Professional Documents
Culture Documents
Anti-Trojan 5.5
(bukan cuma file scan)
Scan Port dan Registry
rojan sesuai fungsinya akan
T membuka pintu belakang
berupa port pada nomor
tertentu. Adanya port dengan nomor
tidak lazim yang terbuka mengindi-
kasikan adanya kegiatan aktif trojan.
Informasi mengenai port-port yang
lazim digunakan oleh pelbagai
macam trojan dapat diperoleh di
situs GLock software:
http://www.glocksoft.com
Adanya trojan memang tidak mem-
bawa masalah langsung seperti hal-
nya virus, namun potensi bahayanya
dapat jauh lebih besar. Bagaimana
tidak bila penyusup dapat memper-
lakukan hard disk anda seperti milik-
nya sendiri: termasuk memformatnya!
AATools menyediakan fasilitas port scan khusus untuk port-port yang umum digunakan oleh trojan.
Pada contoh di atas ditunjjukkan adanya kegiatan trojan NetBus 1.70
di komputer lokal (127.0.0.1) yang mengaktifkan port nomor 12345.
HomePage
N EOTE K
Pendamping Berselancar
www.neotek.co.id Salam!
NeoTek menyediakan CD
Virus merajalela
Daripada anda men-download...
PC SECURITY
Security Level 1: Security Level 2: Security Level 3:
Local Attack Bahaya Internet Hacker Attack
Amankan PC anda dari rekan Selain dengan men-set secu- Dengan begitu mudahnya in-
kerja yang iseng atau ceroboh: rity feature pada browser anda, formasi dan hacking tool diper-
XAMI BIOS Decoder lindungi juga komputer anda oleh, semua orang dapat men-
XAward BIOS PassCalc dari virus dan trojan. jadi penyusup (intruder) ke
arena terfokus pada komputer anda. Jaman hacker
XAntiVir
K keamanan PC (PC
security), maka
Password BIOS dapat diatasi
dengan mengangkat baterai XAVG AntiVirus yang digambarkan sebagai
computer nerds sudah lewat.
CD NeoTek kali komputer atau dengan BIOS Dua antivirus versi freeware
password decoder yang efektif melindungi kom- Kini hacking sudah menjadi
ini dapat dikatakan ‘lengkap’ kegiatan favorit untuk mele-
untuk keperluan peng- XScreen Saver Password puter anda dengan fasilitas
guard. watkan waktu luang.
amanan PC secara umum. Perlindungan berikutnya ada-
lah screen saver password XAntiTrojan 5.5 XZoneAlarm 2.6
Untuk memahami cara XProtect X
kerja rekan yang usil (local yang dapat pula diatasi de- XNetCommando
ngan Screen Saver Password XCleaner 3 XBlackICE 3.0 Defender
attack), disediakan BIOS XSnort dan IDSCenter
password decoder, screen Recovery XLockDown 2000
Berbeda dengan anti-virus, Firewall sederhana seperti
saver password stealer, dan XSnadBoy’s Revelation ZoneAlarm sudah memadai
cache password eavesdroper, XPassword Recovery anti-trojan men-scan juga
port yang terbuka serta men- untuk mencegah penyusup-
yang dapat diatasi dengan XPWL View an.Atau gunakan hacker secu-
PassKeeper. Menyimpan password di cek registry untuk meme-
riksa adanya kegiatan trojan. rity suite seperti Protect X atau
Akses ke Internet mem- komputer memang berba- network-based IDS seperti
buka ancaman baru baik haya sebab dapat diintip de- XeSafe BlackICE atau Snort. Semua-
berupa virus dan trojan ngan tool-tool di atas. Software ini bukan sekedar nya tersedia pada Windows.
firewall, melainkan juga anti-
maupun ancaman terhadap XPassKeper virus dan anti-trojan yang XSalus
privasi anda. Selain virus Manfaatkan PassKeeper seba- XPC Spy
dan trojan serta antinya, mempunyai fasilitas sandbox
gai master key untuk semua untuk menguji program yang Monitor PC anda terhadap
disediakan penangkal berupa password yang ada di kom- adanya kegiatan yang
firewall maupun virtual belum jelas keamanannya.
puter anda. mencurigakan.
sandbox untuk menguji
program yang belum Terdeteksi Sebagai Virus
dikenal. ENKRIPSI: MENJAGA PRIVASI ANDA ada CD NeoTek kali ini
Untuk menghadapi serang- P ada beberapa program
an hacker disediakan IDS
(intrusion detection system)
M elanjutkan perkenalan
tentang enkripsi, kali yang akan terdeteksi sebagai
ini disajikan PGPFreeware virus bila menggunakan anti-
baik yang network-based dan Streganos Suite sebagai virus. Hal ini biasa sebab trojan
maupun host-based. dua metode enkripsi. memang dimonitor oleh anti-
Pahami juga cara hacker XPGPFreeware virus. Juga terdapat VB Worm
menghindar dari peng- Tool enkripsi paling populer Generator yang juga dianggap
amatan ‘radar’ IDS dengan kartya Phil Zimmerman yang sebagai virus. Berikut file-file
packet fragmenter dapat merupakan plug-in pada yang dianggap berbahaya:
• Enkripsi dengan PGPFreeware
seperti FragRouter mau- Outlook, OE, dan Eudora, mau- • bo2k_1_0-full.exe
pun CGI evasion seperti File .BMP sebelum
pun dipakai tersendiri untuk disisipkan teks • dv1.zip
Whisker dan SideStep. web mail dan enkripsi file. • NetBus170.zip
Untuk tujuan pendidikan XSteganos 3 Suite • netbus20.zip
disajikan juga pelbagai Berbeda dengan PGPFreeware • nb2pro.zip
Setelah disisipkan
server yang amat mudah yang mengenkripsi file men- teks. Tak tampak • s7a.zip
digunakan, baik itu FTP, jadi teks acak, maka stregano- bedanya, hanya • sub7_server_2_zip
SMTP, maupun web grafi men-enkripsi teks dengan diketahui dari
tanggal file
• sub7_1_8.zip
server. menyembunyikannya pada creation • vbswg200b.zip
file gambar atau suara. • Enkripsi dengan streganografi • vbswg200f.zip
NmN
NeoTeker menjawab NeoTeker
Forum ini dimaksudkan sebagai bentuk offline dari mailing list
NeoTek di http://groups.yahoo.com/group/majalahneotek.
Konflik IRQ J: Posted July 1 Format NTFS & FAT32 mau gampang, XP dan W2K
T: Posted July 1 Cobain ke mtsn.com atau T: Posted July 2 ubah jadi FAT32 juga.
Saya ingin tanya bagaima- sms.ac tapi sehari cuma Tolong terangin cara nge- Albert Siagian
na membagi atau menen- dapet 5 free. Bikin aja ID format system NTFS dong. asiagian@gmx.net
tukan IRQ agar tidak kon- banyak-banyak. Tapi penga-
flik. Saya pake Win2000- laman saya sih ICQ is the Gini, saya punya 2 harddisk, J: Posted July 3
server. Saya liat di System best. di Master dan di Salve. Yang
master saya isi WIN XP (2 Cobain captain nemo deh...
yang konflik yaitu Micro- Shamdi bisa buat baca ntfs maupun
soft ACPI-Complian Sys- partisi, NTFS dan FAT32)
shamdi@stelab.nagoya-u.ac.jp danyang Slave saya isi WIN- linux... search di Google.
tem. VGA Card, Sound
Card, Lan Card, USB PCI J: Posted July 1 2K (juga NTFS dan FAT32). Wahyu Budi
Controller yg semuanya Tapi saya sering make yang wbudi@satelindo.co.id
Kenapa nggak cobain Istwap Slave untuk uprak oprek. Jadi
memakai IRQ 9. Mobo sehari bisa 25x
saya Asus. yang Master saya matiin. Dari Win 98 ke Win 95
www.1stwap.com
Wendy WIN2K NTFS yang di Slave T: Posted July 3
Ban Rachmat saya format melalui WINXP.
w.tech@hotpop.com Rahmatn@oto.co.id Kenapa yaah kalo kompu-
Terus saya mau instal WIN ter udah diinstal win 98
J: Posted July 1 J: Posted July 2 98 di slave itu, kok drive C terus mao dibalikin instal
yang di Slave nggak kebaca win 95 selalu nggak bisa?
Settingnya di BIOS setup, di Daripada itu mending make
yah, alias drive yang format Ada yang punya kiat mba-
Advanced-PCI Configur- http://www.1rstwap.com/par
NTFS itu, yang kebaca malah likin dari win 98 ke win 95.
ation -> nah kelihatan kan? tners/go.to/1rstwap atau
data yang tadinya di drive D
Slot 1 pake IRQ berapa, dst. http://www.1rstwap.com/par Cakrabirawa
yang format FAT32 itu. Jadi
Kalo kamu nggak pake tners/go.to/gsm-club cuman cakrabirawa@mail.ru
bingung deh saya. Tolong
perangkat USB, mending ya itu harus regis dulu n’
dong caranya ngeformat
disable aja USB-nya. ada no hp soale confirm J: Posted July 2
NTFS biar kebaca. Untung
Settingnya juga di Advanced regisnya dikirim lewat sms Emang ndak isa, kalo aku
saya nggak langsung format
dan Advanced-PCI Config- daripada sms.ac ini lebih dulu ya format ulang dulu
di DOS-nya, kalo nggak kan
uration-USB Function. cepetan tapi skr dibatesi 15 setelah data2nya di pindah,
data di D bisa ilang semua.
Tujuan disable di sini supaya sms/minggu. karena sistem yang berjalan
lebih hemat IRQ. Gunwan berlainan, sistem windows
Agus Budi
neotek@zapo.net ndak isa baca versi yang
Resist Arie agus_budi@yahoo.com
lebih tinggi, gitchuuu.
resistarie@softhome.net J: Posted July 2
Ganti Nama Menu Start Agus Budi
T: Posted July 1 Setahu saya kalo dari fat32
T: Posted July 1 agus_budi2@yahoo.com
emang ndak isa baca ntfs
Ada yang tau gak cara ganti jadi kalo di win98 emang
1. Saya pernah instal WinXP tulisan start di start menu J: Posted July 3
pro terus semua hardware ndak isa liat drive yang
tanpa melalui program bantu make ntfs. itu kayak’e Kalo anda upgrade Win95
terdeteksi kecuali Modem spt tweak ui. Jadi yang saya
Motorola sm56 speaker- emang gitu. Kelebihan dari ke Win98 maka saat insta-
hendak tanyakan yaitu lang- sistem ntfs. ndak tau kalo lasi Win98 akan diminta
phone. Apa ada driver kah-langkah mengganti tulis-
khusus modem tsb untuk emang bisa baca ntfs dari untuk men-SAVE win95
an tersebut melalui regedit. fat32 soale dari dulu aku yang lama. Apabila kita gak
winxppro? Kalo ada yang
tau tolong dong saya Jiu Jujitsu nyoba ya ndak isa, kecuali jadi install win98 maka bisa
harus download dimana? alberd@bdg.centrin.net.id itu antar komp di jaringan, diuninstall. Settingan
Kalo pake winxp home itupun harus setting dulu. makan tempat sekiar 50
J: Posted July 3 MB. Tapi kalo anda install
bisa ngga? Agus Budi
Untuk masalah ini ada artikel langsung Win98 atau saat
2. Rekan2 ada yang tau yang saya tulis sendiri di Neo- agus_budi@yahoo.com diminta untuk save tsb
softwarenya gratis buat tek edisi April atao Mei 2002 J: Posted July 2 dtidak di-save maka harus
sms ke handphone? kecuali atau aja situs Neotek dan diformat tuh HD kalo mau
icq, download dimana? http://come.to/digitalworks FAT32 nggak bisa baca install win95 (downgrade).
ada artikel pdf-nya. NTFS kecuali pake software
Dreamer Boyz tambahan seperti dari mbUdh
rscript@telkom.net Cakrabirawa www.sysinternals.com. Kalau mbudh@centrin.net.id
cakrabirawa@mail.ru
MEN-TWEAK REGISTRY
indows Registry Guide sebenarnya
W adalah file Help Windows yang
memberikan tip, trik, dan tweak
untuk registry di Windows 95, 98, NT dan
DENGAN WINDOWS 2000.
Registry adalah basisdata yang digunakan
rogram virus yang ada dapat di-debug atau traverse_fcn proc near
P untuk melihat kode program sebuah virus, anda
dapat menggunakan program TASM (Turbo
push bp
mov bp,sp
Assembler) Debugger atau sejenisnya. sub sp,44
call infect_directory
TASM Debugger Borland dapat anda download gratis mov ah,1Ah
dari www.borland.com/bcppbuilder/turbodebugger/ lea dx,word ptr [bp-44]
Untuk melakukan debug terhadap sebuah virus, terlebih int 21h
dahulu cari file yang telah terjangkiti virus dan gunakan mov ah, 4Eh
program debugger seperti di atas untuk melihat kode mov cx,16
programnya. lea dx,[si+offset dir_mask] ; *.*
int 21h
Di bawah ini adalah contohnya. Kurang lebih seperti di
jmp short isdirok
bawah inilah sebuah virus yang di-debug untuk melihat
gonow:
kode programnya.
cmp byte ptr [bp-14], ’.’
Kode program contoh ini adalah kode program The je short donext
Funky Bob Ross Virus, tetapi tidak dalam kode leng- lea dx,word ptr [bp-14]
kapnya. mov ah,3Bh
Antivirus tersebut adalah AVG Anti- Catatan Redaksi: Redaksi menganjurkan untuk sama
Virus Free Edition dan AntiVir 9x CD NeoTek Vol. II No. 7, April 2002 itu sekali tidak menggunakan CD NeoTek
Personal Edition. Keduanya bisa diper- sendiri telah ditarik dari peredaran dan edisi April 2002 yang bervirus. Apabila
oleh cuma-cuma untuk kepentingan diganti dengan edisi Revisi (ada tulisan artikel ini hendak dipraktikkan, harap
pribadi. (kedua antivirua ini tersedia ‘Revisi’ pada CD pengganti). lakukan dengan sangat hati-hati.
pada CD NeoTek bulan ini). Apabila anda masih belum mendapat-
Sebelum sempat beredar luas, adanya
Sebelum mengulas secara singkat ke- virus pada CD NeoTek April 2002 sem- kan CD pengganti, hubungi TB Gra-
dua antivirus tersebut, inilah langkah- pat diketahui, segera ditarik, dan di- media terdekat untuk menukarkannya,
langkah penyelamatan yang penulis ganti dengan edisi Revisi. Namun ada atau email ke redaksi@neotek.co.id
lakukan agar program-program da- saja kemungkinan CD yang bervirus dan informasikan alamat pos anda.
lam CD NeoTek tersebut bisa diman- terlanjur beredar. CD pengganti akan dikirim ke alamat
faatkan dengan baik dan steril. anda tanpa biaya apapun.
Terima kasih atas kerja sama dari TB
Bagi yang berdomisili di Denpasar dan Gramedia serta rekan-rekan pada NeoTek menyadari bahwa peristiwa
ingin memperoleh antivirus tersebut channel #neoteker di Dalnet yang ini dapat mengakibatkan bencana dan
dapat menghubungi penulis di ikut aktif mengatasi masalah ini. untuk itu kami mohon maaf yang
e_budiasa@mailpuppy.com sebesar-besarnya.
mov ah,4Fh
int 21h
isdirok:
jnc gonow
cmp word ptr [si+offset nest], 0
jle short cleanup
dec word ptr [si+offset nest]
lea dx, [si+offset back_dir]
mov ah,3Bh
int 21h
BE RE KSPE RI M E N DE NGAN
asilitas macro pada Word
F dapat digunakan untuk
mengotomatiasi pekerjaan-
pekerjaan yang berulang. Fasilitas
an, atau bahkan tidak memahami cara Menurut vx.netlux.org, perangkat ini Perangkat ini juga disertai dengan
membuat macro sekalipun, dapat mem- dibuat pada bulan Oktober 2000, jadi fitur untuk membuat source code
buat virus sendiri! tidak terlalu ketinggalan jaman dan dari virus yang akan dibuat, sehingga
Kali ini penulis ketengahkan artikel yang juga perangkat ini didesain dan pembaca dapat mempelajari lebih
membahas cara untuk membuat virus dibuat pada Word 2000. jauh tentang virus macro tersebut.
word macro. Artikel ini penulis buat Generator buatan Inggris ini—yang Akhirnya penulis ucapkan selamat
hanya untuk memperluas pengetahu- membuat decak kagum penulis— bereksperimen dengan Walrus Macro
an pembaca mengenai virus dan untuk dilengkapi juga dengan fitur stealth virus Generator dan gunakanlah pe-
keperluan pendidikan semata, segala untuk menyembunyikan virus macro ngetahuan ini secara bertanggung
yang imbas negatif yang diakibatkan yang akan dibuatnya. jawab.
dari artikel ini diluar tanggung jawab Payload-nya membentang dari yang
penulis. tidak berbahaya seperti menampilkan
Sebagai bahan percobaannya adalah kotak pesan sampai yang berbahaya
perangkat Walrus Macro Virus Gene- yaitu menghapus dokumen. Kurang
rarangkat pembuat virus cepat saji. puas? Pembaca dapat membuat Penulis dapat dihubungi di
sendiri payload-nya pada opsi Own. digital_chandra@yahoo.com
VBS WO R M
rtikel ini hanya merupa-
A kan apresiasi cara mem-
buat worm dan dimaksud-
kan untuk memperluas wawasan
G E N E R ATO R
pembaca tentang dunia virus dan
worm dan hanya untuk kepen-
tingan pendidikan semata.
Segala efek negatif yang diakibat-
PE M BUAT WORM I NSTAN kan dari artikel ini diluar tang-
gung jawab penulis.
Generator yang dibahas di sini
Selain virus, worm juga dapat dihasilkan secara instan. Happy adalah Vbs Worm Generator 2 beta
Chandraleka menunjukkan betapa mudahnya menggunakan yang merupakan sebuah perang-
kat yang digunakan untuk mem-
Visual Basic Worm Generator; mengingatkan kita betapa buat worm secara cepat.
ancaman worm dapat muncul hanya dari keisengan semata.
Infeksi Digital:
Trojan Horse
Apakah Sebenarnya ‘Kuda’ yang Satu Ini?
Pada saat-saat sekarang ini, jika anda mendengar kata “Virus” selalu muncul juga yang namanya
“Trojan Horse”. Sebenarnya apakah trojan tersebut, seberapa bahayakah “kuda” ini. Ikutilah
artikel yang ditulis oleh David Sugianto (david_sugianto@softhome.net) berikut ini.
kayu tersebut dan menyerang kota, virus. Programmer akan terus men- Anti-virus hanya mendeteksi trojan
kemudian mendapatkan kemenangan. ciptakan trojan yang unik dengan yang umum beredar seperti Back
fungsi-fungsi yang belum ada sebe- Orifice, NetBus, SubSeven, serta
Masalah Keamanan Komputer lumnya. trojan dibuat setiap hari beberapa trojan lainnya.
Namun Trojan di masa kini berkaitan dengan fungsi yang baru dan metode Selanjutnya, anti-virus bukanlah
dengan masalah keamanan komputer enkripsi yang lebih hebat agar program firewall yang dapat mencegah sese-
yang cukup serius. Trojan dapat masuk anti-virus tidak dapat mendeteksinya. orang yang tidak diundang meng-
ke komputer seseorang melalui down- akses komputer anda. Program anti-
load file dari sumber-sumber yang Tempat Trojan Bersarang
virus tidak dapat sepenuhnya melin-
kurang dapat dipercaya di Internet Secara teknis, Trojan dapat muncul di dungi anda dari trojan, namun hanya
ataupun dari seseorang yang “jahat.” mana saja, kapan saja, di sistem operasi meminimalkan kemungkinan itu.
Saat ini terdapat lebih dari 800 jenis manapun dan di berbagai macam plat-
form. Kecepatan peredaran trojan sece- Mengapa tiba-tiba komputer terkena
trojan berkeliaran di Internet. Namun trojan? Mungkin tanpa disadari sese-
sebenarnya jenis-jenis trojan yang pat virus. Program yang didownload
dari Internet, terutama freeware atau orang telah menjalankan suatu pro-
ada bertambah dengan pesat setiap gram yang diperoleh dari Internet
harinya. Hampir setiap hacker atau- shareware, selalu mencurigakan. Banyak
program yang belum diperiksa source (hasil download atau kiriman orang)
pun programmer membuat trojan yang sebenarnya trojan.
ciptaan mereka sendiri sebagai alat code-nya dan program baru bermun-
bantu pekerjaan mereka dan tidak culan setiap hari terutama freeware Komputer seseorang dapat disusupi
dipublikasikan kemana-mana, hanya yang dapat berupa trojan. Jadi berhati- trojan dari berbagai macam sumber,
untuk penggunaan pribadi. hatilah dalam mendownload program di antaranya yang paling sering
atau dari mana asal program tersebut adalah;
Setiap kelompok hacker memiliki di download. Usahakan mendownload
trojan dan program remote adminis- suatu program dari situs aslinya. ICQ
trartion tool sendiri-sendiri.
Banyak yang mengira bahwa dengan Media komunikasi yang populer ini
Ketika orang mempelajari winsock, memiliki program anti-virus yang sebenarnya media yang sangat mung-
maka yang pertama diciptakan ialah selalu di-update dari situs pembuatnya, kin mengakibatkan seseorang terkena
chat client ataupun trojan horse. maka mereka telah aman dari masalah trojan, terutama sewaktu seseorang
Walaupun user telah menggunakan di Internet dan tidak akan terkena mengirimkan file. Yang mengetahui
anti-virus, mereka masih memiliki trojan ataupun diakses komputernya betapa berbahayanya ICQ, dapat
kemungkinan besar terserang trojan oleh pihak yang tidak diundang. ketakutan menggunakannya.
yang didapat dari Internet, hacker,
maupun dari teman sendiri. Hal ini sama sekali tidak benar. Tuju- Terdapat bug pada ICQ yang memung-
an anti-virus adalah untuk mende- kinkan anda mengirimkan file .exe ke
Trojan tidak memiliki masa aktif. teksi virus, bukan trojan. Namun ke- seseorang namun file .exe tersebut
Maksudnya, trojan akan ada selama- tika trojan mulai populer dan menye- akan seperti file .bmp atau .jpeg atau
nya dan tidak akan pernah bisa habis. babkan banyak masalah, para pem- jenis file apapun yang anda mau.
Ada banyak hal yang dapat dikem- buat anti-virus menambahkan data-
bangkan oleh programmer di dalam Hal ini sangatlah bahaya, pengirim
data trojan ke dalam anti-virusnya. dapat mengirimkan file .exe yang
trojan. Orang yang membuat trojan, Sayangnya, anti-virus ini tidak dapat
memiliki banyak gagasan untuk mem- berbentuk .jpg dan mengatakan bahwa
mencari dan menganalisa trojan seca- file ini adalah foto dirinya. Tentu saja
buat trojan mereka unik hingga tidak ra keseluruhan.
mudah terdeteksi terutama oleh anti- karena si penerima merasa file yang
NetBus Software\Microsoft\Windows\CurrentVersion\Run
sehingga server ini akan diaktifkan setiap kali boot.
NetBus dapat dikata-
kan sepupu jauh BO NetBus secara default listen pada port TCP 12345 (versi
dan dapat digunakan 1.70) atau 20034 (versi 2.01 dan versi Pro 2.10). Hal ini
untuk sepenuhnya juga dapat dikonfigurasi sepenuhnya. Tidak seperti BO2K,
mengendalikan sistem- NetBus hanya menggunakan port TCP (tidak dapat meng-
sistem Windows secara gunakan port UDP), sehingga NetBus lebih mudah diatasi
remote (termasuk dengan menggunakan firewall.
Windows NT/2000). NetBus menyelinap ke komputer korban dengan disa-
NetBus, karya Carl- markan sebagai game “Whack a Mole’ dalam bentuk file
Fredrik Neikter, me- whackamole.exe yang merupakan file executable WinZip.
nyajikan interface yang lebih mudah digunakan dibandingkan Whack a Mole m,enginstal server NetBus sebagai
BO, juga menyediakan fungsi graphical remote control (hanya explorer.exe dan menciptakan pointer ke executable pada
untuk koneksi cepat Internet). HKEY_LOCAL_MACHINE\Microsoft\Windows\Curren
tversion\Run sehingga NetBus akan diaktifkan setiap kali
NetBus juga mudah dikonfigurasi, sehingga banyak variasi- komputer di-boot.
nya yang dapat diperoleh di Internet. Server excecutable
default-nya adalah PATCH.EXE (tapi dapat di-rename jadi Whack-a-Mole sendiri merupakan game yang cukup me-
apa saja) yang dituliskan ke HKEY_LOCAL_MACHINE\ narik, sehingga banyak orang yang terkecoh olehnya.
diterimanya hanya file gambar, oto- Back Orifice adalah trojan jenis ini, proses perekaman dilakukan setelah
matis dengan merasa aman, si pene- yang terdiri dari BOSERVE.EXE yang windows di-start dan disimpan dalam
rima akan menjalankan program ter- harus dijalankan di komputer korban disk korban dan menunggu saat
sebut. Hal inilah yang membuat dan BOGUI.EXE untuk mengakses online untuk ditransfer atau diambil
orang ragu untuk menggunakan ICQ komputer yang menjalankannya. oleh penyerang.
Anda juga dapat terkena trojan me- Tujuan dari trojan ini adalah mengi- Satu-satunya yang dilakukan oleh
lalui IRC ketika anda menerima file rimkan password yang ada di kom- trojan ini adalah menghapus file di
dari sumber yang tidak dapat diper- puter korban atau di internet ke suatu komputer korban. Hal ini membuat-
caya. Oleh karena itu, berhati-hatilah alamat email khusus yang telah nya mudah digunakan. Secara oto-
dalam menerima file bahkan dari disediakan. Kebanyakan trojan ini matis, trojan ini dapat menghapus
sahabat anda sekalipun, karena bisa menggunakan port 25 untuk mengi- file .dll, .ini ataupun file .exe di
saja seseorang telah mencuri data rimkan email. Trojan ini sangat ber- komputer korban. Trojan ini sangat
account sahabat anda dan mengguna- bahaya jika anda memiliki password berbahaya, sekali anda terinfeksi,
kannya untuk mengelabui anda. penting di komputer anda. dan tidak melakukan penyelamatan,
maka semua informasi di komputer
Attachment Trojan FTP anda akan hilang.
Hal yang sama berlaku juga dengan Trojan ini membuka port 21 di kom-
puter program yang mengakibatkan Mengenal Trojan Lebih Jauh
attachment email. Jangan pernah
membuka file attachment walaupun mempermudah seseorang yang me- Pada NeoTek kali ini dibahas secara
sepertinya berisi gambar “panas” dan miliki FTP client untuk memasuki terinci salah satu Trojan yang popu-
password. Karena cara terbaik untuk komputer anda tanpa password dan ler, NetBus, yang selain merupakan
menginfeksi orang adalah dengan dapat melakukan upload dan down- trojan remote access, juga mempu-
mengirimkan email secara massal. load file. Trojan ini juga merupakan nyai banyak fungsi lain.
trojan yang paling sering ditemui. Secara ringkas dibahas juga ketiga
Jenis-jenis Trojan Keyloggers trojan yang paling populer sekarang
ini: Back Orifice (dan Back Orifice
Trojan Remote Access Trojan ini cukup sederhana. Yang 2000), NetBus, serta SubSeven. Bahas-
mereka lakukan adalah merekan an tentang BackOrifice sendiri ter-
Trojan jenis ini paling populer seka- ketukan tombol oleh user dan me-
rang ini. Banyak orang yang sangat dapat pada NeoTek Vol. I No. 1
nyimpannya dalam file log. Apabila di Oktober 2001.
ingin memiliki trojan jenis ini karena antara ketukan itu adalah mengisi
dengannya dapat mengakses komputer user name dan password, maka kedua- Teknik pengamanan diri dari ke-
milik korban mereka. RAT (Remote nya dapat diperoleh penyerang dengan mungkinan serangan trojan dibahas
Access Trojan) sangat mudah peng- membaca file log ini. tersendiri dalam NeoTek kali ini,
gunaannya. Hanya tinggal menunggu termasuk men-scan sistem anda un-
seseorang untuk menjalankan trojan Trojan ini dapat dijalankan saat online tuk mengetahui apakah ada trojan
yang akan bertindak sebagai server (terhubung ke Internet) maupun yang bersembunyi serta penggu-
dan jika anda telah memiliki IP dari offline (tidak terhubung ke Internet). naan feature karantina Sandbox dari
korban, anda bisa mendapatkan akses Mereka dapat mengetahui apabila user software eSafe untuk menguji suatu
penuh ke komputer korban. sedang online dan merekam segala program yang kita curigai.
sesuatunya. Dan pada saat offline,
ALAM DUNIA KOMPUTER, KITA TENTU sudah sering Membobol, mengakses, atau meremote komputer orang lain
D mendengar istilah hacking, cracking, dan phreaking.
Jika kita merujuknya ke dalam rumusan bahasa
memang suatu hal yang sangat mengasyikkan. Karena iba-
rat sebuah kulkas besar yang berisi banyak buah dan ma-
Indonesia, maka ketiga istilah tersebut di atas dapat diartikan kanan, tentu siapa saja penasaran untuk membuka, melihat,
sebagai suatu pelanggaran etika, moral, dan hukum yang dan mengambil isinya. Tapi sayang, untuk menjadi seorang
dilakukan melalui komputer beserta periferalnya. Sedangkan hacker ternyata tidak semudah membalik telapak tangan.
oknumnya, atau orang yang melakukannya, disebut sebagai Apalagi kondisi sekarang sudah jauh berbeda dengan 2-3
hacker, cracker, dan phreaker. tahun sebelumnya, dimana urusan bobol membobol jaring-
Di antara ketiga istilah tersebut di atas, yang paling populer an bukan lagi sebuah pekerjaan yang mudah dan gampang-
dan menjadi trend saat ini adalah hacker, alasannya tak lain an. Karena selain membutuhkan kecerdasan tinggi, motivasi,
karena soal prestise, ruang lingkup, atau orientasinya jauh dan ketekunan, tentu saja anda harus menguasai beberapa
lebih luas ketimbang cracker dan phreaker, bahkan tidak hal yang bersifat teknis lainnya, misalnya pengetahuan
cuma sekedar lebih luas, tapi juga mengasyikkan. Oleh bahasa pemrograman, konsep jaringan, sistem operasi, dan
karena itu, tidak heran jika sekarang ini banyak pengguna sebagainya. Namun bagi anda yang merasa belum mengua-
komputer, khususnya mereka yang sudah mengenal dan sai beberapa syarat dan prasyarat seperti telah dijelaskan di
sering terhubung ke jaringan Intranet maupun Internet atas, anda tidak perlu merasa minder atau berkecil hati,
berusaha untuk mempelajari teknik-teknik dasar membobol karena biar sekuno ap apun pepatah akan tetap ada artinya.
jaringan (hacking the net) agar suatu hari kelak nanti bisa Ingatlah bahwa “banyak jalan menuju Roma.” Dengan kata
menjadi seorang hacker seperti Kevin Mitnick yang sukses lain masih banyak cara yang bisa anda tempuh untuk men-
membobol jaringan komputer sebuah perusahaan dan capai tujuan tersebut, salah satunya adalah dengan meman-
sekaligus mengantarkannya ke dalam penjara. faatkan alat bantu (software) NetBus. Dengan NetBus maka
• Perbedaan tampilan program NetBus dalam 3 versi, masing-masing dari kiri ke kanan: NetBus v1.60, v.1.70, dan v2.01.
• Port scan pada NetBus v2.01. Launch scan pada komputer korban!
MELIHAT ISI
6 HARD DISK
Melihat isi
hard disk
(direktori dan
file) melalui
File Manager.
MENJALANKAN MIRC
Menjalankan program mIRC melakui Start Program.
• Fasilitas mengatur sever NetBus pada komputer orang lain.
NETBUS V. 1.70
HACKING DENGAN
MENGGUNAKAN TROJAN
Trojan sudah banyak berkeliaran di Internet, dan tanpa disadari TENTUKAN DULU TARGETNYA
sudah banyak komputer yang terinfeksi olehnya. Kita tinggal 1 Buka program mIRC. Hubungkan
ke salah satu server IRC yang biasa
mencari saja apakah ada mesin yang port 12345-nya terbuka. anda masuki. Masuk ke sebuah
channel lalu Whois salah seorang
Bila ya, mesin itu telah terinfeksi NetBus 1.70 dan bisa peserta IRC yang akan anda jadi-
langsung anda hack! kan target.
SNORT
Untuk Mendeteksi Penyusup
Firewall yang bersifat pasif sering kali belum memadai untuk mendeteksi penyusup, sehingga
diperlukan IDS (Intrusion Detection System) yang lebih aktif. Onno W. Purbo membahas
salah satu IDS terbaik yang tersedia baik untuk Linux maupun Windows.
S
NORT YANG DAPAT DIPEROLEH
di www.snort.org biasanya di
sebut sebagai Network Intru-
sion Detection System (NIDS). Snort
sendiri adalah Open Source yang terse-
dia di berbagai variasi Unix (termasuk
Linux) dan juga Microsoft Windows.
Sebuah NIDS akan memperhatikan se-
luruh segmen jaringan dimana dia ber-
ada, berbeda dengan host based IDS yang
hanya memperhatikan sebuah mesin
dimana software host based IDS terse-
but di pasang. Secara sederhana, sebuah
NIDS akan mendeteksi semua serangan
yang dapat melalui jaringan komputer
(Internet maupun IntraNet) ke jaringan
atau komputer yang kita miliki.
Sebuah NIDS biasanya digunakan ber-
samaan dengan firewall, hal ini untuk
menjaga supaya Snort tidak terancam
dari serangan. Sebagai contoh jika Snort yang baik di PHP, dan ADODB, sebuah Mengoperasikan Snort
akan ditempelkan pada interface ISDN library abstraksi untuk menggabung- Secara umum snort dapat dioperasikan
ppp0, maka sebaiknya di mesin yang kan PHP ke berbagai database seperti dalam tiga mode, yaitu
sama dipasang firewall dan router sam- MySQL dan Postgre SQL.
• Sniffer mode, untuk melihat paket
bungan dial-up-nya. Untuk selanjutnya The Analysis Console for Intrusion yang lewat di jaringan.
ada baiknya membaca-baca tentang Databases (ACID) is a PHP-based
Firewall-HOWTO atau Firewalling + analysis engine to search and pro- • Packet logger mode, untuk mencatat
Masquerading + Diald + dynamic IP- cess a database of incidents generated semua paket yang lewat di jaringan
HOWTO, biasa dapat ditemukan di by security-related software such as untuk dianalisa di kemudian hari.
directory /usr/share/doc di Linux, atau IDSes and firewalls. • Intrusion Detection mode, pada
ambil sendiri ke www.linuxdoc.org. mode ini Snort berfungsi mende-
ACID dapat diperoleh di www.andrew.
teksi serangan yang dilakukan me-
Bagi pengguna yang memasang Snort cmu.edu/~rdanyliw/snort/snortacid.ht
lalui jaringan komputer. Untuk
pada mesin yang sering sekali diserang, ml. Terus terang instalasi ACID sangat
menggunakan mode IDS ini di
ada baiknya memasang ACID (Analysis mudah. Mungkin yang agak membi-
perlukan setup dari berbagai aturan
Console for Intrusion Databases), yang ngungkan adalah menghubungkan
(rules) yang akan membedakan
merupakan bagian dari AIR-CERT pro- Snort–PHP–ACID–MySQL–Apache
sebuah paket normal dengan paket
ject. ACID menggunakan PHPlot, se- Web server, pada kesempatan lain akan
yang membawa serangan.
buah library untuk membuat grafik dijelaskan.
Kalimat kedua berisi protokol UDP, yang berisi antara lain Tentunya masih banyak lagi jenis protokol yang akan berse-
informasi liweran di kabel ethernet atau media komunikasi data anda,
UDP TTL:64 TOS:0x0 ID:1737 IpLen:20 DgmLen:38
untuk mempelajari berbagai protokol ini secara detail sangat
disarankan untuk membaca keterangan lengkap dari masing-
UDP = memberitahukan bahwa dia protocol UDP. masing protokol yang dapat di download dari situs milik
TTL:64 = Time To Live 64, paket maksimal melalui 64 Internet Engineering Task Force IETF http://www.ietf.org.
router.
ID = nomor / identitas Setelah puas melihat-lihat semua paket yang lewat kita
IPLen:20= panjang byte protokol IP 20 byte dapat menekan tombol Control-C (^C) untuk mematikan
DgmLen= panjang byte seluruh paket 38 byte. program snort. Akan tampak pada layar berbagai statistik
yang sangat berguna untuk melihat kondisi jaringan
Tentunya hasil akan lain jika kita melihat paket TCP,
Snort analyzed 255 out of 255 packets, dropping 0(0.000%) packets
seperti beberapa contoh berikut:
Breakdown by protocol: Action Stats:
04/18-11:32:20.573898 192.168.120.114:1707 -> 202.159.32.71:110 TCP: 211 (82.745%) ALERTS: 0
TCP TTL:64 TOS:0x0 ID:411 IpLen:20 DgmLen:60 DF UDP: 27 (10.588%) LOGGED: 0
******S* Seq: 0x4E70BB7C Ack: 0x0 Win: 0x16D0 TcpLen: 40 ICMP: 0 (0.000%) PASSED: 0
TCP Options (5) => MSS: 1460 SackOK TS: 6798055 0 NOP WS: 0 ARP: 2 (0.784%)
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ IPv6: 0 (0.000%)
04/18-11:32:20.581556 202.159.32.71:110 -> 192.168.120.114:1707 IPX: 0 (0.000%)
TCP TTL:58 TOS:0x0 ID:24510 IpLen:20 DgmLen:60 DF OTHER: 15 (5.882%)
***A**S* Seq: 0x423A85B3 Ack: 0x4E70BB7D Win: 0x7D78 TcpLen: 40 DISCARD: 0 (0.000%)
TCP Options (5) => MSS: 1460 SackOK TS: 163052552 6798055 NOP WS: 0 ====================================================
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ Fragmentation Stats:
Fragmented IP Packets: 0 (0.000%)
04/18-11:32:20.581928 192.168.120.114:1707 -> 202.159.32.71:110
Fragment Trackers: 0
TCP TTL:64 TOS:0x0 ID:412 IpLen:20 DgmLen:52 DF
Rebuilt IP Packets: 0
***A**** Seq: 0x4E70BB7D Ack: 0x423A85B4 Win: 0x16D0 TcpLen: 32
Frag elements used: 0
TCP Options (3) => NOP NOP TS: 6798056 163052552
Discarded(incomplete): 0
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Discarded(timeout): 0
Sama seperti sebelumnya maka baris pertama di atas adalah Frag2 memory faults: 0
====================================================
milik Internet Protocol (IP), kita dapat melihat bahwa ter- TCP Stream Reassembly Stats:
jadi komunikasi antara IP 202.159.32.71 port 110 dengan IP TCP Packets Used: 0 (0.000%)
192.168.120.114 port 1707. Stream Trackers: 0
Stream flushes: 0
Di bawah kalimat milik protokol IP, ada satu kalimat yang Segments used: 0
berisi informasi umum dari paket yang dikirim merupakan Stream4 Memory Faults: 0
gabungan informasi milik protokol IP & TCP. Beberapa =====================================================
informasi seperti, Snort received signal 2, exiting
[root@gate onno]#
TCP TTL:64 TOS:0x0 ID:412 IpLen:20 DgmLen:52 DF
TCP TTL :64 = ada 64 router yang masih bisa di lewati. Packet Logger Mode
TOS:0x0 = Type of Service dari protocol IP, 0x0 Tentunya cukup melelahkan untuk melihat paket yang lewat
adalah servis normal. sedemikian cepat di layar terutama jika kita menggunakan
IpLen:20 = Panjang protocol IP 20 byte. ethernet berkecepatan 100Mbps, layar anda akan scrolling
DgmLen:52 = Panjang seluruh paket 52 byte. dengan cepat sekali susah untuk melihat paket yang di ingin-
Selanjutnya ada dua kalimat yang semuanya milik Trans- kan. Cara paling sederhana untuk mengatasi hal ini adalah
mission Control Protocol (TCP). menyimpan dulu semua paket yang lewat ke sebuah file
untuk di lihat kemudian, sambil santai... Beberapa perintah
***A**** Seq: 0x4E70BB7D Ack: 0x423A85B4 Win: 0x16D0 TcpLen: 32
yang dapat digunakan untuk mencatat paket yang ada adalah
TCP Options (3) => NOP NOP TS: 6798056 163052552
./snort -dev -l ./log
Yang agak seru adalah melihat state atau kondisi sambungan, ./snort -dev -l ./log -h 192.168.0.0/24
terlihat dari jenis paket yang dikirim, seperti ./snort -dev -l ./log -b
***A****= packet acknowledge perintah yang paling penting untuk me-log paket yang lewat:
******S* = paket sinkronisasi hubungan
***A**S*= paket acknowledge sinkronisasi hubungan -l ./log
Sisanya adalah nomor urut paket data yang dikirim yang menentukan bahwa paket yang lewat akan di-log atau
Sequence number (Seq), dan Acknowledge number (Ack) dicatat ke file ./log. Beberapa perintah tambahan dapat di-
yang menunjukan sejauh ini nomor paket mana yang gunakan seperti -h 192.168.0.0/24 yang menunjukkan bah-
sudah diterima dengan baik. wa yang dicatat hanya paket dari host mana saja, dan -b
yang memberitahukan agar file yang di-log dalam format
Jenis paket lain yang kadang-kadang terlihat di layar adalah binari, bukan ASCII.
paket Address Resolution Protocol (ARP). Contoh adalah,
Pembacaan file log dapat dilakukan dengan menjalankan
04/18-11:32:25.451498 ARP who-has 192.168.120.114 tell 192.168.120.1
snort ditambah perintah -r nama file log-nya, seperti,
04/18-11:32:25.451671 ARP reply 192.168.120.114 is-at 0:0:F0:64:96:AE
./snort -dv -r packet.log
ARP digunakan untuk menanyakan address dari hardware, ./snort -dvr packet.log icmp
seperti ethernet card address, atau callsign amatir radio di
AX.25. Dalam contoh di atas 192.168.120.1 menanyakan ke Intrusion Detection Mode
jaringan berapa ethernet address dari 192.168.120.114. Dalam Mode operasi snort yang paling rumit adalah sebagai pen-
kalimat selanjutnya 192.168.120.114 menjawab bahwa dia deteksi penyusup (intrusion detection) di jaringan yang kita
menggunakan ethernet card dengan address 00:00:f0:64:96:ae. gunakan. Ciri khas mode operasi untuk mendeteksi penyusup
adalah dengan menambahkan perintah ke snort untuk mem- rim, secara default akan dimasukkan ke /var/log/snort. Se-
baca file konfigurasi -c nama-file-konfigurasi.conf. Isi file dikit modifikasi perlu dilakukan jika kita ingin mengguna-
konfigurasi ini lumayan banyak, tetapi sebagian besar telah kan ACID untuk menganalisa alert yang ada. Output perlu
di-set baik dalam contoh snort.conf yang ada pada source Snort. dimasukkan ke database, seperti MySQL.
Beberapa contoh perintah untuk mengaktifkan snort untuk Rules biasanya terdapat pada file *.rules. Untuk mengedit
melakukan pendeteksian penyusup, seperti sendiri rules agak lumayan, anda membutuhkan pengeta-
./snort -dev -l ./log -h 192.168.0.0/24 -c snort.conf huan yang dalam tentang protokol, payload serangan dll.
./snort -d -h 192.168.0.0/24 -l ./log -c snort.conf Untuk pemula sebaiknya menggunakan contoh *.rules yang
disediakan oleh snort yang dapat langsung dipakai melalui
Untuk melakukan deteksi penyusup secara prinsip snort ha- perintah include pada snort.conf.
rus melakukan logging paket yang lewat dapat menggunakan
perintah -l nama-file-logging, atau membiarkan snort meng- Beberapa contoh rules dari serangan atau eksploit dapat
gunakan default file logging-nya di direktori /var/log/snort. dilihat berikut ini:
Kemudian menganalisa catatan atau logging paket yang ada alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32
sesuai dengan isi perintah snort.conf. overflow /bin/sh"; flags:A+; content:"/bin/sh"; reference:bugtraq,2347;
reference:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)
Ada beberapa tambahan perintah yang akan membuat pro- alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32
ses deteksi lebih efisien, mekanisme pemberitahuan alert di overflow NOOP"; flags:A+; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90
Linux dapat di-set dengan perintah -A sebagai berikut: 90 90 90|"; reference:bugtraq,2347; reference:cve,CVE-2001-0144;
classtype:shellcode-detect; sid:1326; rev:1;)
- A fast, mode alert yang cepat berisi waktu, berita, IP &
port tujuan. Cukup pusing bagi pemula, rincian berbagai parameter rules
- A full, mode alert dengan informasi lengkap. terdapat di SnortUsersManual.pdf yang juga di sediakan
- A unsock, mode alert ke unix socket. bersama source snort.tar.gz.
- A none, mematikan mode alert.
Melihat Hasil Deteksi Penyusup
Untuk mengirimkan alert ke syslog UNIX, kita bisa menam- Default snort hasil deteksi penyusup atau paket yang men-
bahkan switch -s, seperti tampak pada beberapa contoh di curigakan akan disimpan pada folder /var/log/snort. Catat-
bawah ini. an kemungkinan serangan portscan akan disimpan pada file
./snort -c snort.conf -l ./log -s -h 192.168.0.0/24 /var/log/snort/portscan.log, sedang untuk alert akan dile-
./snort -c snort.conf -s -h 192.168.0.0/24 takkan pada folder-folder berdasarkan alamat IP sumber
Untuk mengirimkan alert binari ke workstation Windows, serangan karena saya menggunakan mode alert -A full.
dapat digunakan perintah di bawah ini: Contoh cuplikan isi portscan.log dapat dilihat berikut ini,
./snort -c snort.conf -b -M WORKSTATIONS Apr 4 19:00:21 202.159.32.71:110 -> 192.168.120.114:2724 NOACK 1*U*P*S*
Apr 4 20:47:43 168.143.117.4:80 -> 192.168.120.114:2916 NOACK 1*U*P*S*
Agar snort beroperasi secara langsung setiap kali work- Apr 5 06:04:04 216.136.171.200:80 -> 192.168.120.114:3500 VECNA 1*U*P***
station atau server di-boot, kita dapat menambahkan Apr 5 17:28:20 198.6.49.225:80 -> 192.168.120.114:1239 NOACK 1*U*P*S*
perintah di bawah ini ke ke file /etc/rc.d/rc.local Apr 6 09:35:56 202.153.120.155:80 -> 192.168.120.114:3628 NOACK 1*U*P*S*
Apr 6 17:44:06 205.166.76.243:80 -> 192.168.120.114:1413 INVALIDACK *2*A*R*F
/usr/local/bin/snort -d -h 192.168.0.0/24 -c /root/snort/snort.conf -A full -s -D Apr 6 19:55:03 213.244.183.211:80 -> 192.168.120.114:43946 NOACK 1*U*P*S*
Apr 7 16:07:57 202.159.32.71:110 -> 192.168.120.114:1655 INVALIDACK *2*A*R*F
atau Apr 7 17:00:17 202.158.2.4:110 -> 192.168.120.114:1954 INVALIDACK *2*A*R*F
/usr/local/bin/snort -d -c /root/snort/snort.conf -A full -s -D Apr 8 07:35:42 192.168.120.1:53 -> 192.168.120.114:1046 UDP
Apr 8 10:23:10 192.168.120.1:53 -> 192.168.120.114:1030 UDP
dimana -D adalah switch yang menset agar snort bekerja Apr 8 10:23:49 192.168.120.1:53 -> 192.168.120.114:1030 UDP
sebagai Daemon (bekerja dibelakang layar). Apr 20 12:03:51 192.168.120.1:53 -> 192.168.120.114:1077 UDP
Apr 21 01:00:11 202.158.2.5:110 -> 192.168.120.114:1234 INVALIDACK *2*A*R*F
Setup snort.conf Apr 21 09:17:01 66.218.66.246:80 -> 192.168.120.114:42666 NOACK 1*U*P*S*
Apr 21 11:00:28 202.159.32.71:110 -> 192.168.120.114:1800 INVALIDACK *2*A*R*F
Secara umum ada beberapa hal yang perlu di set pada
snort.conf, yaitu: Secara umum anda akan dapat membaca tanggal dan jam
serangan, IP address dan port sumber, IP address dan port
• Set konfigurasi dari jaringan kita. tujuan, protokol yang digunakan, kesalahan yang terjadi
• Konfigurasi pemrosesan sebelum dilakukan proses deteksi beserta pointer pada protokol TCP-nya seperti,
penyusup.
• Konfigurasi output. U = Urgent
• Konfigurasi rule untuk mendeteksi penyusup. A = Acknowledge
P = Push
Secara umum kita hanya perlu men-set konfigurasi jaringan F = Final
saja, sedang setting lainnya dapat dibiarkan menggunakan
default yang ada. Khususnya konfigurasi rule jika ingin mu- Rincian dari berbagai pointer TCP tersebut dapat diketahui
dah kita ambil saja contoh file *.rules yang ada di snort.tar.gz. dengan membaca detail protokol TCP.
Konfigurasi jaringan yang perlu dilakukan sebetulnya tidak Contoh alert dapat dilihat berikut ini:
banyak, hanya mengisi [**] INFO - Possible Squid Scan [**]
04/20-14:06:49.953376 192.168.0.33:1040 -> 192.168.0.1:3128
var HOME_NET 192.168.0.0/24 TCP TTL:128 TOS:0x0 ID:393 IpLen:20 DgmLen:48 DF
memberitahukan snort IP jaringan lokal-nya adalah ******S* Seq: 0x60591B9 Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
192.168.0.0/24 (satu kelas C). Sisanya dapat didiamkan saja
menggunakan nilai default-nya. Pada contoh alert di atas, ada usaha menscan keberadaan
Bagian konfigurasi output dapat kita mainkan sedikit untuk Squid proxy server pada 192.168.0.1 port 3128 dari worksta-
men-set ke-mana alert dan informasi adanya portscan diki- tion 192.168.0.33 port 1040. Workstation 192.168.0.33
mengirimkan paket Sinkronisasi TCP terlihat dari ******S*.
PORTSE NTRY
Penjaga Serangan Portscan di Jaringan
Apabila Network-based IDS seperti Snort memonitor paket data yang lalu-lalang di jaringan dan
mengamati adanya pola-pola serangan, maka PortSentry dikhususkan untuk menjaga port yang
memang dibuka oleh sistem kita. Onno W. Purbo membahasnya untuk kita.
engapa kita perlu mendeteksi
M Port Scan? Jawaban versi heboh-
nya kira-kira sebagai berikut,
Port Scan adalah awal dari masalah
besar yang akan datang melalui jaringan.
Port Scan merupakan awal serangan
dan hasil Port Scan membawa bebera-
pa informasi kritis yang sangat penting
untuk pertahanan mesin & sumber
daya yang kita miliki. Keberhasilan
untuk menggagalkan Port Scan akan
menyebabkan kita tidak berhasil mem-
peroleh informasi strategis yang dibu-
tuhkan sebelum serangan yang sebe-
tulnya dilakukan.
PortSentry dapat di terjemahkan ke
bahasa Indonesia sebagai Penjaga Ger-
bang/Pelabuhan. Sentry berarti penjaga,
Port dapat diterjemahkan gerbang atau
pelabuhan. Sekedar latar belakang in-
formasi, pada jaringan komputer (In-
ternet), masing-masing server aplikasi
akan stand-by pada port tertentu, mi- biasanya sudah tersedia berbentuk RPM • Mencari PortSentry dalam paket
salnya, Web pada port 80, mail (SMTP) dan akan terinstall secara otomatis jika program.
anda menggunakan Linux Mandrake. • Pilih (Klik) PortSentry.
pada port 25, mail (POP3) pada port • Klik Install maka PortSentry.
110. PortSentry adalah program yang Bagi yang tidak menggunakan Linux
Mandrtake dapat mengambilnya dari Secara automagic anda akan memper-
di disain untuk mendeteksi dan me- oleh PortSentry.
respond kepada kegiatan port scan pada situs tcpdump.org.
sebuah mesin secara real-time. Pembaca dapat mengambil PortSentry Bagi pengguna Mandrake 8.2 ternyata
langsung dari sumbernya di PortSentry tidak dimasukan dalam
PortSentry tersedia untuk berbagai CD ROM Mandrake 8.2, jadi anda
platform Unix, termasuk Linux, http://www.psionic.com/products/port
sentry.html. Source portsentry ter- harus menggunakan CD Mandrake
OpenBSD & FreeBSD. Versi 2.0 dari 8.0 untuk mengambil PortSentry dan
PortSentry memberikan cukup banyak dapat dalam format tar.gz atau .rpm.
menginstallnya.
fasilitas untuk mendeteksi scan pada Bagi pengguna Mandrake 8.0, PortSentry
berbagai mesin Unix. Versi 1.1 men- telah tersedia dalam CD-ROM dalam Beberapa fitur yang dimiliki oleh
dukung mode deteksi PortSentry yang format RPM. Instalasi PortSentry men- PortSentry, antara lain:
klasik yang tidak lagi digunakan pada jadi amat sangat mudah dengan di • Mendeteksi adanya Stealth port scan un-
versi 2.0. PortSentry 2.0 membutuhkan bantu oleh program Software Mana- tuk semua platform Unix. Stealth port
library libpcap untuk dapat di jalankan, ger. Yang kita lakukan tinggal: scan adalah teknik port scan yang tersa-
• Instalasi PortSentry tersedia juga pilihan untuk menghadapi advanced stealth scan.
pada Linux Mandrake • Pilihan untuk melakukan respons (Reponds Options—seperti
8.0 sangat mudah. Ignore options yang memungkinkan kita mengacuhkan serangan,
menghilang dari tabel routing yang mengakibatkan paket dari
penyerang tidak diproses routingnya, setting untuk TCP Wrappers
yang akan menyebabkan paket dari penyerang tidak akan masuk
ke server.
mar/tersembunyi, • Serang balik—ini adalah bagian paling berbahaya dari PortSentry,
biasanya sukar di pada file konfigurasi PortSentry telah disediakan link untuk
deteksi oleh sistem menyambungkan / menjalankan script untuk menyerang balik
operasi. ke penyerang. Bagian ini sebaiknya tidak digunakan karena akan
• PortSentry akan menyebabkan terjadinya perang Bharatayudha.
mendeteksi berba- Dari sekian banyak parameter yang ada di konfigurasi file
gai teknik scan seperti SYN/half-open, FIN, NULL dan X-
MAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini
portsentry.conf, saya biasanya hanya menset bagian routing
ada baiknya untuk membaca-baca manual dari software nmap table saja untuk menghilangkan semua paket dari penyerang
yang merupakan salah satu software portscan terbaik yang ada. yang mengakibatkan paket tidak di proses. Kebetulan saya
• PortSentry akan bereaksi terhadap usaha port scan dari lawan menggunakan Mandrake 8.0 yang proses paket dilakukan
dengan cara membolkir penyerang secara real-time dari usaha oleh iptables, kita cukup menambahkan perintah di bagian
auto-scanner, probe penyelidik, maupun serangan terhadap sistem. Dropping Routes: dengan perintah iptables.
• PortSentry akan melaporkan semua kejanggalan dan pelanggaran # PortSentry Configuration
kepada software daemon syslog lokal maupun remote yang berisi #
nama sistem, waktu serangan, IP penyerang maupun nomor port # $Id: portsentry.conf,v 1.13 1999/11/09 02:45:42 crowland Exp
TCP atau UDP tempat serangan di lakukan. Jika PortSentry di- crowland $
dampingkan dengan LogSentry, dia akan memberikan berita #
kepada administrator melalui e-mail. # IMPORTANT NOTE: You CAN NOT put spaces between your port
• Fitur cantik PortSentry adalah pada saat terdeteksi adanya scan, arguments.
sistem anda tiba-tiba menghilang dari hadapan si penyerang. #
# The default ports will catch a large number of common probes
Fitur ini membuat penyerang tidak berkutik. #
• PortSentry selalu mengingat alamat IP penyerang, jika ada # All entries must be in quotes.
serangan Port Scan yang sifatnya random PortSentry akan bereaksi.
###################
Salah satu hal yang menarik dari PortSentry adalah bahwa # Dropping Routes:#
program ini dirancang agar dapat dikonfigurasi secara seder- ###################
# For those of you running Linux with ipfwadm installed you may
hana sekali dan bebas dari keharusan memelihara. like
Beberapa hal yang mungkin menarik dari kemampuan # this better as it drops the host into the packet filter.
PortSentry antara lain: PortSentry akan mendeteksi semua # You can only have one KILL_ROUTE turned on at a time though.
# This is the best method for Linux hosts.
hubungan antar-komputer menggunakan protokol TCP mau- #
pun UDP. Melalui file konfigurasi yang ada PortSentry akan #KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$ -o"
memonitor ratusan port yang di scan secara berurutan mau- #
pun secara random. Karena PortSentry juga memonitor # This version does not log denied packets after activation
#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$"
protokol UDP, PortSentry akan memberitahukan kita jika #
ada orang yang melakukan probing (uji coba) pada servis # New ipchain support for Linux kernel version 2.102+
RPC, maupun servis UDP lainnya seperti TFTP, SNMP dll. # KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"
#
Setup Paremeter PortSentry # New iptables support for Linux kernel version 2.4+
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
Setup Parameter PortSentry dilakukan secara sangat seder-
hana melalui beberapa file yang berlokasi di Cek Adanya Serangan
/etc/portsentry
Untuk mencek adanya serangan, ada beberapa file dan pe-
adapun file-file tersebut adalah rintah yang dapat dilihat, yaitu:
always_ignore • /etc/hosts.deny—berisi daftar IP mesin yang tidak
portsentry.blocked.atcp diperkenankan untuk berinteraksi ke server kita. Daftar ini di
portsentry.blocked.audp gunakan oleh TCP Wrappers & di hasilkan secara automatis
portsentry.conf oleh PortSentry pada saat serangan di lakukan.
portsentry.history
portsentry.ignore • /etc/portsentry/portsentry.blocked.atcp—daftar alamat IP
portsentry.modes mesin yang di blok akses-nya ke semua port TCP.
• /etc/portsentry/portsentry.blocked.audp—daftar alamat IP
dari sekian banyak file yang ada, yang perlu kita perhatikan mesin yang di blok akses-nya ke semua port UDP.
sebetulnya tidak banyak hanya • /etc/portsentry/portsentry.history—sejarah serangan yang
• Always_ignore—yang berisi alamat IP yang tidak perlu di per- diterima oleh mesin kita.
hatikan oleh PortSentry. Pada Mandrake 8.0 dan Mandrake 8.2, untuk melihat paket
• Portsentry.conf—yang berisi konfigurasi portsentry, tidak terlalu yang di tabel paket filter oleh PortSentry dapat dilakukan
sukar untuk di mengerti karena keterangannya cukup lengkap.
menggunakan perintah:
Mengedit portsentry.conf tidak sukar & dapat dilakukan # iptables -L
menggunaan teks editor biasa saja. Sebetulnya portsentry
dapat langsung bekerja hampir tanpa perlu mengubah file Jika hanya PortSentry yang digunakan maka tabel filter
konfigurasi yang ada. Beberapa hal yang perlu diperhatikan iptables seluruhnya secara automatis di hasilkan oleh
dalam mengedit konfigurasi file portsentry.conf adalah: PortSentry. Untuk membuang semua tabel filter dapat
dilakukan dengan perintah:
• Konfigurasi Port—disini di set port mana saja di komputer yang
kita gunakan yang perlu di perhatikan. Pada konfigurasi port ini # iptables -F
•Tampilan utility Essential NetTools. •Meng-kill program yang sedang aktif menggunakan Essential NetTools.
Salah satu fitur yang dimiliki Essential NetTools adalah Adapun fitur-fitur lain yang bisa anda gunakan pada utility
ProcMon (Process Monitor). Dengan ProcMon anda dapat Essential NetTools antara lain:
mengidentifikasi semua program atau aplikasi yang bekerja
NetStat
secara tersembunyi berikut informasi lain yang menyertai-
NBScan (NetBIOS Scan)
nya, misalnya seperti nama program, nama lokasi atau direk-
Shares
tori tempat program tersebut di instal, nomor PID (Process
LMHosts
ID), modul yang ikut di load, serta nama perusahaan pem-
NAT (NetBIOS Auditing Tool)
buatnya. Dan jika anda ingin menonaktifkannya dari sistem
RawTCP
komputer anda (kill), maka anda cukup mengklik tombol
TraceRoute
mouse kanan dan memilih menu Terminate Process.
Ping
NSLookup
•Contoh tampilan utility NBScan (NetBIOS Scan) •Contoh tampilan utility RasTCP.
Konsep gembok dan anak kunci akan memudahkan memahami konsep PGPfreeware
TERBUKA MENJADI FILE RTF BUKA ARSIP DENGAN WORD DITERIMA DI WEB MAIL
13 Terlihat proses konversi berjalan
dan tak lama kemudian file ini
14 Arsip email yang dienkripsi tadi
telah terbuka kembali dengan
15 kosasih_iskandarsyah@yahoo.com
yang mempunyai account web mail
telah terbuka menjadi file yang memasukkan public key milik di mail.yahoo.com kini mendapatkan
tidak dienkripsi dan sudah dapat pengirim. Pengirim kini dapat adanya email yang baru masuk yang
dibuka dengan word processor. melihat kembali arsip email yang dikirimkan oleh kosasih@indo.net.id.
dikirimkannya. Buka file ini seperti biasa dan akan
diperoleh bahwa email ini terenkripsi.
Bagaimana membukanya?
PGP FREEWARE
asilitas memproses teks yang ada
F dalam clipboard, yang dapat diak-
tifkan lewat PGPTray amat prak-
tis, membuat segala macam aplikasi pada
IMPORT PUBLIC KEY PERIKSA PUBLIC KEY YANG ADA MENGIRIM FILE TERENKRIPSI
10 Akan tampil jendela Select key(s)
yang berisi satu public key, dalam
11 Untuk memeriksa apakah public key
tersebut sudah masuk ke dalam file
12 Sesuai permintaan, suatu file ter-
enkripsi akan dikirim sebagai
hal ini milik kosasih@indo.net.id. keyring, dari PGP Tray pilih PGPKeys attachment. Tulis email pada web
Klik Import untuk memasukkan dan akan tampil PGP keys yang mail Yahoo! seperti biasa. Setelah
public key ini ke file keyring. ada. Tampak public key yang baru selasai, dari PGP Tray pilih PGPTools
di-impor sudah ada (baris pertama). yang akan menampilkan jendela
Adapun yang kedua (bold) adalah icon-icon PGP Tools.
public key default.
I NSTALASI M U DAH nya ‘lebih tua’ dari web server malah kurang
terkenal.
Kebutuhan akan FTP server mungkin hanya
PADA WI N DOWS 9x/ M E dalam LAN saja (namun antara sistem yang
berbeda, misalnya PC dengan Macintosh),
atau dapat juga untuk sharing file dalam
komunitas terbatas seperti rekan kerja atau-
Perlu transfer file antara sistem yang berbeda: PC dengan pun keperluan pendidikan.
macintosh, misalnya? Atau kesulitan meng-attach file yang NeoTek kali ini menyajikan wFTPd, suatu
besar sebab web mail anda (misalnya Yahoo mail) mem- FTP server yang sangat mudah penggunaan-
nya dan disarankan untuk dipakai oleh
batasi besar attachment 1,5 Mbyte? Pasang saja FTP server sekolah-sekolah dasar atau menengah untuk
pada salah satu komputer anda yang terhubung ke Internet. sharing file antara guru dan murid
Menyiapkan FTP server untuk sekolah-sekolah hanya dengan komputer biasa dengan akses Internet.
Open Source dan Java untuk lih salah satu dari proyek yang ada dan form dengan sebuah virtual machine.
Pendidikan? cocok bagi anda dan segera bergabung de-
ngan dengan proyek itu! Untuk anda yang Freestyle Learning dan OpenUSS
Ketika Java menjadi lebih populer dan me-
berminat dan tertarik dengan penggunaan OpenUSS (http://openuss.sourceforge.net)
nyebar secara cepat, dimana makin banyak
Java dibidang pendidikan maka NetBeans, dibuat sebagai proyek open source sejak
para pemrogram berloncatan kedalam
FSL dan OpenUSS adalah beberapa pro- dari awalnya. FSL (http://www.wi.uni-
'kereta Java'. Sebuah kenyataan bahwa
yek besar yang cukup menarik untuk me- muenster.de/aw/freestyle-learning/
pada saat ini dan dimasa depan Java men-
mulainya. Sukses sebuah proyek open english/eindex.htm) adalah sebuah mature
jadi bahasa pemrograman paling populer
source di bidang pendidikan dapat mem- product dan telah tersedia pada Univer-
adalah salah satu alasan utama mengapa
bawa “equality of knowledge to the sitas Muenster. Proyek ini akhirnya dija-
banyak piranti lunak pendidikan yang di-
Internet.” Pertanyaannya sekarang apa- dikan sebuah proyek open source dan
tuliskan dalam bahasa Java. Perangkat pi-
kah anda memiliki kemauan dan inisiatif dalam beberapa minggu mendatang
ranti lunak yang dituliskan dalam bahasa
dalam menggunakannya? akan dirilis dibawah lisensi GPL pada
Java ini juga mendukung gerakan open
source dengan membiarkan para penggu- SourceForge.
Kontak dan Status Proyeknya
na untuk memilih penggunaan Linux Blasius Lofi Dewanto
namun juga Windows tanpa membatasi NetBeans
NetBeans (http://www.netbeans.org) ada- (dewanto@uni-muenster.de)
para pemirsanya hanya menuliskan pi-
ranti lunak dalam Linux. lah sebuah proyek open source, modular • asisten riset di Westfälische
IDE, dan dituliskan dalam bahasa pemro- Wilhelms- Universität Muenster,
Artikel ini menunjukkan kekuatan piranti graman Java. Saat ini mendukung pengem- Jerman, Institut für
lunak open source dalam bidang pendidik- bangan Java namun arsitekturnya sendiri Wirtschaftsinformatik Lehrstuhl für
an. Dengan menggunakan NetBeans, FSL mendukung untuk pemrograman bahasa Wirtschaftsinformatik und
dan OpenUSS untuk matakuliah Java lain. NetBeans juga merupakan sebuah Controlling
hanya sebuah contoh dari banyak kemung- extensible tools platform dimana tools • arsitek pengembangan OpenUSS
kinan lain yang terdapat di dalam bidang yang lainnya dan juga functionality-nya (Open University Support System).
pendidikan. Apa yang dapat sekarang kita dapat seamlessly diintegrasikan dengan
lakukan untuk menolong dan mendukung menuliskan dan mengintegrasikan modul- Referensi:
pengembangan piranti lunak open source modulnya. Core dari the NetBeans dapat
dan integrasinya untuk tetap membuat Pdf documents about Freestyle Learning
digunakan dalam generic application and OpenUSS.
proyek open source menjadi pelopor ter- framework untuk mempermudah penu-
depan di bidang teknologi piranti lunak. http://edu.netbeans.org/support/fsl.pdf
lisan aplikasi non-IDE. Karena ditulis- http://edu.netbeans.org/support/
Anda tidak perlu memulai sebuah proyek kan dalam bahasa pemrograman Java,
open source dari awal, anda tinggal memi- openuss.pdf
maka akan beroperasi pada setiap plat-
iklan visionnet