalnya hilang karena ia sudah menjadi korban skema Ponzi. Media online digunakan sebagai sarana komunikasi dan cakupannya tentu lebih luas dengan biaya lebih murah. Namun akibat negatif yang ditimbulkan jelas akan lebih lebih tinggi dibandingkan offline yang cakupannya lebih kecil. Ditimpali dengan banyaknya pengakses internet Indonesia yang termasuk newbie dan mayoritas masih belum bisa membedakan dengan baik mana situs yang asli dan mana yang bukan dan menganggap apa yang ditampilkan di halaman situs semuanya benar dan asli. Padahal seperti kita ketahui, mengkloning suatu situs sangat mudah, tidak memerlukan keahlian khusus dan banyak yang hanya bermodalkan klik kanan copy and paste. Celakanya skema Ponzi ini ditengarai saat ini beredar luas dalam berbagai bentuk di Indonesia mengincar korbannya yang ingin mendapatkan keuntungan besar tanpa bekerja. Bayangkan, ada money game yang menawarkan keuntungan 20 % dalam 3 bulan atau sekitar 80 % per tahun. Jauh di atas bunga bank yang berkisar pada angka 10 % pertahun, itu saja masih belum dipotong pajak 20 %. Harap anda berhati-hati dengan modus apapun yang menjanjikan penghasilan besar. Kalau memang benar, mengapa pengelolanya tidak menjalankan sendiri saja dan dirinya akan menjadi kaya raya.

Pada tahun 2014, terjadi pergeseran infeksi malware dimana hampir tidak ada jenis malware tunggal yang mampu mendominasi statistik. Namun jenis malware yang mendominasi di tahun 2014 menurut laboratorium malware Vaksincom adalah jarawanya Trojan, di ikuti Adware, Exploit dan Worm.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: